Écrit par Ruth Promislow, Hugo Alves and David Cassin

La cybersécurité est un risque commercial important pour toute organisation qui collecte des données personnelles. Plus la quantité de données personnelles collectées par une organisation est grande, plus le risque qu’elles soient ciblées par les cybercriminels est grand. Il est maintenant largement admis qu’il ne s’agit pas de savoir s’il y aura une attaque, mais plutôt quand une attaque se produira. Les cyberattaques sont de plus en plus fréquentes, et la perte ou l’exposition d’informations sensibles est à la hausse. Les producteurs autorisés de cannabis et d’autres entreprises liées au cannabis (collectivement, les CRC) font face à des risques accrus associés aux atteintes à la protection des données en raison de la nature hautement confidentielle et du grand volume de données recueillies auprès de leurs clients.

Les données généralement stockées par les organisations de l’industrie du cannabis médical comprennent:

• Données personnelles: nom complet; numéro de carte de crédit, date d’expiration et code de sécurité; adresse e-mail personnelle; adresse du domicile; âge; sexe; date de naissance; numéro d’assurance sociale; numéro d’assurance maladie provincial; et, dans certains cas, profession.
• Renseignements personnels sur la santé : évaluations de la santé; problèmes de santé et diagnostics actuels et historiques; ordonnances et historique des ordonnances; et noms des médecins et des soignants désignés.

Au cours de la dernière année, il y a eu des fuites de données impliquant des organisations de l’industrie du cannabis médical, y compris des dispensaires à Ottawa et à Vancouver. Il n’y a pas encore eu d’attaque très médiatisée dans cette industrie, mais l’absence d’une telle attaque ne devrait endormir personne dans un faux sentiment de confort.

Recours à des fournisseurs de services tiers

À mesure que la sophistication et la prolifération des cyberattaques augmentent, de nombreuses entreprises ont accru leur dépendance à l’égard de fournisseurs tiers spécialisés pour gérer les données confidentielles, plutôt que de gérer les données en interne. Les CRC sont avertis que les contrats avec des fournisseurs tiers absoudront pas leur entreprise de toute responsabilité en cas de violation de données contre le fournisseur de services tiers. Le CEM peut être ultimement responsable de s’assurer que son fournisseur tiers utilise des mesures de sécurité adéquates dans le traitement des renseignements sur les clients. Par conséquent, lorsqu’on retient les services de tiers fournisseurs de services, des avocats en cybersécurité devraient être engagés pour aider le CEM à structurer et à mettre en œuvre des stratégies d’atténuation des risques liées à une cyberattaque potentielle contre le tiers fournisseur.

Exposition aux litiges

Une atteinte à la protection des données à l’encontre d’un CEM pourrait donner lieu à une exposition importante. Outre l’atteinte à la réputation et les conséquences commerciales immédiates, y compris la publicité négative et la perte de clients, il existe également un risque important de litige de la part des victimes d’une atteinte à la protection des données.

Les victimes dont les données ont été compromises ou détournées sont probablement des plaideurs contre des sociétés et leurs administrateurs. En réclamant des dommages-intérêts contre une société ou des administrateurs, une victime n’a pas besoin de prouver des dommages spécifiques découlant de la violation de données. La Cour d’appel de l’Ontario a statué que l’intrusion dans l’isolement est un délit civil pour lequel des dommages-intérêts peuvent être accordés jusqu’à 20 000 $. ¹ Compte tenu du nombre potentiel de clients dont les données pourraient être compromises par une cyberattaque, cette exposition peut être importante. D’autres réclamations potentielles comprennent la rupture de contrat, la négligence et la violation des droits garantis par la Charte. De plus, des dommages-intérêts supplémentaires peuvent être réclamés contre l’organisation qui était responsable du stockage des renseignements personnels, tels que les coûts associés au vol d’identité, à l’atteinte à la réputation et à l’angoisse mentale.

Étant donné que les cyberattaques impliquent généralement un grand nombre de victimes, les recours collectifs en cybersécurité sont devenus de plus en plus répandus et peuvent poser une exposition majeure à des litiges pour les CRC qui subissent une violation de données. À titre d’exemple de la portée d’un recours collectif potentiel, Yahoo! Inc. fait face à un recours collectif proposé de 50 millions de dollars au Canada découlant de cyberattaques récemment découvertes sur son réseau qui se sont produites en 2014 et 2013. ²

Risques réglementaires

Une atteinte à la protection des données à l’encontre d’un CRB donne également lieu à un examen réglementaire. Étant donné que certains CRC, comme les producteurs autorisés, détiennent généralement des renseignements personnels et privés sur la santé de leurs clients, et que ces clients peuvent être situés partout au pays, il existe plusieurs exigences réglementaires auxquelles ils peuvent être assujettis. Par exemple, les CRC peuvent être couverts (entre autres) par des exigences en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques du gouvernement ^fédéral3, de la Loi sur la protection des renseignements personnels de l’Alberta4 et ^de diverses lois provinciales portant spécifiquement sur les renseignements sur la santé. ⁵

La LPRPDE a pour fonction de réglementer les « organisations commerciales » qui recueillent, utilisent ou communiquent des « renseignements personnels ». ^{6 La} LPRPDE a récemment été modifiée par la Loi sur la protection des renseignements personnels numériques. ⁷ En vertu de la Loi sur la protection des renseignements personnels numériques, certaines nouvelles dispositions (qui ne sont pas encore en vigueur) exigeront que les organisations avisent les personnes et les autres organisations des atteintes à la vie privée qui créent un « risque réel de préjudice grave », et signalent ces atteintes au commissaire à la protection de la vie privée. En vertu de ces nouvelles dispositions, les organisations qui omettent de signaler une atteinte à la protection de la vie privée au commissaire à la protection de la vie privée, ou qui omettent d’aviser les personnes au besoin, s’exposent à des amendes pouvant aller jusqu’à 100 000 $ par atteinte à la vie privée. Il n’est pas clair si le nouveau règlement imposera des amendes de 100 000 $ par incident ou par personne dont les renseignements ont été compromis. Les exigences obligatoires en matière de notification des atteintes à la vie privée devraient être en vigueur sous peu.

À l’heure actuelle, l’Alberta est la seule province qui a des obligations de déclaration obligatoire à la suite d’une atteinte à la protection des données. La PIPA de l’Alberta exige qu’une organisation dont les renseignements personnels des clients sont violés avise le commissaire à la protection de la vie privée sans délai déraisonnable. Le seuil pour aviser le commissaire à la protection de la vie privée d’une atteinte est le cas où une « personne raisonnable considérerait qu’il existe un risque réel de préjudice grave pour une personne en raison de la perte ou de l’accès ou de la communication non autorisés ». ⁸

Coûts de l’atteinte à la protection des données

Du point de vue de l’entreprise, les coûts associés aux poursuites et à la responsabilité à la suite d’une violation de données peuvent être importants. Par exemple, le coût moyen d’une atteinte à la protection des données est d’environ 6 millions de dollars selon un rapport de juin 2016 parrainé par IBM. Target a estimé que sa récente violation de données coûtera approximately 252 millions de dollars américains. Il convient de noter que le rapport d’IBM a révélé que les entreprises opérant dans le secteur de la santé « ont les violations de données les plus coûteuses ».

Mesures à prendre

Mise en œuvre d’un plan cybernétique

Les CRC doivent avoir un plan en place conçu pour prévenir les cyberattaques. Bien qu’il ne soit pas possible d’empêcher complètement une cyberattaque, on s’attend à ce que les organisations prennent toutes les mesures raisonnables pour le faire. Un plan cybernétique peut aider à atténuer le préjudice potentiel d’une atteinte à la protection des données et à réduire le risque de responsabilité si l’organisation est ciblée. En plus de l’exposition pour le CRB, l’absence d’une stratégie appropriée en place peut augmentation de la responsabilité des administrateurs.

Décisions récentes aux États-Unis dans In Re The Home Depot, Inc., Wyndham v Holmes and Davis v Target Corporation, ainsi qu’un Rapport commun des commissaires à la protection de la vie privée du Canada et de l’Australie sur l’atteinte à la protection des données Ashley Madison est instructif pour les conseils d’administration dans l’établissement des normes qu’ils doivent suivre pour atténuer ou éviter la responsabilité personnelle en raison d’une violation de données. Compte tenu des principes tirés de décisions antérieures, il est conseillé aux conseils d’administration de :

• Participer activement aux questions de cybersécurité (y compris avant une cyberattaque) au niveau du conseil d’administration, ce qui comprend la participation régulière à des réunions et à des séminaires sur les développements en matière de cybersécurité;
• Élaborer des politiques internes en matière de cybersécurité et des obligations en matière de rapports, y compris un cadre de gestion des risques documenté avec des mesures précises à prendre en cas de cyberattaque;
• Veiller à ce que des mesures de protection suffisantes en matière de cybersécurité soient en place;
• Entreprendre des évaluations régulières des menaces potentielles à la cybersécurité au moyen d’audits et d’évaluations internes ou externes; et
• Veiller à ce que tout le personnel (y compris les administrateurs et les dirigeants) reçoive une formation régulière sur les questions générales de protection de la vie privée et de sécurité.

Répondre à une attaque

Lorsqu’un CRB a subi une cyberattaque, il est impératif de retenir les services de conseillers expérimentés afin d’élaborer une stratégie immédiate pour atténuer les dommages, conseiller les organismes de réglementation nécessaires, signaler aux personnes touchées, contrôler et contenir l’atteinte à la protection des données. L’avocat est particulièrement important dans ce processus et devrait être engagé pour superviser le processus afin que le privilège puisse être revendiqué au cours de l’enquête.

La mise à jour ci-dessus donne un bref aperçu de certaines des questions relatives à la protection des données et aux cyberattaques dans l’industrie du cannabis. Il est important de se rappeler que la loi sur le cannabis est à la fois complexe et évolue rapidement. Chez Bennett Jones LLP, nous avons une équipe de conseillers professionnels de premier plan de l’industrie qui peuvent fournir des conseils juridiques et stratégiques à tous les participants de l’industrie alors que l’industrie canadienne du cannabis continue de progresser.

Pour plus d’informations sur la façon de gérer votre exposition aux risques de cybersécurité, l’équipe de cybersécurité Bennett Jones Cybersecurity peut vous aider.

Merci à Katherine Rusk, stagiaire en droit

Remarques :

1. Jones v Tsige, 2012 ONCA 32.
2. Karasik c. Yahoo! Inc. et Yahoo! Canada Co., dossier de la Cour no. CV-16-566248-00CP.
3. Loi sur la protection des renseignements personnels et les documents électroniques, SC 2000, ch. 5 (LPRPDE).
4. Loi sur la protection des renseignements personnels, SA 2003, c P-6.5, s 34.1 (PIPA).
5. Loi de 2004 sur la protection des renseignements personnels sur la santé, SO 2004, ch. 3 (LPRPS); Voir aussi la Loi sur la protection et l’accès aux renseignements personnels sur la santé du Nouveau-Brunswick, SNB 2009, c P-7.05, s 49c) et la Personal Health Information Act de Terre-Neuve-et-Labrador, SNL 2008, c P-7.01, s 15(3).
6. LPRPDE, alinéa 2a), en vertu duquel les « renseignements personnels » sont définis comme des « renseignements concernant une personne identifiable ».
7. Loi sur la protection des renseignements personnels numériques, SC 2015, c 32.
8. PIPA à l’article 34.1.