Gérer le risque cybernétique

Laissés à eux-mêmes, les risques peuvent causer des ravages pour les personnes et les organisations sans méfiance. C’est particulièrement vrai s’agissant des risques cybernétiques. Cependant, étant donné le secteur embryonnaire de l’assurance du risque cybernétique au Canada, les acteurs du domaine juridique doivent apprendre à gérer ce risque au moyen de diverses formes d’assurance et de stratégies d’atténuation. Les principes de formulation de stratégies de la technologie de l’information et de la planification des risques liés aux projets peuvent aider à comprendre et à gérer les ramifications juridiques générales des attaques cybernétiques et des atteintes à la sécurité des données.

Alors que toutes les entreprises et organisations canadiennes sont confrontées à une forme ou une autre de risque cybernétique¹, la couverture est relativement nouvelle et loin d’être universelle.

Le risque cybernétique, sous sa forme actuelle, représente un défi de taille pour les assureurs car ni sa fréquence ni sa gravité ne sont prévisibles. Les paramètres du risque cybernétique sont, eux aussi, à l’état embryonnaire et leur conception s’est avérée difficile en raison de l’impossibilité de prédire les comportements humains connexes aux attaques cybernétiques. La rareté et l’insuffisance de la divulgation due au fait que les victimes d’attaques cybernétiques ne sont pas toutes disposées à les signaler constituent également une autre difficulté².

L’assurance de la responsabilité commerciale a été utilisée avec beaucoup de succès comme option de transfert du risque dans les pays disposant d’une législation obligeant à révéler les atteintes à la sécurité des données. Aux États-Unis, 47 des États ont des exigences dans ce domaine. Ces lois sont une incitation à l’obtention d’une couverture d’assurance de responsabilité commerciale étant donné que les coûts de l’envoi d’avis aux personnes touchées par l’atteinte à la sécurité peuvent être très élevés³.

Il faudra se méfier du raisonnement qui sous-tend la décision Columbia Casualty Company v Cottage Health Systems. Columbia cherchait à faire appliquer une exclusion empêchant la couverture dans un cas d’atteinte à la sécurité des données découlant de tout

[TRADUCTION] défaut d’une partie assurée de mettre en œuvre de façon ininterrompue les procédures et contrôles du risque mentionnées dans la demande de cette assurance présentée par l’assuré et dans tous les autres renseignements connexes donnés à l’assureur dans le cadre de ladite demande, que ce soit par oral ou par écrit⁴.

L’utilisation de telles exclusions indique que les assureurs manquent de confiance dans leurs capacités à couvrir les risques cybernétiques et qu’ils cherchent invariablement à faire endosser ces risques par l’assuré⁵. En outre, il a été suggéré que des organisations résidant au Canada ont hésité à souscrire des assurances du risque cybernétique en l’absence d’exigences de divulgation obligatoire des atteintes à la sécurité des données dans ce pays⁶.

Une modification apportée à la Loi sur la protection des renseignements personnels et les documents électroniques, la première depuis la promulgation de la loi en 2001, a changé cette situation.

Dans le cadre de l’introduction d’exigences de divulgation obligatoire des atteintes à la sécurité des données, les organisations seront tenues de mettre en place et d’entretenir des dispositifs de protection administrative, technique et physique proportionnels au degré de confidentialité des renseignements. Toutes les atteintes à ces protections doivent désormais être consignées⁷.

Si une personne raisonnable considérait qu’il existe un risque réel et important qu’une personne subisse un préjudice du fait de l’atteinte aux dispositifs de protection de la sécurité, il incombe à l’organisation de prendre toutes les mesures suivantes :

1. signaler l’atteinte au Commissariat à la protection de la vie privée du Canada,
2. informer les personnes touchées,
3.  informer les tiers qui pourraient aider à atténuer le risque de préjudices. Le critère juridique pour déterminer le risque de préjudice important est constitué de deux éléments :
   
   Risque : cela vise le caractère confidentiel des renseignements personnels et la probabilité d’utilisation actuelle ou future à mauvais escient de ces renseignements.
   
   Préjudice : cela inclut les blessures corporelles, l’humiliation, les dommages causés à la réputation ou aux relations, la perte d’emploi, les pertes de débouchés commerciaux ou professionnels, les pertes financières, le vol d’identité, les effets négatifs sur l’historique de crédit, les dommages causés à des biens ou leur perte⁸.

Avec l’entrée en vigueur au Canada des dispositions sur la divulgation obligatoire des atteintes à la sécurité, la demande d’assurance du risque cybernétique augmentera considérablement. Comme nous l’avons déjà souligné, la création de ce genre de polices d’assurance n’est pas une tâche facile et il faudra plusieurs années pour que soient mises en place des polices efficaces. En attendant, que devraient faire les organisations? À court terme, je propose l’approche suivante pour gérer ces risques : le plus simple est d’assurer certains risques et d’atténuer les autres.

Poursuivre la lecture de cet article disponible uniquement en anglais.

Shan Alavi est un avocat spécialisé en droit de la protection des renseignements personnels et de la technologie. Il a fondé Legal Minds Professional Corporation.

Notes

1. David R. Mackenzie, Data Risk, Privacy Breach and Insurance Coverage, à la page 6.
2. Sarah Veysey, Data scarce for insurers covering cyber risks.
3. Craig Harris, Cyber 2.0 (disponible uniquement en anglais).
4. Columbia Casualty Co v Cottage Health System, 2:15-cv-03432 (CD Cal 2015) au par. 26.O.1 (disponible uniquement en anglais).
5. David Bisson, Columbia v Cottage: Enforcing the ‘Mistake Exclusion’ in Data Breach Insurance.
6. Sarb Sembhi, An introduction to cyber liability insurance coverage.
7. PIPEDA 2.0 New Governance Challenges, Lexus Nexus (Webinaire diffusé en ligne le 17 septembre 2015).
8. Ibid.