Risques liés à la cybersécurité : analyser, collaborer et écouter

Les risques associés aux cyberattaques et aux atteintes à la sécurité des données sont en croissance au Canada et à l’échelle internationale. Pour une entreprise, les coûts associés à la prévention, à la détection, aux interventions et à la reprise des affaires après un tel incident peuvent être considérables.

En mai 2015, le Ponemon Institute a publié son 2015 Cost of Data Breach Study: Canada, son premier rapport sur les atteintes à la sécurité des données visant des sociétés canadiennes, dans lequel il indique que le coût moyen total d’un tel incident est de 5,32 M$ CA et de 250 $ CA par dossier compromis. Cependant, ces chiffres ne tiennent pas compte des coûts associés à des « mégas atteintes ou atteintes catastrophiques à la sécurité des données » de plus de 100 000 dossiers, qui peuvent engendrer des dépenses et des pertes de revenu bien plus importantes.

Les administrateurs et les dirigeants doivent également envisager la possibilité d’autres répercussions juridiques connexes sur l’entreprise et sur eux-mêmes, à titre personnel. On observe une tendance croissante de litiges entre actionnaires et administrateurs et dirigeants, de même que de congédiements ou de démissions de membres de la haute direction, à la suite d’atteintes à la sécurité des données, où la haute direction et les administrateurs sont tenus responsables de ces « échecs » dans la surveillance de la cybersécurité de l’entreprise. À la suite d’un certain nombre d’atteintes récentes à la sécurité des données, des actionnaires ont intenté des poursuites visant personnellement des membres du conseil d’administration et de la haute direction, alléguant que ces derniers savaient, ou auraient dû savoir, que les renseignements des clients de la société étaient vulnérables à une attaque et qu’ils ont tout simplement omis de mettre en place des mesures de sécurité adéquates. C’est notamment le cas, aux États-Unis, des poursuites visant T.J. Maxx, Heartland Payment Systems, Target, Wyndham Hotels and Resorts ainsi que Home Depot.

Qui plus est, en août 2015, le chef de la direction de la société mère d’AshleyMadison.com, site Web torontois de rencontres extraconjugales, a démissionné après l’annonce d’une atteinte à la sécurité des données ayant permis à des pirates de publier des millions d’adresses électroniques, de renseignements de facturation et de détails concernant les comptes en lien avec le site Web. En 2014, le conseil d’administration de Target a remplacé le chef de la direction de l’entreprise à la suite d’une atteinte à la sécurité des données et Institutional Shareholder Services a recommandé aux actionnaires de Target de s’abstenir de voter pour les administrateurs qui siégeaient aux comités d’audit et de responsabilité d’entreprise de la société, car ceux-ci n’avaient pas réussi à gérer adéquatement les cyber-risques de la société. Les candidats nommés par la direction de Target ont toutefois été élus au conseil, mais, en général, les émetteurs inscrits à la cote de la TSX doivent avoir adopté des politiques sur l’élection à la majorité, ce qui veut dire qu’une recommandation d’abstention de la part d’un conseiller en vote risque de forcer un administrateur à remettre sa démission au moment de son élection. En outre, en juillet 2015, le directeur du Office of Personnel Management des États-Unis a dû quitter son poste en raison d’une atteinte d’envergure à la sécurité des données qui a compromis les renseignements personnels de plus de 20 millions d’employés fédéraux américains.

Manifestement, la cybersécurité n’est pas seulement une question juridique ou de technologie de l’information; on s’attend à ce que la haute direction et le conseil d’administration d’une société exercent à son égard une étroite surveillance.

Obligation de diligence et règle de l’appréciation commerciale

La Loi canadienne sur les sociétés par actions (la « LCSA ») et d’autres lois sur les sociétés comparables prévoient que chaque administrateur et dirigeant d’une société doit, dans l’exercice de ses fonctions, agir avec le soin, la diligence et la compétence dont ferait preuve, en pareilles circonstances, une personne prudente. Dans leur interprétation de la conformité à cette norme, les tribunaux reconnaissent que les décisions d’affaires engendreront habituellement un certain risque et qu’il ne serait donc pas approprié de juger a posteriori une décision antérieure.

En se fondant sur la « règle de l’appréciation commerciale », les juges sont généralement réticents à substituer leur propre jugement à une décision d’affaires prise par le conseil ou la direction d’une société, pourvu que cette décision ait été prise indépendamment et sans conflit d’intérêts, de bonne foi, en connaissance de cause, en fonction des renseignements disponibles à ce moment, avec prudence et diligence et que la décision faisait partie des possibilités raisonnables au moment où elle a été prise.

L’expérience américaine

À ce jour, il n’y a eu aucun recours d’actionnaires au Canada en lien avec une atteinte à la sécurité des données, mais cela ne saurait tarder puisque la menace de cyberattaques est bien réelle. En outre, les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié l’Avis 11-326 du personnel des ACVM – Cybersécurité pour faire savoir qu’elles considèrent notamment que « les émetteurs, les personnes inscrites et les entités réglementées doivent être conscients des enjeux de la cybercriminalité et adopter des mesures de protection et de sécurité adéquates pour se protéger, ainsi que leurs clients ou les parties intéressées ».

En l’absence de jurisprudence canadienne sur la responsabilité des administrateurs dans le contexte d’une atteinte à la sécurité des données, il est utile d’examiner les indications données dans la réglementation et les jugements des tribunaux des États-Unis quant aux devoirs du conseil d’administration en matière de cybersécurité. Dans l’affaire Palkon v. Holmes et al., décision du tribunal fédéral du New Jersey, l’action oblique d’un actionnaire à la suite d’atteintes à la sécurité des données de la chaîne hôtelière Wyndham a été rejetée de façon définitive. Entre avril 2008 et janvier 2010, des cybercriminels avaient piraté le réseau informatique de la société Wyndham Worldwide Corporation ainsi que les réseaux des hôtels, dérobant ainsi des données personnelles et financières de clients de la chaîne. Le demandeur alléguait que les défendeurs n’avaient pas réussi à mettre en place des contrôles de sécurité des données adéquats, qu’ils n’avaient pas divulgué les incidents en temps opportun et qu’ils avaient donc refusé à tort sa demande antérieure de faire enquête sur la conduite du conseil d’administration de Wyndham.

En fin de compte, dans l’affaire Palkon, le tribunal a souscrit à l’opinion des défendeurs de Wyndham selon laquelle le refus du conseil d’accéder à la demande était un exercice d’appréciation commerciale fait de bonne foi après une enquête raisonnable. Le tribunal a conclu que le conseil possédait suffisamment de renseignements lorsqu’il a rejeté la demande du demandeur et qu’il avait pris des mesures pour se familiariser avec l’objet de cette demande. Plus précisément, le tribunal a noté qu’avant de recevoir la lettre du demandeur, le conseil avait déjà discuté des cyberattaques lors de 14 réunions et son comité d’audit avait abordé le sujet des atteintes à la sécurité des données lors d’au moins 16 réunions. De plus, le conseil était déjà bien renseigné au sujet des cyberattaques en raison de l’enquête et du litige menés auparavant par la Federal Trade Commission, avait précédemment reçu une lettre pratiquement identique à celle du demandeur et avait déjà enquêté sur le sujet. Le tribunal a conclu que ces enquêtes antérieures, à elles seules, indiquaient que le conseil disposait de suffisamment de renseignements lorsqu’il a évalué les allégations du demandeur. En outre, le tribunal était d’avis que le conseil était allé encore plus loin en discutant précisément de la demande en question avant de voter à l’unanimité de ne pas y donner suite. Ainsi, le tribunal a soutenu que le conseil avait une bonne compréhension de la demande du demandeur lorsqu’il a déterminé qu’il ne serait pas dans l’intérêt de la société d’y donner suite.

Bien que le tribunal ne se soit pas prononcé sur le bien-fondé de la cause (il devait seulement déterminer si les défendeurs avaient rempli les exigences lui permettant de rejeter la demande), il a mentionné, dans une note en bas de page, que la cause du demandeur présentait certaines faiblesses possibles et a fait un renvoi aux affaires Stone v. Ritter et In re Caremark International Inc. Derivative Litigation, deux décisions historiques du Delaware sur la responsabilité de surveillance des administrateurs. Citant Stone v. Ritter, le tribunal dans l’affaire Palkon a souligné que « [TRADUCTION] l’affaire Caremark indique que les administrateurs d’une société doivent avoir omis de mettre en place quelque système d’information ou de déclaration que ce soit […] ou avoir sciemment omis de surveiller les opérations de l’entreprise, de sorte de n’avoir aucun moyen d’être informés ». Par ailleurs, dans l’affaire Palkon, le tribunal a précisé que le demandeur avait reconnu que Wyndham avait mis en place des mesures de sécurité au moment du premier incident et que le conseil avait discuté de ce problème à plusieurs reprises. Le jugement Palkon suggère donc que le conseil qui a veillé à la cybersécurité d’une entreprise, qui s’y est engagé au moyen de la mise en place d’un système d’information ou de déclaration et qui a abordé le sujet de façon formelle pourrait réussir à opposer des moyens de défense fructueux à une réclamation fondée sur la responsabilité de surveillance des administrateurs découlant d’une atteinte à la sécurité des données.

Que peuvent faire les administrateurs et les dirigeants?

Analyser : La prévention de toute atteinte à la sécurité des données est certes un objectif louable, mais en raison de la complexité des systèmes informatiques et de l’ingéniosité dont font constamment preuve les pirates informatiques, celui-ci est peut être impossible à atteindre. La responsabilité des administrateurs et des dirigeants ne devrait donc pas être évaluée en fonction d’un tel objectif. Conformément à leur obligation de diligence, le conseil d’administration et la direction devraient appliquer les principes fondamentaux de surveillance des risques liés à la cybersécurité, en s’assurant notamment que leur organisation possède une stratégie et un programme de cybersécurité à l’échelle de l’entreprise qui comprennent la définition, la mesure, l’atténuation, le contrôle et la déclaration des cyber-risques et permettent la conformité aux normes réglementaires applicables.

