| Charles : |
Bonjour, je m’appelle Charles Sieuw. |
| Jordan : |
Et je m’appelle Jordan Virtue. Bienvenue au balado Continuité. |
| Charles : |
Comme le mois de la sensibilisation à la cybersécurité tire à sa fin, nous terminons ce mois avec une conversation sur la protection de la vie privée au Canada. |
| Jordan : |
Tout comme les cyberattaques, la législation relative à la protection de la vie privée évolue constamment. Il est important que les organisations restent à l’affût de ces développements, et qu’elles soient prêtes à se protéger et à protéger les autres intervenants. |
| Charles : |
Dans l’épisode d’aujourd’hui, Sunny Handa, de Lobe Lederman, Jenna Green et Renee Reichelt, tous des avocats de notre groupe Cybersécurité, jetteront la lumière sur les façons d’atténuer les risques d’atteinte à la protection des données et d’éventuelles actions collectives. |
| [musique] |
|
| Jordan : |
Sunny, au cours de cette dernière année, le sujet de la cybersécurité a fait les manchettes à maintes reprises, notamment pour des attaques par rançongiciel, mais y a-t-il d’autres types d’attaques dont les organisations devraient se préoccuper? |
| Sunny : |
Il y a plusieurs types de cyberattaques, mais pour répondre à votre question, j’aimerais parler surtout des courriels d’affaires compromis. Il s’agit d’un mode de cyberattaque par lequel l’attaquant prend le contrôle de la boîte de courriel de la victime. Il s’agit de l’un des types de cyberattaques les plus faciles à exécuter, car il suffit à l’attaquant d’obtenir le mot de passe de sa victime.
Encore aujourd’hui, bon nombre de systèmes ne disposent pas d’un dispositif d’authentification multifactorielle. Ce qui signifie que, pour vous connecter, vous avez besoin de votre mot de passe et d’un autre identifiant, par exemple, un code généré sur votre téléphone intelligent. Si vous perdez votre mot de passe, votre boîte de courriel en entier devient à risque. Elle peut être déplacée à l’extérieur de votre entreprise avec tout son contenu. Nous avons eu des clients qui ont perdu de cette façon tous les courriels qu’ils cumulaient depuis 20-25 ans et tout le travail qui s’y rattachait. Quelqu’un peut aussi accéder à votre boîte de courriels et y effectuer des actions; par exemple, générer des demandes au sein de votre organisation. |
| Jordan : |
Y a-t-il d’autres mesures que peuvent prendre les organisations pour se prémunir contre des atteintes? |
| Sunny : |
La première chose à faire, simplement du point de vue de la planification, c’est d’embaucher un spécialiste des cas d’atteinte à la protection des données. Il y en a quelques-uns au sein du marché. Nous en avons un ici chez Blakes, et nous fournissons ce service, mais d’autres le font aussi. Il s’agit d’un spécialiste qui peut vous guider non seulement à l’étape de la préparation, mais aussi lorsqu’un incident survient. Le fait d’embaucher un tel spécialiste avant que survienne un incident peut vous simplifier énormément la vie.
Ensuite, adoptez un système d’authentification multifactorielle — nous en avons déjà parlé. Désactivez certains services. Par exemple, mettez fin à l’accès à distance à un poste de travail, où vous pouvez vous connecter à distance à votre ordinateur. Assurez-vous que votre équipe des TI comprend si vous avez besoin de ce système et, si c’est le cas, qu’il soit adéquatement sécurisé.
Pour ce qui est de courriels d’affaires compromis, dont nous avons parlé, désactivez certains protocoles : IMAP, POP. Ces protocoles permettent d’exfiltrer toute votre boîte de courriels très simplement.
N’utilisez pas des systèmes d’exploitation désuets. Il est facile d’y pénétrer. Si vous constatez qu’une mise à jour est disponible, installez-la. Plusieurs attaques ont lieu durant la période entre le lancement d’un correctif, et donc lorsque la vulnérabilité d’un système est annoncée, et le moment où le correctif est installé. Ce sont donc des actions simples. Il n’y a rien de sorcier. Le fait de faire preuve d’un peu de vigilance peut vous aider grandement à long terme. |
| Charles : |
de lobe, y a-t-il des changements qui se dressent à l’horizon dans le paysage canadien de la protection de la vie privée? |
| de lobe : |
Il s’agit en fait d’une période très intéressante pour exercer dans le domaine de la protection de la vie privée, car nous assistons à un certain nombre de changements dans le paysage législatif qui sont susceptibles d’avoir une incidence importante sur la façon dont les entreprises au Canada gèrent la conformité aux exigences en matière de protection de la vie privée à l’avenir, et ces changements se produisent à différents endroits au Canada.
D’un côté, il y a le projet de loi 64 du Québec, qui a reçu très récemment la sanction royale et qui a vraiment donné le ton à ce à quoi pourrait ressembler la législation moderne en matière de protection des renseignements personnels dans le secteur privé au Canada. De l’autre côté, il y a des provinces comme l’Ontario et l’Alberta qui consultent actuellement les intervenants et les groupes sectoriels pour déterminer quels changements devraient ou pourraient être apportés à leurs régimes respectifs pour s’adapter à l’évolution des circonstances.
Et, bien sûr, l’achèvement des élections fédérales signifie que nous verrons sans doute des changements sur ce front également.
Bref, la donne change partout au Canada. Il sera donc important pour les entreprises de demeurer à l’affût de ces changements et de rester au fait des nouvelles exigences à l’avenir. |
| Charles : |
À la suite de ces changements, quels sont certains problèmes auxquels les organisations peuvent être confrontées? |
| de lobe : |
C’est une bonne question. Pour l’ensemble des cas, le diable se cachera dans les détails. Nous ne pouvons pas connaître avec certitude la nature des problèmes tant que nous n’aurons pas vu la version finale de toutes les lois.
Mais je pense que la plupart des gens qui exercent dans ce domaine s’entendront sur un point : partout au Canada, nous nous dirigeons vers des normes plus rigoureuses en matière de protection de la vie privée, en raison du fait que, généralement, on perçoit que la législation n’a pas vraiment emboîté le pas aux changements technologiques et que les organismes de réglementation n’ont pas, à l’heure actuelle, d’outils adéquats pour tenir les entités non conformes responsables. C’est pourquoi nous nous dirigeons vraisemblablement vers un modèle européen, c’est-à-dire le RGPD, pour ainsi dire, pour ce qui est des régimes de protection de la vie privée au Canada.
Ce que cela signifie pour les entreprises, principalement, c’est qu’il y aura un besoin accru pour elles d’être conscientes des éléments de leurs activités qui touchent aux renseignements personnels et d’accorder réellement une attention particulière à la protection de la vie privée. Les organismes de réglementation s’attendront à ce que les entreprises soient responsables des renseignements qu’elles recueillent et à ce qu’elles s’assurent de respecter la lettre de la loi. Si elles ne le font pas, les risques pour elles seront plus élevés à l’avenir.
Je m’attends aussi à ce que la possibilité d’amendes importantes en cas de non-respect des nouvelles normes qui entreront en vigueur soit un élément commun à toute législation. |
| Jordan : |
Jenna, que constatez-vous du côté des actions collectives fondées sur des atteintes à la protection de la vie privée et des données? |
| Jenna : |
Comme les atteintes à la protection des données se sont multipliées, nous avons constaté également une augmentation du nombre de litiges, y compris les actions collectives. Plus précisément, nous voyons des actions collectives dans des situations où une atteinte à la protection des données a été signalée par les médias. Ces actions collectives visent généralement des sociétés de médias sociaux, des sociétés de détail et des sociétés du secteur des soins de santé.
Dans la majorité de ces situations, il s’agit encore d’atteintes à la protection des données dites « traditionnelles », mais nous constatons aussi des actions concernant des employés qui furètent, des fautes professionnelles et l’utilisation abusive de données.
Cette année, en 2021, il y a eu quelques demandes d’autorisation, mais les demandeurs ont eu du mal à établir que leurs renseignements personnels avaient été utilisés par un tiers d’une manière qui leur a causé préjudice. Pour qu’une action collective soit autorisée, il faut démontrer que les renseignements personnels ont été utilisés de manière préjudiciable, et pas seulement que les renseignements ont été exfiltrés et qu’ils pourraient être utilisés de manière à vous causer préjudice. Toutefois, il n’est pas toujours nécessaire qu’une atteinte ait causé préjudice; notamment, en Ontario, il existe un délit appelé délit d’intrusion dans l’intimité. |
| Jordan : |
Pouvez-vous nous en dire plus sur le délit de l’intrusion dans l’intimité et ce que cela signifie dans le contexte des atteintes à la protection des données? |
| Jenna : |
Pendant un certain temps, les demandeurs ajoutaient cette réclamation à chaque demande d’autorisation d’action collective.
