Affaires réglementaires

Alors que le gouvernement canadien manifeste son intention de légiférer en matière de cybersécurité (voir le projet de loi C-26 visant à mettre en place une Loi sur la protection des cybersystèmes essentiels), plusieurs entreprises ont déjà entrepris des démarches sérieuses pour sécuriser leurs infrastructures informatiques. Toutefois, l’Internet des objets et trop souvent négligé lors de ces démarches. Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple : Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production; En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise; Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques L’Open Web Application Security Project (OWASP), un organisme sans but lucratif, a publié une liste des dix plus grands risques de sécurité pour l’Internet des objets1. Les gestionnaires d’entreprises qui utilisent de tels équipements doivent être conscients de ces enjeux et prendre des mesures pour mitiger ces risques. Nous nous permettons de commenter certains de ces risques dont la mitigation requiert des politiques adaptées et une saine gouvernance au sein de l’entreprise : Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable). Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières. Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité. Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route. Le conseil d’administration d’une entreprise joue un rôle clé en matière de cybersécurité. En effet, le défaut des administrateurs de s’assurer qu’un système de contrôle adéquat est mis en place et d’assurer une surveillance des risques peut engager leur responsabilité. Dans ce contexte, voici quelques éléments que les entreprises devraient considérer pour assurer une saine gouvernance : Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises; Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques. La Loi 25, soit la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, prévoit plusieurs obligations destinées au conseil d’administration, notamment celle de nommer un responsable de la protection des renseignements personnels et celle d’avoir un plan de gestion et un registre des incidents de confidentialité. À cet effet, nous vous invitons à consulter le bulletin suivant : Modifications aux lois sur la protection des renseignements personnels : ce que les entreprises doivent savoir (lavery.ca) Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir  ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader. Voir notamment OWASP top 10

En septembre dernier, le projet de Règlement sur le traitement des plaintes et le règlement des différends dans le secteur financier (le « Projet de Règlement ») a été publié par l’AMF. La période de consultation se terminait le 8 décembre 2021. L’AMF examine actuellement les nombreux commentaires reçus. Le Projet de Règlement1 vise à harmoniser et à renforcer le traitement des plaintes dans le secteur financier en prévoyant notamment de nouveaux mécanismes afin d’assurer la célérité et l’efficacité du traitement des plaintes. Actuellement, dans le domaine des assurances, seuls les cabinets et les assureurs sont soumis à l’obligation d’adopter et d’appliquer une politique de traitement des plaintes et de règlement des différends. Le Projet de Règlement prévoit que ces obligations s’appliqueront également aux sociétés et aux représentants autonomes. Il introduit d’ailleurs de nouvelles exigences et restrictions ainsi que des sanctions pécuniaires en cas de non-respect, entre autres, du contenu obligatoire des communications avec l’auteur d’une plainte. Voici certaines nouveautés figurant au Projet de Règlement : Élargissement de la définition d’une « plainte », soit : une insatisfaction ou un reproche; auquel on ne peut remédier dans l’immédiat et pour lequel une réponse finale est attendue; à l’égard d’un service ou d’un produit offert par une institution financière ou un intermédiaire financier; L’exigence qu’une plainte soit écrite2 n’apparaît pas au Projet de Règlement.  D’ailleurs le Projet de Règlement prévoit l’obligation pour les institutions financières et les intermédiaires financiers de mettre en place un service d’assistance à la rédaction d’une plainte3 . Une note devra être laissée à chaque dossier afin d’indiquer si l’auteur d’une plainte a sollicité ce service ou non. Interdiction d’utiliser le terme « ombudsman » dans toute représentation ou communication destinée au public afin de désigner le processus de traitement des plaintes ou les personnes responsables de sa mise en œuvre4 . Exigences précises quant au contenu obligatoire de la politique de traitement des plaintes, de l’accusé de réception et de la réponse finale à transmettre à l’auteur d’une plainte, des dossiers de plainte et du registre des plaintesé. Pour chaque plainte reçue, le dossier de plainte devra comporter les renseignements suivants : La plainte; Si l’auteur de la plainte a sollicité le service d’assistance à la rédaction d’une plainte; La communication initiale de l’auteur; une copie de l’accusé de réception transmis à l’auteur de la plainte; Tout document et renseignement ayant servi à l’analyse de la plainte, notamment tout échange avec l’auteur de la plainte; Une copie de la réponse finale communiquée à l’auteur de la plainte. De nouveaux délais à respecter : Dans les 10 jours suivant la réception d’une plainte, l’assureur doit aviser par écrit son auteur en lui mentionnant que celui-ci doit également formuler sa plainte auprès des autres institutions financières, des intermédiaires financiers ou agents d’évaluation du crédit concernés en lui fournissant leurs coordonnées.5 Un délai de 20 jours doit être accordé pour permettre à l’auteur d’une plainte d’évaluer une offre qui lui est faite en vue de la régler et y répondre, y compris un délai suffisant pour que l’auteur de la plainte puisse obtenir des conseils afin de prendre une décision éclairée.6 Si l’auteur de la plainte accepte l’offre, l’assureur dispose de 30 jours pour y donner suite.7 Un délai de rigueur de 60 jours pour fournir une réponse finale à l’auteur de la plainte pour les institutions financières ou les intermédiaires financiers8 . Nouveau délai de 15 jours pour transmettre le dossier de la plainte à l’AMF9 . Un processus simplifié est prévu pour les plaintes qui se règlent dans les 10 jours de leur consignation au registre des plaintes : La réponse finale tient lieu d’accusé de réception et doit contenir les renseignements suivants : le code d’identification du dossier de plainte; la date de réception de la plainte par l’assureur ou le représentant en assurance; le nom et les coordonnées du membre du personnel chargé du traitement de cette plainte visé à l’article 7 du Projet de Règlement ou à la Ligne directrice sur les saines pratiques commerciales; un résumé de la plainte reçue; la conclusion motivée de l’analyse de la plainte et le résultat de son traitement; une mention du droit pour l’auteur de la plainte de demander de faire examiner le dossier de sa plainte par l’AMF; la signature du responsable du traitement des plaintes. une mention selon laquelle l’auteur de la plainte a accepté l’offre visant à régler celle-ci. Nouvelles sanctions administratives pécuniaires – Soyez alertes! Le Projet de Règlement prévoit en outre des sanctions administratives pécuniaires dont le montant oscille entre 1000 $ et 5000 $, applicables au cas de non-respect de certaines exigences ou interdictions prévues par le Projet de Règlement. Par exemple, seront passibles d’une sanction administrative pécuniaire de 5000$ : le fait d’assortir une offre d’une condition visant à empêcher l’auteur de la plainte d’exercer pleinement ses droits; ou encore le fait d’utiliser le terme « ombudsman » ou toute autre qualification de même nature pour toute représentation ou communication destinée au public pour désigner le processus de traitement des plaintes ou les personnes affectées à sa mise en œuvre qui laissent croire que ces personnes n’agissent pas pour le compte de l’institution financière ou de l’intermédiaire financier. Dans ce dernier cas, une sanction administrative pécuniaire pourrait être imposée même hors le cadre précis d’une plainte, car l’interdiction vise « toute représentation ou communication destinée au public ». Les assureurs et intermédiaires financiers devraient dès maintenant revoir leurs communications, incluant le sommaire de leur politique de traitement des plaintes qui apparaît sur leur site web. Concerne l’ensemble des entités régies par l’AMF, mais le bulletin traite plus particulièrement des institutions financières et intermédiaires financiers du domaine des assurances. Comme indiqué actuellement sur le site de l’AMF. Projet de Règlement, art. 11. Id., art. 26 par. 2. Id., art. 15. Id., art. 13. Id. Id., art. 12, par. 4. Id., art. 25.

Emboîtant le pas à l’Australie qui a adopté une loi semblable l’an dernier, le ministre du Patrimoine canadien, Pablo Rodriguez, a récemment présenté au Parlement le projet de loi C-18, dont le titre abrégé est la Loi sur les nouvelles en ligne. Ce projet de loi vise essentiellement à assurer un partage plus équitable des revenus entre les plateformes numériques et les médias d’information canadiens. Si ce projet de loi est adopté, il obligera notamment les plateformes numériques comme Google et Facebook à conclure des accords commerciaux avec les organisations journalistiques pour les textes et reportages qui sont publiés sur ces plateformes. Le projet de loi C-18, déposé le 5 avril 2022, a une portée très large et vise toutes les organisations journalistiques canadiennes, quel que soit le type de média sur lequel elles diffusent leurs nouvelles, dans la mesure où elles répondent à certains critères d'admissibilité. En ce qui concerne les « intermédiaires de nouvelles numériques » sur lesquelles ces nouvelles sont partagées, le projet de loi C-18 vise les plateformes de communication en ligne, notamment un moteur de recherche ou un réseau social, au moyen desquelles les contenus de nouvelles sont rendus disponibles au Canada et qui, en raison de leur taille, sont en situation de déséquilibre quant au partage de revenus qu’elles tirent de l’information diffusée. Le projet de loi C-18 prévoit que ce déséquilibre de négociation sera déterminé par l’évaluation de certains critères comme la taille de la plateforme numérique en cause, le fait que le marché de la plateforme lui accorde ou non un avantage stratégique par rapport aux médias et le fait que la plateforme occupe ou non une position de premier plan au sein du marché. Il s’agit à l’évidence de critères très subjectifs qui rendent difficile la détermination précise de ces intermédiaires. La version actuelle du projet de loi prévoit par ailleurs que ce sont les intermédiaires eux-mêmes qui devront aviser le Conseil de la radiodiffusion et des télécommunications canadiennes (« CRTC ») du fait que la loi leur est applicable. Le processus obligatoire de négociation constitue véritablement le cœur du projet de loi C-18. Si celui-ci est adopté dans sa forme actuelle, les exploitants de plateformes numériques seraient en effet tenues de négocier de bonne foi avec les médias canadiens afin de conclure des accords de partage de revenus. À défaut d’entente entre les parties à l’issue du processus de négociation et de médiation prévu par la loi, une formation de trois arbitres pourra être appelée à choisir l’offre finale de l’une ou l’autre des parties, qui sera alors réputée être un accord conclu entre les parties. Le projet de loi C-18 prévoit enfin que les exploitants de plateformes numériques peuvent demander au CRTC d’être exemptés de l’application de la loi si elles ont déjà conclu des accords qui, de l’avis du CRTC, satisfont aux critères suivants: Ils prévoient une indemnisation équitable des entreprises journalistiques pour le contenu de nouvelles rendu disponible par la plateforme numérique; Ils assurent qu’une partie convenable de l’indemnisation soit utilisée par les entreprises de nouvelles pour soutenir la production de contenu de nouvelles locales, régionales et nationales; Ils ne laissent pas l’influence des entreprises porter atteinte à la liberté d’expression et à l’indépendance journalistique dont jouit tout média d’information; Ils contribuent à la viabilité du marché canadien des nouvelles; Ils assurent qu’une partie importante des entreprises de nouvelles locales et indépendantes en bénéficie, ils contribuent à leur viabilité et ils encouragent les modèles d’entreprises novateurs dans le marché canadien des nouvelles; L’éventail des médias d’information qu’ils visent reflète la diversité du marché canadien des nouvelles, notamment en ce qui concerne les langues, les groupes racialisés, les collectivités autochtones, les nouvelles locales et les modèles d’entreprises. Un projet de loi d’une telle envergure fera certainement l’objet d’une étude approfondie par le Parlement canadien et il ne serait pas surprenant que des modifications importantes y soient apportées en cours de route. Certaines précisions seraient d’ailleurs les bienvenues, notamment en ce qui a trait à la détermination précise des entreprises devant être considérées comme des « intermédiaires d'informations numériques ».

