La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

La convergence de la sécurité informatique et la protection des données à caractère personnel : vers une nouvelle approche juridique

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, tels que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l’homme, il est essentiel de donner un cadre technique et légal stable qui garantisse une protection adéquate de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité efficace. Cette nouvelle donne a tendance à devenir plus qu’une règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points, soit l’étude du développement d’une obligation légale de sécurité et l’encadrement juridique de la mise en place d’un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux.

Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

Les enjeux de sécurité dans l'Arctique contemporain Le cas du Canada et de la Norvège

Ce mémoire a pour objectif d’analyser la nature et l’ampleur des enjeux de sécurité dans l’Arctique contemporain en utilisant les outils offerts par la théorie de la sécurisation de l’École de Copenhague. Cinq secteurs de sécurité – militaire, politique, identitaire, environnemental et économique – et quatre variables – la géographie, l’identité, l’histoire et la politique – sont utilisées pour examiner les perceptions de sécurité, les sécurisations et les comportements stratégiques du Canada et de la Norvège. La 1re hypothèse avancée dans ce mémoire est la suivante : depuis 2005, au Canada et en Norvège, nous sommes en train d’assister à une sécurisation progressive des enjeux non militaires dans l’Arctique - politiques, identitaires, environnementaux et économiques - et les effets entre ces secteurs de sécurité ont d’importantes conséquences sur le secteur militaire, notamment au niveau de la multiplication de projets étatiques pour la plupart essentiellement militaires, ainsi qu’au niveau d’un déclenchement d’une sécurisation de leur intégrité territoriale ou du moins un accroissement de l’insécurité à son égard. La 2e hypothèse avancée est la suivante : les nouvelles perceptions de sécurité et les comportements stratégiques des États de la région engendrent de l’insécurité à l’intérieur des sociétés ainsi qu’une dégradation de la confiance entre les acteurs étatiques. Cela a pour effet d’augmenter la division politique dans l’Arctique et de ralentir toute construction régionale. Nous concluons, sur la base de nos études de cas, qu’au Canada, la souveraineté, la nordicité et l’intégrité territoriale sont perçues comme étant menacées. De plus, les sécurisations dans l’Arctique semblent faire partie d’un renouvellement stratégique global en matière de politique étrangère et de défense. En Norvège, la Russie est considérée comme l’acteur principal du High North et à partir de 2008, la relation russo-norvégienne a subi une sécurisation. Contrairement au Canada, la Norvège préfère le statu quo stratégique dans l’Arctique en privilégiant les trois éléments traditionnels de sa politique de défense et de sécurité - la dissuasion par l’OTAN, la gestion de la Russie par l’assurance, et l’amélioration des relations est-ouest.

Intégration européenne et pratique diplomatique : l’expérience autrichienne (1987-2009)

Ce mémoire vise à élucider les implications de l’intégration européenne pour les diplomaties nationales. À partir d’une approche sociologique axée sur les pratiques des individus, une étude de cas est menée sur la diplomatie autrichienne, pour la période allant de 1987 à 2009. S’appuyant sur une vingtaine d’entretiens conduits en 2009 à Vienne, cette étude rend compte, d’une part, des changements engendrés par l’intégration européenne de l’Autriche au regard des pratiques et des représentations de ses diplomates concernant la politique de neutralité. D’autre part, nous relatons le processus d’adaptation des diplomates et du ministère des Affaires étrangères autrichiens aux exigences pratiques et aux dynamiques sociales de l’interaction diplomatique au sein de l’Union européenne (UE). En somme, notre étude montre que les diplomates impliqués dans la gestion des affaires (tant internes qu’externes) de l’UE convergent autour d’un certain nombre de règles et de représentations sociales; cette dynamique a des implications substantielles pour les diplomaties nationales intégrées relativement tardivement dans l’UE, comme ce fut le cas pour l’Autriche.

PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée

La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie.