Les dirigeants et administrateurs d’entreprise n’ont pas le pouvoir de stopper les cyberattaques. Toutefois, ils ont l’obligation légale de prendre des mesures raisonnables pour les prévenir et pour en limiter les dégâts. Pour éviter des poursuites ou des actions collectives se soldant par un jugement défavorable ou une coûteuse entente à l’amiable, mieux vaut donc connaître — et assumer ! — ses responsabilités.

Les cyberattaques peuvent avoir des conséquences désastreuses aussi bien sur la réputation que sur la rentabilité d’une entreprise. Or, les administrateurs et dirigeants d’entreprise sont plus que jamais imputables dans ce domaine. Au cours des dernières années, plusieurs incidents ont mené à des poursuites judiciaires hautement médiatisées contre Facebook, Yahoo!, Home Depot, Ashley Madison et Equifax, entre autres.

L’affaire Target illustre bien les impacts d’une cyberattaque. En novembre 2013, cette chaîne de grands magasins a été victime d’une cyberattaque qui a compromis approximativement 110 millions de dossiers de clients canadiens et américains, dont au moins 40 millions de données de paiement. L’incident a eu d’importantes conséquences sur l’entreprise. Dans la foulée de la cyberattaque, 140 poursuites ont été instituées aux États-Unis et au Canada. Le détaillant a dû verser 10 millions de dollars en dommages à ses clients, et 19 millions de dollars à MasterCard. Ses profits, au cours du 4e trimestre de 2013, ont été inférieurs de 46 % aux projections, et son PDG de l’époque s’est vu forcé de démissionner.

Quelques années auparavant, entre 2008 et 2009, les hôtels Wyndham ont été victimes de trois brèches informatiques qui ont exposé les données bancaires de 619 000 clients et mené à des fraudes de 10,6 millions de dollars. Les administrateurs et dirigeants des hôtels Wyndham ont été poursuivis par les actionnaires pour avoir refusé d’investiguer et de corriger la situation.

Les gestionnaires sont-ils conscients des risques associés à une cyberattaque ? « Oui et non, répond Me Caroline Deschênes, associée chez Langlois. Ils ont une conscience accrue de l’impact des cyberattaques sur les organisations — surtout avec le nombre de cas qui font les manchettes. Mais ils ne comprennent pas toujours l’ampleur de leurs responsabilités légales. »

Les sources d’obligations légales

Au Canada, les obligations légales en matière de cybersécurité proviennent de plusieurs sources, dont les suivantes.

Tout d’abord, toute entreprise qui détient des renseignements personnels est responsable de ces données. Elle doit donc prendre des mesures de sécurité adéquates pour les protéger, en vertu de la législation fédérale ou provinciale applicable ou du Règlement général sur la protection des données (RGPD) de l’Union européenne, dans les cas où il s’applique.

En cas de brèche, les entreprises ont parfois l’obligation de rapporter l’incident aux autorités ou aux individus concernés. Le RGPD, notamment, l’exige depuis le 25 mai dernier. « Le premier novembre prochain, la loi fédérale adoptera aussi un régime obligatoire de notification et de déclaration des atteintes à la sécurité des données qui s’appliquera dans certaines circonstances », précise l’avocate.

Ensuite, les administrateurs doivent s’assurer de se conformer aux exigences des lois sur les valeurs mobilières : « Depuis 2013, les Autorités canadiennes en valeurs mobilières ont rappelé plusieurs fois aux entreprises les risques liés à la cybersécurité et l’importance de se préparer adéquatement à cet égard. »

Finalement, dans l’éventualité d’une cyberattaque, les administrateurs peuvent engager leur responsabilité personnelle. En effet, en vertu de la loi, les administrateurs ont le devoir d’agir avec soin, prudence, diligence et compétence. « Dans ce cas, la responsabilité des administrateurs ne découle pas de l’attaque elle-même, mais plutôt de leur mauvaise évaluation des risques liés à la cybersécurité et de leur échec à mettre en place des mesures adéquates pour limiter les risques », explique Me Caroline Deschênes.

Leur négligence pourrait alors les exposer à une « action dérivée », c’est-à-dire une poursuite intentée par les actionnaires au nom de l’entreprise, comme ce fut le cas dans l’affaire Wyndham. Elle pourrait aussi mener à une poursuite ou à une action collective contre l’entreprise intentée au nom de ses clients, comme ce fut le cas lors de la brèche de Target, entre autres.

Un plan d’intervention en trois temps

Devant des menaces numériques de plus en plus sophistiquées, il est illusoire de penser qu’une organisation puisse se protéger de toutes les cyberattaques. C’est pourquoi les gestionnaires d’entreprise doivent poser des gestes avant (formation des employés, évaluation des risques de brèche, mise en place de mesures de sécurité adéquates et d’un plan d’intervention), pendant (confinement de la brèche, évaluation des dégâts) et après une cyberattaque (enquête interne, notifications légales requises, amélioration des processus).

Et, contrairement à ce que certains s’imaginent, la cybersécurité ne relève pas uniquement des services des technologies de l’information. « Cela demande la participation de tous les services, confirme l’avocate. À la suite d’une brèche, le service des communications, par exemple, doit travailler de concert avec le service juridique. En effet, s’il y a litige, les informations divulguées constitueront un élément de preuve, et elles doivent être conformes aux obligations légales de l’entreprise. De plus, certains renseignements protégés en vertu du privilège relatif au litige ou du secret professionnel doivent demeurer confidentiels jusqu’à la résolution du conflit. »

La cybersécurité est donc l’affaire de tous. Et, pour leur propre sécurité, les dirigeants et administrateurs ont tout intérêt à mener le bal.