Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

[Photo : Shutterstock]

Toutes les histoires de bris de sécurité ne sont pas aussi retentissantes que l'attaque contre le site de rencontres extraconjugales Ashley Madison. Les risques réputationnels, juridiques et financiers sont néanmoins pris de plus en plus au sérieux par les entreprises. Les modifications annoncées à la loi fédérale sur les renseignements personnels pourraient avoir un impact sur leurs devoirs légaux en cas de cyberattaque.


Retour au dossier Droit des affaires


La future loi fédérale, renommée Loi sur la protection des renseignements personnels numériques, prévoit notamment l'obligation des entreprises qui recueillent, utilisent ou communiquent des renseignements personnels de signaler au commissaire à la protection de la vie privée du Canada et au public concerné les attaques qu'elles subissent.


«Bien que la loi provinciale prévale pour les entreprises québécoises, celles qui font des affaires et qui détiennent des données concernant le reste du Canada sont touchées», prévient Loïc Berdnikoff, avocat chez Lavery dans le domaine de la protection des renseignements personnels.


Documenter les attaques à la sécurité


Le signalement s'appliquerait aux attaques qui constituent un «risque réel de préjudice grave». «La proposition renvoie par exemple aux dommages à la réputation, au vol ou à la possibilité d'une perte d'activités professionnelles», dit Éloïse Gratton, avocate en protection des données et vie privée chez Borden Ladner Gervais.


«L'inquiétude que soulève ce règlement tient de la notification fatigue», cet excès d'avertissements qui rend le public insensible ou hypersensible et qui nuit à la vigilance, explique Mme Gratton. Elle note par contre que certaines entreprises avertissent déjà leurs utilisateurs des brèches sans y être obligées, dans un esprit de transparence.


La future loi demanderait également aux entreprises de répertorier à l'interne les atteintes à la sécurité. L'idée est de pouvoir fournir un historique à la demande d'un commissaire qui voudrait situer une brèche dans son contexte et préciser, par exemple, une négligence potentielle.


Néanmoins, la question reste large, selon plusieurs avocats qui ont suivi les récentes consultations publiques. «On n'a toujours pas adopté de règlements d'application qui établissent un seuil de signalement et de documentation adéquat et clair, pour éviter d'en venir à des situations extrêmes. Sans compter que la loi prévoit des sanctions économiques, une nouveauté, qui iront jusqu'à 100 000 $ pour un défaut de signalement», indique Charles Morgan, coleader du groupe national de cybersécurité chez McCarthy Tétrault.


Éloïse Gratton, avocate chez Borden Ladner Gervais.

Mécanismes préventifs


La plupart des grandes entreprises sont prêtes à accueillir les changements annoncés, croit toutefois Charles Morgan. «Les autorités de réglementation les obligent bien souvent à mettre en place des mécanismes préventifs. C'est chez les PME que le bât blesse.»


Les commissaires regardent trois choses lors d'un bris, met en garde Éloïse Gratton. «D'abord, l'entreprise respectait-elle les standards technologiques de l'heure ? Dans ce cas, il y a aussi avantage à vérifier que notre contrat avec le fournisseur qui héberge nos données comporte des clauses nous protégeant.»


Enfin viennent les aspects gouvernance et culture d'entreprise. «Avait-on un plan de match ? Qui sont les personnes-ressources ? Les employés connaissent-ils la procédure à suivre ? Autant de questions qu'il faut poser maintenant, que la loi passe dans six mois ou un an», souligne Éloïse Gratton.


Apprendre d'Ashley Madison


L'avocate de Borden Ladner Gervais croit que les entreprises gagneraient, comme elle, à lire les recommandations émises par les commissaires. «Les gens ne se sentent pas concernés par l'affaire Ashley Madison. Pourtant, dans son rapport, le commissaire souligne des enjeux pertinents pour toutes les entreprises.»


Éloïse Gratton cite en exemple l'absence de justification d'affaires pour garder les informations d'un usager actives au-delà d'un temps raisonnable de 29 jours après sa désinscription. «La vérification des adresses courriel des usagers au moment de l'inscription est aussi un conseil important, afin d'éviter tout préjudice à une personne dont l'identité numérique aurait été usurpée.»


«Les entreprises doivent faire preuve de diligence et adopter dès maintenant les meilleures pratiques, conseille Loïc Berdnikoff. C'est ce que plusieurs ont fait dès 2015, au moment de l'adoption des modifications législatives. Ce sera beaucoup plus facile de se conformer à la loi en ayant préparé le terrain, et ça coûte moins cher que la gestion de crise.»


Retour au dossier Droit des affaires


 

À suivre dans cette section


image

Objectif Nord

Mardi 25 septembre


image

Gestion du changement

Mercredi 03 octobre


image

Marché du cannabis

Mercredi 10 octobre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Contrats publics

Mardi 22 janvier


image

Financement PME

Mercredi 30 janvier

DANS LE MÊME DOSSIER

Sur le même sujet

Les dirigeants d'Ashley Madison s'entendent avec les autorités

15/12/2016 | AFP

Les opérateurs du site de rencontres Ashley Madison payeront une pénalité de 1,6M$ un an après un retentissant piratage.

10 choses à savoir mercredi

Mis à jour le 24/08/2016 | Yannick Clérouin, Alain McKenna et Julien Abadie

Ceci est une carte de crédit, le pot danger pour la productivité?, le secret du succès de ce pdg: faire des erreurs...

À la une

ALÉNA: notre meilleur allié est America inc.

ANALYSE - Le Canada est aussi un marché stratégique pour les entreprises américaines.

Voir les choses sous un autre angle pour réussir en Bourse

21/09/2018 | Philippe Leblanc

BLOGUE INVITÉ. Cela ne veut pas dire qu’il faut adopter l’opinion contraire à celle du plus grand nombre.

Les taux grimpent, que faire avec les obligations à court terme?

21/09/2018 | Ian Gascon

Les FNB d’obligations ne s’écroulent pas malgré la hausse des taux. Voici pourquoi: