Vous avez été piraté : la responsabilité du conseil en matière de cybersécurité et de gestion du risque

9 août 2019

En ce qui concerne les cyberattaques, même les puissants tombent de haut. Des employés malveillants aux fuites accidentelles, le nombre d’intrusions continue de grimper au Canada. La gestion du cyberrisque est devenue omniprésente au sein des conseils d’administration (les « conseils ») partout au Canada. John MacKay, président du comité de la sécurité publique et nationale nous a prévenu : [traduction] « du point de vue de la sécurité, nous avons affaire à un nouveau terrorisme ». Selon Statistique Canada, plus du cinquième des entreprises canadiennes ont déclaré des incidents de cybersécurité qui ont eu des répercussions sur leurs activités en 2017. Une recherche a démontré que le coût moyen du cybercrime pour les sociétés canadiennes s’est élevé à 9,25 millions de dollars américains en 2018. Les atteintes à la cybersécurité peuvent entraîner de grandes pertes financières et pertes de réputation. Les administrateurs doivent envisager des façons d’éviter que leurs sociétés subissent des atteintes à la cybersécurité.

Qu’est qu’une atteinte à la cybersécurité?

Les atteintes à la cybersécurité comportent généralement l’accès non autorisé à des données et se produisent grâce à l’exploitation des vulnérabilités d’un système, de mots de passe faibles et d’attaques ciblées opérées par des logiciels malveillants. Les attaques visant les personnes augmentent et 85 % des organisations dans le monde subissent désormais des attaques d’hameçonnage et d’ingénierie sociale. L’ingénierie sociale comporte l’utilisation de pratiques trompeuses pour manipuler des particuliers dans le but de les amener à prendre des mesures ou à exposer des renseignements confidentiels. La divulgation de données personnelles constitue le dénominateur commun des atteintes à la cybersécurité. Les sociétés doivent savoir que ces atteintes peuvent donner lieu à l’application des lois sur la protection des données, notamment la Loi sur la protection des renseignements personnels et les documents électroniques du Canada. Dans une situation problématique, la société, particulièrement la société ouverte, doit connaître les informations à communiquer et agir en conséquence. 

Quelles sont les obligations des administrateurs?

Les administrateurs peuvent être responsables des atteintes aux données et à la cybersécurité s’ils contreviennent à leurs obligations envers la société. Le droit canadien impose deux principales obligations aux administrateurs : 

  • agir honnêtement et de bonne foi au mieux des intérêts de la société (l’obligation fiduciaire de loyauté);
  • exercer le soin, la diligence et la compétence dont ferait preuve, en pareilles circonstances, une personne prudente (l’obligation de diligence).

Aux termes de leur obligation fiduciaire de loyauté, les administrateurs doivent agir honnêtement et de bonne foi envers la société, éviter les conflits d’intérêts avec la société et ne pas abuser de leurs fonctions à leur avantage personnel. Aux termes de leur obligation de diligence, les administrateurs doivent prendre des décisions éclairées et rationnelles, de manière diligente et après délibération. Les décisions des administrateurs doivent être conformes à la norme objective de la personne prudente placée dans des circonstances comparables.

Comment les administrateurs peuvent-ils se défendre?

Les tribunaux appliquent la « règle de l’appréciation commerciale » afin d’établir si l’administrateur a respecté ses obligations et ils acceptent la décision de l’administrateur qui s’inscrit dans un éventail de solutions raisonnables possibles. Pour se prévaloir de la règle de l’appréciation commerciale, l’administrateur doit pouvoir démontrer qu’il a exercé son jugement à la lumière d’une analyse factuelle convenable et a agi au mieux des intérêts de la société. La défense de diligence raisonnable permet à l’administrateur d’éviter de mettre en jeu sa responsabilité s’il peut démontrer qu’il a établi des processus visant à prévenir les circonstances susceptibles d’entraîner d’éventuelles réclamations. L’administrateur peut s’en remettre de bonne foi aux déclarations, documents et rapports produits par des spécialistes. Pour se prévaloir de la défense de diligence raisonnable, il doit être au courant des politiques et protocoles de cybersécurité, lesquels doivent être adaptés au contexte de l’entreprise et du secteur.

L’évolution du droit et son influence sur la responsabilité de l’administrateur

La jurisprudence canadienne sur la responsabilité de l’administrateur en cas d’atteintes à la cybersécurité reste à créer. La jurisprudence américaine donne un aperçu de l’évolution potentielle du droit canadien. Aux États-Unis, de nombreuses tentatives visant à tenir les administrateurs responsables des atteintes à la protection des données et des cyberpertes ont échoué. Toutefois, dans des décisions récentes qui concernaient Yahoo! Inc. et Equifax, les tribunaux sont parvenus à des conclusions différentes. Pour plus de détails, voir « Cinq sujets d’actualité en 2019 : la cybersécurité ».

La jurisprudence américaine récente montre que les dirigeants et les administrateurs peuvent être éventuellement tenus responsables des atteintes à la cybersécurité. À la lumière des dernières conclusions jurisprudentielles américaines envisagées du point de vue canadien, un tribunal pourrait conclure qu’un dirigeant n’a pas respecté son obligation de diligence si une personne raisonnable au courant des vulnérabilités en matière de sécurité aurait pris des mesures pour corriger ces vulnérabilités. En outre, ces décisions de justice laissent également entendre qu’un dirigeant ne pourrait se prévaloir de la règle de l’appréciation commerciale ou de la défense de diligence raisonnable s’il est possible de prouver qu’aucun processus convenable et utile n’a été suivi.

Gérer les risques de votre société

Comme les atteintes à la cybersécurité sont de plus en plus exposées au grand jour, la surveillance exercée sur les conseils s’intensifie afin qu’ils dotent leurs sociétés de mesures de cybersécurité accrues. Même si les administrateurs n’ont pas à s’ingérer dans tous les détails techniques liés à la cybersécurité, le conseil doit exercer une surveillance convenable.

Les facteurs suivants doivent notamment être pris en compte par les sociétés, qu’elles soient petites ou grandes :

  • Le conseil doit comprendre et appuyer les stratégies de gestion des risques liés à la cybersécurité sous l’angle de l’exercice de son autorité.
  • Il faut établir des politiques et procédures internes applicables à la gestion des renseignements personnels, de la cybersécurité et de la protection des données. La société doit faire appliquer ces politiques et envisager des mesures disciplinaires en cas d’infraction.
  • Il faut offrir régulièrement de la formation au personnel afin de promouvoir un niveau convenable de connaissances pratiques et faire appliquer des pratiques exemplaires.
  • Il faut envisager d’opposer des stratégies aux employés malveillants, y compris, le cas échéant, établir des relations contractuelles claires et détaillées avec les employés, notamment rédiger soigneusement les conventions de confidentialité et de non-divulgation. D’autres stratégies peuvent être adoptées comme le fait de mentionner les politiques et procédures de la société dans tous les contrats de travail, rendre ces politiques et procédures accessibles aux employés et veiller à ce que les gestionnaires perçoivent la résistance et la rancœur des employés.
  • Il faut évaluer le type de données que la société recueille de manière régulière et limiter l’accès aux données personnelles au personnel autorisé.
  • Il faut documenter le processus décisionnel des administrateurs afin d’être en mesure de démontrer le soin, la diligence et la compétence exercés par les administrateurs.
  • Il faut retenir les services d’effectifs compétents en matière de cybersécurité et, le cas échéant, attribuer des fonctions précises de protection des renseignements personnels à un dirigeant.
  • Il faut procéder à des évaluations régulières des systèmes, réseaux et applications informatiques, y compris l’authentification multifactorielle.
  • Il faut mener des contrôles de vulnérabilité et de sécurité des tiers. Si la société a recours à un fournisseur de services infonuagiques, elle doit évaluer la sécurité du fournisseur.
  • Il faut obtenir l’avis d’un spécialiste externe.
  • Il faut souscrire une assurance visant la cybersécurité et la législation anti-pourriel du Canada qui garantit les interventions en cas d’incident et les mesures de reprise.
  • Le Centre canadien pour la cybersécurité a publié dernièrement « Contrôles de cybersécurité de base pour les petites et moyennes organisations» afin d’aider les entreprises à évaluer leurs contrôles. Cette publication pourrait être une référence utile.

N’hésitez pas à communiquer avec Stikeman Elliott si vous avez besoin de conseils relativement aux questions qui précèdent ou aux questions générales de responsabilité des administrateurs. 

Corédigé par Prateek Gupta et Melissa Craig, étudiante en droit.

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir