Cyberdroit

LA PRÉSENTE PUBLICATION SERT STRICTEMENT À DES FINS D’INFORMATION. RIEN DANS CETTE PUBLICATION NE DEVRAIT ÊTRE CONSIDÉRÉ COMME L’AVIS JURIDIQUE D’UN AVOCAT, D’UN COLLABORATEUR À LA RÉDACTION DU PRÉSENT BULLETIN OU DE LA SPIIC. LES LECTEURS DEVRAIENT CONSULTER UN CONSEILLER JURIDIQUE POUR OBTENIR DES CONSEILS SPÉCIFIQUES.

Introduction

Beaucoup d’infirmières utilisent Internet à domicile pour des questions personnelles et au travail pour effectuer des recherches, consulter de l’information et communiquer. Ce nouvel outil de communication est commode, efficient, et nous a ouvert de nombreuses portes, mais pas sans entraîner de risques devant la loi. Il importe de connaître les risques légaux liés à l’utilisation d’Internet et de prendre quelques précautions simples de gestion des risques pour réduire votre responsabilité personnelle éventuelle et celle de votre employeur. Dans cet article, nous abordons trois domaines du cyberdroit.

Crime cybernétique

Le premier domaine est celui du crime cybernétique. On entend par crime cybernétique un groupe important de délits informatiques comme la fraude, la falsification, l’accès non autorisé à des services ou des systèmes informatiques, la copie non autorisée de programmes informatiques, le cyberharcèlement et le sabotage informatique au moyen de vers ou de virus ¹ .

Pourquoi le crime cybernétique devrait?il préoccuper les infirmières? Il peut être une cause de préoccupation pour deux raisons. Il y a d’abord le risque de responsabilité au criminel. Par exemple, l’infirmière qui saboterait intentionnellement un système informatique en propageant un virus informatique pourrait être accusée d’utilisation non autorisée d’ordinateurs en vertu de l’article 342.1 du Code criminel du Canada. Et si la même infirmière agissait volontairement pour détruire, modifier des données et nuire à l’utilisation licite des données informatiques, elle pourrait aussi être accusée de méfait à l’égard des données (art. 430[1.1] Code criminel du Canada). Si elle est reconnue coupable de ces infractions, l’intéressée pourrait avoir un casier judiciaire et être passible d’une peine maximale de 10 ans de prison.

La deuxième préoccupation est d’ordre financier. De tels crimes peuvent coûter cher à des particuliers et des organisations. Par exemple, un des récents virus les plus connus, soit le  » Lovebug « , a été lancé en mai 2000 et il a fait rapidement le tour de la planète. On a calculé qu’il en coûterait plus de 10 milliards de dollars 2 aux entreprises du monde pour réparer les dommages. Il faut prendre la question au sérieux à cause du risque de dommage soit pour votre ordinateur personnel, soit pour le système informatique d’une organisation, que pourrait représenter l’infection par un virus ou la responsabilité relative à la transmission d’un virus. Outre l’utilisation de technologies de sécurité comme les coupe-feu, les logiciels antivirus, les outils de détection d’intrusions et les services d’authentification, beaucoup d’entreprises examinent de près leurs polices d’assurance pour déterminer si elles sont couvertes suffisamment contre les pertes causées par le crime cybernétique et les virus informatiques. Si elles ne le sont pas, certaines d’entre elles achètent l’assurance supplémentaire pour prévenir de tels sinistres éventuels.

Vie privée

Le deuxième aspect a trait à la vie privée. Les médias ont publié de nombreux articles décrivant le cas de cyberterroristes qui ont pénétré des réseaux informatiques confidentiels comme ceux de la Maison Blanche, du Pentagone, du Centre d’études internationales et stratégiques (CEIS) et de banques. Sur le plan personnel, ces événements nous ont sensibilisés davantage à la vulnérabilité de nos renseignements personnels.

