Pourquoi les administrateurs et les dirigeants peuvent-ils faire l'objet de poursuites en cas de cybercriminalité?

Il est pratiquement impossible pour les chefs d'entreprise de ne pas connaître les dangers des cyberattaques, car les violations font régulièrement la manchette des journaux et la cybersécurité occupe une place de plus en plus importante au sein des entreprises. En revanche, les entreprises ignorent souvent que leurs administrateurs et dirigeants peuvent être tenus personnellement responsables à la suite d'une atteinte à la cybersécurité.

Bien qu'il existe des « boucliers » juridiques pour les administrateurs et les dirigeants qui protègent ou limitent leur responsabilité, il est possible au Canada de poursuivre des personnes pour violations de données. Avec le risque croissant de cyberattaques, il est de plus en plus probable que les performances financières et la réputation d'une entreprise soient affectées^1,2. Et cela pourrait mettre les administrateurs et les dirigeants sur la sellette.

Pourquoi une personne peut-elle être exposée à un risque plutôt qu'une entreprise? Comme l'explique le représentant d’un cabinet d'avocats canadien : « S'il apparaît qu'un administrateur ou un dirigeant a manqué à son devoir de prévenir une cyberattaque ou, plus grave encore, qu'il a fait une représentation frauduleuse quant à la position de l'entreprise à cet égard, il est réaliste de penser que l'entreprise subira un préjudice qui, à son tour, exposera les conseils d'administration et les cadres supérieurs à toute une série de responsabilités réglementaires (p. ex. application de la loi par la commission) ou dans le marché secondaire (p. ex. recours collectif d'actionnaires).»

Sur le plan réglementaire, par exemple, les lois sur la protection des données obligent les entreprises à protéger les données sensibles et à maintenir certaines normes de cybersécurité. Le non‑respect de ces obligations peut entraîner des sanctions pécuniaires et des poursuites judiciaires à l'encontre des administrateurs et des dirigeants. En outre, le non‑respect des exigences fédérales en matière de divulgation à la suite d'une violation peut entraîner des responsabilités dans le marché secondaire^3,4.

Des affaires judiciaires sont déjà en cours aux États-Unis, où l'on tente de plus en plus de tenir les administrateurs et les dirigeants responsables des conséquences des cyberincidents sur les entreprises et leurs actionnaires. Par exemple, en 2023, la Securities and Exchange Commission (SEC) des États-Unis a inculpé l'éditeur de logiciels SolarWinds et son officier principal de la sécurité de l’information (OPSI) pour fraude et manquements aux contrôles internes dans le cadre d'une cyberattaque. C'est la première fois que la SEC inculpe l’OPSI d'une entreprise dans ce contexte. Bien que les administrateurs et dirigeants du Canada soient encore épargnés, les observateurs du monde juridique affirment que ce ne sera peut-être pas toujours le cas, car les lois pourraient « continuer à étendre les obligations fiduciaires et les normes de diligence aux cadres supérieurs et aux conseils d'administration »^5,6.

Éviter que les cyberattaques ne deviennent des problèmes juridiques

Dans un contexte juridique et informatique en constante évolution, les administrateurs et les dirigeants doivent s'assurer que leur organisation est protégée contre les cybermenaces, tout en veillant à ce qu'eux‑mêmes (en tant qu'individus) soient protégés.

Pour limiter les risques, les administrateurs et les dirigeants doivent d'abord se familiariser avec toutes les directives réglementaires visant à protéger leur entreprise contre les cyberattaques, ainsi qu'avec les conséquences juridiques et financières potentielles des attaques^7,8.

Grâce à la formation continue, les administrateurs et les dirigeants sont encouragés à avoir une connaissance approfondie des tendances et des menaces en matière de cybersécurité et de la manière dont leur entreprise y répond. Étant donné que de nombreux conseils d'administration manquent de connaissances à ce sujet, les entreprises peuvent envisager de recruter des administrateurs ayant une expérience professionnelle en matière de cybersécurité et de gestion des risques ^9,10.

Comme la menace évolue, on conseille également aux administrateurs et aux dirigeants de mettre régulièrement à jour les cadres de gestion des risques de leur organisation afin de cerner et de gérer les nouveaux risques. En outre, ils devraient revoir et mettre en pratique leurs plans d'intervention en cas d'incident (plans bien documentés qui couvrent la détection des cyberincidents, les interventions et la reprise)¹¹.

Une autre pièce importante du casse‑tête de la cyberprotection est l'assurance des administrateurs et dirigeants (A&D). Ce type d'assurance propose une protection contre les pertes personnelles résultant de poursuites judiciaires pour manquement aux obligations. Souveraine Sécur Pro, par exemple, offre une couverture complète et compétitive conçue pour prendre en charge les risques nouveaux et émergents auxquels sont exposées les entreprises canadiennes. Les risques cybernétiques et juridiques devenant de plus en plus complexes, la meilleure défense d'une organisation est d'être préparée.

Sources :

^1,5 Pallett Valo LLP, « Not Just a Cyber Attack: Evolving Issues for Director and Officer Liability in the US and Canada » Avril 2024

^2,11 Torys, « Director and officer liability for cybersecurity breaches in Canada and the U.S. » Printemps 2022

³ Baker McKenzie, « Penalties for Non-compliance » Décembre 2023

^4,7 Canadian Insurance Law, « Cyber Insurance and D&O Liability » 13 septembre 2019

^6,8 Forbes, « SEC Charges CISO With Fraud In Landmark Cybersecurity Case » 16 novembre 2023

⁹ Business Day, « The new face of Corporate Governance: Why boards need to prioritize cybersecurity training » 25 octobre 2023

¹⁰  CSO : « How much cybersecurity expertise does a board need? » 25 octobre 2023