UN EXERCICE DE COMMUNICATION NÉGLIGÉ PAR LES ENTREPRISES?
Une collaboration de Patrick Howe et de Me Jean-François Latreille, CD
La manchette de La Presse[1], en décembre dernier, avait tout pour attirer l’attention : « Protection des renseignements personnels : Une trentaine d’entreprises ont déclaré des fuites en deux mois ».
En seulement deux mois, une trentaine d’entreprises du Québec avaient fait une déclaration concernant un incident de confidentialité auprès de la Commission d’accès à l’information (CAI). Pourtant, plusieurs de ces entreprises n’ont pas confirmé publiquement de quel incident il s’agissait, quelles données avaient été compromises et quelles étaient les personnes qui en avaient été affectées. Il y a là, selon nous, un paradoxe qui doit être soulevé.
Il faut savoir que depuis le 22 septembre 2022, la nouvelle Loi 25[2] exige que tous les incidents impliquant des renseignements personnels et présentant des risques de préjudice sérieux soient rapportés à la CAI[3]. Cette obligation, qui sera bientôt assortie de sanctions administratives et pénales sévères[4], s’applique à toutes les organisations du Québec, qu’elles soient publiques ou privées[5].
Or, l’adoption de cette nouvelle obligation n’est pas sans fondement. Depuis des années, les clients/utilisateurs déploraient ne pas être informés en temps utile lorsque leurs renseignements personnels que détenaient les entreprises étaient compromis par des pirates informatiques, un manquement qui les empêchait de prendre différentes mesures rapidement afin de prévenir, notamment, la fraude. Dans certains cas, des entreprises ont vraisemblablement caché la survenance de ces incidents de confidentialité afin de ménager leur réputation, minimiser leur frais, et prioriser la reprise de leurs opérations.
La Loi 25 remédie dorénavant à ce manque de transparence en imposant aux organisations des obligations sans équivoque :
Une personne qui exploite une entreprise et qui a des motifs de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel qu’elle détient doit prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
Si l’incident présente un risque qu’un préjudice sérieux soit causé, elle doit, avec diligence, aviser la Commission d’accès à l’information (…).
Elle doit également aviser toute personne dont un renseignement personnel est concerné par l’incident, à défaut de quoi la Commission peut lui ordonner de le faire. (…)[6]
Or, au-delà de l’obligation de prévenir la CAI, il semblerait que certaines entreprises demeurent encore réticentes à faire preuve de transparence à l’égard des victimes et du public puisqu’elles tardent à les aviser en prétextant bien souvent quelque panne informatique, ce qui suggère l’existence d’un problème technique temporaire et non pas un incident grave impliquant la compromission de renseignements personnels.
Ces derniers mois, les médias ont fait grand bruit à l’égard de possibles attaques informatiques survenues auprès de certaines grandes entreprises[7] au Québec dont les sites web ne fonctionnaient plus, les services étaient en panne, ou auprès desquels les fournisseurs n’arrivaient plus à passer leurs commandes. Force est de constater que l’approche des unes et des autres, dans un climat de crise, pouvaient grandement varier tant dans les délais pour aviser les victimes que pour le contenu des communiqués.
Bien que la Loi 25 prévoit qu’une entreprise doit aviser la CAI avec diligence[8], la loi ne fait pas de telle distinction pour les victimes d’un incident de confidentialité. Par contre, le nouveau Règlement sur les incidents de confidentialité[9] prévoit qui faut agir rapidement pour diminuer le risque qu’un préjudice sérieux soit causé ou afin d’atténuer un tel préjudice[10], le tout sous réserve des délais requis pour mener à bien une enquête[11], le cas échéant, afin d’identifier les données compromises, la portée de l’attaque, colliger des éléments de preuve, etc. Conséquemment, les délais qui séparent la connaissance d’un incident de confidentialité et l’avis aux personnes concernées doivent être soupesés par rapport au risque de préjudice sérieux auxquels seront exposées les victimes, en particulier dans les cas où des renseignements sensibles auraient été compromis (financiers, médicaux, biométriques, etc.).
La situation est tout autre en matière de communications que la Loi 25 ne régit pas. En effet, il revient aux entreprises d’établir leur plan d’action à cet égard. Et pourtant, même si les organisations risquent plus d’être les victimes d’une cyberattaque que de subir un incendie, les attaques informatiques continuent à prendre un bon nombre d’entreprises québécoises au dépourvu, notamment au niveau des communications dont l’importance, durant les crises, semble demeurer grandement sous-estimée. Suivant la même analogie, tandis que les extincteurs d’incendie et les plans d’évacuation sont disposés à des endroits stratégiques par souci d’efficacité, peu d’organisations disposent d’un plan de crise conçu pour réagir efficacement en cas de cyberattaque de manière à minimiser les risques et notifier les personnes concernées ainsi que le prévoit pourtant la Loi 25.
