Avoir accès à de l’information confidentielle est un privilège
Mis à jour le 1er mai 2024.
En tant que CPA, vous avez souvent accès à l’information hautement confidentielle et sensible de vos clients, incluant leurs renseignements personnels. Vous devez donc protéger cette information et l’utiliser seulement aux fins auxquelles elle vous a été confiée. Vous devez aussi vous assurer que les personnes sous votre responsabilité respectent le caractère confidentiel de toute information reçue et prendre les mesures adéquates pour les protéger.
Vos obligations ne se limitent pas exclusivement à la préparation d’états financiers ou de documents de comptabilité. Le CPA est tenu au secret professionnel dans l’exécution d’un mandat de préparation de déclaration fiscale, d’évaluation d’entreprise ou dans tout autre mandat qui lui est confié. La portée du secret professionnel s’étend à tous les échanges, quels que soient le support ou la forme que prennent ceux-ci : conseils que le CPA fournit à son client, conversations téléphoniques, textos, courriels, etc. Même l’identité des clients, ou toute information permettant de les identifier, est couvert par le secret professionnel.
Le devoir de confidentialité s’applique en toutes circonstances, que ce soit avec une société, un particulier, un membre de la famille ou un ancien client. En effet, il est possible que vous ayez encore accès à certaines informations même lorsque votre relation est terminée. Vous ne pouvez pas profiter de cet accès afin d’utiliser ces informations à des fins autres sans l’autorisation de votre client ou d’exception prévue à la loi. La levée du secret professionnel est toujours limitée aux renseignements que vous êtes autorisé à divulguer.
De plus, le CPA doit faire preuve de discrétion. Il a une obligation de confidentialité même s’il a eu connaissance de ces informations en dehors de l’exercice de la profession.
loi sur la protection des renseignements personnels
De plus, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) vient renforcer les mesures, les pouvoirs de la Commission de l’accès à l’information (CAI) et les sanctions prévues aux lois sur la protection des renseignements personnels. Certaines de ces mesures sont en vigueur depuis le 22 septembre 2022. Pour en savoir plus sur les obligations découlant de la Loi 25, incluant celles en matière d’incidents de sécurité et d’accès à l’information, nous vous invitons à consulter l’Espace Évolutif de la CAI qui y est entièrement consacré. Des formations sont aussi données sur le sujet, notamment par le Conseil interprofessionnel du Québec.
Mises en situations
1. Protection de l'information
Vous envoyez les déclarations de revenus de vos clients qui sont des particuliers par courriel. Par mégarde, la personne responsable de procéder à l’envoi dans votre équipe se trompe dans l’adresse courriel d’un client. Elle envoie donc les déclarations de revenus de ce client à une adresse erronée. Lorsqu’elle s’en rend compte, elle retourne les déclarations de revenus à la bonne adresse courriel sans prendre de mesures supplémentaires.
Le secret professionnel a été enfreint en envoyant des informations hautement confidentielles, tel que le numéro d’assurance sociale, à une autre personne. Un problème de diligence a également été soulevé, car aucune mesure n’a été prise afin de s’assurer que la bonne adresse courriel a été utilisée ou encore de protéger l’information envoyée (ex. : mot de passe sur le document PDF ou encore portail client). De plus, lorsque l’erreur a été découverte, aucune mesure n’a été prise pour que l’information envoyée au mauvais destinataire soit détruite par ce dernier1.
Par ailleurs, comme il s’agit d’un incident de confidentialité au sens de la Loi 25, des mesures raisonnables auraient dû être prises pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent (ex. : faire un suivi pour la destruction, évaluer les risques de préjudice, aviser les clients concernés, aviser la CAI le cas échéant, etc.). L’incident aurait aussi dû être inscrit dans un registre.
2. Accès à l'information
Vous faites la déclaration de revenus de votre beau-frère depuis plusieurs années, et ce, bénévolement. Ce dernier se sépare de votre sœur et vous cessez alors de produire sa déclaration de revenus. Lors des procédures de divorce, votre sœur soupçonne son ancien conjoint de cacher certains revenus à la Cour, elle vous demande alors de vérifier pour elle. Ayant encore accès au dossier de votre ancien beau-frère sur le site de l’Agence de revenu du Canada, vous pourriez être tenté de rendre ce service à votre sœur afin de rétablir la situation.
Si vous cédez à la tentation, vous dérogerez à l’article 42 du Code de déontologie. Même si vous y avez encore accès, votre ancien beau-frère n’est plus votre client et vous n’avez pas son autorisation à cette fin. De plus, vos accès n’étaient certainement pas destinés à la situation pour laquelle votre sœur vous demande de les utiliser.
Conclusion
En résumé, l’information qui vous est confiée dans le cadre de vos différents mandats doit être protégée avec le plus grand soin et utilisée uniquement aux fins auxquelles elle était destinée.
____________________________
1 2021 QQDCPA 40 (CanLII)