Remarque : il s’agit d’une version abrĂ©gĂ©e de l’article original publiĂ© en anglais.
Partout dans le monde, le nombre d’incidents liĂ©s Ă la cybersĂ©curitĂ© continue d’augmenter Ă un rythme inquiĂ©tant. Hormis les dommages causĂ©s Ă la rĂ©putation liĂ©s aux atteintes Ă la sĂ©curitĂ©, les cyberattaques peuvent se traduire par une perte financière, des perturbations opĂ©rationnelles, des litiges contractuels et la menace de l’intervention d’un organe de rĂ©glementation. La prĂ©paration en cas d’incident passe principalement par la connaissance des menaces communes.
Secteurs visés et pratiques exemplaires
Les pirates continuent à viser les secteurs hautement réglementés qui ont accès à de grandes quantités de données personnelles ou confidentielles tels que les secteurs financier, des soins de santé et des services professionnels. Les incidents majeurs liés à la cybersécurité peuvent déclencher de considérables obligations de signalement, sans parler des recours collectifs ou des actions collectives.
Les organisations qui ne sont pas actuellement rĂ©gies par de rigoureuses lois sur la protection des donnĂ©es telles que les organisations sans but lucratif et les organismes de bienfaisance, sont de plus en plus souvent visĂ©es (article disponible uniquement en anglais) Ă©tant donnĂ© qu’elles fondent largement leurs campagnes de financement sur des renseignements personnels confidentiels. Elles font frĂ©quemment appel Ă des fournisseurs de services Ă©lectroniques tiers pour le stockage de leurs donnĂ©es dans le nuage, leurs opĂ©rations financières, leur analyse des donnĂ©es et autres solutions. Si ces fournisseurs font l’objet d’une cyberattaque, les effets en aval, plus particulièrement ceux connexes au risque pour la rĂ©putation et Ă la perturbation opĂ©rationnelle, peuvent ĂŞtre dĂ©vastateurs pour des organisations sans but lucratif manquant de ressources.
Ces risques illustrent la valeur d’une bonne assurance en matière de cybersĂ©curitĂ© en tant que nouvelle pratique exemplaire applicable quel que soit le secteur, non seulement pour les organisations, mais aussi pour les tiers vendeurs. Maintes polices d’assurance limitent, voire excluent, la couverture du risque cybernĂ©tique. Il est par consĂ©quent prudent de discuter avec un courtier pour veiller Ă ce qu’une couverture soit en place en cas d’atteinte Ă la confidentialitĂ© des donnĂ©es.
Menace constante liĂ©e aux rançongiciels et Ă l’atteinte aux courriers Ă©lectroniques des entreprises
Les rançongiciels et l’atteinte aux courriers Ă©lectroniques des entreprises continuent Ă constituer la principale menace pour les organisations en matière de cybersĂ©curitĂ©.
Selon Microsoft, l’annĂ©e dernière a vu une augmentation de 70 % (article disponible uniquement en anglais) de l’hameçonnage pour recueillir et utiliser les donnĂ©es d’accès des utilisateurs ainsi que pour compromettre les rĂ©seaux, se traduisant par des atteintes Ă la sĂ©curitĂ© des donnĂ©es, des usurpations d’identitĂ© et des attaques par rançongiciels.
Ces risques permanents soulignent Ă quel point une formation solide et cohĂ©rente des employĂ©s est prĂ©cieuse. Pour les entreprises, il est peu onĂ©reux et très productif d’aider le personnel Ă identifier les mĂ©thodes communes d’hameçonnage et de l’encourager Ă utiliser l’authentification Ă deux facteurs.
Risques accrus de litiges
Depuis 2012, plusieurs recours collectifs en matière de protection des renseignements personnels ont Ă©tĂ© certifiĂ©s au Canada, particulièrement en Ontario, en Colombie-Britannique et au QuĂ©bec. Entre 2017 and 2019, au moins trois instances collectives dĂ©coulant d’atteintes Ă la cybersĂ©curitĂ© ont Ă©tĂ© certifiĂ©es1. En outre, des recours collectifs impliquant des vols ou des utilisations non autorisĂ©es de donnĂ©es par des employĂ©s ont Ă©tĂ© certifiĂ©s dans les affaires Grossman v Nissan Canada et Stewart v. Demme (deux arrĂŞts disponibles uniquement en anglais). Toutefois, pendant la mĂŞme pĂ©riode, les tribunaux ont refusĂ© de certifier quatre propositions de recours collectif dĂ©coulant d’atteintes Ă la cybersĂ©curitĂ©2. Ces refus de certification suggèrent que les tribunaux sont de plus en plus prĂŞts Ă Ă©tudier minutieusement les revendications des demandeurs pour Ă©valuer leur viabilitĂ©. On s’attend Ă ce que le nombre de demandes Ă l’encontre des organisations et de leurs reprĂ©sentants, ce qui pourrait inclure les administrateurs et les dirigeants, continue Ă augmenter.
