Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

[Photo : Shutterstock]

Toutes les histoires de bris de sécurité ne sont pas aussi retentissantes que l'attaque contre le site de rencontres extraconjugales Ashley Madison. Les risques réputationnels, juridiques et financiers sont néanmoins pris de plus en plus au sérieux par les entreprises. Les modifications annoncées à la loi fédérale sur les renseignements personnels pourraient avoir un impact sur leurs devoirs légaux en cas de cyberattaque.

Retour au dossier Droit des affaires

La future loi fédérale, renommée Loi sur la protection des renseignements personnels numériques, prévoit notamment l'obligation des entreprises qui recueillent, utilisent ou communiquent des renseignements personnels de signaler au commissaire à la protection de la vie privée du Canada et au public concerné les attaques qu'elles subissent.

«Bien que la loi provinciale prévale pour les entreprises québécoises, celles qui font des affaires et qui détiennent des données concernant le reste du Canada sont touchées», prévient Loïc Berdnikoff, avocat chez Lavery dans le domaine de la protection des renseignements personnels.

Documenter les attaques à la sécurité

Le signalement s'appliquerait aux attaques qui constituent un «risque réel de préjudice grave». «La proposition renvoie par exemple aux dommages à la réputation, au vol ou à la possibilité d'une perte d'activités professionnelles», dit Éloïse Gratton, avocate en protection des données et vie privée chez Borden Ladner Gervais.

«L'inquiétude que soulève ce règlement tient de la notification fatigue», cet excès d'avertissements qui rend le public insensible ou hypersensible et qui nuit à la vigilance, explique Mme Gratton. Elle note par contre que certaines entreprises avertissent déjà leurs utilisateurs des brèches sans y être obligées, dans un esprit de transparence.

La future loi demanderait également aux entreprises de répertorier à l'interne les atteintes à la sécurité. L'idée est de pouvoir fournir un historique à la demande d'un commissaire qui voudrait situer une brèche dans son contexte et préciser, par exemple, une négligence potentielle.

Néanmoins, la question reste large, selon plusieurs avocats qui ont suivi les récentes consultations publiques. «On n'a toujours pas adopté de règlements d'application qui établissent un seuil de signalement et de documentation adéquat et clair, pour éviter d'en venir à des situations extrêmes. Sans compter que la loi prévoit des sanctions économiques, une nouveauté, qui iront jusqu'à 100 000 $ pour un défaut de signalement», indique Charles Morgan, coleader du groupe national de cybersécurité chez McCarthy Tétrault.

Éloïse Gratton, avocate chez Borden Ladner Gervais.

Mécanismes préventifs

La plupart des grandes entreprises sont prêtes à accueillir les changements annoncés, croit toutefois Charles Morgan. «Les autorités de réglementation les obligent bien souvent à mettre en place des mécanismes préventifs. C'est chez les PME que le bât blesse.»

Les commissaires regardent trois choses lors d'un bris, met en garde Éloïse Gratton. «D'abord, l'entreprise respectait-elle les standards technologiques de l'heure ? Dans ce cas, il y a aussi avantage à vérifier que notre contrat avec le fournisseur qui héberge nos données comporte des clauses nous protégeant.»

Enfin viennent les aspects gouvernance et culture d'entreprise. «Avait-on un plan de match ? Qui sont les personnes-ressources ? Les employés connaissent-ils la procédure à suivre ? Autant de questions qu'il faut poser maintenant, que la loi passe dans six mois ou un an», souligne Éloïse Gratton.

Apprendre d'Ashley Madison

L'avocate de Borden Ladner Gervais croit que les entreprises gagneraient, comme elle, à lire les recommandations émises par les commissaires. «Les gens ne se sentent pas concernés par l'affaire Ashley Madison. Pourtant, dans son rapport, le commissaire souligne des enjeux pertinents pour toutes les entreprises.»

Éloïse Gratton cite en exemple l'absence de justification d'affaires pour garder les informations d'un usager actives au-delà d'un temps raisonnable de 29 jours après sa désinscription. «La vérification des adresses courriel des usagers au moment de l'inscription est aussi un conseil important, afin d'éviter tout préjudice à une personne dont l'identité numérique aurait été usurpée.»

«Les entreprises doivent faire preuve de diligence et adopter dès maintenant les meilleures pratiques, conseille Loïc Berdnikoff. C'est ce que plusieurs ont fait dès 2015, au moment de l'adoption des modifications législatives. Ce sera beaucoup plus facile de se conformer à la loi en ayant préparé le terrain, et ça coûte moins cher que la gestion de crise.»

Retour au dossier Droit des affaires

 

DANS LE MÊME DOSSIER

À la une

Gérer son risque de survie

EXPERT INVITÉ. Imaginez si vous épuisiez vos économies avant de mourir...

Pourquoi Claret a augmenté sa participation dans Alithya

Il y a 4 minutes | Denis Lalonde

BALADO. Claret a récemment augmenté sa participation dans Alithya. Pourquoi? On en parle avec Vincent Fournier.

Titres en action: Empire (IGA), Transat, Transcontinental...

Il y a 15 minutes | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.