**Avertissement** : Veuillez noter que vous consultez un contenu ayant été archivé. Cette page se trouve parmi nos anciennes archives et ne fait plus l’objet d’une actualisation. Les renseignements qu’elle contient ne sont peut-être pas représentatifs des données courantes ou des plus récents développements. Nous vous remercions de votre compréhension.
Les préoccupations quant à la protection des renseignements personnels et à la confidentialité ont fait couler beaucoup d’encre en avril après l’énorme fuite de données de Mossack Fonseca, un cabinet juridique basé au Panama. Le vol de millions de ses documents confidentiels a conduit à la révélation du nom des clients du cabinet et du fait qu’ils utilisent des sociétés fictives à l’étranger et de paradis fiscaux.
L’associé fondateur, Roman Fonseca, a déclaré à l’agence Reuters que le cabinet avait éliminé l’hypothèse d’une fuite émanant d’une personne travaillant au sein du cabinet. « Il ne s’agit pas d’une fuite. Il s’agit d’un piratage », a-t-il déclaré. Cependant, que les documents aient été révélés de l’intérieur ou piratés de l’extérieur, la question demeure la même : quel est le prochain cabinet sur la liste?
« Les cabinets juridiques sont des cibles alléchantes et recherchées », a affirmé Dan Pinnington, vice-président, Prévention des réclamations et Relations avec les intervenants, chez Lawyers’ Professional Indemnity Company à Toronto. « Nous possédons une multitude de renseignements secrets et confidentiels, les sommes dans les comptes en fiducie et les comptes bancaires sont souvent très élevées et, à l’égard d’un grand nombre de nos clients, particulièrement les grandes institutions ou les grandes sociétés clientes, nous tendons à avoir une sécurité plus laxiste. Les pirates nous ciblent particulièrement. »
Selon un article de Bloomberg de 2015, plus de 80 p. 100 des cabinets juridiques américains ont été victimes d’une forme de violation de leur confidentialité ou d’une autre. Et les pirates vont de certains gouvernements étrangers aux élèves du secondaire, en passant par les cyberactivistes, les membres du crime organisé ou les petits truands, pour n’en nommer que quelques-uns; tous tentant leur chance d’accès aux dossiers juridiques.
L’affaire des documents du Panama a enseigné une leçon très terre-à-terre aux cabinets juridiques, a déclaré Dan Pinnington. Il conseille aux associés directeurs d’examiner sans complaisance leur sécurité et de faire une évaluation. Cependant, il faut du temps, des efforts et de l’argent pour s’assurer qu’un système offre toute la sécurité voulue. La plupart des cabinets juridiques ont besoin de l’assistance d’experts, souvent extérieurs au cabinet. Les cabinets de taille moyenne ou plus restreinte ne disposent pas des mêmes ressources que les grandes entreprises ou les institutions financières pour engager du personnel spécialisé en TI et en sécurité, a-t-il dit, et « ils ne consacrent pas le temps nécessaire pour s’assurer que leurs systèmes sont inviolables et à jour. »
Le piratage est généralement effectué au moyen de logiciels malveillants, a ajouté M. Pinnington. Il existe toutes sortes de logiciels malveillants, y compris ceux qui ouvrent une porte dissimulée dans le système et les enregistreurs de frappe qui captent les coordonnées d’accès et mots de passe. Dans le cas des rançongiciels (ransomware), les données sont chiffrées et les pirates exigent de la cryptomonnaie (bitcoins) en échange d’une clé de déchiffrement permettant de récupérer les fichiers volés. Malheureusement, « il n’y a pas de remède miracle ou de panacée qui arrangera tout pour vous », a-t-il dit.
Voici cependant quelques moyens pour réduire les risques :
Choisissez un meilleur mot de passe
Les mots de passe sont souvent le maillon le plus faible de la chaine de protection des données. Trouvez-en un qui ne soit ni court, ni un mot évident ou commun, conseille Dan Pinnington. « Le mieux, c’est de créer un mot de passe unique, complexe et aléatoire pour chacun des services que vous utilisez. »
Considérez l’infonuagique des deux points de vue
Dan Pinnington a rencontré de nombreux juristes extrêmement préoccupés par le volet sécurité de l’entreposage des renseignements d’un cabinet dans le nuage. Cependant, il pense que c’est devenu plus acceptable en tant qu’option pratique et sécuritaire du point de vue technique. Toutefois, il prévient que le fait de confier les données des clients ou du cabinet à des tiers soulève notamment les questions de la sécurité, de la protection des renseignements personnels, de la conformité à la loi et de la gestion du risque. Faites preuve de diligence et envisagez tous les risques et avantages avant de transférer les données de votre cabinet dans le nuage.
