Au Canada, les administrateurs et les dirigeants encourent un risque accru sur le plan de la responsabilité personnelle et de la sécurité d'emploi, en raison des risques liés à la cybersécurité. Les atteintes à la protection de données et autres incidents liés à la cybersécurité font souvent subir aux entreprises des coûts et des pertes énormes, ont des effets indésirables graves sur la réputation, et les exposent à des litiges avec des tiers ou engagent leur responsabilité à leur égard, entre autres conséquences.
Dans un nombre croissant de cas, les parties prenantes concernées cherchent à engager la responsabilité personnelle des administrateurs et des dirigeants et un certain nombre de dirigeants ont été démis de leurs fonctions à la suite d’atteintes à la protection de données.[1] Dans ce court bulletin, nous verrons un certain nombre de développements et de considérations clés à l’intention des administrateurs et des dirigeants à cet égard.
Réclamations contre les administrateurs et les dirigeants
Au Canada, le risque de responsabilité personnelle des administrateurs et des dirigeants est généralement limité. Ceux-ci peuvent toutefois encourir une responsabilité, par exemple s’ils dérogent à leurs obligations fiduciaires ou à leur devoir d’exercer leurs fonctions avec le soin, la diligence et la compétence dont ferait preuve, en pareilles circonstances, une personne prudente. Compte tenu de la complexité pouvant être associée à la surveillance des risques liés spécifiquement à la cybersécurité, de l'absence de normes juridiques claires dans le domaine et des conséquences importantes des atteintes à la protection de données, les parties concernées ont le champ libre pour tenter de déposer des plaintes attestant que les administrateurs et les dirigeants ont failli à leur devoir.
Au cours des dernières années, aux États-Unis, un certain nombre de plaintes ont été déposées contre des administrateurs et des dirigeants, en lien avec des incidents liés à la cybersécurité. Les demandeurs allèguent généralement que les administrateurs et les dirigeants n'ont pas effectué une surveillance adéquate en matière de cybersécurité au sein de l'organisation avant la survenance d’une violation ou n'ont pas effectué une surveillance adéquate des efforts de l’organisation en matière de divulgation, d'enquête et de mesures correctives, après la violation.[2] Par exemple, de telles allégations avaient été faites dans des actions intentées contre des administrateurs et des dirigeants par les actionnaires de TJX Companies, de Heartland, de Choicepoint, de Target, de Wyndham, de Home Depot et de Wendy's. Même si ces actions en justice n'ont pas été instituées pour diverses raisons techniques et procédurales, on s'attend à ce qu’elles le soient, particulièrement parce que les avocats des demandeurs savent tirer leçon de leurs erreurs et trouver de nouvelles façons créatives de formuler leurs plaintes.
Le Canada n'a pas encore été le théâtre de poursuites judiciaires de grande envergure contre des administrateurs et des dirigeants en lien avec la cybersécurité, bien que des requêtes de nature anecdotique aient été formulées dans certains cas. Toutefois, les administrateurs et les dirigeants ne doivent pas être rassurés par l’idée que de telles réclamations ne sont pas déposées au Canada, ni par le fait qu’ils pourront invoquer les moyens de protection techniques et procéduraux qui ont été couronnés de succès aux États-Unis dans un certain nombre de cas, à ce jour. Nombreux sont ceux qui estiment qu'il est probable que de telles plaintes pourraient être instituées plus facilement au Canada, comparativement aux États-Unis. De plus, le manquement à une obligation fiduciaire encoure une responsabilité stricte, ce qui pourrait avoir pour effet que la plainte soit accueillie, malgré le fait que le demandeur ne soit pas en mesure de démontrer l’existence d’un préjudice indemnisable.
Les administrateurs et dirigeants de sociétés ouvertes peuvent également faire face à des réclamations liées aux obligations de divulgation relative aux valeurs mobilières. De telles réclamations ont été instituées aux États-Unis à ce jour. Au Canada, les Autorités canadiennes en valeurs mobilières (« ACVM ») prévoient que les risques importants propres à l'entité soient divulgués de façon détaillée.[3] Les administrateurs et les dirigeants peuvent être tenus responsables d'avoir fait de fausses représentations à l’égard de leurs mesures de cybersécurité, de ne pas avoir divulgué un risque important en matière de cybersécurité ou de ne pas avoir divulgué un incident important d’atteinte à la protection de données en temps opportun. La détermination de l'importance dépendra de la situation de l'émetteur ainsi que du type d'attaque et de l'ampleur de ses conséquences. Même les cyberattaques relativement mineures peuvent être considérées comme importantes si elles sont fréquentes ou nombreuses.
Impact de l'évolution des normes et des risques
L'accomplissement des devoirs des administrateurs et des dirigeants en matière de respect de la cybersécurité doit être continuellement réévalué et évolue au rythme du paysage changeant des normes et des risques.
Bien que dans le passé, les directives concrètes relatives à la surveillance des risques en matière de cybersécurité étaient plutôt rares, nous avons assisté au cours des dernières années à l'émergence de directives spécifiques à l'intention des administrateurs et des dirigeants[4], de directives et d’initiatives sectorielles[5], d’orientations réglementaires d’application générale[6] et de changements historiques dans le paysage juridique.[7] Chacun de ces développements devrait orienter une personne raisonnablement prudente quant aux mesures qu’elle devrait prendre lorsque confrontée à des risques liés à la cybersécurité. Les administrateurs et dirigeants doivent veiller à régulièrement mettre à jour leurs connaissances, non seulement concernant les risques encourus par leurs organisations, mais également sur le contexte évolutif dans lequel leurs actions peuvent être examinées en profondeur.
À noter que de nouveaux règlements en matière de protection des renseignements personnels entreront bientôt en vigueur au Canada, en vertu desquels les organisations devront : a) aviser les personnes des atteintes à la protection des renseignements, b) signaler de telles atteintes au Commissariat à la protection de la vie privée du Canada (et autres organisations dans certaines circonstances) et c) tenir certains registres d’atteintes à la vie privée. Ces exigences créent un risque accru d'enquêtes réglementaires et de litiges en matière de cybersécurité et, par conséquent, résulteront en un examen plus approfondi des actions des administrateurs et des dirigeants, et en leur responsabilité éventuelle.
Quant à l'impact que pourrait avoir le climat évolutif de ces menaces sur les risques encourus par les administrateurs et les dirigeants, il est à noter que dans le cadre de la poursuite instituée contre les administrateurs et les dirigeants de Home Depot, suivant l’atteinte à la protection de données de 2014, il a été allégué que des attaques similaires contre des gros détaillants auraient dû amener les administrateurs et les dirigeants à conclure que Home Depot courait un risque accru d’être ainsi attaqué. On pourrait affirmer que, dans l'environnement actuel, la prédominance des attaques d’hameçonnage et de demandes de rançongiciels (pour ne nommer que ces deux risques extrêmement communs) contre des organisations de tous types et de toutes tailles, les administrateurs et les dirigeants doivent être particulièrement vigilants lors des contrôles et de la divulgation de ces risques bien connus, en plus de considérer les risques propres à leur secteur d’activités.
Étapes clés du processus
Pour s'acquitter de leurs devoirs et atténuer les risques de responsabilité personnelle liés à la cybersécurité, les administrateurs et les dirigeants devraient prendre en compte l’ensemble des considérations concernant la direction, et prendre les mesures adéquates pour leur organisation et leur secteur d’activité. Parmi les mesures clés qui devraient typiquement être prises, on retrouve notamment :
- Veiller à ce que la cybersécurité et la protection des renseignements personnels, ainsi que les ressources allouées à ces domaines, fassent régulièrement l’objet de discussions lors des réunions du conseil d'administration;
- Veiller à ce que les dirigeants ayant une expertise en matière de cybersécurité et de protection des renseignements personnels dans l'organisation fassent régulièrement des présentations au conseil tout en faisant la promotion de l’amélioration des connaissances de toute autre manière;
- Désigner un comité du conseil ou le comité d’audit, qui aura un rôle de surveillance en matière de cybersécurité et qui apportera régulièrement le sujet au conseil;
- Établir une base de référence pour les risques actuels en utilisant des cadres et des analyses de sources indépendantes afin d’établir les priorités de la direction;
- Faire appel à des tiers experts pour aider à évaluer l'efficacité et les améliorations du programme de cybersécurité (et documenter les mesures correctives);
- S'assurer qu'un programme de cybersécurité est mis en œuvre à l'échelle de l'entreprise, y compris des programmes de formation et la gestion des fournisseurs;
- Comprendre comment l'organisation mesure l'efficacité de son programme de cybersécurité;
- Réévaluer régulièrement les risques pour veiller au suivi du progrès en matière d'atténuation des risques
- Veiller à ce qu'une équipe, un plan et des ressources d'intervention en cas d'incident soient mis en place pour répondre efficacement aux incidents (ainsi qu’un plan d’intervention après sinistre ou un plan de continuité);
- Identifier les considérations relatives au transfert des risques, notamment au moyen d’une cyber-assurance.
Conclusions
Les tribunaux canadiens n’ont pas encore fourni de directives précises sur les devoirs des administrateurs et des dirigeants en matière de cybersécurité. Il est évident que la responsabilité d'un programme de cybersécurité incombera essentiellement à la direction et que, dans le cadre de son rôle de surveillance, le conseil d’administration ne sera manifestement pas tenu ou obligé de servir d'expert de l’entreprise
en matière de cybersécurité. Cependant, il ne fait aucun doute qu'au cours des dernières années, les risques encourus par les administrateurs et les dirigeants en matière de cybersécurité sont devenus une préoccupation importante. l ne fait non plus aucun doute que cette question importante continuera d’être préoccupante et qu’elle évoluera, et que nous devrons y apporter une attention soutenue et concertée.
[1] Pour example, Target CEO Gregg Steinhafel Resigns In Data Breach Fallout (seulement en anglais).
[2] Collier v. Steinhafel, Case No. 14–00266 (D. Minn. Jan. 29, 2014)
[3] CSA Staff Notice 33-321, Cyber Security and Social Media, October 19, 2017 (seulement en anglais).
[4] National Association of Corporate Directors' Director's Handbook on Cyber-Risk Oversight (January 2017); World Economic Forum's Advancing Cyber Resilience Principles and Tools for Boards (January 2017).
[5] Voir IIROC Cybersecurity Best Practices Guide and the Cyber Incident Management Planning Guide (seulement en anglais).
[6] Voir le bulletin sur la vie privée et la cybersécurité, Évolution des pratiques en matière de cybersécurité : les enseignements récents du Commissariat à la protection de la vie privée du Canada, Fasken, February 2018.
[7] Bulletin sur la vie privée et la cybersécurité, Nouvelles règles importantes en matière de declaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.
