Dipna, chercheuse universitaire, se voit confier la responsabilité de parrainer trois étudiants de doctorat à son université. Afin de faciliter l'horaire de travail des étudiants, elle leur accorde un accès 24 heures sur 24, 7 jours sur 7, au bâtiment de recherche et au laboratoire. Dipna retourne au travail tard un soir et observe une étudiante dans le laboratoire, occupée à parcourir des données et des notes de recherche non liées au projet sur lequel l'étudiante travaille. Un autre membre de l'équipe avait laissé les renseignements sans protection. Dipna n'a pas interpellé l'étudiante sur le moment même.
Risques pour Dipna et l'établissement
Il est possible que l'étudiante agisse de bonne foi et qu'elle consulte les documents d'un collègue introuvable, afin d'éclairer de façon légitime la recherche de l'équipe.
Il est également possible que l'étudiante soit une initiée, cherchant à acquérir des données ou des connaissances à d'autres fins, y compris un gain personnel ou commercial. Par ailleurs, il est possible que l'étudiante soit une agente d'un état étranger, recrutée de gré ou de force. Elle peut également avoir agi ainsi pour tester les limites de la sécurité du laboratoire, découvrir le genre de renseignements qu'elle peut recueillir, et déterminer si ces renseignements ont une valeur dont elle pourrait tirer un gain personnel.
Conséquences possibles pour Dipna
Si les renseignements sont sensibles ou confidentiels, Dipna et son équipe de recherche courent le risque de perdre tout gain potentiel personnel, professionnel, économique ou commercial qu'ils pourraient tirer de leurs recherches. Une telle situation entacherait aussi la réputation de Dipna et celle de son équipe et aurait des répercussions néfastes sur la carrière de toutes les personnes touchées. Si les renseignements renferment des données personnelles ou des données sur les patients, une telle situation est susceptible d'entraîner une atteinte grave à la vie privée.
Si des renseignements confidentiels provenant d'un tiers sont impliqués, l'entente de collaboration ou de financement est en péril.
Répercussions possibles sur l'établissement
Si le détournement de renseignements sensibles par l'étudiante est porté à la connaissance du public, l'université risque de faire face à une crise de confiance vis-à-vis de ses intervenants, notamment les entreprises du secteur privé et d'autres collaborateurs.
Si des renseignements classifiés ou liés à des marchandises contrôlées sont compromis, l'université risque d'affronter des mesures d'application de la loi imposées par le gouvernement du Canada.
Pratiques exemplaires
- L'ensemble des données et des renseignements de recherche doivent être correctement classifiés, et toutes les mesures de protection correspondantes, y compris celles régissant leur échange, leur divulgation et leur stockage, doivent être définies et surveillées. Les membres de l'équipe doivent être mis au courant de toutes les restrictions et de toutes les exigences liées au projet de recherche et au produit du travail connexe. L'adoption d'un cadre de surveillance, qui prévoit un processus de détection d'atteintes potentielles, est recommandée.
- L'accès à des pièces classifiées, protégées ou opérationnelles de nature confidentielle (y compris des documents, des cahiers de laboratoire, des logiciels, des biens physiques, des échantillons, etc.) doit faire l'objet d'un contrôle approprié en tout temps. Ne jamais laisser ces pièces dans des lieux où elles peuvent être examinées par des personnes qui n'ont pas à en prendre connaissance ou qui ne possèdent pas l'habilitation de sécurité pertinente. Il convient de mettre ces pièces sous clé dans un lieu sûr (p. ex., une armoire verrouillée, un congélateur d'échantillons, etc.) ou dans un bureau ou un laboratoire sûrement verrouillé lorsqu'elles ne sont pas immédiatement utilisées.
- Lorsqu'elle se sent en sécurité, Dipna devrait interroger l'étudiante sur ses activités et récupérer ses pièces. Elle devrait également rappeler aux membres de l'équipe les mesures applicables de protection de la recherche et du produit du travail connexe. Si Dipna a encore des préoccupations, elle peut avertir le service de sécurité approprié de l'université et les représentants de l'administration.
Ressources et pratiques exemplaires applicables
- Cadre de référence des trois organismes sur la conduite responsable de la recherche
- Lignes directrices sur la biosûreté et la biosécurité des laboratoires
- Programme des marchandises contrôlées
- Règlements de la Commission canadienne de sûreté nucléaire (CCSN)
- Loi sur les aliments et les drogues
- Politique des trois organismes sur la gestion des données de recherche
- Comment protéger votre organisation contre les menaces internes