Désignez une personne chargée de la protection des renseignements personnels
Les juristes non seulement doivent se préoccuper des menaces extérieures, mais aussi de la protection des renseignements personnels et de la confidentialité à l’interne. Désignez une personne chargée de la protection des renseignements personnels, comprenez les obligations légales imposées par la Loi sur la protection des renseignements personnels et les documents électroniques et mettez en place les politiques appropriées pour régir la protection des renseignements personnels. Enseignez les dangers aux juristes et aux employés et mettez en place les politiques sur l’utilisation de la technologie qui fixent les règles.
Créez et diffusez une politique écrite sur la protection des renseignements personnels
Elle « devrait être accessible sur le site intranet du cabinet ou dans le format utilisé pour communiquer les politiques », déclare Lindsay Wasser, coprésidente des groupes sur la protection des renseignements personnels et la cybersécurité chez McMillan LLP, à Toronto. La politique devrait être portée à l’attention des nouveaux employés en particulier.
AVEC ne devrait pas signifier « apportez votre équipement personnel générateur de catastrophes »
Selon la tendance appelée « Apportez votre équipement personnel de communication » (AVEC), les juristes et le personnel sont autorisés à travailler à distance. Cela crée cependant des risques de perte, de vol ou d’ingérence de logiciels malveillants.
Maintes organisations utilisent des appareils qu’elles fournissent et dont l’utilisation à titre personnel est limitée. Si les appareils personnels sont autorisés, les cabinets peuvent mettre en place un logiciel pour cloisonner les renseignements, séparant ceux qui sont personnels de ceux qui appartiennent à la société. Un mot de passe distinct peut être utilisé pour accéder au registre « travail » et les paramètres technologiques de sécurité le concernant seront « plus élevés que ceux applicables aux renseignements personnels en ce qui a trait à l’interdiction de l’accès pour le téléchargement d’applications aléatoires qui pourraient contenir des virus ou des logiciels malveillants », a déclaré Lindsay Wasser.
Clauses de confidentialité
Les exigences contractuelles peuvent aider à éviter des fuites de renseignements. Les contrats passés par de nombreux cabinets avec leurs employés comportent une clause qui stipule expressément que ces derniers sont tenus de protéger le caractère confidentiel et la sécurité des renseignements personnels conformément au droit applicable ou qu’ils devront se conformer aux politiques du cabinet concernant la protection des renseignements personnels, ou les deux.
Le droit connexe aux obligations en matière de protection des renseignements personnels se développe rapidement », a déclaré Lindsay Wasser. « Depuis cinq ans, les tribunaux de l’Ontario ont reconnu deux délits connexes à la protection des renseignements personnels : l’intrusion dans l’intimité et la divulgation publique de faits privés, et, même en l’absence de ces causes d’action, les avocats des plaignants se fondent sur des motifs tels que la violation de contrat, la négligence, la contravention à la loi, etc. »
Faites quelque chose
Les recours collectifs sont de plus en plus communs pour les violations de la vie privée et l’utilisation des renseignements personnels à mauvais escient, a déclaré Mme Wasser. « Et c’est là qu’il existe un risque considérable de responsabilité. » Faites tout votre possible pour protéger la confidentialité des renseignements personnels de votre cabinet, a-t-elle conseillé. À tout le moins, faites quelque chose « pour montrer que vous saviez qu’il y avait un problème et que vous avez tenté de vous assurer que vos employés et vos associés le connaissent et font de leur mieux. Si vous ne faites rien, advenant une violation, vous aurez du mal à prouver que vous aviez fait le nécessaire dans la mesure raisonnable dans les circonstances afin de protéger les renseignements. »
Offrez une formation à chacun et à chacune
« Dans un petit cabinet juridique, même juste une réunion visant à assurer que les employés connaissent les obligations et les possibles conséquences d’un non-respect, quelque chose pour vous acquitter de vos obligations en tant qu’organisation pour veiller à ce que vos employés ou vos associés respectent leurs obligations, constitue une pratique exemplaire », a affirmé Lindsay Wasser.
Elle conseille aux associés directeurs « de ne pas supposer que pour la simple raison que vous traitez avec des juristes, ils savent ce qu’ils sont censés faire. »
Ann Macaulay est une rédactrice de Toronto.