Risques pour la cybersécurité des entreprises et de leurs administrateurs

Écrit par Ruth Promislow and Lauren Shneer

La menace de la criminalité commerciale contre les entreprises se transforme. La technologie a créé des moyens nouveaux et novateurs pour les fraudeurs d’exploiter les individus et les entreprises par le biais de cyberattaques. Ce nouveau visage de la fraude peut donner lieu à d’énormes problèmes de responsabilité pour une entreprise et ses administrateurs à la suite du vol de données personnelles détenues par l’entreprise.

Afin de naviguer dans ce nouveau terrain de risques de litige, les sociétés et leurs administrateurs doivent comprendre la portée et la nature évolutives de la responsabilité potentielle d’une cyberattaque.

Historique

Le piratage informatique n’a rien de nouveau. Le Hackers Handbook a été publié il y a plus de 30 ^ans,1 et le Congrès américain a adopté le Computer Fraud and Abuse Act peu de temps après. ² Le groupe hacktiviste, Anonymous, a été formé il y a plus d’une décennie. ³ Cinq ans plus tard, Anonymous a piraté l’Église de Scientologie et diffusé des documents privés volés sur Internet. ⁴

Au cours des dernières années, cependant, il y a eu plusieurs cyberattaques à grande échelle contre des sociétés sophistiquées aux États-Unis et au Canada, ce qui a donné lieu à d’importants problèmes de responsabilité civile et réglementaire pour ces sociétés et leurs administrateurs :

• En décembre 2013, une cyberattaque contre Target Corp. a entraîné la visibilité de renseignements personnels et financiers de quelque 70 à 110 millions de clients. ⁵ À la suite de cette atteinte, le bénéfice de Target a chuté de 46 % au cours de son quatrième trimestre d’exercice de 2013 aux États-Unis seulement. ⁶ Entre les poursuites intentées par des fournisseurs de services financiers (tels que Visa et MasterCard) et des clients, Target a finalement dépensé plus de 110 millions de dollars combinés en règlements civils. ⁷
• En décembre 2013, les cyberpirateurs ont obtenu un accès non autorisé aux systèmes de données d’Excellus BlueCross BlueShield, un licencié indépendant à but non lucratif de la BlueCross Blue Shield Association. ⁸ Les données personnelles sur la santé de plus de 10 millions de membres et de patients ont été compromises, ce qui comprenait les noms, les dates de naissance, les numéros de sécurité sociale, les numéros d’identification des membres, les informations sur les comptes financiers et les informations sur les réclamations. En novembre 2015, au moins 12 poursuites avaient été intentées contre l’assureur maladie basé à Rochester, sa société mère, Lifetime HealthCare, et d’autres filiales de Lifetime. ⁹
• En janvier 2014, des nouvelles ont éclaté d’une attaque contre le détaillant américain Neiman Marcus, par laquelle ses pirates ont obtenu toutes les informations de carte de débit et de crédit détenues par la société sur une période de trois mois. En fin de compte, 350 000 clients ont été touchés par le piratage. Un recours collectif contre la société aux États-Unis est en cours. ¹⁰
• En septembre 2014, le plus grand détaillant de rénovation domiciliaire, Home Depot, a confirmé qu’il avait été victime d’un piratage de données, au cours duquel plus de 53 millions d’adresses électroniques et de numéros de carte de crédit ont été volés à des clients aux États-Unis et au Canada. La société a depuis confirmé qu’elle fait face à « au moins » 44 poursuites civiles en lien avec la violation, en plus d’une série d’enquêtes réglementaires. ¹¹  
• En novembre 2014, la célèbre cyberattaque contre Sony Pictures Entertainment Inc. a anéanti les centres de données internes de l’entreprise et a conduit à l’annulation de la sortie en salles de « The Interview », une comédie sur l’assassinat fictif du dirigeant nord-coréen, Kim Jong-un. Des contrats, des listes de salaires, des budgets de films, des films entiers et des numéros de sécurité sociale ont été volés. Des courriels personnels sensibles ont été divulgués. Sony a finalement accepté de payer jusqu’à 8 millions de dollars aux employés qui alléguaient que leurs données personnelles avaient été volées. ^{12 ans}
• En décembre 2014, le commissaire à la protection de l’information et de la protection des renseignements personnels de l’Ontario a rendu une ordonnance contre l’Hôpital du centenaire de Scarborough du Rouge Valley Health System, concluant qu’il y avait eu deux atteintes majeures à la vie privée concernant les renseignements personnels sur la santé des nouvelles mères, qui ont été volés à la maternité de l’hôpital. ¹³ L’hôpital fait maintenant face à un recours collectif de 400 millions de dollars intenté au nom des patients. ^{14 ans}
• En février 2015, l’assureur-maladie américain Anthem Inc., a été ciblé par des cyberpirateurs, qui ont compromis les informations personnelles et financières de dizaines de millions de clients et d’employés de l’entreprise, y compris leurs noms, numéros de sécurité sociale, anniversaires, adresses et données de revenu. Au moins 26 poursuites ont depuis été intentées contre Anthem. ^{15 ans}
• En juillet 2015, un groupe de pirates informatiques appelé Impact Team a annoncé qu’il avait obtenu les données utilisateur des 39 millions de membres du site Web d’infidélité Ashley Madison. Lorsque la société mère de Toronto, Avid Life Media, Inc., a refusé de fermer le site Web, les cyberpiré pirates ont exposé les noms d’utilisateur et les transactions par carte de crédit des dirigeants d’Ashley Madison et, par la suite, de ses membres. Avid Life fait maintenant face à des recours collectifs de plus de 750 millions de dollars, en plus des enquêtes réglementaires en cours. ^{16 ans}

