Administrateurs et cybersécurité : responsabilités, risques et réponses en cas d’incident

L’équipe TI est mobilisée, les premières analyses sont en cours et les questions commencent à affluer. Que devez-vous faire en tant qu’administrateur?

Un incident de cybersécurité dépasse largement le cadre technique. Il s’agit d’un enjeu juridique, financier et de réputation qui met à l’épreuve la gouvernance de l’organisation. Les administrateurs et dirigeants doivent non seulement soutenir les équipes internes et externes, mais aussi démontrer qu’ils ont rempli leurs obligations légales et fiduciaires.

Leur responsabilité ne se limite pas à réagir : elle repose sur un devoir fiduciaire, défini par le Code civil du Québec (C.c.Q.) et les lois constitutives des sociétés par actions, et renforcé par les exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »). Loyauté, diligence, prudence et bonne foi ne sont pas que des principes abstraits — ce sont des obligations concrètes qui prennent tout leur sens en cas d’incident.

Obligations générales de l’administrateur

Tout administrateur d’une personne morale est investi d’un devoir de fiduciaire, en vertu des articles 321 et 322 C.c.Q. Ce devoir de fiduciaire est aussi prévu dans les lois constitutives des sociétés par actions[1].Plus précisément, le devoir de fiduciaire requiert l’administrateur de faire preuve de :

-       Loyauté et bonne foi : l’administrateur doit agir dans l’intérêt de la société, de manière honnête, loyale et sans conflit d’intérêts;
-       Prudence et diligence : il doit poser les gestes qu’une personne raisonnable et avisée poserait dans des circonstances similaires, notamment en matière de gestion des risques, dont la gouvernance des données et la supervision de la cybersécurité.

Même en l’absence de rôle opérationnel direct, l’administrateur doit :

-       S’informer activement sur des enjeux et des mesures en places;
-       Vérifier la conformité de la société aux obligations légales;
-       Confirmer que les mesures de mitigation sont en place;
-       Poser les bonnes questions à la direction et aux experts;
-       Documenter ses interventions et décisions au sein du conseil d’administration.

Cybersécurité et devoir fiduciaire

Le conseil d’administration joue un rôle clé dans la supervision des risques liés à la stratégie, la performance et la réputation de la société. La cybersécurité et la protection des renseignements personnels n’échappent pas à cette responsabilité. Les menaces évoluent rapidement, tout comme les attentes réglementaires, ce qui impose aux administrateurs de mettre à jour leurs connaissances pour comprendre les risques en matière de protection des renseignements personnels et de cybersécurité et de s’assurer que la société adapte ses pratiques en conséquence.

Un administrateur qui agit de manière informée, en consultant les bons experts et en documentant ses démarches, est généralement considéré comme ayant respecté son obligation de fiduciaire.

Obligations spécifiques en cas d’incident | Loi sur le privé

En vertu de la Loi sur le privé, la société, et par extension ses administrateurs, est tenue de mettre en œuvre une réponse diligente et structurée à tout incident. La Loi sur le privé exige minimalement les actions suivantes:

-       Évaluer le risque de préjudice sérieux pour les personnes concernées;
-       Notifier la Commission d’accès à l’information (« CAI ») et les personnes concernées si un tel risque est identifié;
-       Tenir un registre des incidents, même lorsque l’incident ne donne pas lieu à une notification;
-       Mettre en œuvre des mesures correctives qui peuvent être : administratives ou organisationnelles, de gouvernance, tactiques, opérationnelles, physiques ou techniques, pour limiter les impacts immédiats et prévenir la répétition d’un incident similaire;
-       Adapter les mesures de sécurité au fur et à mesure que les circonstances de l’incident se précisent;
-       Documenter toutes les décisions, communications et actions prises en lien avec l’incident.