Cet été, cependant, la Cour divisionnaire de l’Ontario a rejeté la décision rendue par le tribunal saisi d’une demande d’autorisation pour ce type de réclamation. Il s’agissait de l’affaire Owsianik et Equifax, dans laquelle la société concernée avait été victime d’une atteinte à la protection des données. Le tribunal a déterminé que ce délit ne s’applique pas dans les cas où la défenderesse est une société qui stocke des renseignements personnels à des fins commerciales. C’est vraiment plus pour indemniser un individu pour l’humiliation et le préjudice émotionnel qu’il subit lorsqu’il y a eu une intrusion dans ses affaires personnelles. Dans cette affaire, comme c’est la société qui a été victime de l’atteinte à la protection des données, il ne s’agissait ni plus ni moins que d’un cas de stockage téméraire de données.
Deux mois après cette décision, un autre tribunal de l’Ontario a statué que le défaut insouciant d’empêcher une intrusion ne constituait pas un délit de l’intrusion dans l’intimité.
Cela changera donc sans doute la donne pour ce qui est des demandes que nous voyons, surtout dans les provinces où ce délit n’a pas été reconnu. |
| Charles : |
Renee, je crois comprendre que cette année, la première action collective concernant la perte de renseignements personnels a été tranchée sur le fond. Pouvez-vous nous en dire davantage? |
| Renee : |
Il s’agissait d’une action collective intentée contre l’OCRCVM, soit l’Organisme canadien de réglementation du commerce des valeurs mobilières, après qu’un inspecteur de l’OCRCVM a laissé un ordinateur portable non chiffré dans un train. L’appareil était protégé uniquement par un mot de passe et contenait des renseignements personnels appartenant à des milliers d’investisseurs canadiens. L’appareil non identifié n’a jamais été retrouvé.
Au moment de rejeter l’action collective, la Cour supérieure de justice du Québec a statué dans un premier temps que les craintes et les inconvénients subis par les demandeurs par suite de la perte de leurs renseignements personnels ne constituaient pas des préjudices indemnisables. Elle a ensuite statué que les éléments de preuve ne permettaient pas d’établir que l’ordinateur ou les renseignements s’y trouvant étaient tombés entre de mauvaises mains. Enfin, elle a statué que l’OCRCVM avait réagi avec diligence, et que les fautes involontaires et la conduite subséquente de cette dernière ne justifiaient pas l’imposition de dommages-intérêts punitifs. |
| Charles : |
À quoi ressembleront les questions de litige dans ce domaine à l’avenir? |
| Renee : |
Au Canada, nous avons commencé à voir des actions collectives en matière de protection de la vie privée dans lesquelles des administrateurs et dirigeants sont désignés en tant que défendeurs. Il s’agit d’un phénomène qui se produit déjà depuis plusieurs années aux États-Unis, et bien que ces actions aient parfois été rejetées, récemment, certains tribunaux américains ont commencé à autoriser que de telles actions procèdent à l’étape du bien-fondé. Nous nous attendons à ce que cette tendance se poursuive également au Canada.
Nous constatons également une sensibilisation générale à l’importance des cyberincidents et du signalement. Pour en revenir à l’OCRCVM, en avril 2018, l’OCRCVM a mis en place une obligation pour les courtiers membres de déclarer les cyberincidents et, depuis août de cette année, les institutions financières sous réglementation fédérale sont également tenues de signaler les incidents liés à la technologie et à la cybersécurité à leur organisme de réglementation dans les 24 heures suivant leur survenance.
Cela nous indique donc une tendance générale selon laquelle les cyberrisques sont pris au sérieux, et il y a lieu de s’attendre à ce que cela devienne aussi plus courant dans d’autres secteurs. |
| Charles : |
Sunny, de Lobe, Jenna et Renee, merci de vous vous être joints à nous aujourd’hui pour parler de l’importance de faire preuve de vigilance et de planifier à l’avance pour éviter les atteintes à la cybersécurité. |
| Jordan : |
Les auditeurs qui souhaitent obtenir de plus amples renseignements sur notre groupe Cybersecurité peuvent visiter notre site Web à l’adresse blakes.com. |
| Charles : |
D’ici la prochaine fois, prenez soin de vous et restez en sécurité. |