Ces cyberattaques très médiatisées sont des signes avant-coureurs que les violations de données à grande échelle constituent des menaces très réelles pour les entreprises et leurs administrateurs. Les atteintes à la protection des données doivent être considérées comme un risque commercial inévitable auquel les entreprises doivent se préparer. Pour que les sociétés et les administrateurs comprennent la nature des risques encourus, il est essentiel pour eux de comprendre comment ils peuvent être jugés responsables.

Étendue de la responsabilité découlant d’une atteinte à la protection des données

Selon la nature de l’attaque, la responsabilité de la société et des administrateurs pourrait découler de : (1) réclamations par les organismes de réglementation; 2° les réclamations des actionnaires; 3) les réclamations des victimes; et/ou (4) les réclamations des banques et/ou des émetteurs de cartes de crédit.

Dans chaque catégorie, la responsabilité peut découler du défaut de l’entreprise de prendre des mesures raisonnables pour prévenir une violation de données et / ou de son incapacité à répondre de manière adéquate à la violation. Chaque domaine d’exposition est résumé ci-dessous.

1. Enquêtes et procédures réglementaires

Le Commissariat à la protection de la vie privée du Canada

La Loi no ¹⁷ sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi) a pour fonction de réglementer les « organisations commerciales » qui recueillent, utilisent ou communiquent des « renseignements personnels ». ^{18 ans}

La LPRPDE est entrée en vigueur le 1er janvier 2000 et a été modifiée pour la dernière fois le 18 juin 2015 par la Loi sur la protection des renseignements personnels numériques (dont certaines dispositions ne sont pas encore entrées en vigueur). ¹⁹ La Loi est supervisée et mise en œuvre par le Commissariat à la protection de la vie privée du Canada.

