La nouvelle frontière de la responsabilité fiduciaire
Transcription
La nouvelle frontière de la responsabilité fiduciaire
LA PROTECTION DES RENSEIGNEMENTS PERSONNELS : La nouvelle frontière de la responsabilité fiduciaire ? Par Julien Ranger DES CAS DE VOL OU PERTE de renseignements personnels semblent être rapportés de plus en plus fréquemment dans les médias et nous assistons parallèlement à l’émergence des recours collectifs concernant des atteintes à la vie privée au Canada. Il suffit de penser aux détaillants Target et Home Depot qui ont chacun eu à dépenser des centaines de millions de dollars après des vols de données bancaires de leurs clients. Quiconque est familier avec les bases de données maintenues pour les régimes de retraite peut facilement concevoir que les administrateurs de ces régimes sont tout aussi susceptibles d’être victimes de vols de renseignements personnels ou encore de les perdre ou de les communiquer par erreur à des tiers. Les administrateurs conservent de nombreux renseignements hautement confidentiels sur chaque participant pendant plusieurs décennies. Ces informations incluent des numéros d’assurance sociale, des adresses, des dates de naissance et des coordonnées bancaires. Cette mine de renseignements représente une cible attrayante qui est souvent sous-protégée et facilement exploitable. Ces données, une fois perdues, volées ou communiquées par erreur, peuvent être utilisées par des criminels afin de commettre des fraudes comme le vol d’identité. Mais les administrateurs de régimes de retraite sont-ils conscients de leurs responsabilités en matière de protection des renseignements personnels ? Un administrateur doit d’abord déterminer s’il est assujetti à une loi lui imposant des obligations spécifiques comme la Loi sur la protection des renseignements personnels dans le secteur privé au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques au niveau fédéral. Ces lois obligent notamment les détenteurs de renseignements personnels à prendre des mesures de sécurité appropriées pour protéger ces renseignements. L’administrateur est de plus un fiduciaire qui est tenu d’agir prudemment et de remplir ses fonctions dans l’intérêt des participants et bénéficiaires du régime. Il est difficile de conclure que le fiduciaire d’un régime qui ne prend pas des précautions appropriées en matière de protection des renseignements personnels a rempli ses obligations fiduciaires. Il faut toutefois noter qu’un vol, une perte ou une communication par erreur de renseignements personnels ne constitue pas nécessairement un manquement aux obligations fiduciaires. Comme en matière de placement, l’administrateur sera jugé en fonction non pas du résultat, mais plutôt des procédures suivies et des mesures adoptées pour éviter la divulgation non autorisée des renseignements. Le fiduciaire qui a fait des efforts pour assurer la protection des renseignements devrait être en mesure de se défendre dans le cadre d’une poursuite ou d’une enquête réglementaire. La question devient alors de savoir quelles sont les mesures appropriées que l’administrateur doit adopter afin de remplir ses obligations. La réponse à cette question varie d’un administrateur à l’autre, mais chacun devrait élaborer un programme de protection des renseignements personnels qui couvre au moins les aspects mentionnés ci-dessous : 1) I nventaire des renseignements personnels Il est important pour un administrateur de comprendre les types d’informations qu’il recueille et leurs conditions de conservation. Chaque administrateur devrait donc identifier périodiquement les renseignements qu’il détient, où et comment ceux-ci sont conservés et qui peut • Décembre 2016/ 19 Protection des renseignements personnels y avoir accès. Cet exercice devrait notamment permettre à l’administrateur d’identifier les vulnérabilités dans sa gestion des renseignements. 2) P olitiques de protection des renseignements personnels L’administrateur devrait ensuite élaborer ou mettre à jour ses politiques internes pour documenter les pratiques qu’il compte suivre pour protéger les renseignements. Ces politiques devraient documenter les mesures de sécurité physiques (ex. classeurs verrouillés, restriction de l’accès aux bureaux, système d’alarme), technologiques (ex. mots de passe, chiffrement des données, pare-feu) et administratives (ex. accès aux renseignements réservé aux personnes autorisées, formation des employés) que l’administrateur a mises en place pour contrôler l’accès et la communication des renseignements. 3) G estion des fournisseurs de services Comme l’administrateur perd le contrôle sur les renseignements une fois qu’ils ont été transmis à un administrateur externe, actuaire, consultant, etc., l’administrateur doit prendre des mesures raisonnables pour s’assurer que ce tiers dispose de mesures de sécurité appropriées. En plus de sa vérification diligente, l’administrateur devrait négocier des dispositions contractuelles qui définissent ses attentes en matière de protection des renseignements, de sous-traitance, de notification et de réponse en cas d’atteinte à la vie privée. 4) Plan de surveillance L’administrateur devrait finalement désigner une ou des personnes qui devront s’assurer de la mise en œuvre des mesures de sécurité et de leur évaluation et révision continue. Les cas d’atteinte à la vie privée sont malheureusement ici pour rester et prendront probablement encore plus d’ampleur au cours des prochaines années. Il ne serait d’ailleurs pas surprenant que la prochaine action collective importante dans le domaine des régimes de retraite concerne une atteinte à la vie privée. Nous ne pouvons donc qu’encourager les administrateurs à être proactifs et à s’assurer qu’ils ont mis en place des mesures adéquates pour minimiser les risques associés à la gestion de renseignements personnels. Julien Ranger est associé, Régimes de retraite et avantages sociaux chez Osler. Rapport sur les tendances et perspectives de la pharmacie communautaire – 2017 S’appuyant sur les données exclusives et exhaustives du Sondage national Tendances et perspectives 2016 mené auprès des pharmaciens communautaires et des propriétaires de pharmacies, ce rapport fournit un point de vue unique et lucide sur les défis auxquels font face les pharmaciens et tout le milieu de la pharmacie communautaire. IMPO VOL RTANT LE Q ET SUR UÉB EC En plus d’une analyse des données du sondage, ce rapport contient également des données provenant de divers secteurs d’activité de la pharmacie communautaire, incluant l’utilisation des médicaments d’ordonnance et les tendances dans ce domaine, des mises à jour sur les ressources humaines en pharmacie, les activités de régulation et de défense de la pharmacie, des opinions de consommateurs et bien plus. Pour commander votre exemplaire du Rapport de 2017 sur les tendances et perspectives de la pharmacie communautaire, veuillez communiquer avec Michelle Iliescu par courriel ([email protected]) ou par téléphone, au 1 800 268-9119, poste 1441 (sans frais). PRÉSENTÉ PAR Trends_demiMag.indd 1 20 / Décembre 2016• COMMANDITÉ PAR 250 PLU APP S TAXE LICA S BLE S $ EN PARTENARIAT AVEC 2016-11-30 16:34