La nouvelle frontière de la responsabilité fiduciaire

LA PROTECTION DES
RENSEIGNEMENTS PERSONNELS :
La nouvelle frontière de la
responsabilité fiduciaire ?
Par
Julien Ranger
DES CAS DE VOL OU PERTE de
renseignements personnels semblent être rapportés de plus en
plus fréquemment dans les médias et nous assistons
parallèlement à l’émergence des recours collectifs concernant
des atteintes à la vie privée au Canada. Il suffit de penser aux
détaillants Target et Home Depot qui ont chacun eu à
dépenser des centaines de millions de dollars après des vols de
données bancaires de leurs clients.
Quiconque est familier avec les bases de données maintenues
pour les régimes de retraite peut facilement concevoir que les
administrateurs de ces régimes sont tout aussi susceptibles d’être
victimes de vols de renseignements personnels ou encore de les
perdre ou de les communiquer par erreur à des tiers.
Les administrateurs conservent de nombreux renseignements
hautement confidentiels sur chaque participant pendant plusieurs
décennies. Ces informations incluent des numéros d’assurance
sociale, des adresses, des dates de naissance et des coordonnées
bancaires. Cette mine de renseignements représente une cible
attrayante qui est souvent sous-protégée et facilement exploitable.
Ces données, une fois perdues, volées ou communiquées par
erreur, peuvent être utilisées par des criminels afin de commettre
des fraudes comme le vol d’identité.
Mais les administrateurs de régimes de retraite sont-ils
conscients de leurs responsabilités en matière de protection des
renseignements personnels ?
Un administrateur doit d’abord déterminer s’il est assujetti à
une loi lui imposant des obligations spécifiques comme la Loi sur la
protection des renseignements personnels dans le secteur privé au Québec
et la Loi sur la protection des renseignements personnels et les documents
électroniques au niveau fédéral. Ces lois obligent notamment les
détenteurs de renseignements personnels à prendre des mesures de
sécurité appropriées pour protéger ces renseignements.
L’administrateur est de plus un fiduciaire qui est tenu
d’agir prudemment et de remplir ses fonctions dans l’intérêt
des participants et bénéficiaires du régime. Il est difficile de
conclure que le fiduciaire d’un régime qui ne prend pas des
précautions appropriées en matière de protection des
renseignements personnels a rempli ses obligations fiduciaires.
Il faut toutefois noter qu’un vol, une perte ou une
communication par erreur de renseignements personnels ne
constitue pas nécessairement un manquement aux obligations
fiduciaires. Comme en matière de placement, l’administrateur
sera jugé en fonction non pas du résultat, mais plutôt des
procédures suivies et des mesures adoptées pour éviter la
divulgation non autorisée des renseignements.
Le fiduciaire qui a fait des efforts pour assurer la protection
des renseignements devrait être en mesure de se défendre dans
le cadre d’une poursuite ou d’une enquête réglementaire. La
question devient alors de savoir quelles sont les mesures
appropriées que l’administrateur doit adopter afin de remplir
ses obligations.
La réponse à cette question varie d’un administrateur à
l’autre, mais chacun devrait élaborer un programme de
protection des renseignements personnels qui couvre au moins
les aspects mentionnés ci-dessous :
1) I nventaire des renseignements
personnels
Il est important pour un administrateur de
comprendre les types d’informations qu’il
recueille et leurs conditions de conservation.
Chaque administrateur devrait donc identifier
périodiquement les renseignements qu’il détient,
où et comment ceux-ci sont conservés et qui peut
• Décembre 2016/ 19
Protection des renseignements personnels
y avoir accès. Cet exercice devrait notamment
permettre à l’administrateur d’identifier les
vulnérabilités dans sa gestion des renseignements.
2) P
olitiques de protection des
renseignements personnels
L’administrateur devrait ensuite élaborer ou
mettre à jour ses politiques internes pour
documenter les pratiques qu’il compte suivre pour
protéger les renseignements. Ces politiques
devraient documenter les mesures de sécurité
physiques (ex. classeurs verrouillés, restriction de
l’accès aux bureaux, système d’alarme),
technologiques (ex. mots de passe, chiffrement
des données, pare-feu) et administratives
(ex. accès aux renseignements réservé aux
personnes autorisées, formation des employés) que
l’administrateur a mises en place pour contrôler
l’accès et la communication des renseignements.
3) G
estion des fournisseurs
de services
Comme l’administrateur perd le contrôle sur les
renseignements une fois qu’ils ont été transmis à un
administrateur externe, actuaire, consultant, etc.,
l’administrateur doit prendre des mesures
raisonnables pour s’assurer que ce tiers dispose de
mesures de sécurité appropriées. En plus de sa
vérification diligente, l’administrateur devrait
négocier des dispositions contractuelles qui
définissent ses attentes en matière de protection des
renseignements, de sous-traitance, de notification
et de réponse en cas d’atteinte à la vie privée.
4) Plan de surveillance
L’administrateur devrait finalement désigner une
ou des personnes qui devront s’assurer de la mise
en œuvre des mesures de sécurité et de leur
évaluation et révision continue.
Les cas d’atteinte à la vie privée sont malheureusement ici
pour rester et prendront probablement encore plus d’ampleur
au cours des prochaines années. Il ne serait d’ailleurs pas
surprenant que la prochaine action collective importante dans
le domaine des régimes de retraite concerne une atteinte à la
vie privée. Nous ne pouvons donc qu’encourager les
administrateurs à être proactifs et à s’assurer qu’ils ont mis en
place des mesures adéquates pour
minimiser les risques associés à la gestion
de renseignements personnels. Julien Ranger est associé, Régimes de retraite
et avantages sociaux chez Osler.
Rapport sur les tendances et perspectives
de la pharmacie communautaire – 2017
S’appuyant sur les données exclusives et exhaustives du Sondage national
Tendances et perspectives 2016 mené auprès des pharmaciens communautaires
et des propriétaires de pharmacies, ce rapport fournit un point de vue unique
et lucide sur les défis auxquels font face les pharmaciens et tout
le milieu de la pharmacie communautaire.
IMPO
VOL RTANT
LE Q ET SUR
UÉB
EC
En plus d’une analyse des données du sondage, ce rapport contient
également des données provenant de divers secteurs d’activité de
la pharmacie communautaire, incluant l’utilisation des médicaments
d’ordonnance et les tendances dans ce domaine, des mises à jour sur
les ressources humaines en pharmacie, les activités de régulation et de
défense de la pharmacie, des opinions de consommateurs et bien plus.
Pour commander votre exemplaire du Rapport de 2017 sur les tendances
et perspectives de la pharmacie communautaire, veuillez communiquer
avec Michelle Iliescu par courriel ([email protected])
ou par téléphone, au 1 800 268-9119, poste 1441 (sans frais).
PRÉSENTÉ PAR
Trends_demiMag.indd 1
20 / Décembre 2016•
COMMANDITÉ PAR
250
PLU
APP S TAXE
LICA S
BLE
S
$
EN PARTENARIAT AVEC
2016-11-30 16:34