L’objectif principal de la LPRPDE est de protéger le droit à la vie privée des personnes et de réduire au minimum l’utilisation non autorisée ou l’abus de renseignements personnels (y compris les renseignements financiers), en régissant la conduite des organisations commerciales. Les organisations régies par la LPRPDE sont tenues de gérer, de protéger et de protéger les renseignements personnels. ²⁰ En vertu de la Loi, les organisations doivent, entre autres :

• utiliser ou communiquer uniquement des renseignements personnels aux fins pour lesquelles ils ont été recueillis;
• ne conservez les renseignements personnels qu’aussi longtemps que nécessaire pour satisfaire aux fins pour lesquelles ils ont été recueillis;
• mettre en œuvre des lignes directrices et des procédures pour la conservation et la destruction des renseignements personnels; et
• protéger les renseignements personnels contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés.

En vertu des nouvelles dispositions de la Loi sur la protection des renseignements personnels numériques, les organisations commerciales seront également tenues de :^{21 :}

• aviser les personnes et les organisations des atteintes qui créent un « risque réel de préjudice grave » et signaler ces atteintes au commissaire;
• tenir et tenir un registre de chaque atteinte aux mesures de sécurité mettant en cause des renseignements personnels sous leur contrôle.

En vertu de ces nouvelles dispositions, les organisations qui omettent sciemment de signaler une atteinte au commissaire, ou qui omettent d’aviser les personnes au besoin, s’exposent à des amendes pouvant atteindre 100 000 $ par atteinte , ce qui peut signifier 100 000 $ multiplié par le nombre de personnes dont les renseignements ont été compromis.

Le commissaire peut intenter des poursuites contre des organisations commerciales devant la Cour fédérale. Si la Cour fédérale conclut qu’une organisation ne se conforme pas, elle peut :

• ordonner à l’organisation fautive de prendre des mesures correctives;
• publier un avis de leurs mesures correctives; et/ou
• accorder des dommages-intérêts aux plaignants.

Bureau de la concurrence – Réglementation des pratiques déloyales ou trompeuses

Compte tenu des sanctions imposées par la Federal Trade Commission (FTC) aux États-Unis, il est possible que des organisations au Canada puissent faire face à des réclamations réglementaires déposées par le Bureau de la concurrence. Aux États-Unis, la FTC a intenté plus de 50 mesures d’application de la loi contre des entreprises américaines pour avoir omis de protéger adéquatement les renseignements personnels des consommateurs. La FTC a imposé des amendes allant jusqu’à 22,5 millions de dollars (sur Google Inc., pour l’atteinte à la protection des données de 2012). ²² La FTC a fait pression pour obtenir un plus grand pouvoir de réglementer les pratiques de cybersécurité des entreprises en fonction de son mandat légal de réglementer les pratiques déloyales et trompeuses. ^{23 ans}

Par exemple, en relation avec la violation de la sécurité de Wyndham Worldwide Corp., la FTC a poursuivi Wyndham en alléguant que sa politique de confidentialité en ligne - qui promettait de « protéger les informations personnellement identifiables de nos clients » en utilisant des « pratiques standard de l’industrie » - était trompeuse. La FTC a allégué que, contrairement à cette politique, Wyndham n’avait pas utilisé de méthodes commercialement raisonnables pour protéger les données des consommateurs. ²⁴ Wyndham a cherché à radier l’action au motif que le pouvoir de la FTC de réglementer les pratiques déloyales ou trompeuses ne s’étendait pas à la réglementation des questions de cybersécurité. La Cour d’appel du troisième circuit a confirmé la décision du tribunal de district, estimant que la FTC avait compétence en matière de pratiques de sécurité des données. ^{25 ans}

Au Canada, le Bureau de la concurrence enquête et surveille les plaintes pour pratiques déloyales ou trompeuses et applique les dispositions de la Loi sur la concurrence. ²⁶ Si le Bureau de la concurrence conclut qu’une entreprise ne se conforme pas, il peut intenter une procédure d’application de la loi devant le Tribunal de la concurrence ou devant un tribunal civil. Sur demande du commissaire de la concurrence, le tribunal peut ordonner à une société ayant des pratiques déloyales ou trompeuses de payer une pénalité administrative pouvant aller jusqu’à 10 millions de dollars et, pour chaque ordonnance subséquente contre cette société, un montant maximal de 15 millions de dollars. ^{27 ans}

À ce jour, le Bureau de la concurrence n’a signalé aucune tentative de réglementer les questions de cybersécurité en se fondant sur son pouvoir de réglementer les pratiques déloyales ou trompeuses. Toutefois, compte tenu de l’approche adoptée par la FTC, le risque ne devrait pas être exclu.

