Dubé Latreille Avocats

Google est condamné pour avoir fourni, via son moteur de recherche Google Search, l'accès à une publication alors qu'elle connaissait la nature diffamatoire des propos véhiculés par ladite publication.Enfin une application de l'article 22 al.3 de la Loi Concernant le Cadre Juridique des Technologies de l'Information (LCCJTI), alinéa qui constitue une exception au régime d'exemption de responsabilité pour les intermédiaires qui offrent des services de référence à des documents technologiques : " (...) Toutefois, il (l'intermédiaire) peut engager sa responsabilité, notamment s’il a de fait connaissance que les services qu’il fournit servent à la réalisation d’une activité à caractère illicite et s’il ne cesse promptement de fournir ses services aux personnes qu’il sait être engagées dans cette activité.Cette décision a été portée en appel.Une décision qu'il faut saluer et qui va dans le même sens que l'instauration et l'entrée en vigueur au Québec en septembre 2023 du droit à l'oubli numérique qui permettra à une personne de demander à une entreprise (éditeur de contenu) qu'elle cesse de diffuser un renseignement personnel la concernant ou la désindexation (intermédiaire) d'un hyperlien rattaché à son nom permettant d'accéder à ce renseignement lorsque la diffusion de ce renseignement porte atteinte à sa réputation ou à sa vie privée.

#google #désindexation #diffamation
‍#LCCJTI
‍#Dubelatreilleavocats

Récemment, la société Indigo Books & Music - une chaîne canadienne de librairies - a été frappée d'une attaque au rançongiciel qui semble avoir compromis les renseignements personnels de ses employés. Celle-ci a fait le choix (courageux ou calculé) de ne pas payer la rançon exigée et ce principalement pour 2 raisons: 1) la rançon risquait de financer une organisation terroriste, et 2) Indigo n'avait aucune garantie que les données, qui pouvaient avoir été copiées ou exfiltrées (c'est fréquent), ne seraient pas réutilisées à des fins criminelles.

Le choix de Indigo est très certainement louable. En effet, dans un contexte où les auteurs de ce type de crime sont très difficiles à identifier et à traduire en justice, le meilleur moyen de les dissuader est de veiller à ce que ce crime ne paye pas. Si les entreprises s'unissent pour refuser systématiquement de payer les rançons, on peut s'attendre à ce que les criminels du web cessent d'y recourir. Autrement, chaque rançon payée ne fait qu'encourager cette pratique qui est actuellement un très sérieux problème qui met à risque toutes les organisations.

Par ailleurs, s'agissant de criminels, la victime n'a aucune garantie que le fait pour elle de payer une rançon lui permettra de recouvrer l'accès à ses données. De plus, il n'est pas rare qu'une victime se fasse extorquée une seconde fois pour éviter que ses données sensibles (renseignements personnels, secrets industriels, propriété intellectuelle, etc.) soient diffusées sur Internet et/ou vendues sur le Dark web.

Ceci étant, encore faut-il pouvoir se permettre de refuser de payer. Quand l'entreprise en cause en a les moyens ou si le volume de données compromises est limité, les conséquences d'une attaque au rançongiciel peuvent être limitées si on refuse de payer la rançon. Par contre, lorsque la volumétrie des données prises en otage est considérable (songez aux villes, banques, hôpitaux, universités, agences gouvernementales, etc.) ou si l'entreprise impactée n'a pas les moyens de reconstituer ses bases de données, l'option de payer une rançon pour sortir du cauchemar, malgré les risques, peut paraître beaucoup moins indigeste.

En tout état de cause (pour l'instant), il revient à chaque organisation de choisir d'adhérer ou non à une politique de non-paiement de rançon et de se structurer en conséquence (segmentation, surveillance, systèmes de redondance ou sauvegarde, etc.). En agissant de la sorte, ainsi que nous y invite l'exemple d'Indigo, les entreprises feront échec au crime et y gagneront en réputation auprès de leur clientèle et du public.

‍#entreprises #surveillance #rançongiciel #cyberattaque

Indigo refuse de payer une rançon

RAPPEL : Le projet de loi 78 Loi visant principalement à améliorer la transparence des entreprises, et qui vient modifier la Loi sur la Publicité Légale des Entreprises (LPLE) quant aux obligations déclaratives des entreprises, entre en vigueur le 31 mars 2023.

De nouvelles obligations de déclarations vont donc être imposées avec pour objectif d’assurer la fiabilité des informations contenues au registre des entreprises tout en contribuant aux actions de prévention et de lutte contre l’évasion fiscale, le blanchiment d’argent et la corruption.Comme l'échéance approche, il est important de s'intéresser aux nouvelles obligations imposées notamment en ce qui concerne la notion de bénéficiaire ultime.

#transparence #obligations #entreprises

‍‍https://lnkd.in/eBqMuKyZ

Contrairement à ce que suggèrent certaines croyances, le phénomène des cyberattaques n'épargne aucune organisation: les grandes comme les petites. Il suffit que votre entreprise soit branchée à Internet pour y être exposé.

Qu'est-ce qu'une "cyberattaque"? Essentiellement, il s'agit d'une tentative effectuée délibérément pour accéder illicitement aux systèmes informatiques d'une organisation afin d'en compromettre l'accessibilité, la confidentialité ou l'intégrité.

Les cyberattaques sont invariablement des événements éprouvants et généralement coûteux pour les organisations qui en sont victimes. En effet, outre les mesures de prévention, protection et sensibilisation que toute entreprise devrait mettre en place pour s'en prémunir, l'existence d'un plan d'urgence (ainsi que le requiert désormais la Loi 25) combiné à une cyberassurance peuvent réduire considérablement la portée des préjudices inhérents à ce type d'incident.

Dans le cas de Sobeys, s'il s'avère que ses systèmes d'information ont fait l'objet d'une cyberattaque (ce qui semble probable), elle a nécessairement activé son plan d'urgence et constitué une équipe de crise composée de spécialistes et conseillers divers pour voir à minimiser ses dommages à tous les niveaux (opérations, réputation, responsabilité civile, et conformité).

Il s'agit ensuite pour Sobeys de déterminer quelle vulnérabilité a été exploitée, depuis quand son réseau a été infiltré, et quelles données ont été compromises (incluant le dispositif de sauvegarde). Ce faisant, il faut également établir si les données de l'entreprise ont été exfiltrées par les criminels. Ces renseignements sont déterminants pour permettre à l'organisation de définir l'ampleur du problème, les options à envisager (dans le cas d'une cyberrançon: payer ou ne pas payer), et le contenu des notifications qui devront être faites aux autorités et aux victimes.

Entre-temps, les communications sont très importantes. Sobeys devra sortir de son mutisme pour contrôler le message qu'elle diffuse auprès du public, de ses employés et des parties prenantes. Ce faisant, elle devra faire preuve d'une grande prudence puisque le contenu de celui-ci aura invariablement un impact sur l'image et la réputation de l'entreprise, sur la valeur de ses actions, la confiance de ses partenaires, ses relations avec ses fournisseurs, etc., dans un contexte fluide et évolutif qui pourrait facilement prêter flanc à des poursuites civiles, d'autant plus que la chaîne d'approvisionnement s'en trouve perturbée ainsi que le suggère l'article ci-dessous.

Les cyberattaques menacent quotidiennement la pérennité des entreprises. Conséquemment, les dirigeants ont la responsabilité de s'y préparer.

Cyberattaque chez Sobeys: des commerçants ne peuvent toujours pas passer leurs commandes