27 juin 2017

Une décision incontournable au croisement du droit disciplinaire et de la cybersécurité

Conseillers en ressources humaines et en relations industrielles agréés (Ordre professionnel des) c. Milot, 2017 CanLII 35570 (QC CDRHRI)

Le 7 juin 2017, le Conseil de discipline de l'Ordre des CRHA/CRIA[1] a rendu une décision fondamentale qui se situe au carrefour du droit professionnel et disciplinaire, de la protection de l'information et de la vie privée et des technologies de l'information. Il s'agit de la décision Conseillers en ressources humaines et en relations industrielles agréés (Ordre professionnel des) c. Milot, 2017 CanLII 35570 (QC CDRHRI).

En substance, cette décision fournit de nombreux enseignements sur l'obligation de compétence technologique des professionnels, sur les mesures de sécurité en matière de transmission de documents technologiques ou encore sur certains enjeux de cybersécurité de manière plus large. Le présent billet se propose en ce sens de résumer les faits de cette décision (1), les positions respectives des parties (2), l'analyse du Conseil de discipline (3) et les leçons à dégager en droit professionnel et disciplinaire (4), ainsi que sur le plan de la cybersécurité et des technologies de l'information (5).

Résumé des faits

Une personne (« Intimée ») membre de l'Ordre des conseillers en ressources humaines et en relations industrielles agréés du Québec (« Ordre ») fait l'objet d'une plainte disciplinaire. On lui reproche de n'avoir pas respecté ses obligations relatives au secret professionnel en faisant parvenir à des tiers, sans autorisation, la copie d'un rapport confidentiel provenant d'une psychiatre et portant sur un employé, contrairement aux articles 60.4 et 59.2 du Code des professions[2] et à l'article 51 de son Code de déontologie[3].

Le 19 février 2016, dans le cadre de ses fonctions en santé et sécurité du travail dans un CISSS, l'Intimée se voit communiquer un rapport d'expertise psychiatrique d'un employé. Les faits du litige se déroulent dans un très court laps de temps :

10 h 26 : L'Intimée envoie par courriel à l'employé concerné un avis de retour au travail qui fait suite à ce rapport, en mettant en copie le supérieur de l'employé et le président du syndicat;

10 h 29 : Un second courriel est envoyé aux mêmes destinataires, car l'Intimée avait omis de joindre le rapport d'expertise psychiatrique;

15 h : Sur avis du président du syndicat, l'Intimée réalise que le rapport d'expertise psychiatrique a été communiqué au supérieur de l'employé sans l'autorisation de celui-ci. L'Intimée tente de rappeler ou détruire le courriel transmis au supérieur par voie informatique, ce qui s'avère impossible. L'Intimée décide alors d'appeler le supérieur de l'employé qui lui confirme avoir détruit le courriel sans l'avoir ouvert et sans avoir pris connaissance du rapport joint à celui-ci.

Position des parties

D'un côté, le syndic plaide que l'Intimée a commis une faute déontologique grave en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci en l'absence d'autorisation à cet effet. Il s'agit en effet d'un rapport de nature hautement confidentielle, à la base du secret professionnel. Le Plaignant prétend par ailleurs que l'Intimée n'a pris aucun moyen pour assurer le respect du secret des renseignements de nature confidentielle qui ont été portés à sa connaissance dans l'exercice de sa profession.

De l'autre côté, l'Intimée, qui n'est pas représentée par avocat, allègue avoir commis une erreur malencontreuse en transmettant le rapport au supérieur de l'employé ainsi qu'au président du syndicat de celui-ci. De plus, l'Intimée prétend avoir pris rapidement toutes les démarches appropriées pour corriger son erreur, tout en plaidant l'absence de préjudice pour l'employé.

Analyse du Conseil de discipline

Le Conseil doit répondre à la question suivante : l'erreur commise par l'Intimée constitue-t-elle une faute déontologique? Le Conseil répond ultimement par l'affirmative, et déclare l'Intimée coupable de la plainte disciplinaire relativement à la violation du secret professionnel.

