Une collaboration de Patrick Howe, PRP1 et de Me Jean-François Latreille, CD2
La manchette de La Presse3, en décembre dernier, a attiré notre attention. Selon le journaliste Hugo Joncas, une trentaine d’entreprises avaient déclaré des fuites de renseignements personnels en moins de deux mois.
Certes, ces entreprises avaient fait une déclaration concernant un incident de confidentialité auprès de la Commission d’accès à l’information (CAI), mais elles n’avaient pas confirmé publiquement de quel incident il s’agissait, quelles données avaient été compromises et quelles étaient les personnes qui en avaient été affectées. Il y a là, selon nous, un paradoxe qui doit être soulevé.
Il faut savoir que depuis le 22 septembre 2022, la nouvelle Loi 254 exige que tous les incidents impliquant des renseignements personnels et présentant des risques de préjudice sérieux soient rapportés à la CAI5. Cette obligation, qui sera bientôt assortie de sanctions administratives et pénales sévères6, s’applique à toutes les organisations du Québec, qu’elles soient publiques ou privées7.
Or, l’adoption de cette nouvelle obligation n’est pas le fruit du hasard. Depuis des années, les clients ou utilisateurs déplorent ne pas être informés en temps utile lorsque leurs renseignements personnels que détiennent les entreprises sont compromis par des pirates informatiques, un manquement qui les empêchait de prendre différentes mesures rapidement afin de prévenir, notamment, la fraude. Dans certains cas, des entreprises ont vraisemblablement caché la survenance de ces incidents de confidentialité afin de ménager leur réputation, minimiser leur frais, et prioriser la reprise de leurs opérations.
La Loi 25 remédie dorénavant à ce manque de transparence en imposant des obligations sans équivoque : une organisation doit aviser toute personne dont un renseignement personnel est compromis, à défaut de quoi la Commission peut lui ordonner de le faire.8
Or, au-delà de l’obligation de prévenir la CAI, il semblerait que certaines entreprises demeurent encore réticentes à faire preuve de transparence à l’égard des victimes et du public puisqu’elles tardent à les aviser en prétextant bien souvent quelque panne informatique, ce qui suggère l’existence d’un problème technique temporaire et non pas un incident grave impliquant la compromission de renseignements personnels.
Bien que la Loi 25 prévoit qu’une entreprise doit aviser la CAI avec diligence9 en cas d’incident de confidentialité, celle-ci ne prévoit pas une telle précision pour ce qui concerne les victimes. Par contre, le nouveau Règlement sur les incidents de confidentialité10 prévoit qui faut agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice11. Ceci est sous réserve des délais requis pour mener à bien une enquête12, le cas échéant, afin d’identifier les données compromises, la portée de l’attaque, colliger des éléments de preuve, etc. Conséquemment, les délais qui séparent la connaissance d’un incident de confidentialité et l’avis aux personnes concernées doivent être soupesés par rapport au risque de préjudice sérieux auxquels sont exposées les victimes, en particulier dans les cas où des renseignements sensibles auraient été compromis (financiers, médicaux, biométriques, etc.).
La situation est toute autre en matière de communications que la Loi 25 ne régit pas. En effet, il revient aux entreprises d’établir leur plan d’action à cet égard. Et pourtant, même si les organisations risquent plus d’être les victimes d’une cyberattaque que de subir un incendie, les attaques informatiques continuent à prendre un bon nombre d’entreprises québécoises au dépourvu, notamment au niveau des communications dont l’importance, durant les crises, semble demeurer grandement sous-estimée.
Une des parties névralgiques de ce plan est la stratégie de communication à l’égard de toutes les parties prenantes (employés, actionnaires, clients, partenaires, d’affaires, etc.). Ce plan de communication peut s’avérer fort précieux pour la suite des choses puisqu’il vise à contrôler le narratif (prévenir que les responsables ont pris l’affaire en charge, faire état de l’évolution de la situation, faire des recommendations, etc.) pour rassurer toutes les parties impliquées. À défaut de ce faire, des fuites préjudiciables pourraient se produire de la part d’employés, nuire au moral et à la rétention, ou porter atteinte à la réputation de l’entreprise pour en diminuer la valeur comme ce fut le cas notamment pour la société Target en 2017. 13
Bien que les conséquences d’une cyberattaque puissent varier selon les circonstances, le type d’industrie et la nature des données qui ont été compromises, une stratégie de communication mise en place pour répondre à une cyberattaque et en atténuer les risques prévisibles peut s’avérer déterminante. En effet, des chercheurs ont pu établir qu’une réponse immédiate et bien préparée à un incident de sécurité informatique était essentielle pour rétablir la confiance des investisseurs14 et pouvait même contribuer à valoriser l’organisation aux yeux du public et des investiseurs. Comparativement, une réponse mal préparée (par exemple, le fait de dissimuler ou de cacher la survenance d’une attaque15) risque d’entraîner l’effet contraire et de nuire à l’image d’une organisation. 16
Les nouvelles dispositions de la Loi 25 obligent les organisations à être plus transparentes et responsables en matière de protection des renseignements personnels. Cette transparence devient un test de crédibilité lorsqu’un cyberincident devient public, surtout si des renseignements personnels ont été compromis. Il revient aux organisations de faire le nécessaire pour affronter la crise et minimiser leurs risques en élaborant soigneusement un plan d’urgence ainsi qu’une stratégie de communication efficace à l’égard de toutes les parties prenantes à défaut de quoi la responsabilité personnelle de ses dirigeants pourrait être engagée.
1 - Patrick Howe, spécialiste en relations publiques, est le président de la firme Consulat RP. https://consulatrp.com/a-propos/patrick-howe/
2 - Me Jean-François Latreille est avocat chez Dubé Latreille Avocats Inc. et est spécialisé en droit de la vie privée et droit de la cybersécurité. https://www.dubelatreille.ca/authors/jean-francois-latreille
3 - Hugo Joncas, La Presse, 8 déc 2023; https://plus.lapresse.ca/screens/0d6ecf9c-c3b4-4947-9554-865f0fd2183d%7C_0.html
4 - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée le 22 septembre 2021, ci-après « Loi 25 »; https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html
5 - Ibid.; voir l’art. 103 de la Loi 25 modifiant l’art. 3.5 de Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP »), https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1
6 - Supra, note 4; voir les art. 68-69 de la Loi 25 modifiant les art. 156, 158-162 de la Loi sur l’accès aux documents des organisations publiques et sur la protection des renseignements personnels (ci-après « Loi sur l’accès »); https://www.legisquebec.gouv.qc.ca/fr/document/lc/a-2.1, et voir les art. 159 et 160 de la Loi 25 modifiant les art. 90 et 91 de la LPRPSP.
Note : ces sanctions et amendes entrent en vigueur dès le 23 septembre 2023.
7 - Supra, note 4; en effet, tel que le prévoit son préambule, la Loi 25 s’applique autant aux organismes publics (art. 1 et ss.), qu’aux entreprises privées (art. 100 et ss.)
8 - Les organisations publiques doivent aviser les victimes potentielles en vertu de l’art. 63.8 de la Loi 25. Quant aux entreprises, l’article 103 de la Loi 25 (Supra, note 5), se lit comme suit :
Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information (...).
Elle doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. (...)
9 - upra, note 8.
10 - Règlement sur les incidents de confidentialité, entré en vigueur le 22 septembre 2022.
11 - Ibid., art. 6.
12 - LPRPSP, art. 3.5, alinéa 3.
13 - Steve Maas, « Economic and Financial Consequences of Corporate Cyberattacks », NBER, June 2018; l’auteur de cette étude se fonde notamment sur le cas de la société Target qui, après avoir fait l’objet d’une cyberattaque, en 2017, avait subi des pertes en ventes l’année suivante de près de 30%, ce qui n’a pas manqué de se refléter sur la valeur de ses actions; https://www.nber.org/digest/jun18/economic-and-financial-consequences-corporate-cyberattacks
14 - Keman Huang and Stuart Madnick, “A Cyberattack Doesn’t Have to Sink Your Stock Price”, Harvard Business Review, August 14, 2020; https://hbr.org/2020/08/a-cyberattack-doesnt-have-to-sink-your-stock-price
15 - Marie-Claude Lyonnais, « Cyberattaque : pourquoi l'entreprise BRP reste-t-elle opaque? », La Presse, 26 août 2022; https://ici.radio-canada.ca/nouvelle/1908089/cyberattaque-brp-transparence-avocat
16 - Jamison Hutton, “5 tips for managing PR in the aftermath of a cyberattack”, Agility Public Relations, Jan 21, 2021; https://www.agilitypr.com/pr-news/public-relations/4-tips-for-managing-pr-in-the-aftermath-of-a-cyberattack/