Points à considérer en cybersécurité transfrontalière Canada – É.-U.

La menace que représentent les rançongiciels et les courriels d’affaires compromis continue de prendre de l’ampleur au Canada comme aux États-Unis. En présence d’un incident de cybersécurité dans ces deux pays et avant d’intervenir, les organisations établies aux États-Unis auraient intérêt à connaître les différentes approches et obligations juridiques applicables afin d’être bien préparées.

Voici cinq points que les organisations établies aux États-Unis devraient prendre en considération au moment d’intervenir à la suite d’une cyberatteinte touchant des activités, des employés ou des clients canadiens :

1. Déterminez quelle loi canadienne sur la protection de la vie privée s’applique. En matière de protection de la vie privée, il existe au Canada une multitude de lois fédérales, provinciales et territoriales et d’exigences propres aux secteurs qui pourraient s’appliquer à une cyberatteinte selon les circonstances, et ce ne sont pas toutes les lois applicables en la matière qui comportent des exigences sur le signalement obligatoire de ce genre d’atteintes. Il est important de tenir compte du secteur et du rôle de l’entité touchée, du type de renseignements personnels en jeu et de la nature de la relation que l’organisation entretient avec les personnes touchées. Par ailleurs, il est tout aussi important de retenir les services de conseillers juridiques locaux pour la mise en œuvre du processus d’intervention en cas d’incident.

2. Au Canada, les délais et les seuils relatifs au signalement des atteintes peuvent varier. Contrairement aux obligations de signalement des atteintes des États américains, la législation canadienne en matière de protection de la vie privée n’impose généralement pas de délai précis pour le signalement d’une atteinte (comme un délai de 72 heures à compter de la découverte de l’atteinte). Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) exige que la déclaration se fasse « le plus tôt possible », alors qu’en vertu de la Personal Information Protection Act (Alberta), le signalement doit être fait dans un délai raisonnable (without unreasonable delay). Quant au seuil de déclenchement du signalement obligatoire, la norme applicable correspond habituellement au « risque réel de préjudice grave à l’endroit d’un individu ». Les Commissaires à la protection de la vie privée de l’Alberta et du fédéral utilisent tous les deux des critères objectifs similaires aux fins du signalement, notamment la détermination du degré de sensibilité des renseignements personnels en cause et la probabilité que les renseignements aient été mal utilisés. Les types de préjudices pertinents ne se limitent pas aux pertes financières potentielles.

3. Au Canada, les attaques par rançongiciel sont en hausse. Selon notre Étude sur les tendances en matière de cybersécurité au Canada – 2021, publiée prochainement, les attaques par rançongiciel ont représenté 67 % des cyberincidents en 2020, soit presque le double de ce que celles-ci ont représenté en 2019 (35 %). Plus de la moitié des rançons payées excédaient les 100 000 $ US, atteignant parfois même des millions de dollars. Malgré cette menace bien réelle pour les entreprises, seulement un petit nombre de sociétés inscrites en bourse ont déclaré avoir souscrit une assurance contre les cyberrisques ou s’être dotées d’un plan d’intervention en cas de cyberincident. 

4. La grande majorité des actions collectives en protection de la vie privée sont autorisées au Canada. Le Canada connait une prolifération d’actions collectives en matière de protection de la vie privée. Il est plus facile d’obtenir l’autorisation d’actions collectives au Canada : environ 80 % de ces actions sont autorisées. La portée du délit d’intrusion dans l’intimité fait encore l’objet de débats, de même que la question de savoir si des dommages-intérêts peuvent être accordés pour négligence dans le contexte d’une atteinte à la vie privée. Toutefois, contrairement à ce qui se passe aux États-Unis, la qualité pour agir est rarement remise en question au Canada dans le cadre des actions collectives en matière de protection de la vie privée, notamment parce que les tribunaux ont statué que les demandeurs peuvent obtenir des dommages-intérêts symboliques pouvant aller jusqu’à 20 000 $ CA en cas d’intrusion dans l’intimité, même en l’absence de pertes financières.

5. Une réforme du droit canadien de la protection de la vie privée se profile à l’horizon. Le projet de loi C-11 du gouvernement fédéral imposerait aux fournisseurs de services qui traitent des renseignements personnels l’obligation de signaler toute atteinte à l’organisation dont relève le contrôle des renseignements personnels. En outre, le projet de loi n^o 64 du gouvernement du Québec prévoit l’obligation de signaler les atteintes dans cette province en vertu des lois de cette dernière sur la protection de la vie privée visant le secteur privé. Les organisations américaines exerçant des activités au Canada devraient être au courant de ces changements proposés, particulièrement en ce qui concerne les amendes imposées en cas d’omission de signaler une atteinte à la vie privée, lesquelles pourraient passer, dans le cadre des propositions fédérales, d’un montant maximum de 100 000 $ CA au montant le plus élevé entre 25 M$ CA et 5 % des recettes globales brutes de l’organisation. 

Vous avez plus de cinq minutes? Communiquez avec Nicole Henderson, Cathy Beagan Flood, Sunny Handa ou un autre membre de notre groupe Cybersécurité pour en apprendre davantage.