Une des parties névralgiques de ce plan est la stratégie de communication à l’égard de toutes les parties prenantes (employés, actionnaires, clients, partenaires, d’affaires, etc.). Ce plan de communication peut s’avérer fort précieux pour la suite des choses puisqu’il vise à contrôler le narratif (aviser que les responsables ont pris l’affaire en charge, faire état de l’évolution de la situation, etc.) pour rassurer toutes les parties impliquées. À défaut, des fuites préjudiciables pourraient se produire de la part d’employés, nuire au moral et à la rétention, ou porter atteinte à la réputation de l’entreprise pour en affecter la valeur comme ce fut le cas notamment pour la société Target en 2017.[12]
Bien que les conséquences d’une cyberattaque puissent varier selon les circonstances, le type d’industrie et la nature des données qui ont été compromises, une stratégie de communication mise en place pour répondre à une cyberattaque et en atténuer les risques prévisibles peut s’avérer déterminante. En effet, des chercheurs ont pu établir qu’une réponse immédiate et bien préparée à un incident de sécurité informatique était essentielle pour rétablir la confiance des investisseurs[13] et pouvait même contribuer à valoriser l’organisation aux yeux du public et des investisseurs. Comparativement, une réponse mal préparée (par exemple, le fait de dissimuler ou de cacher la survenance d’une attaque[14]) risquait d’entraîner l’effet contraire et de nuire à l’image d’une organisation.[15]
Les nouvelles dispositions de la Loi 25 obligent les organisations à être plus transparentes et responsables en matière de protection des renseignements personnels. Cette transparence devient un test de crédibilité lorsqu’un cyberincident devient public, surtout si des renseignements personnels ont été compromis. Il revient aux organisations de faire le nécessaire pour affronter la crise et minimiser leurs risques en élaborant soigneusement un plan d’urgence ainsi qu’une stratégie de communication efficace à l’égard de toutes les parties prenantes à défaut de quoi la responsabilité personnelle de ses dirigeants pourrait être engagée.
[1] Hugo Joncas, La Presse, 8 déc 2023; https://plus.lapresse.ca/screens/0d6ecf9c-c3b4-4947-9554-865f0fd2183d%7C_0.html
[2] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, adoptée le 22 septembre 2021, ci-après « Loi 25 »; https://www.canlii.org/fr/qc/legis/loisa/lq-2021-c-25/derniere/lq-2021-c-25.html
[3] Ibid., art. 103 modifiant l’art. 3.5 de Loi sur la protection des renseignements personnels dans le secteur privé (ci-après « LPRPSP », https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1)
[4] Ibid., art. 159 et 160 modififant les art. 90 et 91 de la LPRPSP. Note : ces sanctions et amendes entre en vigueur dès le 23 septembre 2023.
[5] Ibid.; En effet, tel que le prévoit son préambule, la Loi 25 s’applique autant aux organismes publics (art. 1 et ss.), qu’aux entreprises privées (art. 100 et ss.)
[6] Loi 25, art. 103, Supra, note 5.
[7] Pensons notamment à Sobeys, Rogers, BRB, RBC, Amex Canada, etc.
[8] Supra, note 8.
[9] Règlement sur les incidents de confidentialité, entré en vigueur le 22 septembre 2022.
[10] Ibid., art. 6.
[11] LPRPSP, art. 3.5, alinéa 3.
[12] Steve Maas, « Economic and Financial Consequences of Corporate Cyberattacks », NBER, June 2018; l’auteur de cette étude se fonde notamment sur le cas de la société Target qui, après avoir fait l’objet d’une cyberattaque, en 2017, avait subi des pertes en ventes l’année suivante de près de 30%, ce qui n’a pas manqué de se refléter sur la valeur de ses actions; https://www.nber.org/digest/jun18/economic-and-financial-consequences-corporate-cyberattacks
[13] Keman Huang and Stuart Madnick, “A Cyberattack Doesn’t Have to Sink Your Stock Price”, Harvard Business Review, August 14, 2020; https://hbr.org/2020/08/a-cyberattack-doesnt-have-to-sink-your-stock-price
[14] Marie-Claude Lyonnais, « Cyberattaque : pourquoi l’entreprise BRP reste-t-elle opaque? », La Presse, 26 août 2022; https://ici.radio-canada.ca/nouvelle/1908089/cyberattaque-brp-transparence-avocat
[15] Jamison Hutton, “5 tips for managing PR in the aftermath of a cyberattack”, Agility Public Relations, Jan 21, 2021; https://www.agilitypr.com/pr-news/public-relations/4-tips-for-managing-pr-in-the-aftermath-of-a-cyberattack/
