Select Page

Une société comptable de taille moyenne exerçant ses activités dans l’Est du Canada, que nous désignerons sous le nom de « Cie de l’Est », jouit d’une excellente réputation auprès de sa clientèle locale. Le gros de ses affaires résulte du bouche à oreille. En l’espace de 10 ans, Cie de l’Est a su développer une clientèle plus que respectable et elle prévoit que 2016 sera une grande année.

Cependant, deux événements inattendus sont venus menacer le brillant avenir de Cie de l’Est. Afin de réduire ses coûts, la compagnie a embauché des stagiaires de l’université voisine. L’un des stagiaires, « M. A », pour se faire bien voir de ses employeurs, décide d’apporter chez lui une copie de tous les dossiers des clients de la compagnie afin de pouvoir travailler sur un énorme projet de classement qu’il a entrepris. Dans son zèle à restructurer le système de classement de la compagnie, M. A omet de se conformer à la politique de l’entreprise relative aux clés USB et il copie tous les dossiers des clients sur une clé USB qu’il entend apporter chez lui pour accomplir un peu de travail dans ses moments libres après les heures de bureau. Malencontreusement, il égare la clé USB et, environ une semaine après, il constate qu’il ne peut plus la retrouver. Il décide alors d’en parler à son patron. Le propriétaire de la compagnie est livide parce que les données n’étaient pas encodées. Il est également très confus, car il sait qu’il existe des lois qui régissent les notifications aux clients dans ce type de situation, mais il n’est pas sûr de savoir lesquelles. Il n’est pas établi qu’une tierce personne a pu ouvrir les dossiers des clients et le propriétaire de la compagnie n’est pas sûr si cela ferait une différence. Ne sachant pas comment agir, le propriétaire de Cie de l’Est se croise les doigts et espère que rien de fâcheux ne surviendra après la perte de la clé USB.

À peu près au même moment, Cie de l’Est subit une attaque de piratage. Une tierce partie externe a réussi à s’infiltrer dans le système informatique de Cie de l’Est. Désemparé devant cette situation et ne sachant pas à quels renseignements les pirates ont eu accès, le propriétaire retient les services d’un expert en systèmes afin de savoir quels documents sont véritablement entre les mains des pirates et de sécuriser les systèmes informatiques de la compagnie. Il est établi que le pirate a eu accès aux déclarations fiscales de 100 clients de la compagnie. Son propriétaire, qui ne connaît pas ses obligations juridiques en cette matière, décide de demander conseil auprès d’un avocat. On lui recommande alors d’envoyer des notifications à tous les clients concernés. L’avocat offre également des conseils relativement à la perte de la clé USB qui sera enfin (et heureusement) retrouvée au fond d’un des tiroirs de bureau de M. A. En outre, le propriétaire de Cie de l’Est envisage maintenant la possibilité de retenir les services d’un cabinet de relations publiques pour l’aider à faire face aux conséquences de ces événements sur la réputation de la compagnie. Des frais de 75 000 $ englobant la remise en état des systèmes informatiques, les honoraires juridiques et les coûts de notification ont déjà été encourus par la compagnie.

Cie de l’Est ne dispose pas d’une police d’assurance qui lui permettrait de couvrir ces coûts.

Leçons apprises:
1. Les violations à la vie privée représentent un risque véritable pour les entreprises dans l’environnement des affaires d’aujourd’hui. Elles n’impliquent pas obligatoirement un incident de piratage ou une cyber-attaque : la perte de dossiers ou d’outils constitue également un risque dont les entreprises devraient prendre conscience.
2. Toute violation de la vie privée peut se traduire par beaucoup de temps et d’argent perdus, de même qu’elle est susceptible de détruire la réputation des compagnies. L’impact financier d’une violation de la vie privée peut être atténué par une police en matière de cyber-responsabilité qui peut non seulement couvrir les pertes encourues par la compagnie pour restaurer ses systèmes, mais également fournir à la compagnie assurée l’accès à des conseils inestimables et opportuns qui l’aideront à composer avec cette situation.
3. Quand une compagnie tient à se donner une stratégie raisonnable de gestion des risques, elle doit envisager sérieusement la possibilité de mettre en place un plan d’intervention en matière de violation de la vie privée. Une police en matière de cyber-responsabilité devrait aussi faire partie de cette stratégie de gestion des risques. Cie de l’Est aurait pu éviter cette coûteuse leçon de 75 000 $ si elle avait souscrit une telle police.