Savon Bubulle inc., une entreprise fictive de savon artisanal, a été victime d’une cyberattaque! Elle a mis en exécution son plan d’intervention afin de gérer la crise et d’éviter d’autres pertes de données. La fuite a beau avoir été colmatée, il reste un problème à régler : l’entreprise doit-elle divulguer le cyberincident ? La loi l’impose-t-elle?
Écrit en collaboration avec Radia Amina Djouaher et Kabrina Péron
La réponse est oui, mais dans des conditions bien précises. Savon Bubulle inc. devra divulguer l’incident dans un cas où des données personnelles auraient été compromises et où leur fuite présenterait un risque réel pour les personnes touchées! Comme elle opère un site transactionnel, la savonnerie a vu plusieurs renseignements identifiables à ses clients être compromis par le cyberincident.
Dans ce type de situation, tant la loi provinciale que les lois fédérales prévoient une obligation de divulgation. Dans cette chronique, je vous présente vos principales responsabilités comme chef d’entreprise et les conséquences qui vous guettent si vous décidez de garder le secret.
1. Premier réflexe: qui aviser?
À la suite d’une cyberattaque, je vous recommande de dévoiler en priorité l’incident à votre conseil d’administration, à votre équipe de direction ainsi qu’aux autres membres à l’interne dont les informations ont été touchées, comme vos employés.
Vous devrez aussi aviser vos clients et vos partenaires d’affaires si leurs informations personnelles ont été compromises.
En vertu de la loi provinciale et des lois fédérales, vous devez aller plus loin et aviser tout individu dont les renseignements personnels sont concernés par l’atteinte aux mesures de sécurité (un ancien client, un stagiaire).
Une autre condition s’applique: votre obligation de notification ne s’enclenche que lorsque la fuite présente un « risque réel de préjudice grave » pour les individus dont les données ont été touchées. Dans le cas de Savon Bubulle inc., ses clients ont fourni des informations bancaires afin d’acheter certains produits en ligne. Ces données sont critiques et pourraient être utilisées avec une intention malveillante. Voilà le genre de circonstances visées par ce critère. À contrario, les noms et adresses des abonnés de l’infolettre de Savon Bubulle inc. ne seront généralement pas considérés comme des renseignements critiques.
Dans un monde idéal, il serait souhaitable d’avoir déjà réfléchi à un plan de contingence à la suite d’une cyberattaque. Je vous recommande notamment de préparer en amont un plan de communication autant à l’interne qu’à l’externe.
2. Vos obligations de divulgation aux organisations gouvernementales
Au niveau fédéral, la loi prévoit que vous devez aviser le Commissariat à la protection de la vie privée (Commissariat) de toute atteinte aux mesures de sécurité servant à protéger des renseignements personnels.
Au niveau provincial, vos obligations sont similaires. Plutôt que le Commissariat, il vous faudra aviser la Commission d’accès à l’information (Commission). Notez que les modalités précises sont définies par le projet de loi 64 qui est encore à l’étude détaillée, mais dont l’adoption est imminente.
Si votre entreprise est active sur le plan international, elle devra respecter les règles de divulgation transnationales. Par exemple, si Savon Bubulle inc. offre des biens ou services dans l’Union européenne, elle devra se conformer au Règlement général sur la protection des données.
Si vous soupçonnez un vol d’identité, une utilisation non autorisée d’un ordinateur ou encore des méfaits à l’égard de données informatiques ou tout autre acte de cybercriminalité, vous devez aussi contacter les services de police. Pour une liste plus complète de cybercrimes, je vous recommande de consulter le site ci-joint.
3. Vos obligations contractuelles
Savon Bubulle inc. a des contrats avec plusieurs fournisseurs et prestataires de service. Si vous êtes dans la même situation, je vous conseille de vous attarder à ces contrats pour voir s’ils prévoient des obligations en cybersécurité. Il sera important de vérifier si une obligation de notification y est prévue.
4. Les normes informelles
Les organismes fédéraux et provinciaux de réglementation peuvent vous obliger à déclarer tout incident de cybersécurité si vous en êtes membres. C’est le cas de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM). Les institutions financières fédérales (IFF) doivent aussi signaler des incidents au Bureau de surintendant des institutions financières au Canada (BSIF).
5. Conséquences d’une non-divulgation
Le dirigeant d’une entreprise pourrait être tenté de ne pas respecter son obligation de divulgation afin de ne pas nuire à sa réputation, mais cette décision serait lourde de conséquences.
Le projet de loi C-11 au fédéral et le projet de loi 64 au provincial attribuent de nouveaux pouvoirs au Commissariat et à la Commission qui leur permettent de recommander ou d’imposer des sanctions pénales et administratives pour une violation de l’obligation de déclaration. Ces sanctions administratives peuvent s’élever à 10 M$ ou à un montant correspondant à 2 % du chiffre d’affaires de l’entreprise. Les sanctions pénales peuvent monter à 25 M$ ou à 4 % ou 5 % des recettes globales brutes de l’entreprise!
Vous l’aurez donc compris, je ne vous conseille certainement pas de garder le secret!
Notez que la divulgation doit aussi être effectuée dans un certain délai. Cependant, la loi provinciale et les lois fédérales prévoient seulement qu’elle doit être faite avec diligence et le plus tôt possible, mais sans plus de détails.
Récemment, la Cour supérieure du Québec a jugé qu’un délai de 46 jours entre une fuite de données et la divulgation aux investisseurs touchés était raisonnable. Son raisonnement se basait notamment sur le laps de temps nécessaire pour identifier les individus, les entreprises et les informations touchées et pour placer des mesures protectrices correctrices.
Restez à l’affût, car une déclaration d’appel a été déposée à l’égard de cette décision!
