UN | HAUSSE DU NOMBRE DE RECOURS COLLECTIFS AUTORISÉS EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE

De nouveaux délits liés à la protection de la vie privée sont récemment apparus dans certaines provinces et certains territoires du Canada, notamment l’intrusion dans l’intimité et la publicité donnée à la vie privée. Un demandeur peut intenter une poursuite pour intrusion dans l’intimité si 1) une personne s’est introduite intentionnellement et de manière inconsidérée dans ses affaires privées sans justification, et 2) une personne raisonnable considérerait l’invasion comme très choquante. En Ontario, des dommages-intérêts pouvant aller jusqu’à 20 000 $ CA peuvent être obtenus, et ce, même si le demandeur n’a subi aucun préjudice économique. Le délit de publicité donnée à la vie privée permet à un demandeur d’entreprendre une poursuite pour publication de renseignements privés lorsque cela ne présente aucun intérêt légitime pour le public. Les tribunaux autorisent de plus en plus de recours collectifs portant sur de telles allégations d’atteinte à la vie privée, même en l’absence de preuve de préjudice. À notre avis, le nombre de recours du genre continuera d’augmenter en raison de la multiplication des atteintes à la sécurité des données.

DEUX | EXIGENCE FÉDÉRALE DE SIGNALEMENT OBLIGATOIRE DES ATTEINTES À LA SÉCURITÉ DES DONNÉES

À l’heure actuelle, l’Alberta est la seule province canadienne à avoir en place des exigences de notification obligatoire en cas d’atteinte à la sécurité des données (en dehors du contexte médical). Les nouvelles dispositions en ce sens prévues par la Loi sur la protection des renseignements personnels et les documents électroniques, loi fédérale régissant la collecte, l’utilisation et la communication de renseignements personnels à des fins commerciales, ont reçu la sanction royale le 18 juin 2015. Elles n’entreront toutefois en vigueur qu’une fois les règlements d’application approuvés, soit vraisemblablement en 2016. Ces règlements exigeront qu’une organisation informe le Commissariat à la protection de la vie privée du Canada de toute atteinte à la sécurité des données ayant trait à des renseignements personnels dont elle assure la gestion, si l’atteinte présente « un risque réel de préjudice grave » à l’endroit des intéressés. Les organisations devront aussi aviser les institutions gouvernementales et d’autres organisations dans certaines circonstances, notamment si ces dernières peuvent être en mesure de réduire ou d’atténuer le risque de préjudice à l’endroit des intéressés. En outre, elles devront conserver un registre de toutes les atteintes aux mesures de sécurité suffisamment graves survenues, y compris celles ne satisfaisant pas au critère de préjudice. Une organisation qui omet sciemment de déclarer une atteinte ou de la consigner dans un registre commet une infraction passible d’une amende pouvant aller jusqu’à 100 000 $ CA.

Lorsque les nouvelles obligations de signalement prendront effet, le nombre de recours collectifs portant sur la protection de la vie privée croîtra inévitablement, car les conseillers juridiques des demandeurs disposeront davantage de renseignements concernant les atteintes à la sécurité des données.

TROIS  | SENSIBILISATION ET PARTICIPATION DES CONSEILS D’ADMINISTRATION ET DE LA DIRECTION

Dans la foulée de la récente vague de cyberattaques très médiatisées, dont celle visant le site Web canadien AshleyMadison.com, la cybersécurité est devenue l’une des principales préoccupations des conseils d’administration canadiens. Ces derniers veulent non seulement mieux comprendre leur rôle dans la gestion des cyberrisques au sein de leurs organisations, mais aussi avoir une meilleure idée de ce à quoi ils s’exposent s’ils omettent de tenir compte de ces risques. Il faut savoir qu’en cas d’atteinte à la sécurité des données, les actionnaires et d’autres personnes pourraient directement intenter des poursuites contre les administrateurs et les dirigeants. Rappelons qu’aux termes de la Loi canadienne sur les sociétés par actions, les administrateurs et dirigeants d’une société doivent agir avec le soin, la diligence et la compétence dont ferait preuve, en pareilles circonstances, une personne prudente. Aussi les conseils d’administration de sociétés canadiennes redoublent-ils d’efforts pour trouver la meilleure façon d’être à l’affût des cyberrisques au sein de leurs organisations. De plus, ils se posent fréquemment des questions sur leur rôle dans la mise en place de structures de gouvernance efficaces pour la gestion des cyberrisques, dans l’établissement de politiques relatives à la protection de la vie privée et visant l’atteinte d’un niveau de sécurité maximal, dans la mise en œuvre et l’évaluation périodique de programmes de sécurité, ainsi que dans l’instauration et la mise à l’essai périodique de protocoles de réponse aux incidents de cybersécurité.

QUATRE  | TIERS FOURNISSEURS DE SERVICES

De nos jours, il ne suffit plus de se concentrer uniquement sur la sécurité des réseaux internes. En effet, depuis l’avènement de l’informatique en nuage, un nombre croissant de données sont confiées à des tiers fournisseurs de services. Se rendant compte des risques auxquels peut les exposer une telle collaboration, les organisations canadiennes adoptent certaines mesures visant à mieux comprendre les pratiques en matière de sécurité et les programmes de continuité des activités mis en place par leurs fournisseurs. Les évaluations de la sécurité avant la conclusion d’une entente sont donc devenues une pratique assez courante au sein des organisations qui confient des données sensibles à des fournisseurs externes. Toutefois, compte tenu des normes rigoureuses du secteur en matière de gestion de la sécurité de l’information, elles tendent aussi à procéder à des évaluations périodiques de la sécurité pendant la durée de l’entente.

Par ailleurs, les organisations devraient envisager d’inclure des obligations relatives à la sécurité de l’information dans les contrats qu’elles concluent avec un fournisseur externe si ce dernier se voit ainsi confier des données sensibles ou s’il existe un « lien » entre le réseau de l’organisation et celui du fournisseur externe. Elles devraient également penser sérieusement à adopter des mesures de contrôle de la sécurité pertinentes à l’égard du fournisseur, notamment exiger que ce dernier respecte ses propres politiques de sécurité en plus de certaines de celles de l’organisation, de même que les normes ISO pertinentes ou encore d’autres normes du secteur en matière de sécurité applicables (ou une combinaison de ces éléments). De plus, elles devraient prévoir expressément dans leur contrat des vérifications ou des évaluations de la sécurité des activités du fournisseur, et  exiger des rapports de vérification ou d’autres documents d’information périodiques sur tout événement lié à la sécurité. Finalement, le  contrat conclu avec le fournisseur devrait indiquer clairement comment celui-ci doit déclarer, traiter et gérer les éventuelles atteintes à la protection des renseignements. Bien entendu, ce contrat doit imposer au fournisseur assez d’obligations pour que l’organisation puisse à son tour respecter l’exigence de signalement obligatoire des atteintes à la sécurité des données ainsi que les autres exigences en matière de protection de la vie privée et de sécurité prévues par les lois applicables. La responsabilité à l’égard des atteintes à la sécurité des données devrait d’ailleurs être répartie entre l’organisation et le fournisseur.

Pour terminer, les organisations devraient réfléchir, d’une part, à la pertinence d’obliger un fournisseur à souscrire une assurance contre les cyberrisques (si possible) et, d’autre part, à la nécessité de se procurer une protection supplémentaire pour atténuer leur exposition à ce type de risques.