Dubé Latreille Avocats

CYBERLÉGAL25: UNE SOLUTION PRATIQUE POUR LA LOI 25

La protection des renseignements personnels est devenu un enjeu de premier plan pour les entreprises avec l'adoption de la Loi 25. En effet, comme cette loi est maintenant en vigueur et comporte des sanctions importantes pour les contrevenants, les conseils d'administration ont intérêt à y voir dans les meilleurs délais.

Par ailleurs, force est de constater que la conformité à la Loi 25 ainsi que les bonnes pratiques en matière de cybersécurité deviennent de plus en plus des conditions de base pour faire des affaires car les organisations réalisent que les entreprises qui ont des pratiques imprudentes à cet égard risquent de les impacter négativement en cas de cyberincident.

Dans ce contexte de grands changements en matière de protection des renseignements personnels, le cabinet Dubé Latreille est fier de combiner son expertise à celle de Commissionnaires du Québec pour proposer aux PMEs un service de mise en conformité de premier ordre pour traiter à la fois les enjeux de sécurité et les questions légales.

Pour plus d'info: https://lnkd.in/enxg55Xg

L'avènement de l'ère numérique a révolutionné notre façon de vivre avec des innovations sensationnelles quasi-quotidiennes dans tous les domaines de l'activité humaine. Toutefois, cet essor technologique fulgurant s'est fait aux dépends de la vie privée des individus ainsi que nous le rappelle régulièrement l'actualité. En effet, la propension des entreprises à colliger de larges volumes de données, sans se soucier de leur protection ou du consentement des personnes concernées, combinée à l'imprudence et la témérité de celles-ci, a contribué à l'émergence du phénomène endémique de la cybercriminalité qui se traduit par la compromission de renseignements personnels à grande échelle à travers le monde.

C'est pour y pallier que le gouvernement du Québec, inspiré du "Règlement Général sur la protection des données" (RGPD) européen, a adopté en 2021 la Loi 25 intitulée "Loi modernisant certaines dispositions législatives en matière de protection des renseignements personnels". Essentiellement, cette loi contraint toutes les organisations (privées et publiques) à revoir leurs pratiques de façon à être plus transparentes et surtout plus responsables à l'égard des renseignements personnels qu'elles colligent. Outre les sanctions sévères qu'on y retrouve, la Loi 25 prévoit notamment l'obligation (depuis septembre 2022) pour toute organisation de désigner un "Responsable de la protection des renseignements personnels" (ou RPRP) afin de voir à l'intégration et l'application de la Loi 25 à l'interne.

Considérant l'impact important que pourrait avoir sur les opérations, la réputation, la responsabilité civile et/ou la conformité d'une entreprise un incident impliquant la compromission des renseignements personnels, le rôle du RPRP est particulièrement sensible. Aussi, afin que celui-ci puisse s'acquitter de cette tâche névralgique avec brio, il est essentiel de lui fournir une préparation adéquate. Pour répondre à ce besoin, l'Université de Sherbrooke a mis sur pied l'an dernier un programme de certification RPRP exhaustif auquel il m'a fait plaisir de participer.

La protection des renseignements personnels est devenu un enjeu important au sein de toute organisation. C'est pourquoi votre RPRP doit pouvoir compter sur une formation appropriée afin qu'il puisse remplir sa mission efficacement.
‍

Google est condamné pour avoir fourni, via son moteur de recherche Google Search, l'accès à une publication alors qu'elle connaissait la nature diffamatoire des propos véhiculés par ladite publication.Enfin une application de l'article 22 al.3 de la Loi Concernant le Cadre Juridique des Technologies de l'Information (LCCJTI), alinéa qui constitue une exception au régime d'exemption de responsabilité pour les intermédiaires qui offrent des services de référence à des documents technologiques : " (...) Toutefois, il (l'intermédiaire) peut engager sa responsabilité, notamment s’il a de fait connaissance que les services qu’il fournit servent à la réalisation d’une activité à caractère illicite et s’il ne cesse promptement de fournir ses services aux personnes qu’il sait être engagées dans cette activité.Cette décision a été portée en appel.Une décision qu'il faut saluer et qui va dans le même sens que l'instauration et l'entrée en vigueur au Québec en septembre 2023 du droit à l'oubli numérique qui permettra à une personne de demander à une entreprise (éditeur de contenu) qu'elle cesse de diffuser un renseignement personnel la concernant ou la désindexation (intermédiaire) d'un hyperlien rattaché à son nom permettant d'accéder à ce renseignement lorsque la diffusion de ce renseignement porte atteinte à sa réputation ou à sa vie privée.

#google #désindexation #diffamation
‍#LCCJTI
‍#Dubelatreilleavocats

Récemment, la société Indigo Books & Music - une chaîne canadienne de librairies - a été frappée d'une attaque au rançongiciel qui semble avoir compromis les renseignements personnels de ses employés. Celle-ci a fait le choix (courageux ou calculé) de ne pas payer la rançon exigée et ce principalement pour 2 raisons: 1) la rançon risquait de financer une organisation terroriste, et 2) Indigo n'avait aucune garantie que les données, qui pouvaient avoir été copiées ou exfiltrées (c'est fréquent), ne seraient pas réutilisées à des fins criminelles.

Le choix de Indigo est très certainement louable. En effet, dans un contexte où les auteurs de ce type de crime sont très difficiles à identifier et à traduire en justice, le meilleur moyen de les dissuader est de veiller à ce que ce crime ne paye pas. Si les entreprises s'unissent pour refuser systématiquement de payer les rançons, on peut s'attendre à ce que les criminels du web cessent d'y recourir. Autrement, chaque rançon payée ne fait qu'encourager cette pratique qui est actuellement un très sérieux problème qui met à risque toutes les organisations.

Par ailleurs, s'agissant de criminels, la victime n'a aucune garantie que le fait pour elle de payer une rançon lui permettra de recouvrer l'accès à ses données. De plus, il n'est pas rare qu'une victime se fasse extorquée une seconde fois pour éviter que ses données sensibles (renseignements personnels, secrets industriels, propriété intellectuelle, etc.) soient diffusées sur Internet et/ou vendues sur le Dark web.

Ceci étant, encore faut-il pouvoir se permettre de refuser de payer. Quand l'entreprise en cause en a les moyens ou si le volume de données compromises est limité, les conséquences d'une attaque au rançongiciel peuvent être limitées si on refuse de payer la rançon. Par contre, lorsque la volumétrie des données prises en otage est considérable (songez aux villes, banques, hôpitaux, universités, agences gouvernementales, etc.) ou si l'entreprise impactée n'a pas les moyens de reconstituer ses bases de données, l'option de payer une rançon pour sortir du cauchemar, malgré les risques, peut paraître beaucoup moins indigeste.

En tout état de cause (pour l'instant), il revient à chaque organisation de choisir d'adhérer ou non à une politique de non-paiement de rançon et de se structurer en conséquence (segmentation, surveillance, systèmes de redondance ou sauvegarde, etc.). En agissant de la sorte, ainsi que nous y invite l'exemple d'Indigo, les entreprises feront échec au crime et y gagneront en réputation auprès de leur clientèle et du public.

‍#entreprises #surveillance #rançongiciel #cyberattaque

Indigo refuse de payer une rançon