Tôt ou tard, la plupart des employeurs qui remettent à leurs employés des ordinateurs ou des appareils électroniques pour qu'ils accèdent aux données de l'entreprise et utilisent ce matériel1 seront confrontés à des situations où ils soupçonneront que des employés ou des ex-employés ont copié, transféré ou détruit des renseignements qui appartiennent à l'entreprise, sans avoir été autorisés à le faire.

Le texte qui suit est la première partie d'une série de quatre dans laquelle nous discuterons de cet enjeu du point de vue pratique et juridique. Lorsqu'un employeur estime qu'un employé a peut-être copié, transféré ou supprimé des renseignements qui appartiennent à l'entreprise, il devrait se concentrer sur deux objectifs : protéger la confidentialité des renseignements en question et obtenir la preuve de cet acte illicite.

Dans cette première partie, nous donnerons quelques conseils pratiques sur ce qu'un employeur devrait faire lorsqu'il soupçonne qu'un employé ou un ex-employé a illicitement copié, transféré ou supprimé des renseignements qui appartiennent à l'entreprise. Il s'agit des choses à faire et à ne pas faire dans les premières minutes et heures cruciales qui suivent la découverte de l'acte illicite présumé.

Dans la deuxième partie, nous examinerons les critères juridiques qui régissent le droit d'un employeur de consulter et d'analyser des données (par ex. des courriels, des documents, des enregistrements, des vidéos et des métadonnées) qui se trouvent dans l'ordinateur ou un appareil électronique qu'utilise cet employé au travail. Dans la troisième partie, nous offrirons des conseils pratiques qui concernent le recours aux services d'un expert en informatique judiciaire. Enfin, dans la quatrième et dernière partie, nous passerons en revue certaines mesures qu'un employeur peut prendre pour protéger les renseignements confidentiels qui lui appartiennent et qui sont accessibles au moyen d'un ordinateur ou d'un appareil électronique.

Première partie : Il semble avoir tout copié, qu'allons-nous faire?

Dans un certain nombre de circonstances, un employeur peut avoir raison de soupçonner qu'un employé a illicitement copié, transféré ou supprimé des renseignements qui appartiennent à l'entreprise. Voici quelques exemples courants :

  • un employé consulte régulièrement des données qui n'ont rien à voir avec ses fonctions;
  • au travail, un employé utilise des supports de stockage externe (comme des clés USB et des disques durs externes) avec son ordinateur;
  • à partir de son adresse courriel du bureau, un employé envoie régulièrement des courriels à une adresse courriel personnelle ou utilise cette dernière pour la plus grande partie des communications liées au travail;
  • Après que son emploi a pris fin, un ex-employé ne rend pas un ordinateur ou un appareil électronique, ou prend beaucoup de temps à le faire.

Quand une situation de cette nature se présente, l'employeur doit faire preuve d'une très grande prudence afin de protéger les renseignements confidentiels qui lui appartiennent et obtenir la preuve de l'acte illicite.

Afin de protéger les renseignements confidentiels qui lui appartiennent, l'employeur devrait songer à prendre l'une ou l'autre des mesures suivantes :

  • restreindre, en totalité ou en partie, l'accès qu'a l'employé aux renseignements confidentiels de l'employeur au moyen des systèmes informatiques de l'entreprise;
  • demander à l'employé de lui remettre tous les dispositifs de stockage externe qui ont été connectés à l'ordinateur ou à un appareil électronique qu'il utilise au bureau;
  • demander à l'employé de lui remettre l'ordinateur ou l'appareil électronique qu'il utilise au bureau et remettre à l'employé un ordinateur et des appareils de rechange;

Évidemment, en demandant à un employé de lui remettre certains appareils, l'employeur indiquera à l'intéressé que sa conduite le préoccupe. Par conséquent, ces mesures ne devraient être prises qu'en dernier ressort afin d'empêcher la divulgation imminente de renseignements confidentiels appartenant à l'entreprise.

Dans les cas où le risque de divulgation imminente est faible ou lorsque l'employeur ne sait pas vraiment si l'employé a commis ou non des gestes illicites, on peut prendre certaines mesures pour surveiller comment l'employé utilise son ordinateur ou ses appareils électroniques au travail. Nous discuterons de façon plus détaillée de ces mesures dans la partie deux de cette série d'articles.

Toutefois, lorsque l'employeur a en fait pris possession de l'ordinateur ou des appareils électroniques que l'employé utilise au travail, nous recommandons de faire ce qui suit :

  • éteindre l'ordinateur ou l'appareil électronique et le garder sous clé dans un endroit sûr;
  • sachez que le simple fait d'allumer un ordinateur ou un appareil électronique peut modifier les données stockées sur le dispositif, ce qui, à son tour, peut compromettre la preuve qui se trouve sur l'ordinateur ou l'appareil. Par conséquent, les données stockées sur l'ordinateur ou l'appareil électronique d'un employé ne devraient pas être manipulées par des employés de l'entreprise, y compris ceux des TI, peu importe leur connaissance des ordinateurs, des logiciels et des appareils électroniques. Seule exception à cette recommandation : le cas où l'employé de l'entreprise qui a accès aux données qui se trouvent sur l'ordinateur ou l'appareil en question est formé en informatique judiciaire et dispose du matériel et des logiciels appropriés pour accéder aux données sans les compromettre;
  • conserver un rapport des détenteurs successifs de l'ordinateur ou de l'appareil utilisé par l'employé au travail, qui précise quand et à quel endroit l'employé a remis l'ordinateur ou l'appareil, à qui il les a remis et où ces biens ont été conservés. Le rapport devrait être mis à jour chaque fois que l'ordinateur ou l'appareil change de main, et ce, jusqu'à ce qu'il soit remis à un expert en informatique judiciaire;
  • dans le cas où l'employeur décide qu'il veut accéder aux données qui se trouvent sur l'ordinateur ou l'appareil qu'utilise un employé au travail, le dispositif en question devrait être envoyé à un expert en informatique judiciaire pour que les données soient récupérées et traitées de manière qu'on puisse obtenir et conserver tous les éléments de preuve.