Organismes de réglementation des valeurs mobilières

Si une organisation visée par une atteinte à la protection des données est un émetteur assujetti, elle pourrait faire l’objet de poursuites réglementaires intentées par des commissions des valeurs mobilières, y compris la Commission des valeurs mobilières de l’Ontario (CVMO).

En Ontario, la CVMO administre et applique la Loi sur les valeurs mobilières de l’Ontario. ²⁸ Le mandat déclaré de la CVMO est de « protéger les investisseurs contre les pratiques déloyales, irrégulières ou frauduleuses et de favoriser des marchés financiers équitables et efficients et la confiance dans les marchés financiers ». ²⁹ L’alinéa 122(1)a) de la Loi sur les valeurs mobilières, par exemple, érigète en infraction le fait pour une organisation de faire des déclarations « trompeuses ou fausses » au public, ou de ne pas divulguer un fait « qui doit être énoncé ou qui est nécessaire pour que la déclaration ne soit pas trompeuse ». ^{30 ans}

En vertu de cette disposition, un piratage de données pourrait éventuellement exposer une entreprise à d’importantes sanctions réglementaires. Par exemple, si un émetteur déclarant promettait de protéger les données de ses clients en utilisant des pratiques normalisées de l’industrie, mais qu’il ne respectait pas ses déclarations, la CVMO pourrait techniquement ouvrir des enquêtes ou des procédures en vertu de l’alinéa 122(1)a). En vertu de la Loi sur les valeurs mobilières, la CVMO est habilitée à demander des amendes pouvant aller jusqu’à 5 millions de dollars pour des infractions aux lois sur les valeurs mobilières de l’Ontario, y compris des contraventions à l’alinéa 122(1)a). ^{31 ans}

2. Réclamations des actionnaires

Dans le cadre d’une violation de données, les actionnaires d’une société pourraient potentiellement intenter une action contre la société elle-même ou contre ses administrateurs (par le biais d’une réclamation dérivée, ou selon le cas, une réclamation directe pour oppression). À ce jour, aucune action des actionnaires n’a été plaidée au Canada à la suite d’une cyberattaque. Cependant, le litige auquel sont confrontés les entreprises et les dirigeants aux États-Unis peut être instructif.

Dans le cadre de la violation de données de Target, les actionnaires de Target ont déposé au moins quatre actions dérivées, qui ont été consolidées et portées devant la Cour de district du Minnesota en 2014. ³² Les actionnaires ont allégué, entre autres choses, que les administrateurs et les dirigeants de Target n’avaient pas « maintenu des contrôles internes appropriés » ou pris les mesures adéquates pour prévenir l’attaque. Ils ont également allégué que Target n’avait pas correctement informé les clients de l’ampleur de l’atteinte après qu’elle se soit produite. Les actionnaires ont demandé des dommages-intérêts découlant, entre autres, des montants engagés par Target pour défendre les divers recours collectifs et enquêtes réglementaires. ^{33 ans}

Dans le cadre des atteintes à la protection des données de Wyndham mentionnées ^ci-dessus34, les actionnaires de Wyndham ont poursuivi les administrateurs et les dirigeants de la société (par le biais d’une poursuite dérivée) pour ne pas avoir pris de mesures raisonnables pour conserver les renseignements personnels et financiers de leurs clients de manière sécurisée, et pour avoir omis de divulguer les violations aux actionnaires en temps opportun. ³⁵ L’action a été rejetée pour des motifs factuels. Plus précisément, la Cour a noté que le conseil d’administration s’était réuni avant l’atteinte à de nombreuses reprises pour discuter et mettre en œuvre des procédures de cybersécurité, et avait tenu 14 réunions trimestrielles après l’atteinte pour discuter de la réponse à l’attaque, y compris l’adoption d’améliorations de la sécurité. ³⁶ Bien que le résultat ait été bon pour la société et ses administrateurs, la présente affaire met en lumière les risques auxquels les sociétés et les administrateurs peuvent faire face dans des circonstances semblables.

3. Réclamations des victimes

Les victimes d’une cyberattaque dont les données ont été compromises ou détournées sont probablement des plaideurs contre des sociétés et leurs administrateurs. Les atteintes à la protection des données très médiatisées au Canada et aux États-Unis démontrent la portée, l’ampleur et l’ampleur des attaques potentielles. Il pourrait y avoir des millions de victimes individuelles dont les renseignements personnels ou financiers sont exposés.

En réclamant des dommages-intérêts contre une entreprise, une victime n’a pas besoin de prouver des dommages spécifiques découlant de la violation de données. La Cour d’appel de l’Ontario a statué que l’intrusion dans l’isolement est un délit civil pour lequel des dommages-intérêts peuvent être accordés jusqu’à 20 000 $. ³⁷ Compte tenu du nombre potentiel de clients ou d’employés dont les données pourraient être compromises par une cyberattaque, cette exposition peut être importante. En plus du délit d’intrusion lors de l’isolement, il y a des dommages potentiels qui découlent d’une cyberattaque, tels que les coûts associés au vol d’identité.

Au Canada, les cas très médiatisés impliquant des réclamations par des victimes comprennent :

• Ashley Madison : Un recours collectif de 760 millions de dollars a été intenté en Ontario contre Avid Life Media. ³⁸ Les demandeurs réclament des dommages-intérêts pour, entre autres, les coûts engagés pour prévenir le vol d’identité, le risque accru de vol d’identité, la détresse mentale, les troubles émotionnels, l’angoisse, l’anxiété et la dépression, la perte de temps, les inconvénients et la frustration.
• Banque de Nouvelle-Écosse : Un recours collectif a été intenté pour faire valoir des dommages-intérêts non précisés contre la Banque de Nouvelle-Écosse par des clients dont les renseignements confidentiels ont été violés par un employé de la banque. Le groupe de demandeurs réclame des dommages-intérêts pour, entre autres, intrusion dans l’isolement, inconvénient, inconfort, détresse et aggravation. Subsidiairement, le groupe de demandeurs réclame des dommages-intérêts en vertu de la doctrine de la renonciation à la responsabilité délictuelle, qui sont calculées en exigeant de la Banque qu’elle restitue ses bénéfices pendant la période pertinente. L’action a été certifiée en tant que recours collectif en 2014. L’autorisation d’interjeter appel de cette décision a été rejetée plus tard cette année-là. ^{39 ans}
• Cible : Un recours collectif est en instance contre Target au Québec pour dommages-intérêts indemnisables. Bien que l’action ait d’abord été rejetée pour des motifs de compétence, elle a été rétablie par la Cour d’appel du Québec. ⁴⁰ Le représentant de la demanderesse a demandé des dommages-intérêts pour crainte, stress, inconvénients et perte de temps en raison de la nécessité de surveiller de plus près ses relevés de comptes mensuels. Aux États-Unis, plus de 80 recours collectifs ont été intentés à la suite de l’atteinte à la protection des données de Target. ^{41 ans}

4. Réclamations des émetteurs de cartes de crédit / banques

Une cyberattaque peut également donner lieu à des réclamations par des réseaux tels que Visa ou MasterCard ou des institutions financières connexes en relation avec les coûts engagés par ces institutions financières pour le coût du remplacement des cartes de crédit et du remboursement des transactions frauduleuses.

En 2007, une atteinte à la protection des données impliquant des magasins TJX Companies – des marques comme T.J. Maxx et Marshalls – a impliqué la compromission d’au moins 46 millions de renseignements sur les clients. Face aux réclamations de Visa, TJX a accepté de financer jusqu’à 40,9 millions de dollars⁴² pour les paiements à certaines institutions financières. TJX a également conclu un règlement avec MasterCard pour environ 20 millions de dollars. ^{43 ans}

Conclusion

Bien que le risque d’une cyberattaque et les demandes de dommages-intérêts correspondantes ne puissent pas être éliminés, ils peuvent être gérés.

Les entreprises devraient préparer et mettre en œuvre un plan de violation de données qui comprend des étapes pour résister et répondre aux cyberattaques. Les administrateurs devraient participer à ce processus. À la suite d’une attaque, il n’y a pas de temps à perdre sur des plans de dernière minute.

Un élément central du plan d’intervention devrait comprendre la consultation immédiate d’un avocat au sujet d’un certain nombre de questions cruciales, notamment :

• si la loi exige qu’un avis soit donné aux tiers de la violation et, si ce n’est pas nécessaire, s’il est souhaitable de le faire en tout état de cause;
• le contenu de l’avis afin que les renseignements requis soient inclus et parce que le contenu de l’avis pourrait plus tard être utilisé contre l’entreprise dans le cadre d’un litige par les personnes dont les renseignements ont été compromis;
• si un communiqué de presse devrait être publié et concernant le contenu du communiqué de presse;
• une enquête interne pour déterminer comment l’atteinte s’est produite afin que des mesures puissent être prises pour contenir l’atteinte et corriger la faiblesse du système. L’enquête devrait être supervisée par un avocat externe afin que le secret professionnel de l’avocat demeure sur le rapport d’enquête et les déclarations des témoins;
• les mesures nécessaires pour contenir les effets de la violation et prévenir toute nouvelle violation; et
• les répercussions transfrontalières de l’atteinte à la protection des données.

Les sociétés et leurs administrateurs devraient consulter régulièrement des avocats afin de s’assurer que leur plan d’atteinte à la protection des données tient compte de l’évolution des exigences ou des normes juridiques attendues des sociétés.

De plus, en cas d’attaque, il est impératif que les entreprises consultent un avocat dès que possible, afin d’éviter tout faux pas juridique qui pourrait entraîner une augmentation des réclamations en litige et / ou des conséquences financières plus importantes.

 

---

Remarques :

1. Hugo Cornwall, The Hacker’s Handbook (Londres: E Arthur Brown, 1985).
2. Computer Fraud and Abuse Act, 18 U.S.C. § 1030 (1986).
3. Vers 2004, les utilisateurs d’un forum de discussion en ligne appelé 4chan ont commencé à se référer à leur collectif de pirates comme « Anonyme ». David Kushner, « The Masked Avengers: How Anonymous incited online vigilantism from Tunisia to Ferguson », The New Yorker (8 septembre 2014) en ligne: http://www.newyorker.com/magazine/2014/09/08/masked-avengers.
4. Claudine Beaumont, « Hackers wage web war on Scientologists », The Telegraph (4 février 2008) en ligne: http://www.telegraph.co.uk/technology/3356210/Hackers-wage-web-war-on-Scientologists.html.
5. Anthony Wing Kosner, « Actually Two Attacks In One, Target Breach Affected 70 to 110 Million Customers », Forbes (17 janvier 2014) 
6. Voir Maggie McGrath, « Target Profit Falls 46% On Credit Card Breach And The Hits Could Keep On Coming », Forbes (26 février 2014)
7. Ahiza Garcia, « Target settles for $39 million over data breach » CNN Money, (2 décembre 2015) en ligne: http://money.cnn.com/2015/12/02/news/companies/target-data-breach-settlement/.
8. Tel que publié sur le site Web de la société, « Avis de cyberattaque affectant Excellus BlueCross Blueshield », Excellus BlueCross Blueshield (18 janvier 2015).
9. Joanne Finnegan, « Excellus BCBS still unclear Anthem faces lawsuits over data breach », Fierce Health Payer (13 juillet 2015) en ligne : http://www.fiercehealthpayer.com/story/anthem-slammed-lawsuits-due-data-breach/2015-07-13.
10. Alison Frankel, « Le 7ème circuit vient de faciliter les poursuites pour violation de données », Reuters (21 juillet 2015) en ligne: http://blogs.reuters.com/alison-frankel/2015/07/21/the-7th-circuit-just-made-it-a-lot-easier-to-sue-over-data-breaches.
11. Voir Home Depot, Communiqué de presse, « The Home Depot Reports Findings in Payment Data Breach Investigation », (6 novembre 2014) en ligne : https://corporate.homedepot.com/MediaCenter/Documents/Press%20Release.pdf. Voir aussi Michael Calia, « Home Depot Facing at Least 44 Civil Suits in Data Breach », The Wall Street Journal, (25 novembre 2014) en ligne: http://www.wsj.com/articles/home-depot-facing-at-least-44-civil-suits-in-data-breach-1416917359.
12. Voir Sony Corporation, Communiqué de presse, « Prévisions des résultats financiers consolidés pour le troisième trimestre clos le 31 décembre 2014 et révision des prévisions consolidées pour l’exercice se terminant le 31 mars 2015 », (4 février 2015). Voir aussi Edvard Pettersson, « Sony to Pay as Much as $8 Million to Settle Data-Breach Case », Bloomberg Business (20 octobre 2015) en ligne: http://www.bloomberg.com/news/articles/2015-10-20/sony-to-pay-as-much-as-8-million-to-settle-data-breach-claims.
13. Commissaire à l’information et à la protection de la vie privée de l’Ontario, Communiqué de presse, « Rouge Valley Health System Failed to Protect Patient Health Information », (16 décembre 2014).
14. Jl Eastwood, « Rouge Valley faces $400M class-action lawsuit over privacy breach », Toronto Star (25 juin 2014) en ligne : http://www.thestar.com/news/gta/2014/06/25/rouge_valley_faces_400m_classaction_lawsuit_over_privacy_breach.html. Veuillez noter qu’en raison des dispositions de la Loi sur la protection des renseignements personnels sur la santé, l’entreprise a dû aviser les patients de l’atteinte à la vie privée, ce qui a été confirmé au début de juillet 2014.
15. Voir Danny Yadron et Melinda Beck, « Health Insurer Anthem Didn’t Encrypt Data in Theft », The Wall Street Journal (5 février 2015) en ligne: http://www.wsj.com/articles/investigators-eye-china-in-anthem-hack-1423167560. Voir aussi Dori Zweig, « Anthem faces lawsuits over data breach », Fierce Health Payer (13 juillet 2015) en ligne: http://www.fiercehealthpayer.com/story/anthem-slammed-lawsuits-due-data-breach/2015-07-13.