Pour contrer ces préoccupations légitimes qui ont trait à la vie privée, le gouvernement fédéral et ceux de certaines provinces ont élaboré de nouvelles mesures législatives sur la vie privée afin de mieux protéger les renseignements personnels des Canadiens, ou en préparent. La nouvelle loi fédérale sur la protection électronique de la vie privée, soit la Loi sur la protection des renseignements personnels et les documents électroniques ³ (LPRPDE), est entrée en vigueur le 2 janvier 2001. Cette mesure législative vise à protéger la vie privée de la personne en établissant des règles fondamentales pour régir la façon dont les entreprises réunissent des dossiers sur support papier et électronique et les partagent. La LPRPDE régira d’abord seulement les organisations du secteur privé qui sont assujetties à une réglementation fédérale comme les banques, les entreprises de télécommunications et de transport, et toute autre entreprise qui divulgue des renseignements personnels en dehors d’une seule province, soit à l’échelon national et international. Le 1er janvier 2004, la mesure législative s’appliquera aux renseignements personnels sur la santé et à tout organisme dans le contexte d’activités commerciales réalisées dans une province ou un territoire, sauf si la province ou le territoire a adopté une mesure législative en grande partie semblable.

Afin de satisfaire à ces nouvelles exigences établies par la loi, des organisations, y compris des hôpitaux, seront tenues d’établir une politique sur la vie privée et des règlements qui régiront l’accès aux renseignements personnels à la fois de l’intérieur et de l’extérieur. Comme infirmières, vous pourrez participer à l’élaboration et à la mise en oeuvre de ces politiques, qui devraient comporter des mesures de protection comme les suivantes, notamment ⁴ :

• Limiter les catégories de renseignements personnels ou les types de dossiers que divers employés ou groupes d’employés peuvent consulter;
• Créer des systèmes de sécurité afin de restreindre l’accès au personnel autorisé seulement;
• Créer des systèmes afin de suivre l’accès aux renseignements personnels et leur divulgation;
• Établir des protocoles pour approuver et consigner des accès  » non routiniers  » et les demandes de renseignements provenant de l’extérieur;
• Établir des mesures de sécurité afin de protéger les renseignements personnels lorsqu’ils sont copiés, transmis électroniquement ou par télécopieur;
• Élaborer des normes afin de maintenir l’exactitude de l’information et de supprimer l’information qui n’est plus nécessaire.?

Abus d’Internet au travail

Le troisième domaine est celui de l’abus d’Internet au travail. Comme infirmières, vous pouvez vous demander comment cela vous concerne. Vu les effectifs actuels, vous être trop occupées pour consulter Internet et encore moins pour l’utiliser pour des raisons personnelles. Même si vos quarts de travail peuvent vous occuper à fond, certaines infirmières trouvent le temps de naviguer sur Internet à des fins personnelles. A quelle fréquence? Un sondage réalisé au Canada par le Groupe Angus Reid Inc. révèle que 34 % des répondants avaient accès à Internet au travail et que 78 % d’entre eux ont déclaré naviguer sur Internet pour des raisons personnelles. Les mêmes employés passent en moyenne huit heures en direct par semaine, dont au moins deux heures pour des raisons personnelles. Les chiffres représentent 26 % de leur temps de navigation sur la toile au travail, ce qui représente au total, par année, 800 millions d’heures de navigation à des fins personnelles ⁵ .

Sans compter que le temps passé sur ces sites pose un problème, le type des sites auxquels les employés ont accès préoccupe aussi les employeurs. Quels types de sites les employés visitent-ils? Un deuxième sondage Angus Reid réalisé aux États-Unis (É.-U.) révèle la répartition suivante des sites visités par les employés américains qui naviguent sur la toile pour des raisons personnelles pendant qu’ils sont au travail : 89 % consultaient des robots de recherche; 75 % vérifiaient les manchettes comme les actualités et les sports; 67 % magasinaient ou vérifiaient des prix en direct sans faire d’achat; 49 % vérifiaient les cotes de la bourse en général ou l’évolution de leurs placements personnels; 45 % achetaient en direct; 22 % jouaient sur la toile; 14 % effectuaient leurs opérations bancaires en direct et 11 % visitaient des sites pour adultes ⁶ .

Ces statistiques ont sensibilité davantage les employeurs à la prévalence de l’utilisation d’Internet pour des raisons personnelles pendant les heures de travail. Inutile de dire que les employeurs sont préoccupés par l’impact de cette utilisation sur la productivité et leur exposition éventuelle à cause du type des sites Web que leurs employés visitent et de l’utilisation qu’ils font de l’information en question. À cet égard, la plupart des organisations établissent des lignes directrices et des politiques sur l’utilisation d’Internet au travail.

