Orientations tirées des décisions des États-Unis

Écrit par Ruth Promislow and David Cassin

Selon toute vraisemblance, votre organisation subira une cyberattaque. Selon une étude éminence d’Accenture, l’organisation canadienne moyenne fait face à environ 96 cyberattaques par année, dont près du tiers entraînent une atteinte à la sécurité. Les conséquences des cyberattaques laissent souvent un sillage de victimes dont les renseignements personnels ont été violés, et en conséquence une exposition massive pour les entreprises qui ont été attaquées.

À l’heure actuelle, les administrateurs savent (espérons-le) qu’ils doivent prendre des mesures raisonnables en ce qui concerne la prévention et la réponse aux cyberattaques. S’ils ne le font pas, non seulement ils compromettent la viabilité de l’entreprise qu’ils supervisent, mais ils risquent également la responsabilité personnelle.

Il est essentiel de décoder les mesures spécifiques que l’on devrait prendre en tant qu’administrateur. Une série de décisions des États-Unis rejetant les réclamations des actionnaires contre les administrateurs fournit des indications aux administrateurs sur cette exposition potentielle.

Dans une décision rendue en novembre 2016 dans L’affaire Home Depot, des directives spécifiques ont été données aux administrateurs. Dans cette affaire, les actionnaires ont allégué que les administrateurs n’avaient pas mis en œuvre de mécanismes adéquats de sécurité des données; n’a pas exercé une surveillance adéquate des questions de cybersécurité; et n’a pas réagi adéquatement aux menaces de cybersécurité. Les mesures prises par le conseil d’administration de Home Depot qui ont mené au rejet par le tribunal de la plainte déposée contre eux comprenaient :

• déléguer la responsabilité de la sécurité des TI et des données à son comité d’audit;
• avoir un plan de sécurité des données en place pour remédier aux lacunes en matière de sécurité des données;
• prendre des mesures pour remédier aux lacunes de Home Depot en matière de sécurité des données avant que l’atteinte à la protection des données ne se produise; et
• recevoir des séances d’information régulières de la direction et du comité d’audit concernant l’état de la sécurité des données de Home Depot.

Déterminer exactement ce qui équivaut à une conduite « raisonnable » et « défendable » de la part des administrateurs dans le contexte de la sécurité des données est également éclairé par les décisions des États-Unis dans Wyndham v Holmes, 14-CV-01234 (SRC) [Wyndham] et Davis v Target Corporation,14-CV-00203-PAM-JJK [ Cible]. Dans ces cas, la conduite raisonnable et défendable des administrateurs comprenait :

• élaborer des politiques de cybersécurité (voir Target Corporation Report of the Special Litigation Committee);
• comprendre et être tenu informé des cyberattaques en cours et des problèmes de sécurité des données; enquêter sur les cyberattaques; et
• jouer un rôle actif à la suite de toute atteinte à la protection des données.

Bien que les réclamations des actionnaires contre les administrateurs n’aient pas encore abouti, les administrateurs ne devraient pas sous-estimer leur exposition potentielle. Dans les affaires examinées ci-dessus, les tribunaux ont rejeté les demandes au motif que les administrateurs avaient pris toutes les mesures raisonnables dans les circonstances. Ce qui est raisonnable, c’est une norme en évolution et les administrateurs doivent continuellement se tenir au courant de leurs obligations. À cet égard, il est conseillé aux administrateurs de consulter régulièrement un avocat afin de minimiser leur exposition potentielle dans ce domaine de plus en plus risqué.

Le Bennett Jones Cybersecurity Team comprend un groupe de partenaires et d’associés hautement qualifiés dans le domaine de la cybersécurité.