Des cas de vol ou perte de renseignements personnels semblent être rapportés de plus en plus fréquemment dans les médias et nous assistons parallèlement à l’émergence des recours collectifs concernant des atteintes à la vie privée au Canada. Il suffit de penser aux détaillants Target et Home Depot qui ont chacun eu à dépenser des centaines de millions de dollars après des vols de données bancaires de leurs clients.
Quiconque est familier avec les bases de données maintenues pour les régimes de retraite peut facilement concevoir que les administrateurs de ces régimes sont tout aussi susceptibles d’être victimes de vols de renseignements personnels ou encore de les perdre ou de les communiquer par erreur à des tiers.
Les administrateurs conservent de nombreux renseignements hautement confidentiels sur chaque participant pendant plusieurs décennies. Ces informations incluent des numéros d’assurance sociale, des adresses, des dates de naissance et des coordonnées bancaires. Cette mine de renseignements représente une cible attrayante qui est souvent sous-protégée et facilement exploitable. Ces données, une fois perdues, volées ou communiquées par erreur, peuvent être utilisées par des criminels afin de commettre des fraudes comme le vol d’identité.
Mais les administrateurs de régimes de retraite sont-ils conscients de leurs responsabilités en matière de protection des renseignements personnels ?
Un administrateur doit d’abord déterminer s’il est assujetti à une loi lui imposant des obligations spécifiques comme la Loi sur la protection des renseignements personnels dans le secteur privé au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques au niveau fédéral. Ces lois obligent notamment les détenteurs de renseignements personnels à prendre des mesures de sécurité appropriées pour protéger ces renseignements.
L’administrateur est de plus un fiduciaire qui est tenu d’agir prudemment et de remplir ses fonctions dans l’intérêt des participants et bénéficiaires du régime. Il est difficile de conclure que le fiduciaire d’un régime qui ne prend pas des précautions appropriées en matière de protection des renseignements personnels a rempli ses obligations fiduciaires.
Il faut toutefois noter qu’un vol, une perte ou une communication par erreur de renseignements personnels ne constitue pas nécessairement un manquement aux obligations fiduciaires. Comme en matière de placement, l’administrateur sera jugé en fonction non pas du résultat, mais plutôt des procédures suivies et des mesures adoptées pour éviter la divulgation non autorisée des renseignements.
Le fiduciaire qui a fait des efforts pour assurer la protection des renseignements devrait être en mesure de se défendre dans le cadre d’une poursuite ou d’une enquête réglementaire. La question devient alors de savoir quelles sont les mesures appropriées que l’administrateur doit adopter afin de remplir ses obligations.
La réponse à cette question varie d’un administrateur à l’autre, mais chacun devrait élaborer un programme de protection des renseignements personnels qui couvre au moins les aspects mentionnés ci-dessous :
1. Inventaire des renseignements personnels
Il est important pour un administrateur de comprendre les types d’informations qu’il recueille et leurs conditions de conservation. Chaque administrateur devrait donc identifier périodiquement les renseignements qu’il détient, où et comment ceux-ci sont conservés et qui peut y avoir accès. Cet exercice devrait notamment permettre à l’administrateur d’identifier les vulnérabilités dans sa gestion des renseignements.
2. Politiques de protection des renseignements personnels
L’administrateur devrait ensuite élaborer ou mettre à jour ses politiques internes pour documenter les pratiques qu’il compte suivre pour protéger les renseignements. Ces politiques devraient documenter les mesures de sécurité physiques (ex. classeurs verrouillés, restriction de l’accès aux bureaux, système d’alarme), technologiques (ex. mots de passe, chiffrement des données, pare-feu) et administratives (ex. accès aux renseignements réservé aux personnes autorisées, formation des employés) que l’administrateur a mises en place pour contrôler l’accès et la communication des renseignements.
3. Gestion des fournisseurs de services
Comme l’administrateur perd le contrôle sur les renseignements une fois qu’ils ont été transmis à un administrateur externe, actuaire, consultant, etc., l’administrateur doit prendre des mesures raisonnables pour s’assurer que ce tiers dispose de mesures de sécurité appropriées. En plus de sa vérification diligente, l’administrateur devrait négocier des dispositions contractuelles qui définissent ses attentes en matière de protection des renseignements, de sous-traitance, de notification et de réponse en cas d’atteinte à la vie privée.
4. Plan de surveillance
L’administrateur devrait finalement désigner une ou des personnes qui devront s’assurer de la mise en œuvre des mesures de sécurité et de leur évaluation et révision continue.
Les cas d’atteinte à la vie privée sont malheureusement ici pour rester et prendront probablement encore plus d’ampleur au cours des prochaines années. Il ne serait d’ailleurs pas surprenant que la prochaine action collective importante dans le domaine des régimes de retraite concerne une atteinte à la vie privée. Nous ne pouvons donc qu’encourager les administrateurs à être proactifs et à s’assurer qu’ils ont mis en place des mesures adéquates pour minimiser les risques associés à la gestion de renseignements personnels.
Julien Ranger est associé, Régimes de retraite et avantages sociaux chez Osler.