Le 22 septembre 2016, Yahoo Inc. (« Yahoo »), en pleine négociation d'une opération de 4,8 milliards de dollars visant la vente de ses activités principales à Verizon Communications Inc., a révélé que certaines données de comptes d'utilisateurs, notamment des noms, des adresses électroniques, des dates de naissance et des mots de passe, avaient été récupérées illicitement à partir d'au moins 500 millions de comptes Yahoo en 20141. Bien que l'envergure de cette atteinte à la protection des données soit en elle-même surprenante, sa divulgation tardive a suscité de vives critiques quant au moment exact où Yahoo a eu connaissance de ce que l'on qualifie de plus importante compromission de données pour un fournisseur de messagerie électronique.

Le sénateur des États-Unis Mark Warner a publié une lettre ouverte à la Securities and Exchange Commission (« SEC ») enjoignant l'organisme de réglementation de mener une enquête sur Yahoo au sujet de l'absence de divulgation par la société dans cette affaire2. La SEC a donné des directives aux sociétés ouvertes sur la divulgation en matière de cybersécurité depuis déjà quelque temps. En 2011, la Division of Corporation Finance de la SEC a publié des lignes directrices invitant les sociétés ouvertes à communiquer l'information concernant les risques en matière de cybersécurité et les cas de cyberinfraction susceptibles d'avoir des répercussions importantes sur l'entreprise 3. Le Wall Street Journal, citant une analyse réalisée par Audit Analytics, a récemment rapporté que sur les quelques 90 000 sociétés cotées en bourse aux États-Unis, seulement 95 avaient informé la SEC d'une cyberinfraction depuis janvier 20104.

L'intrusion chez Yahoo a porté la divulgation en matière de cybersécurité à l'avant-plan de la réglementation en valeurs mobilières. Le 27 septembre 2016, les Autorités canadiennes en valeurs mobilières (ACVM) ont fourni aux participants des marchés de capitaux des indications à l'égard de la communication d'information sur la cybersécurité dans l'Avis du personnel des ACVM 11-332 (l'« avis de 2016 »)5 qu'elles ont publié. L'avis de 2016 remplace l'Avis du personnel des ACVM 11-326 publié le 26 septembre 2013 (l'« avis de 2013 »)6.

Dans l'avis de 2013, on enjoignait aux sociétés ouvertes d'évaluer si une cybermenace ou une cyberattaque à l'endroit de l'émetteur devait être qualifiée de fait important ou de changement important devant être divulgué dans un prospectus ou dans un document d'information continue. À part la recommandation d'aborder la divulgation en matière de cybersécurité en fonction de l'importance de l'enjeu, aucune directive n'a été fournie aux émetteurs quant à la notion d'importance dans le contexte du cyberespace et aucune indication ne leur a été fournie sur le contenu et la nature de cette information en matière de cybersécurité ou sur le moment où elle devait être communiquée.

L'avis de 2016 a pour objectif de fournir une directive plus claire reposant sur l'examen par les ACVM de l'information en matière de cybersécurité de différents émetteurs. L'examen des ACVM a permis de découvrir que bon « nombre d'émetteurs n'avaient aucune information ou n'avaient que de l'information passe-partout ne portant sur aucune entité en particulier. » L'avis de 2016 rapporte que les ACMV comptent maintenant entreprendre un examen plus approfondi des émetteurs de plus grande taille afin de mieux comprendre comment ces derniers évaluent l'importance des risques liés à la cybersécurité ou des cyberattaques, et les résultats de cet examen seront publiés à une date ultérieure. Entre-temps, l'avis de 2016 indique que, dans la mesure où l'on considère qu'un risque pour la cybersécurité ou une cyberattaque revêt de l'importance, les ACMV s'attendent à ce que l'information communiquée soit « aussi détaillée que possible ». Les sociétés ouvertes devraient également disposer d'un plan de reprise après une cyberattaque expliquant le mode d'évaluation de l'importance d'une cyberattaque afin d'« établir si de l'information doit être rendue publique à son sujet, à quel moment et de quelle façon en cas d'attaque ».

La cybersécurité a été désignée comme une priorité dans le Plan d'affaires des ACVM 2016-20197. Les sociétés ouvertes devraient rester à l'affût des résultats de l'examen des ACMV portant sur les émetteurs de plus grande taille lequel pourrait fournir des paramètres plus clairs quant aux cyberrisques et cyberattaques pouvant être qualifiés d'importants et ainsi justifier leur divulgation dans un prospectus ou un document d'information continue. Bien que les sociétés doivent être diligentes lorsqu'elles repoussent les cybermenaces, elles doivent l'être tout autant lorsqu'elles évaluent leur information sur la cybersécurité et choisissent le moment de la communiquer.