T2 | Revue Trimestrielle de TorysPrintemps 2022

Responsabilité des administrateurs et des dirigeants en cas de cyberincident au Canada et aux É.-U.

Auteurs

La cybersécurité continue d’être un enjeu de premier plan pour les conseils d’administration et les équipes de haute direction tant au Canada qu’aux États-Unis. Il est en effet judicieux d’en faire une priorité, les données étant essentielles à la valeur et à la stratégie d’une société et les cyberattaques augmentant les dépenses et les interruptions des activités.

Cependant, il ne faut pas oublier l’aspect individuel : quel est le risque de responsabilité personnelle auquel s’exposent les dirigeants et les administrateurs d’une société lors d’une atteinte aux mesures de sécurité de l’entreprise ou à la confidentialité des données?

 
Bien entendu, ces personnes bénéficient de protections légales leur permettant de se protéger ou, à tout le moins, de limiter leur responsabilité. Or, dans certains cas, la common law permet aux demandeurs de percer le voile corporatif et d’intenter un recours en responsabilité personnelle. En outre, les cadres réglementaires reconnaissent de plus en plus la possibilité d’une responsabilité personnelle dans le contexte de cyber incidents subis par une entreprise.

Responsabilité au Canada : risque croissant, mais aucun cas à ce jour

Bien qu’il existe des recours statutaires et de common law permettant de poursuivre des individus dans le cadre d’une atteinte aux mesures de sécurité d’une entreprise ou à la confidentialité des données, aucune décision n’a encore été rendue au Canada concernant la responsabilité d’un administrateur ou un dirigeant dans un tel contexte.

Au Canada, il existe plusieurs régimes fédéraux et provinciaux en vertu desquels les administrateurs et les dirigeants peuvent être exposés à un risque de responsabilité lors d’un cyber incident.

Les administrateurs et les dirigeants ont l’obligation, tant statutaire qu’en vertu de la common law, de diriger la société en faisant preuve d’une diligence raisonnable, notamment en surveillant de manière appropriée son programme de cybersécurité. En cas de non-respect de cette obligation, les investisseurs ou d’autres parties prenantes pourraient poursuivre les administrateurs et les dirigeants au nom de la société au moyen d’une action dérivée, afin d’obtenir réparation du préjudice causé à la société par leur négligence.

En outre, en vertu des lois sur les valeurs mobilières, les administrateurs et les dirigeants peuvent être tenus responsables pour des omissions ou des déclarations inexactes ou trompeuses dans les communications publiques de la société, pouvant notamment porter sur le statut de cyber incidents, les risques liés à ceux-ci et les mesures de prévention mises en œuvre.

Bien qu’il existe des recours statutaires et de common law permettant de poursuivre des individus dans le cadre d’atteintes aux mesure de sécurité d’une entreprise ou à la confidentialité des données, aucune décision n’a encore été rendue au Canada concernant la responsabilité d’un administrateur ou un dirigeant dans un tel contexte.

En Alberta et en Colombie-Britannique, la législation en matière de protection des renseignements personnels énonce qu’une « organisation ou une personne » commet une infraction si elle entrave une enquête réglementaire sur une atteinte aux mesures de sécurité ou à la confidentialité des données, ne signale pas une telle atteinte atteignant le seuil requis pour une dénonciation ou exerce des représailles à l’encontre des employés qui soulèvent des préoccupations concernant la protection des renseignements personnels1. Il existe toutefois des défenses fondées sur la diligence raisonnable protégeant les représentants d’une société ayant pris des décisions raisonnables, même si l’organisme de réglementation est en désaccord avec la ligne de conduite adoptée. Chaque infraction peut entraîner une amende maximale de 10 000 $ par personne physique.

Au Québec, l’article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé prévoit une obligation de conformité plus précise, selon laquelle :

« toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels [...] et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support »2.

Avec l’adoption du projet de loi no 64, la Commission d’accès à l’information du Québec pourra imposer des sanctions administratives pécuniaires à toute personne qui omet de signaler un cyber incident ou ne prend pas les mesures de sécurité appropriées pour protéger les renseignements personnels. Chaque violation peut entraîner une amende maximale de 50 000 $ par personne. En outre, en vertu de la nouvelle loi québécoise, ce type d’acte constitue une infraction passible d’une amende allant jusqu’à 100 000 $ par personne par infraction et, en cas de récidive, jusqu’à 200 000 $ par personne par infraction. Même s’il sera possible d’invoquer une défense de diligence raisonnable, les tribunaux tiendront également compte des tentatives de dissimuler la violation et du fait que la personne ait omis de prendre des mesures pour empêcher une violation prévisible3.

Développements récents aux États-Unis

Aux États-Unis, on observe de plus en plus de tentatives visant à tenir les administrateurs et les dirigeants responsables des répercussions de cyber incidents sur les sociétés et leurs actionnaires. La plupart ont jusqu’à présent échoué, mais principalement pour des motifs techniques ou procéduraux.

Deux décisions rendues dans des actions de type Caremark4 fournissent des précisions concernant l’analyse qu’un tribunal peut appliquer lorsqu’il détermine la responsabilité d’un dirigeant pour une atteinte aux mesures de sécurité ou à la confidentialité des données5. Il s’agit de deux affaires, respectivement dans les domaines de l’alimentation et de la sécurité des aéronefs, où les tribunaux du Delaware ont autorisé des recours contre des administrateurs alors que 1) il n’y avait pas de comité du conseil d’administration pour gérer les risques et les menaces en question; 2) il n’y avait aucune procédure en place visant la communication entre la haute direction et le conseil d’administration concernant les pratiques relatives à la conformité de la société; 3) il n’y avait que des rapports positifs au conseil d’administration, de sorte que ce dernier n’était informé d’aucun enjeux auxquels la société pouvait faire face; et 4) les risques et menaces en question ne faisaient pas l’objet de discussions régulières lors des rencontres du conseil d’administration.

Une action intentée contre Yahoo en 2019 relative à des atteintes aux mesures de sécurité et à la confidentialité des données a été réglée avec d’anciens administrateurs pour 29 millions de dollars – un montant qui démontre l’importance de l’implication des administrateurs et dirigeants pour les entreprises qui sont aux prises avec un cyber incident.

La Delaware Court of Chancery a d’ailleurs appliqué l’analyse ci-dessus à des réclamations concernant des atteintes aux mesures de sécurité et à la confidentialité des données impliquant les hôtels Marriott, soulignant que les administrateurs doivent assurer une surveillance appropriée de la cybersécurité et qu’ils pourraient être tenus responsables s’ils n’agissent pas de bonne foi6. En l’espèce, les allégations selon lesquelles les administrateurs avaient dissimulé le cyber incident n’ont pas été prouvées.

Des conséquences majeures en ont découlé. En 2019, une action dérivée contre Yahoo pour des atteintes aux mesure de sécurité et à la confidentialité des données a été réglée avec d’anciens administrateurs pour 29 millions de dollars7. Les actionnaires alléguaient que les administrateurs n’avaient pas mis en place des mesures de sécurité appropriées et avaient fait des déclarations fausses et trompeuses concernant leur connaissance du cyber incident.Il s’agit de l’une des premières actions de ce type à être menée avec succès, et le montant de l’entente de règlement démontre l’importance de l’implication des administrateurs et des dirigeants pour les entreprises qui sont aux prises avec un cyber incident.

Un recours en responsabilité peut également être intenté en vertu des lois sur les valeurs mobilières américaines, comme en témoigne l’affaire Drieu v. Zoom Video Communications Inc. L’application de vidéoconférence Zoom a vu sa popularité monter en flèche lors de la pandémie de COVID-19, mais a également dû faire face à une chute de son action lorsqu’il a été révélé qu’un problème de chiffrement rendait possible le piratage des webcaméras et des appels vidéo8. L’action en fraude, intentée par un groupe d’actionnaires de Zoom, nomme deux dirigeants de Zoom à titre de défendeurs et allègue que la société a omis de déclarer ces problèmes de protection des renseignements personnels9.

