Les prĂ©occupations quant Ă la protection des renseignements personnels et Ă la confidentialitĂ© ont fait couler beaucoup d’encre en avril après l’Ă©norme fuite de donnĂ©es de Mossack Fonseca, un cabinet juridique basĂ© au Panama. Le vol de millions de ses documents confidentiels a conduit Ă la rĂ©vĂ©lation du nom des clients du cabinet et du fait qu’ils utilisent des sociĂ©tĂ©s fictives Ă l’Ă©tranger et de paradis fiscaux.
L’associĂ© fondateur, Roman Fonseca, a dĂ©clarĂ© Ă l’agence Reuters que le cabinet avait Ă©liminĂ© l’hypothèse d’une fuite Ă©manant d’une personne travaillant au sein du cabinet. « Il ne s’agit pas d’une fuite. Il s’agit d’un piratage », a-t-il dĂ©clarĂ©. Cependant, que les documents aient Ă©tĂ© rĂ©vĂ©lĂ©s de l’intĂ©rieur ou piratĂ©s de l’extĂ©rieur, la question demeure la mĂŞme : quel est le prochain cabinet sur la liste?
« Les cabinets juridiques sont des cibles allĂ©chantes et recherchĂ©es », a affirmĂ© Dan Pinnington, vice-prĂ©sident, PrĂ©vention des rĂ©clamations et Relations avec les intervenants, chez Lawyers’ Professional Indemnity Company Ă Toronto. « Nous possĂ©dons une multitude de renseignements secrets et confidentiels, les sommes dans les comptes en fiducie et les comptes bancaires sont souvent très Ă©levĂ©es et, Ă l’Ă©gard d’un grand nombre de nos clients, particulièrement les grandes institutions ou les grandes sociĂ©tĂ©s clientes, nous tendons Ă avoir une sĂ©curitĂ© plus laxiste. Les pirates nous ciblent particulièrement. »
Selon un article de Bloomberg de 2015, plus de 80 p. 100 des cabinets juridiques amĂ©ricains ont Ă©tĂ© victimes d’une forme de violation de leur confidentialitĂ© ou d’une autre. Et les pirates vont de certains gouvernements Ă©trangers aux Ă©lèves du secondaire, en passant par les cyberactivistes, les membres du crime organisĂ© ou les petits truands, pour n’en nommer que quelques-uns; tous tentant leur chance d’accès aux dossiers juridiques.
L’affaire des documents du Panama a enseignĂ© une leçon très terre-Ă -terre aux cabinets juridiques, a dĂ©clarĂ© Dan Pinnington. Il conseille aux associĂ©s directeurs d’examiner sans complaisance leur sĂ©curitĂ© et de faire une Ă©valuation. Cependant, il faut du temps, des efforts et de l’argent pour s’assurer qu’un système offre toute la sĂ©curitĂ© voulue. La plupart des cabinets juridiques ont besoin de l’assistance d’experts, souvent extĂ©rieurs au cabinet. Les cabinets de taille moyenne ou plus restreinte ne disposent pas des mĂŞmes ressources que les grandes entreprises ou les institutions financières pour engager du personnel spĂ©cialisĂ© en TI et en sĂ©curitĂ©, a-t-il dit, et « ils ne consacrent pas le temps nĂ©cessaire pour s’assurer que leurs systèmes sont inviolables et Ă jour. »
Le piratage est gĂ©nĂ©ralement effectuĂ© au moyen de logiciels malveillants, a ajoutĂ© M. Pinnington. Il existe toutes sortes de logiciels malveillants, y compris ceux qui ouvrent une porte dissimulĂ©e dans le système et les enregistreurs de frappe qui captent les coordonnĂ©es d’accès et mots de passe. Dans le cas des rançongiciels (ransomware), les donnĂ©es sont chiffrĂ©es et les pirates exigent de la cryptomonnaie (bitcoins) en Ă©change d’une clĂ© de dĂ©chiffrement permettant de rĂ©cupĂ©rer les fichiers volĂ©s. Malheureusement, « il n’y a pas de remède miracle ou de panacĂ©e qui arrangera tout pour vous », a-t-il dit.
Voici cependant quelques moyens pour réduire les risques :
Choisissez un meilleur mot de passe
Les mots de passe sont souvent le maillon le plus faible de la chaine de protection des donnĂ©es. Trouvez-en un qui ne soit ni court, ni un mot Ă©vident ou commun, conseille Dan Pinnington. « Le mieux, c’est de crĂ©er un mot de passe unique, complexe et alĂ©atoire pour chacun des services que vous utilisez. »
ConsidĂ©rez l’infonuagique des deux points de vue
Dan Pinnington a rencontrĂ© de nombreux juristes extrĂŞmement prĂ©occupĂ©s par le volet sĂ©curitĂ© de l’entreposage des renseignements d’un cabinet dans le nuage. Cependant, il pense que c’est devenu plus acceptable en tant qu’option pratique et sĂ©curitaire du point de vue technique. Toutefois, il prĂ©vient que le fait de confier les donnĂ©es des clients ou du cabinet Ă des tiers soulève notamment les questions de la sĂ©curitĂ©, de la protection des renseignements personnels, de la conformitĂ© Ă la loi et de la gestion du risque. Faites preuve de diligence et envisagez tous les risques et avantages avant de transfĂ©rer les donnĂ©es de votre cabinet dans le nuage.
Désignez une personne chargée de la protection des renseignements personnels
Les juristes non seulement doivent se prĂ©occuper des menaces extĂ©rieures, mais aussi de la protection des renseignements personnels et de la confidentialitĂ© Ă l’interne. DĂ©signez une personne chargĂ©e de la protection des renseignements personnels, comprenez les obligations lĂ©gales imposĂ©es par la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques et mettez en place les politiques appropriĂ©es pour rĂ©gir la protection des renseignements personnels. Enseignez les dangers aux juristes et aux employĂ©s et mettez en place les politiques sur l’utilisation de la technologie qui fixent les règles.
Créez et diffusez une politique écrite sur la protection des renseignements personnels
Elle « devrait ĂŞtre accessible sur le site intranet du cabinet ou dans le format utilisĂ© pour communiquer les politiques », dĂ©clare Lindsay Wasser, coprĂ©sidente des groupes sur la protection des renseignements personnels et la cybersĂ©curitĂ© chez McMillan LLP, Ă Toronto. La politique devrait ĂŞtre portĂ©e Ă l’attention des nouveaux employĂ©s en particulier.
AVEC ne devrait pas signifier « apportez votre Ă©quipement personnel gĂ©nĂ©rateur de catastrophes »
Selon la tendance appelĂ©e « Apportez votre Ă©quipement personnel de communication » (AVEC), les juristes et le personnel sont autorisĂ©s Ă travailler Ă distance. Cela crĂ©e cependant des risques de perte, de vol ou d’ingĂ©rence de logiciels malveillants.
Maintes organisations utilisent des appareils qu’elles fournissent et dont l’utilisation Ă titre personnel est limitĂ©e. Si les appareils personnels sont autorisĂ©s, les cabinets peuvent mettre en place un logiciel pour cloisonner les renseignements, sĂ©parant ceux qui sont personnels de ceux qui appartiennent Ă la sociĂ©tĂ©. Un mot de passe distinct peut ĂŞtre utilisĂ© pour accĂ©der au registre « travail » et les paramètres technologiques de sĂ©curitĂ© le concernant seront « plus Ă©levĂ©s que ceux applicables aux renseignements personnels en ce qui a trait Ă l’interdiction de l’accès pour le tĂ©lĂ©chargement d’applications alĂ©atoires qui pourraient contenir des virus ou des logiciels malveillants », a dĂ©clarĂ© Lindsay Wasser.
Clauses de confidentialité
Les exigences contractuelles peuvent aider Ă Ă©viter des fuites de renseignements. Les contrats passĂ©s par de nombreux cabinets avec leurs employĂ©s comportent une clause qui stipule expressĂ©ment que ces derniers sont tenus de protĂ©ger le caractère confidentiel et la sĂ©curitĂ© des renseignements personnels conformĂ©ment au droit applicable ou qu’ils devront se conformer aux politiques du cabinet concernant la protection des renseignements personnels, ou les deux.
Le droit connexe aux obligations en matière de protection des renseignements personnels se dĂ©veloppe rapidement », a dĂ©clarĂ© Lindsay Wasser. « Depuis cinq ans, les tribunaux de l’Ontario ont reconnu deux dĂ©lits connexes Ă la protection des renseignements personnels : l’intrusion dans l’intimitĂ© et la divulgation publique de faits privĂ©s, et, mĂŞme en l’absence de ces causes d’action, les avocats des plaignants se fondent sur des motifs tels que la violation de contrat, la nĂ©gligence, la contravention Ă la loi, etc. »
Faites quelque chose
Les recours collectifs sont de plus en plus communs pour les violations de la vie privĂ©e et l’utilisation des renseignements personnels Ă mauvais escient, a dĂ©clarĂ© Mme Wasser. « Et c’est lĂ qu’il existe un risque considĂ©rable de responsabilitĂ©. » Faites tout votre possible pour protĂ©ger la confidentialitĂ© des renseignements personnels de votre cabinet, a-t-elle conseillĂ©. Ă€ tout le moins, faites quelque chose « pour montrer que vous saviez qu’il y avait un problème et que vous avez tentĂ© de vous assurer que vos employĂ©s et vos associĂ©s le connaissent et font de leur mieux. Si vous ne faites rien, advenant une violation, vous aurez du mal Ă prouver que vous aviez fait le nĂ©cessaire dans la mesure raisonnable dans les circonstances afin de protĂ©ger les renseignements. »
Offrez une formation Ă chacun et Ă chacune
« Dans un petit cabinet juridique, mĂŞme juste une rĂ©union visant Ă assurer que les employĂ©s connaissent les obligations et les possibles consĂ©quences d’un non-respect, quelque chose pour vous acquitter de vos obligations en tant qu’organisation pour veiller Ă ce que vos employĂ©s ou vos associĂ©s respectent leurs obligations, constitue une pratique exemplaire », a affirmĂ© Lindsay Wasser.
Elle conseille aux associĂ©s directeurs « de ne pas supposer que pour la simple raison que vous traitez avec des juristes, ils savent ce qu’ils sont censĂ©s faire. »
Ann Macaulay est une rédactrice de Toronto.