Par Éloïse Gratton, Ad. E., LL. D., IAS.A, membre du Conseil de la société, associée et coresponsable nationale du groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels, BLG
Le respect de la vie privée et les cyberrisques sont des enjeux importants pour les équipes de direction et les conseils d’administration, et pour de bonnes raisons. Selon les lois canadiennes en vigueur, les administrateurs et administratrices de sociétés sont responsables des activités de leur organisation, y compris l’identification et la gestion des risques, en plus d’être assujettis à une obligation de diligence. Et les organismes de réglementation ne sont pas les seuls à s’en préoccuper. Selon un rapport publié par RBC en 2021, la cybersécurité est la deuxième préoccupation en importance des investisseurs institutionnels et des experts-conseils en ce qui concerne les facteurs environnementaux, sociaux et de gouvernance (ESG). De plus, les conseillers en matière de procuration évaluent régulièrement les entreprises en fonction de leurs pratiques de cybersécurité et de protection de la vie privée dans le volet gouvernance de la notation ESG.
En tant que membre de la haute direction, quels nouveaux risques liés à la protection des données devriez-vous garder dans votre ligne de mire? Comment respecter votre obligation de diligence face à ces risques pour satisfaire à la fois les autorités réglementaires et les investisseurs? Le présent article présente 4 risques liés à la protection de la vie privée que tous les dirigeants et administrateurs devraient connaître, ainsi qu’une liste de vérification en 11 points offrant des recommandations axées sur le Canada en matière de gouvernance des données et de protection de la vie privée.
Risques liés à la protection de la vie privée pour les organisations canadiennes
Évolution de la législation. La Securities and Exchange Commission des États-Unis a récemment proposé de nouvelles règles qui renforceraient considérablement les exigences de déclaration des sociétés cotées en bourse à la suite d’une cyberattaque, de même que l’obligation des dirigeants et des administrateurs d’atténuer les risques connexes. Au Canada comme aux États-Unis, les lois sur la protection des données deviennent de plus en plus strictes à mesure que les deux pays rattrapent lentement le Règlement général sur la protection des données (RGPD) de l’Union européenne, adopté en 2018 et considéré comme la norme mondiale. Au Canada, le Québec a été la première administration à adopter une loi sur la protection des données il y a environ 30 ans et à mettre à jour sa loi en fonction du nouveau cadre européen de protection de la vie privée plus tôt cette année, suivi de près par d’autres territoires canadiens.
Un nouveau type d’action collective en protection de la vie privée. Plus de 150 actions collectives en protection de la vie privée ont été déposées au Canada ces dernières années, principalement en Ontario, au Québec et en Colombie-Britannique. De ce nombre, environ 70 % avaient trait à une cyberattaque. Les autres concernaient des « pratiques portant atteinte à la vie privée » :
- Manque de transparence dans la collecte ou le traitement des renseignements personnels de consommateurs
- Défaut d’avoir obtenu le consentement approprié
- Pratiques inacceptables dans la collecte de renseignements personnels, y compris la collecte excessive
- Utilisation de nouvelles technologies opérant une surveillance ou un contrôle
Par le passé, la plupart des actions collectives en protection de la vie privée alléguant des pratiques commerciales intrusives visaient des géants des technologies et des entreprises qui utilisent des renseignements personnels à des fins lucratives. Dernièrement, toutefois, un large éventail d’entreprises des secteurs du commerce de détail, des télécommunications, de l’immobilier et des services financiers ont également été ciblées par de telles poursuites.
Sanctions. Les nouvelles exigences en matière de protection de la vie privée s’accompagnent de sanctions administratives pécuniaires en cas de non-conformité. Le Québec a été la première province canadienne à mettre en place de telles mesures en introduisant un droit privé d’action et un régime de sanctions administratives pécuniaires pouvant aller jusqu’à 10 M$ ou 2 % des recettes , ou jusqu’à 25 M$ ou 4 % des recettes pour certaines infractions pénales. En 2022, le ministre de l’Innovation, des Sciences et de l’Industrie a présenté le projet de loi C-27, Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d’autres lois , ainsi que la Loi sur l’intelligence artificielle et les données. Les deux lois entraînent des risques de conformité importants pour les entreprises, y compris des sanctions pouvant atteindre 10 M$ ou 3 % des recettes. Les violations les plus flagrantes sont passibles d’une amende allant jusqu’à 25 M$ ou 5 % des recettes.
Poursuites d’actionnaires : Aux États-Unis, les actions dérivées introduites contre des conseils d’administration à la suite d’atteintes à la sécurité des données se font de plus en plus nombreuses. Certaines ont été rejetées, comme celles intentées contre Marriott et Capital One. Les avocats et avocates des plaignants déposent de plus en plus souvent des demandes fondées sur des allégations de violation du devoir de surveillance. À titre d’exemple, une action dérivée déposée contre le conseil d’administration de T-Mobile US en novembre 2021 allègue que le conseil d’administration a omis de surveiller les signaux d’alerte et d’en tenir compte. En 2022, un actionnaire a déposé une plainte liée à la baisse du cours de l’action d’Okta à la suite d’une atteinte à la sécurité des données, reprochant à la société les mesures prises avant et après l’incident. Si nous n’avons pas encore observé cette tendance au Canada, les poursuites d’actionnaires demeurent un risque émergent à surveiller.
Liste de vérification sur la gouvernance des données et la protection de la vie privée : onze recommandations
Les équipes de direction et les conseils d’administration doivent jouer un rôle actif en surveillant directement les risques associés à protection de la vie privée et à la cybersécurité qui touchent leur organisation. Voici quelques recommandations clés pour orienter vos mesures dans un paysage réglementaire en évolution rapide.
1. Objectif : Nous comprenons pourquoi nous recueillons et conservons des renseignements personnels.
En vertu des lois canadiennes sur la protection des données, il est illégal de recueillir, de communiquer ou de conserver des renseignements personnels qui ne sont pas liés aux activités commerciales. Par exemple, à la suite de la fuite de données survenue chez Desjardins en 2019, le Commissariat à la protection de la vie privée du Canada a exprimé ses préoccupations quant au fait que la société aurait conservé d’anciennes données dont elle n’avait plus besoin.
Les lois canadiennes sur la protection des données reposent sur le consentement. Il existe une distinction juridique entre le fait de demander un consentement pour des renseignements personnels qui sont nécessaires aux activités commerciales et pour des renseignements qui ne le sont pas. Le consentement à la collecte et à l’utilisation de renseignements personnels à des fins optionnelles (p. ex., marketing, sondages, analyses) doit être facultatif. Les membres de la haute direction doivent comprendre pourquoi leur organisation recueille des renseignements personnels afin que les énoncés de confidentialité destinés aux clients, aux investisseurs, aux demandeurs, aux employés, aux internautes et à d’autres parties demeurent conformes aux obligations en matière de transparence et de consentement.
2. Stratégie : Nous comprenons la stratégie de notre organisation en matière de protection des données et discutons régulièrement de son efficacité.
Les renseignements personnels ont une énorme valeur lorsqu’il est question d’attirer les clients et d’améliorer leur expérience, le positionnement de la marque, la confiance, la fidélité et les relations avec les investisseurs, autant d’éléments qui constituent un avantage concurrentiel. Qui plus est, l’analytique d’affaires et l’intelligence artificielle permettent d’accélérer l’innovation à partir de ces données. Les conseils d’administration doivent comprendre la stratégie d’affaires qui sous-tend l’utilisation des renseignements personnels pour pouvoir tenir régulièrement des discussions informées sur son efficacité à mesure que l’entreprise évolue.
3. Visibilité : Nous connaissons le type de renseignements personnels que nous possédons et savons où les données se trouvent.
Pour gérer et atténuer les risques liés à la conformité, un conseil d’administration devrait s’assurer que la direction est consciente de ce qui suit concernant les renseignements personnels en sa possession :
- Leur type
- Leurs sources
- Leur format
- La manière dont ils sont utilisés
- Leur structure et leur classification selon leur nature
- La possibilité d’y accéder, de les supprimer ou de les communiquer ou encore qu’ils fassent d’objet d’autres demandes
- Leur emplacement
Les organisations procèdent souvent à des exercices de mappage de données au cours desquels elles interrogent les unités opérationnelles pertinentes afin de mieux comprendre le cycle de vie des renseignements personnels, de leur collecte à leur destruction. Ainsi, elles sont en mesure de mieux évaluer les risques et de cibler les mesures de sécurité appropriées pour se conformer aux exigences légales des territoires où elles exercent leurs activités.
4. Élaboration de programmes : Nous avons mis en place un programme approprié de protection de la vie privée et sommes préparés aux changements de réglementation.
Les entreprises ont besoin d’un programme de protection de la vie privée solide accompagné de politiques, de procédures, de processus et de contrôles qui permettent d’atténuer les principaux risques liés à la gestion des renseignements personnels. Les conseils d’administration devraient rencontrer régulièrement la personne légalement responsable de la protection des renseignements personnels (p. ex., chef·fe de la direction au Québec, responsable de la protection de la vie privée) de leur entreprise afin de discuter de la mise en œuvre, de la surveillance et de l’application du programme, surtout si l’entreprise étend sa collecte et son traitement des données.
Les programmes de protection de la vie privée devraient inclure une formation générale trimestrielle sur la cybersécurité destinée à l’ensemble du personnel ainsi qu’une formation ciblée pour les personnes qui traitent des renseignements confidentiels ou qui sont responsables de contrats avec des fournisseurs ou de projets nécessitant une évaluation des facteurs relatifs à la vie privée (EFVP).
Il incombe aux conseils d’administration de s’assurer qu’il existe une structure de gouvernance solide et soutenue par la haute direction pour superviser le programme de protection de la vie privée, et que l’entreprise est en voie de répondre à toutes les nouvelles exigences légales.
5. Obstacles : Nous avons ciblé les aspects qu’il nous faut surveiller au chapitre de la conformité et disposons des ressources nécessaires pour mettre en œuvre notre programme de protection de la vie privée.
Les équipes de direction devraient connaître les difficultés (temps, ressources, complexité juridique, etc.) qui peuvent entraver la conformité au sein de leur organisation et s’appuyer sur ces informations pour évaluer la gravité des risques et déterminer les pratiques optimales à appliquer en vue d’améliorer leur programme de protection de la vie privée. Elles devraient également évaluer le caractère adéquat de leurs ressources financières et humaines et déterminer qui est responsable de quels résultats.
6. Préparation : Nous sommes prêts à fournir des preuves de conformité aux autorités de protection de la vie privée qui en font la demande.
Les politiques, procédures, processus et contrôles liés à la protection de la vie privée devraient être correctement documentés et facilement accessibles dans l’éventualité d’une demande d’un organisme de réglementation. Certains territoires canadiens exigeront bientôt que les entreprises publient ces informations sur leur site Web. La loi pourrait également obliger les entreprises à tenir un registre de tous les incidents de sécurité après une violation, et ce, pendant une période définie par le ou les territoires du Canada dans lesquels elles exercent leurs activités. Les entreprises devront fournir ce registre aux autorités de réglementation qui en font la demande aux fins de vérification de la conformité.
Souvent, lorsqu’elles reçoivent une plainte au sujet d’une pratique commerciale, les autorités canadiennes de protection de la vie privée demandent tout d’abord de voir l’EFVP de l’entreprise. L’EFVP permet de définir les risques liés à la protection de la vie privée et les contrôles nécessaires pour les atténuer, et peut aider à démontrer aux autorités de protection de la vie privée que l’entreprise a fait ses devoirs. À compter de septembre 2023, une EFVP sera obligatoire au Québec pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation de services électroniques comportant le traitement de renseignements personnels, ainsi que pour tout transfert transfrontalier de renseignements personnels.
7. Impartition : Notre approche d’impartition est conforme aux lois sur la protection de la vie privée et atténue les risques de manière adéquate.
Les conseils d’administration devraient évaluer si la politique d’impartition protège de manière adéquate les renseignements personnels transmis, le cas échéant. En général, il s’agit de réaliser un audit de la sécurité ou d’utiliser un questionnaire d’évaluation des risques de sécurité liés aux fournisseurs dans le cadre du processus de contrôle diligent.
Les contrats devraient également contenir des dispositions relatives à la protection de la vie privée prévoyant, au minimum :
- Le respect des lois canadiennes sur la protection des données
- L’interdiction d’utiliser ou de divulguer les renseignements personnels à des fins autres que la prestation de services
- L’interdiction de communiquer les renseignements à des tiers ou de les envoyer dans certains territoires étrangers
- Un cadre pour la gestion des demandes de tiers, y compris les demandes de divulgation du gouvernement
- L’élimination ou la destruction sécurisée des renseignements à la fin du contrat
- Les mesures de sécurité minimales recommandées par les autorités canadiennes de protection de la vie privée à la suite d’enquêtes récentes sur des atteintes à la sécurité des données ou des incidents de sécurité (p. ex., enquêtes visant Equifax, Loblaw, Desjardins, TD Canada Trust, BMO et Marriott)
- L’obligation de signaler toute atteinte à la sécurité des données ou tout incident de sécurité lié concernant les renseignements personnels impartis
- L’autorisation d’effectuer un examen ou un audit des mesures de sécurité du fournisseur de services pendant la durée du contrat
Toute disposition permettant au fournisseur de services d’utiliser les renseignements à ses propres fins (p. ex., pour améliorer ses produits et services) devrait être évaluée à la lumière des préoccupations soulevées par les autorités canadiennes de protection de la vie privée dans une affaire récente mettant en cause Tim Hortons, et ce, même si les renseignements sont anonymisés.
8. Capacité d’adaptation : Nos plans liés aux nouvelles technologies et à l’analyse des données sont conformes à l’évolution des lois sur la protection des données et des attentes du public.
Les conseils d’administration devraient s’assurer que la direction procède à une EFVP pour les nouveaux services, produits et partenariats. Puisque les lois sur la protection des données comportent de nombreuses zones grises, la direction devrait aller au-delà de la simple conformité et se pencher sur les questions éthiques liées à l’utilisation des données. Comme nous l’avons mentionné, le consentement est un aspect essentiel de la protection de la vie privée au Canada. La forme de consentement appropriée dépend de la situation, de la nature des renseignements concernés et des attentes raisonnables de la personne. Ces dernières peuvent être difficiles à évaluer, d’autant que les normes sociales évoluent constamment et que les gens peuvent parfois changer d’avis sur la question de savoir si une technologie porte atteinte à leur vie privée.
À titre d’exemple, le Commissariat à la protection de la vie privée du Canada a conclu que le modèle de consentement utilisé dans le programme de publicité pertinente d’une entreprise canadienne de télécommunications aurait dû être positif plutôt que négatif . Autre exemple, les autorités canadiennes de protection de la vie privée ont conclu qu’une entreprise avait recueilli et utilisé les renseignements personnels des visiteurs de ses centres commerciaux au Canada sans leur consentement au moyen d’une technologie d’analyse vidéo anonyme (AVA).
Les conseils d’administration et les équipes de direction devraient discuter de toute initiative d’analytique d’affaires comportant des renseignements qui seront touchés par la réforme du droit canadien relatif à la protection de la vie privée, y compris les suivantes :
- L’utilisation de certains types de renseignements confidentiels comme les données biométriques
- L’utilisation de technologies permettant le profilage, la localisation et l’identification des personnes (p. ex., reconnaissance faciale, intelligence artificielle, apprentissage automatique)
- L’utilisation de technologies dans le but de prendre des décisions automatisées qui peuvent avoir une incidence sur les consommateurs ou les employés
- Les différents types d’obligations légales applicables selon que les renseignements sont personnels, dépersonnalisés ou anonymisés
9. Transactions commerciales : Nous disposons d’un cadre pour évaluer de manière adéquate les risques liés à la protection et à la sécurité des renseignements personnels dans le contexte des fusions et acquisitions et des investissements.