Selon l’étude du Ponemon Institute, un facteur qui contribue à réduire les coûts d’une atteinte à la sécurité des données est la participation du conseil d’administration aux interventions relatives à la cybersécurité. Quant aux autres facteurs, l’étude mentionne la mise en place d’une équipe et d’un plan d’intervention en cas d’incident, le recours généralisé au cryptage, l’offre de programmes de formation aux employés, l’embauche d’un chef de la sécurité de l’information, la gestion de la continuité des activités ainsi qu’une couverture d’assurance.

Dans leur Instruction générale 58-201 relative à la gouvernance, les ACVM recommandent également, à titre de pratique exemplaire non normative, que le conseil d’administration d’une société ouverte adopte « un mandat écrit dans lequel il reconnaît explicitement sa responsabilité de gérance de l’émetteur, notamment sa responsabilité […] de définir les principaux risques de l’activité de l’émetteur et de veiller à la mise en œuvre de systèmes appropriés de gestion de ces risques ». En outre, la direction devrait avoir des responsabilités précises à l’égard de la gestion des risques liés à la cybersécurité.

Collaborer : Si certains conseils d’administration ont délégué la responsabilité des questions de cybersécurité à leur comité d’audit, on voit de plus en plus d’équipes spéciales qui regroupent des membres provenant de tous les secteurs de l’entreprise, dont des hauts dirigeants et qui fonctionnent comme des sous-comités distincts, chargées de s’occuper de la cybersécurité de la société. En juin 2014, Luis Aguilar, ancien commissaire de la Securities and Exchange Commission des États-Unis, déclarait dans un discours (en anglais) que de tels comités favorisent une vision globale des risques pour une entreprise qui peut non seulement améliorer la déclaration et la surveillance des risques pour la haute direction et le conseil, mais également permettre au conseil de mieux évaluer la suffisance des ressources en place et le soutien général offert aux dirigeants de l’entreprise responsables de la gestion des risques. Même si la LCSA permet généralement la délégation de la plupart des questions relevant du conseil à des comités, l’obligation de diligence continue de s’appliquer à l’ensemble des administrateurs; il est donc important que des séances d’information fréquentes aient lieu afin que le conseil soit au courant des travaux des comités.

Écouter : La décision Palkon souligne l’importance pour les sociétés de se doter de politiques et de procédures visant la communication régulière des questions relatives à la cybersécurité à la haute direction, aux administrateurs et aux dirigeants, de même que d’une tribune permettant à ces derniers de participer réellement aux discussions. Les sociétés doivent également s’assurer que l’expertise nécessaire est en place au niveau de la direction (par exemple, en envisageant l’embauche d’un chef de la sécurité de l’information) et du conseil (par exemple, en envisageant l’usage d’une grille de compétences pour le choix des nouveaux candidats ou en faisant appel à des experts externes) pour comprendre les enjeux commerciaux et ceux propres à la gestion des risques à l’échelle de l’entreprise qui sont associés à la cybersécurité. Cependant, la LCSA prévoit qu’un administrateur s’est acquitté de son obligation de diligence s’il s’est fondé de bonne foi sur les rapports des personnes dont la profession permet d’accorder foi à leurs déclarations. Ainsi, le conseil ne devrait pas s’attarder aux questions techniques, mais plutôt à celles qui touchent les politiques et les processus, notamment la formation des employés, la conformité et le déploiement adéquat des ressources de l’entreprise. Finalement, pour bénéficier de l’application de la règle de l’appréciation commerciale, il est particulièrement important que, comme c’était le cas dans l’affaire Palkon, le rôle de surveillance du conseil d’administration soit constaté dans des procès-verbaux adéquatement dressés.

Cela cessera-t-il un jour?

La haute direction et les administrateurs doivent être conscients de l’importance de surveiller les enjeux de cybersécurité auxquels fait face leur entreprise. Ceci est mis en évidence par l’action oblique des actionnaires dans l’affaire Bennek v. Ackerman et al. visant Home Depot et son conseil d’administration, déposée en août 2015 aux États-Unis. Dans cette affaire, les demandeurs alléguaient que les défendeurs étaient individuellement au courant des cyberattaques contre des détaillants d’envergure, dont Target et Neiman Marcus, ainsi que de la forte probabilité que Home Depot soit également visée un jour. Le tribunal n’a pas encore rendu de décision quant au bien-fondé de cette action oblique d’actionnaires de Home Depot. Cependant, l’action en soi est un signe indéniable que, même si le demandeur n’a pas eu gain de cause dans l’affaire Palkon, les conseils d’administration doivent s’attendre à être surveillés de près et à faire l’objet de poursuites par leurs actionnaires à la suite d’atteintes à la sécurité des données.

Les cyberattaques ne cesseront pas, et tant les membres de la haute direction que ceux des conseils d’administration devraient continuellement faire preuve de prudence et de diligence dans leur surveillance des enjeux de cybersécurité de leur entreprise afin de remplir leurs obligations et de diminuer leur risque de responsabilité.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.