Responsabilité personnelle de l’administrateur

En cas d’incident, les administrateurs peuvent être tenus responsables à plusieurs titres. Sur le plan civil, le Code civil du Québec permet d’engager leur responsabilité personnelle s’ils ont commis une faute, causé un préjudice et qu’un lien de causalité peut être établi.

L’article 93 de la Loi sur le privé prévoit la possibilité de tenir des administrateurs personnellement responsables de toute infraction de la loi, s’il a prescrit ou autorisé l’acte ou l’omission qui constitue l’infraction. Par exemple, omettre de déclarer un incident de confidentialité ou ne pas prendre les mesures de sécurité appropriées pour assurer la protection des renseignement personnels sont certaines des infractions prévues et pouvant engendrer des sanctions pénales de 5 000$ à 100 000$ pour un administrateur qui a commis ces infractions[2]. Si vous n’avez pas de visibilité au conseil d’administration sur le programme de sécurité de l’information, il est temps d’y voir.

Il est important de noter que la responsabilité ne repose pas sur la survenance d’un incident, mais sur la manière dont celui-ci a été anticipé, géré et documenté. Un administrateur peut ne pas être fautif s’il démontre qu’il a agi avec diligence et qu’il s’est assuré que des mesures raisonnables de prévention et de réponse ont été mises en place.

Moyens de défense possibles

Les tribunaux reconnaissent qu’un administrateur n’est pas tenu à l’infaillibilité. Ils évaluent plutôt si la décision prise s’inscrivait dans un éventail de solutions raisonnables, compte tenu de l’information disponible au moment où elle a été prise.

Pour bénéficier de cette protection, l’administrateur doit démontrer qu’il a :

-       examiné les faits de manière appropriée;
-       agi de bonne foi, dans l’intérêt de la société;
-       pris une décision éclairée, même si le résultat s’est avéré défavorable.

Autrement dit, un administrateur doit pouvoir démontrer qu’il a agi avec prudence, diligence et loyauté dans l’intérêt de la société[3].

Bonnes pratiques à mettre en œuvre

Lorsqu’un incident de sécurité survient, il est attendu qu’un administrateur agisse avec diligence, même en l’absence d’une vision complète de la situation. Certaines actions permettent d’assurer une gouvernance rigoureuse et une gestion responsable du risque :

• Évaluer l’incident : Vérifier si l’incident est en cours, résolu ou officiellement clos, et s’assurer que cette clôture repose sur une analyse complète validée par les experts techniques et juridiques.
• Établir une fréquence de notification : Une fréquence de notification adaptée à la nature et à la portée de l’incident doit être établie, afin d’assurer aux administrateurs une visibilité régulière sur les actions menées par les équipes internes et les experts externes, sans empiéter sur l’opérationnel.
• Veiller au suivi post-incident : Suivant l'incident, les administrateurs doivent assurer le suivi des progrès réalisés sur la feuille de route intégrant les recommandations du rapport des experts techniques, afin de veiller à la mise en œuvre des mesures correctives et à la prévention d’incidents similaires, qui permettront de renforcer la posture de sécurité de l’organisation.
• Assurer la traçabilité : Documenter les interventions et décisions prises au sein du conseil d’administration, et conserver une trace écrite des communications et suivis liés à l’incident.

Gouvernance proactive = protection accrue

Une gouvernance proactive et une implication éclairée du conseil ne protègent pas seulement l’organisation?: elles réduisent aussi le risque de responsabilité personnelle pour les administrateurs.

La compréhension des enjeux et une capacité à réagir efficacement du conseil d’administration en cas d’incident sont désormais essentielles.

Notre équipe en protection de la vie privée, technologies et cybersécurité accompagne notamment les conseils d’administration dans :

-       la formation et sensibilisation de leurs membres;
-       la mise en place de mécanismes de gouvernance adaptés;
-       la gestion stratégique des incidents de sécurité.

N’hésitez pas à nous contacter pour discuter de vos besoins en la matière et d’améliorer la résilience de votre organisation.