Alors que les dirigeants d’entreprise sont de plus en plus conscients de leur obligation d’être informés des menaces à la cybersécurité et des mesures prises par leur entreprise pour prévenir les violations de données, il est tout aussi important pour les dirigeants de s’assurer que les employés sont éduqués en ce qui concerne les cybermenaces. Le protocole de prévention des violations de données d’une entreprise peut n’être aussi fort que son maillon le plus faible.
La négligence ou l’insouciance de la part d’un employé d’une entreprise qui contribue à une violation de données réussie peut exposer l’entreprise à une responsabilité. Par exemple, les employés peuvent créer des risques en cliquant négligemment sur ce qui est considéré comme un lien d’hameçonnage évident, ou en mettant à jour imprudemment les médias sociaux.
La portée de la négligence dans le contexte cybernétique demeure largement inexplorée par la jurisprudence. Cependant, compte tenu de la prise de conscience croissante de la fréquence et de la nature des cybermenaces, la norme de diligence due par une entreprise aux personnes dont les données personnelles sont stockées peut s’étendre. Avec cette obligation élargie, les entreprises pourraient être exposées à une responsabilité accrue du fait d’autrui pour les erreurs de leurs employés.
Une entreprise peut être tenue responsable du fait d’autrui pour les actes de négligence d’un employé si les actes sont commis dans le cadre d’un emploi. Ce critère soulève deux questions : (1) qui est un employé et (2) quelles activités sont engagées dans le cadre de l’emploi?
La question de savoir qui est un employé aux fins de déterminer la responsabilité du fait d’autrui n’est pas aussi simple que de déterminer si une personne est désignée comme un employé par l’entreprise.
En règle générale, une partie n’est pas responsable du fait d’autrui des actes délictuels d’un entrepreneur indépendant. 1 Pour déterminer si une partie agit à titre d’employé ou d’entrepreneur indépendant, les tribunaux tiennent compte d’un certain nombre de facteurs, y compris le degré de contrôle exercé sur le travailleur, si le travailleur utilise son propre équipement, si le travailleur embauche une aide indépendante, si le travailleur assume un risque financier, le degré de responsabilité en matière d’investissement et de gestion détenu par le travailleur et la possibilité de profit du travailleur. 2
Ne présumez pas que, parce qu’une personne n’est pas désignée comme un employé, cette responsabilité pour les cyberattaques ne découle pas de sa conduite négligente, imprudente ou intentionnelle.
Les activités exercées dans le « cadre de l’emploi » comprennent les activités que l’employeur autorise, ainsi que les activités exercées par l’employé en utilisant le pouvoir qui lui est accordé par l’employeur. 3 Si l’employeur n’a pas autorisé l’activité fautive, le tribunal examinera si l’employeur « a introduit le risque du tort ». 4 En d’autres termes, le tribunal peut se demander si l’employeur a caché à la personne l’autorité par laquelle elle a commis le tort.
Ne présumez pas que, parce qu’un employé n’est pas autorisé à s’engager dans des tâches particulières, l’entreprise ne sera pas exposée à la conduite négligente ou imprudente de l’employé en lien avec les cybermenaces.
Dans le monde de la cybersécurité, les actions des employés d’une organisation sont essentielles. Les entreprises doivent former leurs employés aux risques de cybersécurité et assurer une surveillance suffisante des employés ayant accès aux données personnelles.
Les atteintes à la protection des données sont inévitables; mais la responsabilité pour ces violations peut être minimisée. Une formation et une supervision adéquates des employés sont un élément essentiel de la prévention des atteintes à la protection des données.
1 M.A.N. – B & W Diesel v Kingsway Transports Ltd, 1997 CarswellOnt 1086 (CA) au para 7. Certains tribunaux de la Colombie-Britannique ont tenu les parties responsables des actions d’entrepreneurs indépendants : voir par exemple A(C) v C(JW) (1998), 166 DLR (4th) 475 (BCCA) et Thiessen v Mutual Life Assurance Co of Canada (2001), 8 CCLT (3d) 134 (BCSC).
2 671122 Ontario Ltd c Sagaz Industries Canada Inc, [2001] 2 RCS 983, 2001 CSC 59 au para 47.
3 Triplett v Steadman, 1981 CarswellAlta 297 (QB) au para 5.
4 Bazley c Curry, [1999] 2 RCS 534, 1999 CanLII 692 (CSC) au para 37 [Bazley].