16. Voir Sadaf Ahsan, « $750M class-action lawsuit filed against Ashley Madison on behalf of Canadian subscribers following data leaks », National Post (20 août 2015) en ligne : https://nationalpost.com/news/world/750m-class-action-lawsuit-filed-against-ashley-madison-on-behalf-of-all-canadians-following-data-leaks. Voir aussi Chris Isidore et David Goldman, « Ashley Madison hackers post millions of customer names », CNN Money, (19 août 2015) en ligne: http://money.cnn.com/2015/08/18/technology/ashley-madison-data-dump/.
17. Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (LPRPDE).
18. LPRPDE, ibid., à l’alinéa 2a), en vertu duquel les « renseignements personnels » sont définis comme des « renseignements concernant une personne identifiable ».
19. En vertu de la Loi sur la protection des renseignements personnels numériques, L.C. 2015, ch. 32.
20. LPRPDE, supra, note 17 aux articles 5 à 10 et à l’annexe 1, qui énonce dix principes auxquels les organisations commerciales doivent se conformer, notamment : la responsabilité, le consentement, l’exactitude et les mesures de protection.
21. Bien que toutes les autres nouvelles dispositions soient entrées en vigueur au moment de la sanction royale de la Loi, celles qui traitent de la déclaration des atteintes, de la notification et de la tenue de documents ne seront entrées en vigueur qu’après l’élaboration et la mise en œuvre de règlements connexes décrivant des exigences particulières.
22. Josh Ladeau, « The FTC: What You Need To Know About one of the Most Relentless Federal Cyber Regulators », Advisen Insurance Intelligence (3 juin 2015) en ligne: http://www.advisenltd.com/wp-content/uploads/2015/06/the-ftc-report-2015-06-03.pdf.
23. Commission des valeurs mobilières de l’Ontario, « À propos », (21 janvier 2015) en ligne : https://www.osc.gov.on.ca/en/About_about_index.htm.
24. Federal Trade Commission v. Wyndham Worldwide Corporation, affaire n° 14-3514 (3d Cir. 2015).
25. Ibid.
26. Loi sur la concurrence, L.R.C. 1985, ch C-34, à l’article 74.01.
27. Ibid. 74.1(1)c)(ii).
28. Loi sur les valeurs mobilières, LRP 1990, c. S.5 (Loi sur les valeurs mobilières).
29. Commission des valeurs mobilières de l’Ontario, supra, note 23.
30. Loi sur les valeurs mobilières, supra, note 28, alinéa 21(1)a).
31. Loi sur les valeurs mobilières, supra, note 28, à l’alinéa 122 (1) c).
32. In Re Target Corp. Customer Data Sec. Breach Litig., Case No. 14-cv-00203 (D. Minn. 2014).
33. Voir Plainte au 3 ¶ 7, Kulla, no 14-cv-00203-PAM-JJK (D. Minn. 2014); voir aussi Plainte au 6 ¶ 12, Collier, no 14-cv-00266-PAM-JJK (D. Minn. 29 janvier 2014).
34. Vedder Price, Newsletter/Bulletin, « Lessons from the Dismissal of Wyndham Shareholders Derivative Action », (19 novembre 2014).
35. Palkon c. Holmes, affaire no 2:14-cv-01234 (D.N.J. 2014).
36. Brenda R. Sharton, Gerard M Stegmaier et Goodwin Procter, « Breaches in the boardroom: What directors and officers can do to reduce the risk of personal liability for data security breaches », Thomson Reuters en ligne : http://legalsolutions.thomsonreuters.com/law-products/news-views/corporate-counsel/breaches-in-the-boardroom-what-directors-and-officers-can-do-to-reduce-the-risk.
37. Jones c. Tsige, 2012 ONCA 32.
38. Déclaration, dossier de la Cour no. CV-15-22622CP.
39. Evans c. La Banque de Nouvelle-Écosse, 2014 ONSC 7249 (Sup Ct).
40. Voir Zuckerman c Corporation Cible, Cour supérieure du Québec (dossier de la Cour no 500-06-000686-143, 2014). Voir aussi « La Cour d’appel du Québec renvoie la demande de compétence en matière de recours collectif en matière d’atteinte à la protection des données de Target aux tribunaux inférieurs », Association canadienne du droit des TI (25 novembre 2015) en ligne
41. Zuckerman c. Target Corporation, 2015 QCCS 1285.
42. The TJX Companies, Inc., Communiqué de presse, « The TJX Companies, Inc. Announces Settlement Agreement with Visa U.S.A. Inc. and Visa Inc.; Les coûts estimatifs sont déjà reflétés dans les frais annoncés précédemment » (30 novembre 2007).
43. Robin Sidel, « Target Nears Settlement With MasterCard Over Data Breach », The Wall Street Journal (14 avril 2015) en ligne: http://www.wsj.com/articles/target-nears-settlement-with-mastercard-over-data-breach-1429050238.