Les rançongiciels ont fait tellement de ravages dans les dernières années que plusieurs en oublient les autres risques liés à la cybersécurité. Pour certains, le fait de ne pas détenir de renseignements personnels les immunise contre les pirates informatiques et les cyberincidents. Pour d'autres, tant que leurs ordinateurs continuent de fonctionner, c’est qu’il n’y a aucun logiciel malveillant qui y réside. Malheureusement, la réalité est toute autre. Une nouvelle tendance se dessine à l’horizon, où l’on voit des logiciels malveillants déployés pour détourner de l’information confidentielle, notamment des secrets commerciaux, pour les vendre par la suite à des tiers ou les divulguer au public1. Les médias ont abondamment discuté du logiciel Pegasus utilisé pour épier des journalistes et des opposants politiques à travers le monde, au point où les autorités des États-Unis ont décidé de l’inclure dans leur liste d’interdictions2. Mais l’utilisation de logiciels espions n’est pas limitée à la sphère politique. Récemment, un tribunal californien a condamné une société américaine, 24[7].ai, à payer 30 millions de dollars à une de ses concurrentes, Liveperson3. C'est qu’un logiciel de 24[7].ai était installé côte à côte avec le logiciel de Liveperson sur des systèmes de clients mutuels. Liveperson alléguait dans sa poursuite que 24[7].ai installait des logiciels espions capturant de l’information confidentielle de l’application Liveperson. De plus, les logiciels que 24[7].ai auraient installés faisaient disparaître certaines fonctionnalités de l’application de Liveperson, notamment le bouton activant la fonction de clavardage.  Ce faisant, 24[7].ai aurait interféré dans la relation entre Liveperson et ses clients. Cette saga judiciaire se poursuit d’ailleurs, puisqu’un autre procès devra avoir lieu relativement aux secrets commerciaux d’une cliente de Liveperson4. Ce litige illustre bien que la cybersécurité concerne non seulement les renseignements personnels, mais aussi les secrets commerciaux et même le bon fonctionnement des logiciels d’entreprise. Plusieurs précautions peuvent être prises pour diminuer les risques d’incidents de cybersécurité. Des politiques internes robustes à tous les niveaux dans l’entreprise aident à maintenir un cadre sécuritaire pour les opérations des entreprises. Combinées à une sensibilisation des employés aux enjeux juridiques et commerciaux de la cybersécurité, ces politiques peuvent être des ajouts importants aux meilleures pratiques en informatique. Par ailleurs, la sensibilisation des employés facilite l’adoption de meilleures pratiques, notamment des investigations systématiques des anomalies de fonctionnement et l'utilisation de méthodes de programmation protégeant les secrets commerciaux de l’entreprise. Qui plus est, il peut être opportun de s’assurer que les contrats avec des clients accordent aux fournisseurs informatiques des accès permettant les suivis nécessaires pour assurer la sécurité des deux parties. Finalement, il faut se rappeler que le conseil d’administration doit faire preuve de soin, de diligence et de compétence tout en veillant à l’intérêt supérieur de l’entreprise.  Les administrateurs pourraient être tenus personnellement responsables s’ils manquent à leurs obligations de veiller à ce que des mesures adéquates soient mises en place pour prévenir des cyberincidents, ou s’ils font fi des risques et font preuve d’aveuglement volontaire.  Ainsi, les membres du conseil d’administration doivent faire preuve de vigilance et être formés et sensibilisés en matière de cybersécurité afin de pouvoir intégrer celle-ci dans leur gestion des risques.    Dans une ère où la propriété intellectuelle est devenue l’actif le plus important d’une société, il va de soi qu’il est primordial de mettre en place les outils technologiques, mais aussi les procédures et les politiques requises pour bien la protéger! N’hésitez pas à faire appel aux services de Lavery pour vous conseiller sur les aspects juridiques de la cybersécurité. voir notamment  Carly Page, This new Android spyware mascarades as legitimate apps, Techcrunch, 10 novembre 2021, en ligne : https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps; Carly Page, FBI says ransomware groups are using private financial information to further extort victims, Techcrunch, 2 novembre 2021, en ligne : https://techcrunch.com/2021/11/02/fbi-ransomware-private-financial-extort. Frank Gardener, NSO Group: Israeli spyware company added to US trade blacklist, BBC News, 3 novembre 2021, en ligne: https://www.bbc.com/news/technology-59149651. Thomas Claburn, Spyware, trade-secret theft, and $30m in damages: How two online support partners spectacularly fell out, The Register, 18 juin 2021, en ligne:  https://www.theregister.com/2021/06/18/liveperson_wins_30m_trade_secret. Blake Brittain, LivePerson wins $30 million from [24]7.ai in trade-secret verdict,Reuters, 17 juin 2021, en ligne: https://www.reuters.com/legal/transactional/liveperson-wins-30-million-247ai-trade-secret-verdict-2021-06-17.