Écrit par Ruth E. Promislow and Michael R. Whitt Q.C.
Nous avons eu une salle comble pour notre événement Cyber Time: Crash Course for Directors and Officers cette semaine au bureau de Bennett Jones à Calgary. La séance d’une demi-journée a porté sur les cybermenaces actuelles auxquelles les entreprises sont confrontées aujourd’hui, l’exposition à un litige découlant d’un cyberincident impliquant des renseignements personnels ou des renseignements commerciaux confidentiels, les obligations de conformité réglementaire concernant la protection des renseignements personnels et les solutions d’assurance pour atténuer certains risques associés aux cyberattaques. Notre groupe d’experts comprenait Ruth Promislow et Michael Whitt de Bennett Jones, Jay Heidecker de Seekinto et Dan Lewis d’Arthur J. Gallagher Canada Limited.
Le thème récurrent de tous les exposés impliquait la nécessité d’être proactif, plutôt que simplement réactif. Être proactif est logique sur le plan commercial en ce sens qu’il peut réduire les coûts encourus pour répondre à une attaque. Cela peut également réduire l’exposition au risque de litige d’une attaque ou de la réponse à la violation. De plus, les obligations réglementaires exigent une approche proactive. La cyberassurance peut être un élément clé pour réduire l’exposition au risque. Cependant, il ne couvre pas toutes les formes de risque et il ne remplace pas la nécessité (et l’obligation) de traiter les risques et les vulnérabilités avant une attaque.
Voici les principales questions que les administrateurs et les dirigeants devaient poser :
- De quels renseignements disposons-nous?
- Quelle est la sensibilité de cette information?
- Comment l’information est-elle stockée?
- Quels renseignements conservons-nous et de quoi disposons-nous?
- Quelles mesures de protection sont en place pour protéger les renseignements?
- Quelle est la probabilité que des dommages se produisent et la gravité potentielle?
- À quelles juridictions sommes-nous potentiellement soumis?
- Sommes-nous en conformité avec les obligations réglementaires?
- Nous sommes-nous protégés contre les risques de tiers?
- Avons-nous un plan d’intervention en cas d’atteinte à la vie privée?
- Avons-nous mis à l’essai notre plan d’intervention en cas d’atteinte à la vie privée?
- Sommes-nous convaincus qu’en cas d’incident, nous pouvons éviter de créer une trace écrite qui pourrait être utilisée contre nous?
- Qui avons-nous sur le cadran de vitesse en cas de violation?
Poser ces questions cruciales avec l’aide d’experts juridiques et techniques est essentiel à la gestion des risques pour votre société et vous individuellement. Pour plus d’informations sur la façon de gérer votre exposition aux menaces de cybersécurité, le groupe Bennett Jones Data Protection and Privacy group peut vous aider.
Traduction alimentée par l’IA.
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones