Le conseil de discipline du Collège des médecins du Québec a rendu deux décisions importantes concernant la responsabilité des professionnels et professionnelles en matière de protection des renseignements personnels. Quelles leçons peuvent en tirer les architectes?
Quel est le seuil minimal de responsabilité des médecins sur le plan de la protection des renseignements personnels de leurs patients et patientes? C’est sur ce point qu’a tranché le conseil de discipline du Collège des médecins dans une décision sur culpabilité1 en octobre 2023, suivie d’une décision sur sanction2 en avril 2024. Ces décisions, même si elles portent sur le domaine de la santé, sont riches d’enseignements pour les architectes qui manipulent également des données sensibles dans l’exercice de leur profession, notamment lors de projets d’envergure impliquant des informations confidentielles sur leur clientèle ou des collaborateurs et collaboratrices (articles 42 et 46 du Code de déontologie des architectes).
Ces deux décisions clarifient que la méconnaissance du fonctionnement de l’infonuagique (communément appelée cloud computing) ne décharge pas le milieu professionnel de sa responsabilité quant au respect des obligations de confidentialité et de sécurité des données.
Dans le cas traité dans le cadre de ces décisions, une médecin avait sauvegardé des fichiers de nature confidentielle sur une plateforme infonuagique personnelle partagée avec un tiers, à savoir son conjoint de l’époque, ce qui a mené à une violation du droit à la confidentialité de ses patients et patientes. Cette situation a mis en lumière l’importance d’un contrôle strict des accès aux plateformes numériques dans lesquelles des informations confidentielles sont stockées.
Cette affaire illustre la nécessité pour les architectes de se conformer à la déontologie et aux bonnes pratiques en matière de confidentialité lors de la sauvegarde de documents, de données de projets ou d’informations sensibles dans le nuage ou dans d’autres espaces technologiques, incluant les outils collaboratifs de gestion de chantier et de projet. Bien que ces outils facilitent la transmission et la collaboration, les risques pour la confidentialité et la sécurité des données sont réels si les accès ne sont pas rigoureusement contrôlés.
Voici quelques éléments clés se retrouvant dans les deux décisions citées plus tôt qui peuvent également s’appliquer aux architectes :
- Gravité de la faute : la protection des renseignements personnels de la clientèle est non seulement régie par le Code de déontologie des architectes, mais c’est aussi un droit fondamental, protégé par la Charte des droits et libertés de la personne et diverses lois. Les architectes, en raison de la nature de leur profession, se doivent de respecter ces normes de confidentialité.
- Durée de l’infraction : dans le cas mentionné dans les décisions du conseil de discipline du Collège des médecins du Québec, la négligence de la professionnelle s’est étendue sur neuf ans. Il est donc important que les architectes assurent un suivi constant et une mise à jour régulière de leurs pratiques et technologies pour rester conformes aux normes.
- Connaissance des risques : dans le cas cité dans les décisions, la professionnelle savait que son conjoint de l’époque avait accès aux données. Les architectes doivent s’assurer que seules les personnes autorisées ont accès aux informations sensibles de chaque projet (article 42 du Code de déontologie des architectes).
- Responsabilisation et divulgation : dans ce dossier, la médecin a autodivulgué plusieurs manquements concernant la confidentialité des renseignements médicaux de sa patientèle. Les architectes devraient également adopter une démarche proactive en signalant toute violation ou faille de sécurité aux autorités compétentes et à leur clientèle.
Le conseil de discipline du Collège des médecins a rappelé que la bonne foi, l’ignorance technologique ou l’autodénonciation n’excusent pas celui ou celle qui néglige ses obligations de confidentialité.
Obligation de diligence technologique
Les décisions mentionnées dans cet article soulignent l’importance de la connaissance et du contrôle des technologies utilisées pour assurer la protection des données. Pour les architectes, cela suppose de bien comprendre les plateformes infonuagiques ou autres outils numériques, d’en restreindre l’accès aux personnes autorisées uniquement et de s’assurer que ces plateformes respectent les normes de sécurité et de confidentialité applicables.
Ces décisions mettent en lumière l’obligation accrue pour les architectes d’intégrer des pratiques exemplaires en matière de sécurité et de protection des renseignements personnels dans l’exercice de leur profession.
1 Médecins (Ordre professionnel des) c. Bourque, 2023 QCCDMD 30 CanLII.
2 Médecins (Ordre professionnel des) c. Bourque, 2024 QCCDMD 6 CanLII.
Pour obtenir plus d’information sur le sujet, consultez l’article « Secret professionnel et confidentialité : 4 principes à appliquer » (Esquisses, printemps 2024).
Le présent article a été rédigé à la suite de la lecture du texte de Langlois Avocats Un professionnel demeure personnellement imputable en cas de partage des renseignements personnels de ses patients malgré sa bonne foi sur langlois.ca.