Selon toute vraisemblance, votre organisation subira une cyberattaque. Selon une étude éminence d’Accenture, l’organisation canadienne moyenne fait face à environ 96 cyberattaques par année, dont près du tiers entraînent une atteinte à la sécurité. Les conséquences des cyberattaques laissent souvent un sillage de victimes dont les renseignements personnels ont été violés, et en conséquence une exposition massive pour les entreprises qui ont été attaquées.
À l’heure actuelle, les administrateurs savent (espérons-le) qu’ils doivent prendre des mesures raisonnables en ce qui concerne la prévention et la réponse aux cyberattaques. S’ils ne le font pas, non seulement ils compromettent la viabilité de l’entreprise qu’ils supervisent, mais ils risquent également la responsabilité personnelle.
Il est essentiel de décoder les mesures spécifiques que l’on devrait prendre en tant qu’administrateur. Une série de décisions des États-Unis rejetant les réclamations des actionnaires contre les administrateurs fournit des indications aux administrateurs sur cette exposition potentielle.
Dans une décision rendue en novembre 2016 dans L’affaire Home Depot, des directives spécifiques ont été données aux administrateurs. Dans cette affaire, les actionnaires ont allégué que les administrateurs n’avaient pas mis en œuvre de mécanismes adéquats de sécurité des données; n’a pas exercé une surveillance adéquate des questions de cybersécurité; et n’a pas réagi adéquatement aux menaces de cybersécurité. Les mesures prises par le conseil d’administration de Home Depot qui ont mené au rejet par le tribunal de la plainte déposée contre eux comprenaient :
Déterminer exactement ce qui équivaut à une conduite « raisonnable » et « défendable » de la part des administrateurs dans le contexte de la sécurité des données est également éclairé par les décisions des États-Unis dans Wyndham v Holmes, 14-CV-01234 (SRC) [Wyndham] et Davis v Target Corporation,14-CV-00203-PAM-JJK [ Cible]. Dans ces cas, la conduite raisonnable et défendable des administrateurs comprenait :
Bien que les réclamations des actionnaires contre les administrateurs n’aient pas encore abouti, les administrateurs ne devraient pas sous-estimer leur exposition potentielle. Dans les affaires examinées ci-dessus, les tribunaux ont rejeté les demandes au motif que les administrateurs avaient pris toutes les mesures raisonnables dans les circonstances. Ce qui est raisonnable, c’est une norme en évolution et les administrateurs doivent continuellement se tenir au courant de leurs obligations. À cet égard, il est conseillé aux administrateurs de consulter régulièrement un avocat afin de minimiser leur exposition potentielle dans ce domaine de plus en plus risqué.
Le