Comment Blakes s’appuie sur la créativité et l’usage novateur des technologies pour atténuer les impacts des atteintes à la protection des données subies par ses clients

Résumé

Alors que les cybercriminels se font plus redoutables, les atteintes à la protection des données des entreprises deviennent davantage une question de temps plutôt qu’une hypothèse.

Blakes innove constamment pour veiller à ce que ses clients s’acquittent de leurs obligations juridiques et protègent leur réputation de la façon la plus efficace et la plus efficiente possible. Alors, lorsqu’un outil servant à examiner des documents en litige ne s’est pas montré à la hauteur pour des dossiers de cybersécurité, nous avons créé une solution personnalisée pour répondre à ces besoins.

Défi

À compter du moment où les systèmes d’une entreprise sont atteints, cette dernière doit agir rapidement pour s’acquitter de ses obligations de signalement de divulgation de données à caractère personnel auprès des commissaires à la protection de la vie privée pertinents et des personnes touchées, souvent dans d’autres provinces ou territoires et à l’étranger.

Malheureusement, les personnes devant être avisées d’une atteinte, et leurs renseignements personnels, constituent de minuscules aiguilles dans une énorme botte de foin, celle-ci correspondant au volume considérable de documents et de données qui ont possiblement été atteints et qui sont traités par des vérificateurs judiciaires à la suite d’une cyberattaque.

Solution

Notre démarche globale à l’égard des interventions en cas de cyberincident permet de rétablir l’ordre dans le chaos qui suit immédiatement une cyberattaque. De plus, notre modèle de prestation de services novateur optimise l’efficacité et la confidentialité en réduisant la nécessité de recourir aux services de tiers.

Dès le début, un conseiller juridique en matière d’atteintes à la protection des données, tel que Catherine Beagan Flood, associée de Blakes, veille à la composition d’une équipe multidisciplinaire d’avocats en fonction des besoins technologiques, géographiques et juridiques propres à nos clients. L’équipe est formée de divers membres du groupe national Cybersécurité de Blakes pour guider les clients à travers cette crise.

Le conseiller juridique en matière d’atteinte à la protection des données est également responsable des conseillers externes participant au dossier. Il fait appel à des négociateurs experts pour traiter les demandes de rançon émises par les cybercriminels. Il intègre également à nos conseils juridiques les renseignements fournis par divers spécialistes en matière de cybercriminalistique, de relations publiques et d’autres domaines.

Entre-temps, les experts en matière de cybersécurité de notre groupe deSource, soit notre équipe interne de prestation de services novateurs pleinement intégrés, se mettent immédiatement au travail pour effectuer une évaluation initiale des données touchées dans le but de déterminer l’ampleur et la portée de l’atteinte.

L’équipe deSource utilise un outil d’examen de documents, assorti de fonctionnalités en matière d’apprentissage automatique et d’analytique avancée, pour repérer les fichiers atteints, afin que les avocats de Blakes puissent se concentrer sur les documents qui sont plus susceptibles de contenir des renseignements personnels, tels que les renseignements d’identification délivrés par un gouvernement (p. ex., un numéro d’assurance sociale), et qui pourraient ainsi générer un risque réel de préjudice grave en cas de divulgation.

Pour faciliter cet examen approfondi, nous avons élaboré notre propre solution qui permet aux utilisateurs d’identifier les documents contenant des renseignements personnels et d’établir un lien permanent entre chaque élément comportant des données sensibles et les noms des personnes qu’il faudrait possiblement aviser.

Résultats

Notre solution génère automatiquement un rapport convivial indiquant précisément aux clients les renseignements concernant des personnes identifiables, ainsi que ce qui doit être communiqué aux commissaires à la protection de la vie privée pertinents. À titre d’exemple, Blakes a collaboré récemment avec un conseiller juridique américain pour repérer rapidement environ 900 Canadiens dont les renseignements personnels auraient pu être touchés dans le cadre d’un incident de portée multinationale qui concernait environ 800 000 documents.

Dans les cas où une cyberattaque donnerait lieu à une action collective ou à une enquête d’un commissaire à la protection de la vie privée, la participation directe du cabinet à l’évaluation de l’atteinte place nos avocats dans une position idéale pour répondre au nom du client concerné, grâce à notre connaissance approfondie des faits et des documents en cause.

Nous mettons par ailleurs à profit les leçons que nous tirons de chaque dossier d’atteinte à la protection des données pour ainsi renforcer les services que nous offrons à nos clients au chapitre de la préparation aux cyberattaques. Par exemple, notre analyse des données atteintes nous éclaire sur le mappage des données, les politiques en matière de sécurité de l’information et les formations à l’intention des employés.