Beaucoup d’employés croient que même s’il existe des politiques sur l’utilisation d’Internet, lorsqu’ils visitent des sites Web pour des raisons personnelles pendant les heures de travail, c’est une question personnelle qui ne peut avoir de conséquences devant la loi. Ils se trompent. Au Canada, les tribunaux ont maintenu le droit de l’employeur d’établir des normes sur l’utilisation des ordinateurs et d’imposer des sanctions disciplinaires aux employés qui ont enfreint ces normes. Des employés qui ont enfreint la politique d’un employeur sur l’utilisation d’Internet se sont vu imposer des sanctions disciplinaire par l’employeur et ont même perdu leur emploi.

Dans un cas d’arbitrage ⁷ , par exemple, un thérapeute respiratoire (TR) a été affecté à une unité de soins intensifs (USI) pour adultes entièrement informatisée. Netscape Navigator était un des programmes disponibles sur le système informatique qui permettait d’avoir accès à Internet. Un visiteur a informé le gestionnaire du service infirmier de l’USI que les employés naviguaient sur Internet à des fins personnelles pendant leurs heures de travail. Une enquête a révélé que de nombreux employés non identifiables avaient navigué sur Internet pour des raisons non reliées au travail et avaient visité des sites de pornographie et de violence. On a décidé de mettre fin à l’accès à Internet à l’USI et de contrôler tous les ordinateurs du service qui avaient accès à Internet. On a diffusé au personnel deux notes pour l’informer de la nouvelle politique. Un mois après l’entrée en vigueur de la nouvelle politique, une vérification a révélé qu’une personne inconnue avait accédé à Internet pendant deux soirées consécutives à partir d’une chambre de patient vacante située à un endroit éloigné de l’USI. Une caméra dissimulée par le service de sécurité dans la pièce a révélé que le TR utilisait l’ordinateur. Dans le contexte de l’enquête menée par l’hôpital, on a comparé l’information sur la bande vidéo et les registres d’accès à l’ordinateur et la comparaison a révélé que le TR avait navigué sur Internet pour visiter des sites pornographiques. Comme le TR avait utilisé Internet pour des raisons personnelles et ne l’avait pas avoué pendant l’enquête, l’hôpital a mis fin à son emploi. Le TR a présenté un grief au sujet de son congédiement, mais le tribunal d’arbitrage a maintenu la décision et rejeté le grief.

Conclusion

Afin de limiter certains des risques légaux que pourrait entraîner l’utilisation d’Internet, les organisations de soins de santé devraient envisager d’informer le personnel au sujet des risques légaux découlant de l’utilisation d’Internet, établir des politiques écrites sur l’utilisation d’Internet, la protection de la vie privée et la confidentialité, effectuer des vérifications périodiques, mettre en oeuvre les politiques et se pencher sur l’assurance-responsabilité civile dans le cas des sinistres reliés à l’utilisation d’Internet.

Les bénéficiaires de la SPIIC peuvent communiquer avec la SPIIC au 1-800-267-3390 pour parler avec un conseiller juridique de la SPIIC. Tous les appels sont confidentiels.

1. Ramiall, V. Of viruses and worms: Cybercrime is on the rise, The Lawyer’s Weekly, 17 août 2001.
2. Whaley, F. Data security’s weak links Lovebug illustrates importance of local laws, Corporate Times, décembre 2000, 10(109), 16.
3. R.C.S. 2000, c. 5
4. Latest Developments on Personal Information, INFO EXPRESS, Ogilvy Renault, avril 2000.
5. Ipsos Reid, Communiqué daté du 4 juillet 2000 en ligne.
6. Ipsos Reid, Communiqué daté du 19 mai 2000 en ligne.
7. Calgary Regional Health Authority c. Health Sciences Assn. of Alberta (grief Dickinson ) [1999], A.G.A.A. No. 66 (QUICKLAW).

Remarque : Cet article, paru en avril 2002, est réimprimé avec la permission de la revue Canadian Nurse / L’infirmière canadienne.

N.B.: Dans ce bulletin, le genre féminin englobe le masculin, et inversement, quand le contexte s’y prête.

LA PRÉSENTE PUBLICATION SERT STRICTEMENT À DES FINS D’INFORMATION. RIEN DANS CETTE PUBLICATION NE DEVRAIT ÊTRE CONSIDÉRÉ COMME L’AVIS JURIDIQUE D’UN AVOCAT, D’UN COLLABORATEUR À LA RÉDACTION DU PRÉSENT BULLETIN OU DE LA SPIIC. LES LECTEURS DEVRAIENT CONSULTER UN CONSEILLER JURIDIQUE POUR OBTENIR DES CONSEILS SPÉCIFIQUES.