Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

Signaler les cyberattaques, une nouvelle obligation

Offert par Les Affaires


Édition du 08 Octobre 2016

[Photo : Shutterstock]

Toutes les histoires de bris de sécurité ne sont pas aussi retentissantes que l'attaque contre le site de rencontres extraconjugales Ashley Madison. Les risques réputationnels, juridiques et financiers sont néanmoins pris de plus en plus au sérieux par les entreprises. Les modifications annoncées à la loi fédérale sur les renseignements personnels pourraient avoir un impact sur leurs devoirs légaux en cas de cyberattaque.

Retour au dossier Droit des affaires

La future loi fédérale, renommée Loi sur la protection des renseignements personnels numériques, prévoit notamment l'obligation des entreprises qui recueillent, utilisent ou communiquent des renseignements personnels de signaler au commissaire à la protection de la vie privée du Canada et au public concerné les attaques qu'elles subissent.

«Bien que la loi provinciale prévale pour les entreprises québécoises, celles qui font des affaires et qui détiennent des données concernant le reste du Canada sont touchées», prévient Loïc Berdnikoff, avocat chez Lavery dans le domaine de la protection des renseignements personnels.

Documenter les attaques à la sécurité

Le signalement s'appliquerait aux attaques qui constituent un «risque réel de préjudice grave». «La proposition renvoie par exemple aux dommages à la réputation, au vol ou à la possibilité d'une perte d'activités professionnelles», dit Éloïse Gratton, avocate en protection des données et vie privée chez Borden Ladner Gervais.

«L'inquiétude que soulève ce règlement tient de la notification fatigue», cet excès d'avertissements qui rend le public insensible ou hypersensible et qui nuit à la vigilance, explique Mme Gratton. Elle note par contre que certaines entreprises avertissent déjà leurs utilisateurs des brèches sans y être obligées, dans un esprit de transparence.

La future loi demanderait également aux entreprises de répertorier à l'interne les atteintes à la sécurité. L'idée est de pouvoir fournir un historique à la demande d'un commissaire qui voudrait situer une brèche dans son contexte et préciser, par exemple, une négligence potentielle.

Néanmoins, la question reste large, selon plusieurs avocats qui ont suivi les récentes consultations publiques. «On n'a toujours pas adopté de règlements d'application qui établissent un seuil de signalement et de documentation adéquat et clair, pour éviter d'en venir à des situations extrêmes. Sans compter que la loi prévoit des sanctions économiques, une nouveauté, qui iront jusqu'à 100 000 $ pour un défaut de signalement», indique Charles Morgan, coleader du groupe national de cybersécurité chez McCarthy Tétrault.

Éloïse Gratton, avocate chez Borden Ladner Gervais.

Mécanismes préventifs

La plupart des grandes entreprises sont prêtes à accueillir les changements annoncés, croit toutefois Charles Morgan. «Les autorités de réglementation les obligent bien souvent à mettre en place des mécanismes préventifs. C'est chez les PME que le bât blesse.»

Les commissaires regardent trois choses lors d'un bris, met en garde Éloïse Gratton. «D'abord, l'entreprise respectait-elle les standards technologiques de l'heure ? Dans ce cas, il y a aussi avantage à vérifier que notre contrat avec le fournisseur qui héberge nos données comporte des clauses nous protégeant.»

Enfin viennent les aspects gouvernance et culture d'entreprise. «Avait-on un plan de match ? Qui sont les personnes-ressources ? Les employés connaissent-ils la procédure à suivre ? Autant de questions qu'il faut poser maintenant, que la loi passe dans six mois ou un an», souligne Éloïse Gratton.

Apprendre d'Ashley Madison

L'avocate de Borden Ladner Gervais croit que les entreprises gagneraient, comme elle, à lire les recommandations émises par les commissaires. «Les gens ne se sentent pas concernés par l'affaire Ashley Madison. Pourtant, dans son rapport, le commissaire souligne des enjeux pertinents pour toutes les entreprises.»

Éloïse Gratton cite en exemple l'absence de justification d'affaires pour garder les informations d'un usager actives au-delà d'un temps raisonnable de 29 jours après sa désinscription. «La vérification des adresses courriel des usagers au moment de l'inscription est aussi un conseil important, afin d'éviter tout préjudice à une personne dont l'identité numérique aurait été usurpée.»

«Les entreprises doivent faire preuve de diligence et adopter dès maintenant les meilleures pratiques, conseille Loïc Berdnikoff. C'est ce que plusieurs ont fait dès 2015, au moment de l'adoption des modifications législatives. Ce sera beaucoup plus facile de se conformer à la loi en ayant préparé le terrain, et ça coûte moins cher que la gestion de crise.»

Retour au dossier Droit des affaires

 


image

DevOps

Mercredi 11 septembre


image

Gestion du changement

Mardi 17 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Gestion de la formation

Jeudi 05 décembre

DANS LE MÊME DOSSIER

Sur le même sujet

Les dirigeants d'Ashley Madison s'entendent avec les autorités

15/12/2016 | AFP

Les opérateurs du site de rencontres Ashley Madison payeront une pénalité de 1,6M$ un an après un retentissant piratage.

10 choses à savoir mercredi

Mis à jour le 24/08/2016 | Yannick Clérouin, Alain McKenna et Julien Abadie

Ceci est une carte de crédit, le pot danger pour la productivité?, le secret du succès de ce pdg: faire des erreurs...

À la une

Pourquoi le risque d'une guerre avec l'Iran est faible

22/06/2019 | François Normand

ANALYSE - Les tensions sont vives, mais ni Washington ni Téhéran ont intérêt à déclencher une guerre. Voici pourquoi.

Bourse: les années nous enseignent ce que les jours ignorent

21/06/2019 | Philippe Leblanc

BLOGUE INVITÉ. Depuis combien de temps investissez-vous en Bourse?

Bourse: les gagnants et perdants de la semaine

21/06/2019 | Martin Jolicoeur

BILAN. Quels sont les titres d'entreprises qui ont le plus marqué l'actualité boursière de la dernière semaine?