Le Conseil justifie sa décision sur la base d'une multitude d'arguments, qui sont cruciaux en matière de recours aux technologies de l'information et sur lesquels nous reviendrons. En voici un résumé :

  • Importance du secret professionnel. Le Conseil insiste d'abord sur le secret professionnel et la société québécoise, ainsi que l'importance du secret de tout renseignement de nature confidentielle en droit disciplinaire.
  • Mention « confidentiel » sur un document. Le Conseil relève ensuite que le rapport d'expertise comporte plusieurs renseignements de nature médicale particulièrement sensibles, tout en insistant sur la mention « confidentiel » sur la page de couverture du rapport qui « aurait dû constituer un rappel pour l'Intimée d'agir avec la plus grande prudence »[4].
  • Prévention par l'Ordre. Le Conseil note par ailleurs que l'Ordre met en garde ses membres « des risques inhérents à l'utilisation des outils modernes de communication dans l'exercice de leur profession »[5] et que ceux-ci « sont inadaptés à la transmission sécuritaire de données confidentielles ou protégées par le secret professionnel »[6]. En ce sens, l'Ordre incite ses membres à adopter par exemple l'une ou l'autre des mesures de protection suivantes : « crypter les documents confidentiels, leur donner un mot de passe ou un code d'accès pour limiter l'accès, utiliser toute autre mesure de sécurité disponible plus apte à protéger la confidentialité des documents »[7].
  • Pas de contact avec le département TI. En l'espèce, l'Intimée n'a pris aucune de ces mesures de protection. Plus loin, le Conseil relève qu'« au surplus, en l'absence de preuve établissant qu'elle a discuté avec le service informatique du CISSS […] afin d'être conseillée relativement aux mesures de sécurité disponibles les mieux adaptées pour assurer le respect des renseignements confidentiels obtenus dans l'exercice de ses activités professionnelles, le Conseil n'a d'autre choix que de la déclarer coupable du chef d'infraction de la plainte disciplinaire »[8].
  • Preuve de consentement. Le Conseil note en plus qu'il n'y aucune trace du consentement de l'employé d'être contacté par courriel par l'Intimée ou encore des personnes autorisées à consulter son dossier.
  • Manque d'attention. Le Conseil considère que « le manque d'attention invoqué par l'Intimée confirme l'absence de mesures appropriées prises par elle pour assurer le respect du secret des renseignements de nature confidentielle […] qui ont été portés à sa connaissance dans l'exercice de sa profession »[9], tout en ajoutant que « l'erreur commise par l'Intimée dénote que celle-ci a été insouciante face à l'obligation qui lui incombe d'agir de sorte à assurer la confidentialité »[10].
  • Obligations contractuelles. Le Conseil croit qu'en plus des obligations professionnelles, l'Intimée doit respecter les politiques en vigueur au CISSS, qui prescrit des obligations générales et spécifiques de confidentialité des renseignements recueillis notamment en les protégeant, en limitant l'accès aux seules personnes autorisées.
  • Deux courriels successifs. Le Conseil retient par ailleurs que « l'Intimée [ayant transmis] un courriel aux deux personnes non autorisées pour la deuxième fois, ce qui aurait dû représenter pour elle une autre occasion de s'interroger sur la légitimité de leur partager ce rapport »[11], soit le président du syndicat et le supérieur de l'employé.
  • Clause standard sous les courriels. Le Conseil souligne que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » est « insuffisante proportionnellement à l'importance du droit fondamental [de secret professionnel] à préserver »[12], ne permet pas à l'Intimée de « déléguer aux destinataires du courriel sa responsabilité professionnelle de préserver le secret quant aux renseignements de nature confidentielle qui viennent à sa connaissance dans l'exercice de sa profession »[13] et « n'offre aucune garantie quant à l'absence de consultation du document confidentiel »[14].
  • Rapidité des communications. Le Conseil considère que le court délai entre la commission de l'erreur et la tentative de mitiger les dommages (environ cinq heures) ne constitue pas « une justification acceptable pour expliquer l'absence de mesures appropriées prises par l'Intimée visant à assurer la confidentialité du rapport »[15]. La célèbre formule « la confidentialité ne vit qu'une fois » est d'ailleurs reprise.
  • Bilan. Que l'Intimée ait ou non eu l'intention de briser la confidentialité du secret de renseignements, cela ne constitue pas un élément pertinent à considérer en droit disciplinaire. En conséquence, le Conseil condamne l'Intimée en vertu de l'article 60.4 du Code des professions qui incombe à tout professionnel d'assurer le respect du secret professionnel.

Il faut finalement souligner que la sanction n'est pas encore connue, et qu'une nouvelle audition sera tenue pour la déterminer. Le type de sanction (réprimande, amende, radiation, etc.) devrait permettre d'encore mieux se situer quant au sérieux du chef d'infraction et à ses répercussions sur les autres professionnels.

Enseignements en matière de droit professionnel et disciplinaire

Cette décision ne doit pas être perçue comme étant isolée ou propre à un ordre professionnel (celui des CRHA/CRIA). Bien au contraire! Il s'agit d'un signal fort à l'égard de tous les professionnels concernant leurs obligations en matière de technologies de l'information.

On y apprend que l'accélération des communications ou les maladresses technologiques ne sont pas des défenses valables (garde aux erreurs de destinataires…), que la clause standard en bas des courriels du type « destiné exclusivement aux destinataires » n'est pas suffisante (malgré qu'elle soit si répandue…), qu'il faut réfléchir à deux fois avant d'envoyer un courriel (à défaut de démontrer sa négligence…), qu'il faut être en contact régulier et étroit avec le département technologie de l'information, que les obligations contractuelles en matière de sécurité doivent être lues et intégrées aux pratiques des professionnels, qu'il faut prendre les mesures de sécurité raisonnables, qu'il convient de conserver les preuves de consentement aux communications électroniques, etc.

Évidemment, la plupart des ordres professionnels tentent déjà de sensibiliser leurs membres à ces enjeux, souvent par le biais de directives (comme l'Ordre des CRHA/CRIA) ou encore de Guide TI (comme le Barreau du Québec). Toutefois, si certains doutaient du caractère contraignant de ces normes, cette décision vient rappeler qu'elles doivent tout de même être prises en compte dans la conduite du membre. À cela s'ajoute l'obligation de compétence générale, qui couvre également selon nous le recours aux technologies de l'information et les enjeux de protection de l'information.

Cette affaire débouche sur l'obligation de « compétence technologique » dans les Codes de déontologie, qui est militée par certains organismes. C'est le cas notamment de la Fédération des ordres professionnels de juristes du Canada qui, en janvier 2017, a inclus dans son Code type de déontologie professionnelle un article sur la compétence en matière de technologie se lisant comme suit : « Pour conserver le niveau de compétence nécessaire, le juriste doit développer et conserver une aisance technologique suffisante en fonction de son champ d'exercice et de ses responsabilités. Il doit être en mesure d'apprécier les avantages et les risques liés à la technologie pertinente, compte tenu de son obligation de secret professionnel exposée à l'article 3.3 ».

En résumé, cette décision doit être perçue par tous les professionnels comme un premier pas vers une obligation de compétence technologique.

Enseignements en matière de cybersécurité et de technologies de l'information

La portée de cette décision touche également le domaine des technologies de l'information. Tout d'abord, on peut y voir de nombreux liens avec la Loi concernant le cadre juridique des technologies de l'information[16] LCCJTI »), notamment sur le plan de la transmission de document. En effet, si l'article 29 LCCJTI traite du choix du support, il est muet quant à la preuve du choix et sa conservation; or, selon la décision, il faudrait à chaque fois obtenir un consentement avant de communiquer par courriel. Si une telle conclusion suscite des réticences et doutes chez les soussignés, elle doit toutefois être prise au sérieux par les entreprises, notamment. Par ailleurs, cette décision vient encore renforcer et éclaircir l'article 34 LCCJTI, qui indique que « lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication ». Notons ici que la LCCJTI n'est jamais évoquée dans la décision.

Ensuite, cette décision concerne aussi les employeurs de professionnels qui sont assujettis au secret professionnel. En effet, les politiques internes sur la sécurité et la confidentialité des renseignements lient ces professionnels, qui doivent les respecter en plus de leurs obligations déontologiques. Par ailleurs, la prévention en ces matières n'appartient pas seulement aux ordres professionnels, mais aussi aux professionnels eux-mêmes qui doivent se former, se sensibiliser et se tenir à jour concernant la sécurité et la confidentialité des renseignements.

Enfin, cette décision donne des exemples concrets de mesures de sécurité pour protéger les renseignements personnels, que ce soit le cryptage, le mot de passe ou le code d'accès (voir l'article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé[17] ou encore le septième principe de l'Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques[18]).

Le présent billet se voulait vous donner un premier aperçu de cette décision, extrêmement riche et particulièrement intéressante, pas seulement pour les professionnels, mais aussi pour toutes les entreprises et les organismes qui utilisent la transmission technologique de documents (notamment les courriels). Autrement dit, tout le monde devrait se sentir concerné!


[1] CRHA correspond à « Conseillers en Ressources Humaines Agréés » et CRIA à « Conseillers en Relations Industrielles Agréés ».

[2] RLRQ c C-26.

[3] RLRQ c C-26, r 81.

[4] Para 70.

[5] Para 73.

[6] Para 74.

[7] Ibid.

[8] Para 76.

[9] Para 83.

[10] Para 100.

[11] Para 89.

[12] Para 93.

[13] Para 94.

[14] Para 98.

[15] Para 103.

[16] RLRQ c C-1.1.

[17] RLRQ c P-39.1.

[18] LC 2000, c 5.

Des fichiers témoins (« cookies ») s'inscrivent dans votre appareil afin de mémoriser vos choix de navigation, de faciliter l'analyse statistique de l'utilisation du site Web et d'améliorer ses fonctionnalités, comme indiqué dans notre Politique de confidentialité.