Au Canada, de nombreux consultants fournissent d’excellents services à leurs clients sans rencontrer de difficultés. Cependant, lorsqu’elles surgissent, ces difficultés peuvent engendrer de graves problèmes aussi bien pour le client que pour le consultant, dont la responsabilité pourrait être engagée malgré tous les efforts mis en œuvre pour respecter les normes de meilleures pratiques du secteur concerné. Par conséquent, il est crucial pour ces professionnels de souscrire le bon type d’assurance responsabilité.
Un prestataire de soins de santé d’Edmonton a récemment été condamné à verser plusieurs centaines de milliers de dollars afin de dédommager des milliers de patients dont les renseignements personnels ont été divulgués à la suite d’une faille de sécurité, d’après un article du Edmonton Journal. Au total, les entreprises et les personnes poursuivies (Medicentres Canada inc., AbleIT inc. et d’autres parties prenantes) devront débourser 725 000 $, tandis que la plainte initiale réclamait 11 millions $.
« Nous espérons que cette affaire servira d’exemple aux entreprises canadiennes et leur rappellera qu’elles doivent être plus vigilantes avec les données personnelles de leurs clients, » a déclaré l’avocat qui a mené le recours collectif, Clint Docken, au journal.
Les faits
En septembre 2013, un ordinateur portable contenant les noms, dates de naissance, numéros de carte-santé et codes de diagnostic de l’Alberta de 620 000 personnes ayant visité une clinique Medicentre à Edmonton ou Calgary au cours d’une période de près de deux ans et demi a été volé dans un établissement d’Edmonton, d’après l’article. Ces informations étaient stockées, non cryptées, sur l’ordinateur d’un consultant informatique.
La poursuite judiciaire faisait état de différents types de plaignants potentiels. D’une part ceux qui ont souffert de détresse psychologique résultant du vol et ont dû recevoir un traitement médical; d’autre part, ceux qui avaient peur d’être victimes d’usurpation d’identité; et enfin, ceux qui pouvaient effectivement prouver que leur identité avait été usurpée.
Un accord a été trouvé, mais il n’est pas encore définitif. Une audience aura lieu en juillet pour déterminer si la décision est équitable pour tous les plaignants.
Les leçons à tirer
Bien sûr, le consultant n’avait aucunement l’intention de se faire voler l’ordinateur, mais l’incident s’est bel et bien produit. Par conséquent, le règlement peut être considéré comme une leçon sur l’importance de correctement protéger les données sensibles et de suivre les bonnes pratiques de la profession (ex. le cryptage de toutes les données sensibles) pour toutes les situations auxquelles un consultant peut être exposé.
Néanmoins, même lorsque celles-ci sont appliquées, les choses peuvent mal tourner et la responsabilité des consultants peut être exposée. Une couverture adéquate permet dans ce cas à un consultant de se protéger contre les conséquences financières de ces risques et s’avérer extrêmement bénéfique pour éviter d’importants coûts associés à la responsabilité, lesquels pourraient compromettre la viabilité même de son activité.
« Une organisation qui recherche un consultant pour effectuer un travail en son nom doit être consciente qu’elle peut être tenue responsable des actions de celui-ci, » précise le directeur national Assurance des entreprises d’APRIL Canada, Kent Pitkin. « Il peut d’ailleurs s’agir de dommages couverts par une “cyber assurance” si le travail que le consultant doit effectuer concerne des renseignements personnels. Une fois conscient de ce risque, il est très important de contracter la police adéquate. La divulgation de renseignements personnels représente un risque croissant et les organisations doivent le prendre en compte lorsqu’elles évaluent leur exposition aux différentes menaces. »