Gérer le risque cybernétique

  • 13 avril 2018
  • Shan Alavi

LaissĂ©s Ă  eux-mĂŞmes, les risques peuvent causer des ravages pour les personnes et les organisations sans mĂ©fiance. C’est particulièrement vrai s’agissant des risques cybernĂ©tiques. Cependant, Ă©tant donnĂ© le secteur embryonnaire de l’assurance du risque cybernĂ©tique au Canada, les acteurs du domaine juridique doivent apprendre Ă  gĂ©rer ce risque au moyen de diverses formes d’assurance et de stratĂ©gies d’attĂ©nuation. Les principes de formulation de stratĂ©gies de la technologie de l’information et de la planification des risques liĂ©s aux projets peuvent aider Ă  comprendre et Ă  gĂ©rer les ramifications juridiques gĂ©nĂ©rales des attaques cybernĂ©tiques et des atteintes Ă  la sĂ©curitĂ© des donnĂ©es.

Alors que toutes les entreprises et organisations canadiennes sont confrontĂ©es Ă  une forme ou une autre de risque cybernĂ©tique1, la couverture est relativement nouvelle et loin d’ĂŞtre universelle.

Le risque cybernĂ©tique, sous sa forme actuelle, reprĂ©sente un dĂ©fi de taille pour les assureurs car ni sa frĂ©quence ni sa gravitĂ© ne sont prĂ©visibles. Les paramètres du risque cybernĂ©tique sont, eux aussi, Ă  l’Ă©tat embryonnaire et leur conception s’est avĂ©rĂ©e difficile en raison de l’impossibilitĂ© de prĂ©dire les comportements humains connexes aux attaques cybernĂ©tiques. La raretĂ© et l’insuffisance de la divulgation due au fait que les victimes d’attaques cybernĂ©tiques ne sont pas toutes disposĂ©es Ă  les signaler constituent Ă©galement une autre difficultĂ©2.

L’assurance de la responsabilitĂ© commerciale a Ă©tĂ© utilisĂ©e avec beaucoup de succès comme option de transfert du risque dans les pays disposant d’une lĂ©gislation obligeant Ă  rĂ©vĂ©ler les atteintes Ă  la sĂ©curitĂ© des donnĂ©es. Aux États-Unis, 47 des États ont des exigences dans ce domaine. Ces lois sont une incitation Ă  l’obtention d’une couverture d’assurance de responsabilitĂ© commerciale Ă©tant donnĂ© que les coĂ»ts de l’envoi d’avis aux personnes touchĂ©es par l’atteinte Ă  la sĂ©curitĂ© peuvent ĂŞtre très Ă©levĂ©s3.

Il faudra se mĂ©fier du raisonnement qui sous-tend la dĂ©cision Columbia Casualty Company v Cottage Health Systems. Columbia cherchait Ă  faire appliquer une exclusion empĂŞchant la couverture dans un cas d’atteinte Ă  la sĂ©curitĂ© des donnĂ©es dĂ©coulant de tout

[TRADUCTION] dĂ©faut d’une partie assurĂ©e de mettre en Ĺ“uvre de façon ininterrompue les procĂ©dures et contrĂ´les du risque mentionnĂ©es dans la demande de cette assurance prĂ©sentĂ©e par l’assurĂ© et dans tous les autres renseignements connexes donnĂ©s Ă  l’assureur dans le cadre de ladite demande, que ce soit par oral ou par Ă©crit4.

L’utilisation de telles exclusions indique que les assureurs manquent de confiance dans leurs capacitĂ©s Ă  couvrir les risques cybernĂ©tiques et qu’ils cherchent invariablement Ă  faire endosser ces risques par l’assurĂ©5. En outre, il a Ă©tĂ© suggĂ©rĂ© que des organisations rĂ©sidant au Canada ont hĂ©sitĂ© Ă  souscrire des assurances du risque cybernĂ©tique en l’absence d’exigences de divulgation obligatoire des atteintes Ă  la sĂ©curitĂ© des donnĂ©es dans ce pays6.

Une modification apportée à la Loi sur la protection des renseignements personnels et les documents électroniques, la première depuis la promulgation de la loi en 2001, a changé cette situation.

Dans le cadre de l’introduction d’exigences de divulgation obligatoire des atteintes Ă  la sĂ©curitĂ© des donnĂ©es, les organisations seront tenues de mettre en place et d’entretenir des dispositifs de protection administrative, technique et physique proportionnels au degrĂ© de confidentialitĂ© des renseignements. Toutes les atteintes Ă  ces protections doivent dĂ©sormais ĂŞtre consignĂ©es7.

Si une personne raisonnable considĂ©rait qu’il existe un risque rĂ©el et important qu’une personne subisse un prĂ©judice du fait de l’atteinte aux dispositifs de protection de la sĂ©curitĂ©, il incombe Ă  l’organisation de prendre toutes les mesures suivantes :

  1. signaler l’atteinte au Commissariat Ă  la protection de la vie privĂ©e du Canada,
  2. informer les personnes touchées,
  3.  informer les tiers qui pourraient aider Ă  attĂ©nuer le risque de prĂ©judices. Le critère juridique pour dĂ©terminer le risque de prĂ©judice important est constituĂ© de deux Ă©lĂ©ments :

    Risque : cela vise le caractère confidentiel des renseignements personnels et la probabilitĂ© d’utilisation actuelle ou future Ă  mauvais escient de ces renseignements.

    PrĂ©judice : cela inclut les blessures corporelles, l’humiliation, les dommages causĂ©s Ă  la rĂ©putation ou aux relations, la perte d’emploi, les pertes de dĂ©bouchĂ©s commerciaux ou professionnels, les pertes financières, le vol d’identitĂ©, les effets nĂ©gatifs sur l’historique de crĂ©dit, les dommages causĂ©s Ă  des biens ou leur perte8.

Avec l’entrĂ©e en vigueur au Canada des dispositions sur la divulgation obligatoire des atteintes Ă  la sĂ©curitĂ©, la demande d’assurance du risque cybernĂ©tique augmentera considĂ©rablement. Comme nous l’avons dĂ©jĂ  soulignĂ©, la crĂ©ation de ce genre de polices d’assurance n’est pas une tâche facile et il faudra plusieurs annĂ©es pour que soient mises en place des polices efficaces. En attendant, que devraient faire les organisations? Ă€ court terme, je propose l’approche suivante pour gĂ©rer ces risques : le plus simple est d’assurer certains risques et d’attĂ©nuer les autres.

Poursuivre la lecture de cet article disponible uniquement en anglais.

Shan Alavi est un avocat spécialisé en droit de la protection des renseignements personnels et de la technologie. Il a fondé Legal Minds Professional Corporation.

Notes

  1. David R. Mackenzie, Data Risk, Privacy Breach and Insurance Coverage, Ă  la page 6.
  2. Sarah Veysey, Data scarce for insurers covering cyber risks.
  3. Craig Harris, Cyber 2.0 (disponible uniquement en anglais).
  4. Columbia Casualty Co v Cottage Health System, 2:15-cv-03432 (CD Cal 2015) au par. 26.O.1 (disponible uniquement en anglais).
  5. David Bisson, Columbia v Cottage: Enforcing the ‘Mistake Exclusion’ in Data Breach Insurance.
  6. Sarb Sembhi, An introduction to cyber liability insurance coverage.
  7. PIPEDA 2.0 New Governance Challenges, Lexus Nexus (Webinaire diffusĂ© en ligne le 17 septembre 2015).
  8. Ibid.