Plus récemment, le 9 mars 2022, la Securities and Exchange Commission des É.-U. a proposé des règles qui, si elles sont adoptées, rendraient obligatoire la dénonciation de cyber incidents importants, de même que la surveillance des cyber risques par le conseil d’administration et le rôle de la haute direction dans la gestion de ces risques.

Conclusion

À mesure que le paysage juridique en matière de cybersécurité et de responsabilité continue à évoluer, les administrateurs et les dirigeants devraient surveiller les risques de plus en plus nombreux auxquels ils s’exposent. Leur conduite à l’égard d’un cyber incident sera scrutée à la loupe par les investisseurs et les organismes de réglementation.

En plus de s’assurer que les administrateurs et les dirigeants possèdent – ou ont accès à – une expertise en cybersécurité, les conseils d’administration et les équipes de haute direction devraient :

  • mettre régulièrement à jour les cadres de gestion des risques pour repérer et gérer les nouveaux risques liés à la cybersécurité et à la protection des données;
  • revoir leurs plans d’intervention en cas d’incident et mener des exercices réguliers pour mettre les plans en pratique avec les membres de l’équipe et les décideurs appropriés;
  • déterminer si des politiques et des processus supplémentaires sont nécessaires au fur et à mesure que les cybermenaces évoluent, notamment pour déterminer la réponse de la société à une attaque de type « rançongiciel »;
  • réévaluer leur couverture d’assurance, particulièrement en ce qui a trait au chevauchement des polices de cyber assurance et d’assurance en responsabilité des dirigeants, aux limites de la protection et au remboursement des amendes réglementaires;
  • veiller à ce que les communications publiques relatives aux cyber risques soient propres à la société, mises à jour régulièrement et adaptées à chaque situation.

En plus d’aider les entreprises à se protéger des cyberattaques et d’y répondre, les mesures ci-dessus permettront d’appuyer une défense de diligence raisonnable dans une situation où une cyberattaque entraîne des enquêtes réglementaires ou des litiges en responsabilité personnelle contre des administrateurs ou des dirigeants.

  1. Personal Information Protection Act, SA 2003, c. P-6.5; Personal Information Protection Act, SBC 2003, c. 63.
  2. Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1
  3. Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c. 25.
  4. En 1996, la Cour suprême du Delaware a rendu une décision dans l’affaire Caremark qui a établi un cadre légal en matière de responsabilité personnelle des administrateurs pour le manquement à l’obligation de loyauté lorsqu’ils ne surveillent pas l’entreprise de manière appropriée. En vertu de cette décision, les administrateurs pourraient être tenus responsables dans les deux cas suivants : [traduction] (i) « une décision du conseil qui cause une perte parce qu’elle était inopportune ou négligente » ou (ii) « le fait que le conseil n’a pas agi dans une situation, alors que s’il y avait porté l’attention voulue, cela aurait probablement empêché la perte ». In re Caremark Int'l Inc. Derivative Litig., 698 A.2d 959 (Del. Ch. 1996).
  5. Marchand v. Barnhill, 212 A.3d 805 (Del. 2019); In re Boeing Co. Derivative Litig., No. 2019-0907-MTZ, 2021 WL 4059934 (Del. Ch. Sep. 7, 2021).
  6. Firemen’s Ret. Sys. v. Sorenson, No. 2019-0965-LWW, 2021 WL 4593777 (Del. Ch. Oct. 5, 2021).
  7. In re Yahoo! Inc. Customer Data Sec. Breach Litig., No. 16-MD-02752-LHK, 2019 WL 387322, p. 2 (N.D. Cal. Jan. 30, 2019) (citant le jugement In re Yahoo! Inc. S'holders Derivative Litig., Lead Case No. 17-CV-00787-LHK, ECF Nos. 41-2 (N.D. Cal. 2018).
  8. Drieu v. Zoom Video Communications Inc., No. 20-CV-02353-JD, 2020 WL 1696810 (N.D.Cal. April 7, 2020).
  9. Molly Reynolds et Shalom Cumbo-Steinmetz, « Data governance and Canada’s c-suite: are directors and officers liable for cybersecurity failures? » (10 décembre 2020), en ligne : www.torys.com/our-latest-thinking/publications/2020/12/data-governance-and-canadas-c-suite.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Catégories

TwitterLinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn