Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

[Photo : Shutterstock]

Toutes les histoires de bris de sécurité ne sont pas aussi retentissantes que l'attaque contre le site de rencontres extraconjugales Ashley Madison. Les risques réputationnels, juridiques et financiers sont néanmoins pris de plus en plus au sérieux par les entreprises. Les modifications annoncées à la loi fédérale sur les renseignements personnels pourraient avoir un impact sur leurs devoirs légaux en cas de cyberattaque.


Retour au dossier Droit des affaires


La future loi fédérale, renommée Loi sur la protection des renseignements personnels numériques, prévoit notamment l'obligation des entreprises qui recueillent, utilisent ou communiquent des renseignements personnels de signaler au commissaire à la protection de la vie privée du Canada et au public concerné les attaques qu'elles subissent.


«Bien que la loi provinciale prévale pour les entreprises québécoises, celles qui font des affaires et qui détiennent des données concernant le reste du Canada sont touchées», prévient Loïc Berdnikoff, avocat chez Lavery dans le domaine de la protection des renseignements personnels.


Documenter les attaques à la sécurité


Le signalement s'appliquerait aux attaques qui constituent un «risque réel de préjudice grave». «La proposition renvoie par exemple aux dommages à la réputation, au vol ou à la possibilité d'une perte d'activités professionnelles», dit Éloïse Gratton, avocate en protection des données et vie privée chez Borden Ladner Gervais.


«L'inquiétude que soulève ce règlement tient de la notification fatigue», cet excès d'avertissements qui rend le public insensible ou hypersensible et qui nuit à la vigilance, explique Mme Gratton. Elle note par contre que certaines entreprises avertissent déjà leurs utilisateurs des brèches sans y être obligées, dans un esprit de transparence.


La future loi demanderait également aux entreprises de répertorier à l'interne les atteintes à la sécurité. L'idée est de pouvoir fournir un historique à la demande d'un commissaire qui voudrait situer une brèche dans son contexte et préciser, par exemple, une négligence potentielle.


Néanmoins, la question reste large, selon plusieurs avocats qui ont suivi les récentes consultations publiques. «On n'a toujours pas adopté de règlements d'application qui établissent un seuil de signalement et de documentation adéquat et clair, pour éviter d'en venir à des situations extrêmes. Sans compter que la loi prévoit des sanctions économiques, une nouveauté, qui iront jusqu'à 100 000 $ pour un défaut de signalement», indique Charles Morgan, coleader du groupe national de cybersécurité chez McCarthy Tétrault.


Éloïse Gratton, avocate chez Borden Ladner Gervais.

Mécanismes préventifs


La plupart des grandes entreprises sont prêtes à accueillir les changements annoncés, croit toutefois Charles Morgan. «Les autorités de réglementation les obligent bien souvent à mettre en place des mécanismes préventifs. C'est chez les PME que le bât blesse.»


Les commissaires regardent trois choses lors d'un bris, met en garde Éloïse Gratton. «D'abord, l'entreprise respectait-elle les standards technologiques de l'heure ? Dans ce cas, il y a aussi avantage à vérifier que notre contrat avec le fournisseur qui héberge nos données comporte des clauses nous protégeant.»


Enfin viennent les aspects gouvernance et culture d'entreprise. «Avait-on un plan de match ? Qui sont les personnes-ressources ? Les employés connaissent-ils la procédure à suivre ? Autant de questions qu'il faut poser maintenant, que la loi passe dans six mois ou un an», souligne Éloïse Gratton.


Apprendre d'Ashley Madison


L'avocate de Borden Ladner Gervais croit que les entreprises gagneraient, comme elle, à lire les recommandations émises par les commissaires. «Les gens ne se sentent pas concernés par l'affaire Ashley Madison. Pourtant, dans son rapport, le commissaire souligne des enjeux pertinents pour toutes les entreprises.»


Éloïse Gratton cite en exemple l'absence de justification d'affaires pour garder les informations d'un usager actives au-delà d'un temps raisonnable de 29 jours après sa désinscription. «La vérification des adresses courriel des usagers au moment de l'inscription est aussi un conseil important, afin d'éviter tout préjudice à une personne dont l'identité numérique aurait été usurpée.»


«Les entreprises doivent faire preuve de diligence et adopter dès maintenant les meilleures pratiques, conseille Loïc Berdnikoff. C'est ce que plusieurs ont fait dès 2015, au moment de l'adoption des modifications législatives. Ce sera beaucoup plus facile de se conformer à la loi en ayant préparé le terrain, et ça coûte moins cher que la gestion de crise.»


Retour au dossier Droit des affaires


 


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Contrats publics

Mardi 22 janvier


image

Santé psychologique

Mardi 22 janvier


image

Sommet Énergie

Mardi 29 janvier


image

ROI marketing

Mardi 29 janvier


image

Financement PME

Mercredi 30 janvier


image

Science des données

Mardi 12 février


image

Pénurie de talents

Mercredi 13 mars


image

Objectif Nord

Mardi 09 avril


image

Femmes Leaders

Mercredi 24 avril


image

Gestion agile

Mercredi 08 mai

DANS LE MÊME DOSSIER

Sur le même sujet

Les dirigeants d'Ashley Madison s'entendent avec les autorités

15/12/2016 | AFP

Les opérateurs du site de rencontres Ashley Madison payeront une pénalité de 1,6M$ un an après un retentissant piratage.

10 choses à savoir mercredi

Mis à jour le 24/08/2016 | Yannick Clérouin, Alain McKenna et Julien Abadie

Ceci est une carte de crédit, le pot danger pour la productivité?, le secret du succès de ce pdg: faire des erreurs...

À la une

Investir: «C’est le temps de garder plus de liquidités»

Conserver des liquidités n’est plus une garantie d’appauvrissement à Wall Street, croit David Kostin, de Goldman Sachs.

Pourquoi est-ce si difficile de donner?

BLOGUE INVITÉ. Quelques heures de bénévolat peuvent tout changer pour une personne, pour une cause.

CELI: le plafond passe à 6000$ en 2019

11:48 | Guillaume Poulin-Goyer

L’ARC vient de rendre publics les paramètres d’indexation du régime fiscal qui confirment la hausse du plafond du CELI.