Le bureau national de l'ABC sera fermé du 23 décembre 2025 au 1er janvier 2026 (inclusivement), et reprendra ses activités le 2 janvier 2026.

Skip to main content
English
Devenez membre
Logo ABC
search
menu

Tendances récentes en matière de cybersécurité

03 décembre 2020

Remarque : il s’agit d’une version abrégée de l’article original publié en anglais.

Partout dans le monde, le nombre d’incidents liés à la cybersécurité continue d’augmenter à un rythme inquiétant. Hormis les dommages causés à la réputation liés aux atteintes à la sécurité, les cyberattaques peuvent se traduire par une perte financière, des perturbations opérationnelles, des litiges contractuels et la menace de l’intervention d’un organe de réglementation. La préparation en cas d’incident passe principalement par la connaissance des menaces communes.

Secteurs visés et pratiques exemplaires

Les pirates continuent à viser les secteurs hautement réglementés qui ont accès à de grandes quantités de données personnelles ou confidentielles tels que les secteurs financier, des soins de santé et des services professionnels. Les incidents majeurs liés à la cybersécurité peuvent déclencher de considérables obligations de signalement, sans parler des recours collectifs ou des actions collectives.

Les organisations qui ne sont pas actuellement régies par de rigoureuses lois sur la protection des données telles que les organisations sans but lucratif et les organismes de bienfaisance, sont de plus en plus souvent visées (article disponible uniquement en anglais) étant donné qu’elles fondent largement leurs campagnes de financement sur des renseignements personnels confidentiels. Elles font fréquemment appel à des fournisseurs de services électroniques tiers pour le stockage de leurs données dans le nuage, leurs opérations financières, leur analyse des données et autres solutions. Si ces fournisseurs font l’objet d’une cyberattaque, les effets en aval, plus particulièrement ceux connexes au risque pour la réputation et à la perturbation opérationnelle, peuvent être dévastateurs pour des organisations sans but lucratif manquant de ressources.

Ces risques illustrent la valeur d’une bonne assurance en matière de cybersécurité en tant que nouvelle pratique exemplaire applicable quel que soit le secteur, non seulement pour les organisations, mais aussi pour les tiers vendeurs. Maintes polices d’assurance limitent, voire excluent, la couverture du risque cybernétique. Il est par conséquent prudent de discuter avec un courtier pour veiller à ce qu’une couverture soit en place en cas d’atteinte à la confidentialité des données.

Menace constante liée aux rançongiciels et à l’atteinte aux courriers électroniques des entreprises

Les rançongiciels et l’atteinte aux courriers électroniques des entreprises continuent à constituer la principale menace pour les organisations en matière de cybersécurité.

Selon Microsoft, l’année dernière a vu une augmentation de 70 % (article disponible uniquement en anglais) de l’hameçonnage pour recueillir et utiliser les données d’accès des utilisateurs ainsi que pour compromettre les réseaux, se traduisant par des atteintes à la sécurité des données, des usurpations d’identité et des attaques par rançongiciels.

Ces risques permanents soulignent à quel point une formation solide et cohérente des employés est précieuse. Pour les entreprises, il est peu onéreux et très productif d’aider le personnel à identifier les méthodes communes d’hameçonnage et de l’encourager à utiliser l’authentification à deux facteurs.

Risques accrus de litiges

Depuis 2012, plusieurs recours collectifs en matière de protection des renseignements personnels ont été certifiés au Canada, particulièrement en Ontario, en Colombie-Britannique et au Québec. Entre 2017 and 2019, au moins trois instances collectives découlant d’atteintes à la cybersécurité ont été certifiées1. En outre, des recours collectifs impliquant des vols ou des utilisations non autorisées de données par des employés ont été certifiés dans les affaires Grossman v Nissan Canada et Stewart v. Demme (deux arrêts disponibles uniquement en anglais). Toutefois, pendant la même période, les tribunaux ont refusé de certifier quatre propositions de recours collectif découlant d’atteintes à la cybersécurité2. Ces refus de certification suggèrent que les tribunaux sont de plus en plus prêts à étudier minutieusement les revendications des demandeurs pour évaluer leur viabilité. On s’attend à ce que le nombre de demandes à l’encontre des organisations et de leurs représentants, ce qui pourrait inclure les administrateurs et les dirigeants, continue à augmenter.

Les entreprises peuvent atténuer les pertes causées par les activités de piratage au moyen de polices d’assurance cybernétique, de clauses contractuelles visant les obligations en matière de cybersécurité et de clauses d’indemnisation. Une réponse à la fois prompte et efficace face à une atteinte à la cybersécurité peut sauver la réputation et la clientèle. Cela pourrait en outre limiter les risques de litiges, y compris en prévenant les pertes pour les personnes touchées. Les juges ont commenté favorablement sur la qualité des réponses de défendeurs face à des atteintes à la cybersécurité dans des décisions portant refus de certifier une proposition de recours collectif et en approuvant un règlement précoce.

Concevoir des cadres de réglementation

Les commissaires à la protection de la vie privée, tant au palier fédéral que provincial, jouent un rôle de plus en plus actif dans les enquêtes sur les atteintes à la cybersécurité. En outre, les législateurs tentent de moderniser la législation pour qu’elle continue à correspondre aux risques. L’Union européenne a renforcé ses lois sur la protection des renseignements personnels en promulguant, en 2018, le Règlement général sur la protection des données (RGPD). D’autres assemblées législatives ont fait de même, y compris celle de la Californie, du Japon, de la Corée et du Brésil. Au Canada, le gouvernement fédéral et les gouvernements de plusieurs provinces ont exprimé leur intention de moderniser leur législation sur la protection des renseignements personnels.

En février 2020, le gouvernement de la Colombie-Britannique a commencé son examen législatif de la loi intitulée Personal Information Protection Act. En lien avec cet examen, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, ainsi que d’autres intervenants, a présenté des recommandations pour la réforme de cette loi qui incluent des exigences de signalements obligatoires en cas d’atteinte à la cybersécurité.

En juin 2020, l’Assemblée nationale du Québec a déposé le projet de loi 64 en vue de moderniser ses lois sur la protection des renseignements personnels. Si le projet de loi est promulgué sous sa forme actuelle, cette province aurait alors une loi sur la protection des renseignements personnels dans le secteur privé fondamentalement similaire au RGPD.

En août 2020, le gouvernement de l’Ontario a lancé une consultation sur la réforme du droit de la protection des renseignements personnels en vue de mettre en œuvre une loi provinciale pour réglementer la protection des renseignements personnels dans le secteur privé (et le cas échéant d’autres secteurs tels que celui des organisations sans but lucratif et des organismes de bienfaisance). À l’heure actuelle, les lois ontariennes régissent les secteurs public et de la santé, bien que les organisations du secteur privé de cette province demeurent assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

En novembre 2020, le gouvernement fédéral a déposé la Loi de 2020 sur la mise en œuvre de la Charte du numérique qui refondrait son approche de la réglementation de la protection des renseignements personnels dans le secteur privé en abrogeant les parties de la LPRPDE qui régissent le traitement des renseignements personnels et en promulguant une nouvelle Loi sur la protection de la vie privée des consommateurs. Cette nouvelle loi obligerait les fournisseurs de services à informer l’organisation qui contrôle les renseignements personnels utilisés en cas d’atteinte aux mesures de sécurité « dès que possible ».

Les organisations canadiennes devraient être prêtes à passer l’année 2021 à examiner les exigences réglementaires et à actualiser en conséquence leur plan d’intervention en cas d’atteinte à la cybersécurité.

Imran Ahmad est associé dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Ellie Marshall est avocate dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., John Lenz est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Natalie LaMarche est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l., Haley Puah est stagiaire dans le cabinet Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.

Notes de bas de page

1 Agnew-Americano v Equifax Canada Co, 2019 ONSC 7110; Tucci v Peoples Trust Company, 2017 BCSC 1525 (certification confirmée dans l’arrêt Tucci v. Peoples Trust Co., 2020 BCCA 246); Levy c. Nissan Canada Inc., 2019 QCCS 3957.

2 Kaplan v. Casino Rama, 2019 ONSC 2025; Broutzas v Rouge Valley Health System, 2018 ONSC 6315; Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624; Li c. Equifax Inc., 2019 QCCS 4340