par
Soleïca Monnier
Articles du même auteur
et
Frédérique Turnier Caron
Articles du même auteur
02 Mar 2021

Chronique du CTI – La gestion des risques en droit des technologies de l’information

Par Soleïca Monnier, avocate, Ministère de la justice du Québec et Frédérique Turnier Caron, analyste Junior en protection des données personnelles, Hitachi Systems-Security

[1]

« Le risque est une dimension indissolublement liée à la vie; que l’homme s’est arraché à sa
condition première par la fabrication de l’outil, facteur de risque; que le
risque a pris une ampleur et des formes nouvelles lorsque l’outil s’est
transformé en machine et l’artisan en ouvrier […]. Le risque, c’est bien
exact, ne date pas d’aujourd’hui. »[2] 

1.     D’où provient la notion de
risque ?

Longtemps perçu
comme une punition divine, le risque est devenu quantifiable à partir du XVIIe siècle avec le
développement des assurances, industrie s’appuyant sur le calcul des
probabilités[3]. Les
assureurs conceptualisent alors la notion autour d’un ou plusieurs événements
dont la réalisation dépend de faits identifiables et, dans une certaine mesure,
anticipables. Ce changement de perception a ramené le risque à un fait étudiable
et par conséquent redonné à l’homme un contrôle sur son environnement.

S’il est vrai que l’approche de gestion des risques
est aujourd’hui omniprésente au sein des entreprises privées[4],
cette dernière a pris un certain temps avant d’intégrer la science juridique,
ainsi que le secteur public[5]. Les
nouvelles réalités, notamment technologiques, nécessitent cependant
l’introduction d’outils d’analyse novateurs auxquels le droit ne peut demeurer
insensible. Ainsi, pour le juriste-conseil moderne, il n’est plus suffisant d’appliquer
les règles de droit de façon statique, il faut agir en considérant l’ensemble
des risques auxquels fait face son client.

2.     Qu’est-ce que la gestion des
risques ?

La gestion des
risques est un ensemble d’actions visant à identifier et à évaluer les menaces
auxquelles une organisation est exposée, dans le but de contrôler la
probabilité d’occurrence des événements redoutés et de leurs impacts éventuels[6]. Sans
être synonyme d’une maîtrise absolue, ce contrôle implique de ramener le risque
à un niveau jugé acceptable pour l’organisation selon sa tolérance à celui-ci
et dans la mesure des moyens à sa disposition pour le diminuer (budgétaires,
humains, délais d’un projet, etc.)[7].

Les risques[8] peuvent
notamment être naturels, économiques, financiers, sociaux, politiques,
technologiques, mais également juridiques. Par exemple, faire l’objet de
poursuites ou de sanctions capables de compromettre les objectifs ou la
viabilité économique de l’organisation (ex. image de marque ternie, actions
collectives coûteuses[9]) est le
risque juridique par excellence. Toutefois, il serait également possible d’anticiper
le risque d’une cyberattaque qui causerait une fuite de données désastreuse
pour l’organisation[10].

Or, puisque les technologies
de l’information (« TI ») sont en évolution constante, elles peuvent
créer de l’incertitude quant à l’application du droit. À titre illustratif, un
droit de la preuve conçu en ayant en tête des documents papier peut s’avérer
difficile à transposer à des documents technologiques. Ainsi, ponctuellement,
des développements législatifs ont lieu pour assurer un meilleur encadrement
des TI[11].
Toutefois, ceux-ci peuvent impliquer une hausse des sanctions, un intérêt accru
de la communauté juridique et médiatique quant au pan du droit touché, ainsi
qu’une hausse des budgets dédiés aux organismes d’enquête et d’application de
ce droit[12]. Ce
facteur d’incertitude conjugué à une hausse des implications médiatiques et
juridiques font en sorte que la gestion des risques devient un outil essentiel
dans l’arsenal du juriste-conseil qui œuvre dans le domaine des TI.

La gestion des
risques s’inscrit en sus dans la triade « gouvernance, gestion des risques
et conformité » (en anglais, GRC[13]),
une approche théorisée dans les années 2000[14]
qui permet à une organisation d’atteindre les objectifs qu’elle s’est fixés, de
gérer l’incertitude et d’agir avec intégrité[15]
grâce à une coordination efficace des trois domaines susmentionnés. Notamment,
l’approche rejette le travail en silo pour favoriser les échanges horizontaux
au sein d’une organisation. Bien qu’elle semble constituer l’approche de
l’heure, très peu de travaux académiques se penchent sur la GRC[16].

3.     Comment la gestion des
risques s’exprime-t-elle au sein des règles juridiques entourant les TI ?

En sus d’un
changement d’approche quant à l’application
du droit, la gestion des risques est perceptible au sein des lois et
règlements entourant le développement et l’utilisation des TI, que ce soit en
raison de la texture ouverte de certaines dispositions ou parce qu’elle y est
expressément mentionnée.

En effet, le
libellé de certaines articles au sein de lois à portée technologique laisse une
marge de manœuvre supplémentaire quant à la manière d’appliquer une obligation
énoncée en termes généraux, permettant aux organisations de gérer leurs risques[17]. Par
exemple, l’article 10 de la Loi sur
la protection des renseignements personnels dans le secteur privé
(« Loi sur le secteur privé »)[18]
énonce[19]:

10. Toute personne qui exploite
une entreprise doit prendre les mesures de sécurité propres à assurer la
protection des renseignements personnels collectés, utilisés, communiqués,
conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur
sensibilité, de la finalité de leur utilisation, de leur quantité, de leur
répartition et de leur support.

Selon l’article 10,
sous réserve de circonstances particulières, il est ainsi attendu que les
mesures de sécurité prises par un établissement financier d’envergure soient
plus robustes que celles d’une start-up
qui œuvre dans la distribution de biens tangibles (ex. produits agricoles). En
effet, les risques juridiques de l’établissement financier qui transige
quotidiennement avec des données personnelles sensibles seraient à première vue
plus importants[20].

Également, des lois
énoncent expressément la notion de risque ou même celle de gestion des risques.
Le Projet de loi n° 64[21], s’il
est adopté, introduira la notion de risque à une dizaine de dispositions du
corpus législatif en matière de protection des renseignements personnels, et
notamment dans la Loi sur le secteur privé[22].
La Loi sur Infrastructures technologiques
Québec
[23]
sanctionnée en 2020 oblige par ailleurs « qu’un processus de gestion des
risques soit mis en place » au sein des organismes publics du gouvernement
du Québec[24].

Enfin, pour guider les
organisations dans leur gestion des risques, des organismes internationaux
comme le NIST (National Institute of Standards and
Technology)
ou l’ISO (Organisation
internationale de normalisation)
[25] publient des standards et normes. Par exemple, les
entreprises de tous secteurs confondus peuvent s’appuyer sur la norme ISO 31000 pour gérer leurs
risques[26].
Parfois, ces standards et normes techniques deviennent si consensuels qu’ils
sont intégrés au sein d’un règlement dans un secteur donné et acquièrent alors
force de loi[27].

Conclusion

L’approche de gestion des risques continue de se
répandre à travers la science juridique et encore davantage au sein du droit
qui encadre l’utilisation des TI. En effet, la technologie entraîne des
changements rapides et constitue par conséquent un facteur d’incertitude de
premier plan pour le droit. Dans ce contexte, la capacité à prendre en compte
tous les risques – en plus de ceux qui relèvent du juridique – d’une
organisation est une compétence essentielle pour le juriste-conseil dont le
domaine de pratique touche de près ou de loin aux TI.

Le droit entourant les technologies de
l’information vous intéresse? Les 25 et 26 mars prochains, joignez-vous à plus
de 300 professionnels partageant votre passion pour le droit et la technologie.
Cliquez ici pour vous inscrire à la 14e édition de
la Conférence Legal.IT, une des plus importantes conférences au Canada sur
l’impact des TI et leur potentiel sur le droit, organisée par le Jeune Barreau
de Montréal.

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions
au sein de la communauté juridique à propos des nouvelles technologies
et le droit. Les auteurs sont donc seuls responsables du contenu des
articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais
bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.


[1] Les opinions exprimées dans le présent article
n’engagent que les auteurs et ne représentent pas nécessairement celles de
leurs employeurs respectifs.

[2] Lagadec, P.
(2013). Le
risque technologique majeur: politique, risque et processus de développement
. Elsevier, p.3.

[3] Bourdin, A.
(2003). La modernité du risque. Cahiers
internationaux de sociologie
, (1), 5-26.Source : La modernité du risque (par. 1 et 2); Bérard,
J., Niget, D., & Petitclerc, M. (2012). Pour
une histoire du risque: Québec, France, Belgique
. Puq. (p. 1 et 2).

[4] Par exemple, Redhat, “En
quoi consiste la gestion des risques ?
; Gartner, “Legal
Risk Management Strategies to Mitigate Business Risks

[5] « Même si la gestion des risques
juridiques a toujours fait partie intégrante du travail de tout avocat, depuis
1999, le gouvernement fédéral a effectué la gestion des risques juridiques
potentiels et réels au sein du cadre de l’Initiative de gestion des risques
juridiques (GRJ). […] En 2003, l’Initiative de GRJ est passée d’une action à
durée limitée, avec un bureau de projets et des ressources humaines et
financières propres, à une action permanente, intégrée aux travaux de
l’ensemble du Ministère », Ministère de la Justice du Canada (2015), “Gestion des risques juridiques au
ministère de la justice, évaluation formative
”.

[6] Office Québécoise de la langue française, “Gestion
des risque
s”, Grand
dictionnaire terminologique
; Wikipedia,
Gestion des risques”.

[7] Charpentier, P. Y. (2014). La
gestion du risque: de l’approche juridique à l’ébauche d’une méthodologie
managériale.
Management
Avenir
, (8), 191-209, par. 1.2 – Un traitement proportionné.

[8] Les risques représentent « l’effet de
l’incertitude sur les objectifs », selon la norme ISO 31000:2009 – Management du risque — Principes et lignes directrices. La norme
a toutefois été révisée en 2018.

[9] Dans le jugement Imperial Tobacco Canada ltée c. Conseil québécois sur le tabac et la
Santé
, 2019 QCCA 358, trois compagnies de tabac canadiennes sont condamnées
à payer solidairement 14 milliards de dollars pour réparer le préjudice causé
par leurs activités et notamment en raison de fausses représentations quant aux
effets néfastes de la consommation de tabac sur la santé. Suite à cette
décision, les trois compagnies se sont placées sous la protection de la Loi sur les arrangements avec les créanciers
des compagnies,
LRC 1985, c. C-36.

[10] “S’agissant de la sécurité de l’information,
il n’y a aucun doute que des brèches, d’importance variable, se produiront.
Réduire la possibilité de survenance, en limiter la gravité, être en mesure
d’en connaître l’étendue précise, diminuer le montant des pertes potentielles –
bref, gérer les risques – devient dès lors essentiel.”, Jaar, D., Lacoste, É.,
& Senécal, F. (2012), Investir
dans les renseignements personnels et leur protection
, Développements récents en droit de l’accès à
l’information et de la protection des renseignements personnels – les 30 ans de
la Commission d’accès à l’information.

[11] Loi
concernant le cadre juridique des technologies de l’information
, projet de loi
no
161
(sanctionné- 21
juin 2001), 2e sess., 36e légis. (Qc),
art. 78 et suiv. qui modifient le CCQ, notamment aux articles 2837 et suiv.,
afin de mieux encadrer la preuve présentée sur support technologique.

[12] On pense ici au droit de la protection des
renseignements personnels, voir Loi
modernisant des dispositions législatives en matière de protection des
renseignements personnels
, projet de loi no 64, 1re
sess., 42e légis. (Qc), ci-après “PL 64” et Loi édictant la Loi
sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal
de la protection des renseignements personnels et des données et apportant des
modifications corrélatives et connexes à d’autres lois
, projet de loi no
C-11, 2e sess., 43e légis. (Can.).

[13] Tarantino, A. (2008). Governance, risk, and compliance
handbook: technology, finance, environmental, and international guidance and
best practices
. John Wiley & Sons.; Broady,
D. V., & Roland, H. A. (2011). SAP GRC for dummies. John
Wiley & Sons.

[14] “The first
scholarly research was published in 2007—but the original ideas behind GRC were
created (invented!) back in 2003 by OCEG. A panel of experts formally defined
GRC as a shorthand reference to the critical capabilities used to reliably
achieve an organization’s objectives while addressing uncertainty and acting
with integrity.”, Go.oceg.org. Toutefois, on retrouve ailleurs que ce serait
la firme PriceWaterhouseCoopers qui aurait inventé l’approche GRC en 2004.

[15] Selon le site internet de
l’OCEG
, “ it is about using an approach
that ensures the right objectives are established; and that the right actions
and controls are put in place to address uncertainty and act with integrity
”.

[16]  “Recent
studies on GRC have highlighted the lack of scientific research in integrated
governance, risk and compliance
” : Papazafeiropoulou,
A., & Spanaki, K. (2016). Understanding
governance, risk and compliance information systems (GRC IS): The experts view
. Information Systems Frontiers, 18(6),
1251-1263.

[17] Loi
concernant le cadre juridique des technologies de l’information
, RLRQ, c.
C-1.1, ci-après “LCCJTI”, art. 6 al.
3, 15,19, 25, 34, pour ne citer que quelques articles.

[18] RLRQ, c. P-39.1.

[19] Voir son pendant dans le secteur public,
l’article 63.1 Loi sur l’accès aux
documents des organismes publics et sur la protection des renseignements
personnels
, RLRQ, c. A-2.1.

[20] À cet égard, consulter Fédération des caisses Desjardins du Québec, décision n°1020846-S, 11 décembre 2020 (CAI).

[21] Préc., note 13.

[22] Ex. Article 103 du PL 64 remplaçant l’article 17.

[23] RLRQ c. I-8.4, art.
18 par. 3. Voir aussi la Loi sur la gouvernance et la gestion des
ressources informationnelles des organismes publics et des entreprises du
gouvernement
, RLRQ c. G-1.03, art. 13 par. 1 (modification en 2017).

[24] Id., art. 1.

[25] L’article 68 de la LCCJTI nomme certains
« organismes reconnus » qui peuvent approuver un procédé, une norme
ou un standard technique, dont l’ISO.

[26] Redhat, En
quoi consiste la gestion des risques ?
.

[27] Le règlement est un instrument plus souple que
la loi. Ex. Règlement sur les critères et
exigences d’accréditation
, RLRQ c. A-20.03, r. 3, art. 1 ; Règlement
sur le registre des droits personnels et réels mobiliers
, RLRQ c. CCQ, r. 8, art. 15.3.

Commentaires (0)

L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.

Laisser un commentaire