Les entreprises peuvent attĂ©nuer les pertes causĂ©es par les activitĂ©s de piratage au moyen de polices d’assurance cybernĂ©tique, de clauses contractuelles visant les obligations en matière de cybersĂ©curitĂ© et de clauses d’indemnisation. Une rĂ©ponse Ă la fois prompte et efficace face Ă une atteinte Ă la cybersĂ©curitĂ© peut sauver la rĂ©putation et la clientèle. Cela pourrait en outre limiter les risques de litiges, y compris en prĂ©venant les pertes pour les personnes touchĂ©es. Les juges ont commentĂ© favorablement sur la qualitĂ© des rĂ©ponses de dĂ©fendeurs face Ă des atteintes Ă la cybersĂ©curitĂ© dans des dĂ©cisions portant refus de certifier une proposition de recours collectif et en approuvant un règlement prĂ©coce.
Concevoir des cadres de réglementation
Les commissaires Ă la protection de la vie privĂ©e, tant au palier fĂ©dĂ©ral que provincial, jouent un rĂ´le de plus en plus actif dans les enquĂŞtes sur les atteintes Ă la cybersĂ©curitĂ©. En outre, les lĂ©gislateurs tentent de moderniser la lĂ©gislation pour qu’elle continue Ă correspondre aux risques. L’Union europĂ©enne a renforcĂ© ses lois sur la protection des renseignements personnels en promulguant, en 2018, le Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD). D’autres assemblĂ©es lĂ©gislatives ont fait de mĂŞme, y compris celle de la Californie, du Japon, de la CorĂ©e et du BrĂ©sil. Au Canada, le gouvernement fĂ©dĂ©ral et les gouvernements de plusieurs provinces ont exprimĂ© leur intention de moderniser leur lĂ©gislation sur la protection des renseignements personnels.
En fĂ©vrier 2020, le gouvernement de la Colombie-Britannique a commencĂ© son examen lĂ©gislatif de la loi intitulĂ©e Personal Information Protection Act. En lien avec cet examen, le Commissariat Ă l’information et Ă la protection de la vie privĂ©e de la Colombie-Britannique, ainsi que d’autres intervenants, a prĂ©sentĂ© des recommandations pour la rĂ©forme de cette loi qui incluent des exigences de signalements obligatoires en cas d’atteinte Ă la cybersĂ©curitĂ©.
En juin 2020, l’AssemblĂ©e nationale du QuĂ©bec a dĂ©posĂ© le projet de loi 64 en vue de moderniser ses lois sur la protection des renseignements personnels. Si le projet de loi est promulguĂ© sous sa forme actuelle, cette province aurait alors une loi sur la protection des renseignements personnels dans le secteur privĂ© fondamentalement similaire au RGPD.
En aoĂ»t 2020, le gouvernement de l’Ontario a lancĂ© une consultation sur la rĂ©forme du droit de la protection des renseignements personnels en vue de mettre en Ĺ“uvre une loi provinciale pour rĂ©glementer la protection des renseignements personnels dans le secteur privĂ© (et le cas Ă©chĂ©ant d’autres secteurs tels que celui des organisations sans but lucratif et des organismes de bienfaisance). Ă€ l’heure actuelle, les lois ontariennes rĂ©gissent les secteurs public et de la santĂ©, bien que les organisations du secteur privĂ© de cette province demeurent assujetties Ă la Loi sur la protection des renseignements personnels et les documents Ă©lectroniques (LPRPDE).
En novembre 2020, le gouvernement fĂ©dĂ©ral a dĂ©posĂ© la Loi de 2020 sur la mise en Ĺ“uvre de la Charte du numĂ©rique qui refondrait son approche de la rĂ©glementation de la protection des renseignements personnels dans le secteur privĂ© en abrogeant les parties de la LPRPDE qui rĂ©gissent le traitement des renseignements personnels et en promulguant une nouvelle Loi sur la protection de la vie privĂ©e des consommateurs. Cette nouvelle loi obligerait les fournisseurs de services Ă informer l’organisation qui contrĂ´le les renseignements personnels utilisĂ©s en cas d’atteinte aux mesures de sĂ©curitĂ© « dès que possible ».
Les organisations canadiennes devraient ĂŞtre prĂŞtes Ă passer l’annĂ©e 2021 Ă examiner les exigences rĂ©glementaires et Ă actualiser en consĂ©quence leur plan d’intervention en cas d’atteinte Ă la cybersĂ©curitĂ©.
Imran Ahmad est associé dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Ellie Marshall est avocate dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., John Lenz est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Natalie LaMarche est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Haley Puah est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.
Notes de bas de page
1 Agnew-Americano v Equifax Canada Co, 2019 ONSC 7110; Tucci v Peoples Trust Company, 2017 BCSC 1525 (certification confirmĂ©e dans l’arrĂŞt Tucci v. Peoples Trust Co., 2020 BCCA 246); Levy c. Nissan Canada Inc., 2019 QCCS 3957.
2 Kaplan v. Casino Rama, 2019 ONSC 2025; Broutzas v Rouge Valley Health System, 2018 ONSC 6315; Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624; Li c. Equifax Inc., 2019 QCCS 4340