Les investissements et les fusions et acquisitions sont des transactions commerciales qui introduisent des risques en matière de cybersécurité et de protection de la vie privée, et les conseils d’administration doivent se demander si l’entreprise dispose d’un cadre qui lui permet d’effectuer un contrôle diligent en bonne et due forme. En ce qui concerne les fusions et acquisitions, les histoires d’incidents sont légion et de grandes sociétés comme Yahoo!, PayPal, Uber, Asco, Marriott et Okta ont subi des conséquences négatives, notamment des amendes, une réduction de la valeur de l’entreprise ou du prix d’achat et l’annulation de transactions. Ces exemples soulignent l’importance de procéder à un contrôle diligent approprié en matière de sécurité des données et de respect de la vie privée lors des fusions et acquisitions, en particulier pour les transactions visant :
- Des sociétés de vente électronique aux consommateurs
- Le traitement de renseignements personnels sensibles
- L’utilisation de renseignements personnels à des fins lucratives
- L’introduction de nouvelles pratiques commerciales ou de nouveaux produits et services
10. Cybersécurité : Nous pouvons protéger les renseignements personnels dans le respect des lois applicables et réagir de manière appropriée à un incident de sécurité.
En vertu des lois canadiennes, les entreprises doivent protéger les renseignements personnels contre la perte, le vol, l’accès non autorisé, la divulgation, la copie, l’utilisation et la modification en mettant en place des mesures de sécurité proportionnelles à leur nature délicate. En cas d’atteinte à la sécurité, les autorités de protection de la vie privée vérifient habituellement si l’organisation visée avait mis en place les mesures techniques appropriées et les politiques, pratiques et procédures pertinentes, y compris en matière de formation.
La gestion des risques de cybersécurité est un exercice permanent qui nécessite un examen et une amélioration continus, car l’évolution des menaces et des techniques d’attaque révèle de nouvelles vulnérabilités. Les conseils d’administration devraient s’assurer d’avoir en place un plan d’intervention en cas d’incident qui précise les rôles et responsabilités et qui comprend une liste à jour des intervenants et de leurs coordonnées. Ce plan devrait être testé au moyen de simulations d’attaques et d’exercices de table et faire l’objet de mises à jour annuelles.
Les entreprises visées par une atteinte à la sécurité des données devraient consulter leur conseil d’administration sur toutes les questions importantes, y compris les rançons, les entrevues avec les médias et les déclarations aux autorités de réglementation, aux forces de l’ordre, aux clients touchés, aux employés et à d’autres intervenants.
11. Ressources financières : Nous connaissons les risques financiers liés à la protection des données et avons un plan pour les atténuer.
Les risques financiers actuels en matière de protection des données reposent principalement sur la gestion des incidents de sécurité. Parmi les autres risques, citons les amendes auxquelles s’exposent les entreprises qui ne déclarent pas les atteintes à la sécurité des données et le coût des litiges relatifs à la protection de la vie privée et de leur règlement. Les conseils d’administration devraient veiller à ce que la direction surveille les risques financiers en matière de protection des données. Pour ce faire, elle doit notamment faire le suivi des sanctions, en particulier la valeur monétaire dans le pire scénario, quand de nouvelles dispositions entrent en vigueur. Les conseils d’administration devraient aussi discuter régulièrement de cyberassurance et des montants de couverture.
Conclusion
Compte tenu de l’évolution du paysage réglementaire et des attentes des consommateurs et des investisseurs, les administrateurs et les dirigeants canadiens devront consacrer plus de temps et de ressources pour s’assurer que leur entreprise suit les pratiques optimales en matière de gouvernance des données et de protection de la vie privée.
La liste qui précède est un bon point de départ. Vous êtes sur la bonne voie si : vous comprenez pourquoi et comment vous recueillez et conservez les renseignements; vous connaissez le type de renseignements que vous possédez et savez où se trouvent les données; vous avez élaboré un programme de protection de la vie privée solide, souple et bien fondé et connaissez les difficultés qui s’y rattachent; vous pouvez accéder facilement aux renseignements pertinents pour les montrer aux autorités réglementaires; vos contrats d’impartition sont conformes; vous portez attention aux risques liés aux transactions commerciales; vous avez préparé votre entreprise à une inévitable cyberattaque; vous avez un plan pour atténuer les risques financiers liés à la protection des données.