Select Page
Cyberassurance en 2021 : Quelques réflexions sur les tendances et les menaces dans l’industrie

Cyberassurance en 2021 : Quelques réflexions sur les tendances et les menaces dans l’industrie

À l’occasion d’un panel récent, la directrice, Solutions pour professionnels de Trisura, Angela Feudo, a partagé quelques réflexions au sujet des tendances et des menaces en matière de cyberassurance au sein de l’industrie aujourd’hui.

Cette entrevue fait partie d’un rapport spécial publié par Insurance Business Canada. Pour prendre connaissance du rapport intégral, veuillez cliquer ici. (en anglais seulement)

IB | Décrivez-nous l’état du marché de la cyberassurance au Canada aujourd’hui (tarifs, capacité, couverture, limites de garantie, nouveaux acheteurs, etc.).


Smiling woman with brown hair and blazer in front of buildings backdrop.

AF | Le marché de la cyberassurance a largement continué à se resserrer au cours de la dernière année. Plusieurs sociétés d’assurance ont réduit leur capacité, augmenté leurs tarifs, restreint les modalités des polices et mis en place des contrôles plus stricts en matière de souscription. Même si les contractions au niveau de la capacité sont devenues monnaie courante, on a observé une volonté de limiter les risques en matière d’extorsion. Les incidents causés par les rançongiciels sont à la hausse, ce qui a entraîné une réaction prévisible du marché. Puisque la fréquence et la gravité des réclamations ont connu une augmentation sensible, les tarifs des assureurs se sont accrus de façon significative pour compenser cette situation. De plus, les assureurs ciblent maintenant davantage la gestion des cyberrisques de leurs clients et la sensibilisation aux questions de sécurité. Nous croyons qu’une meilleure connaissance de la cybersécurité et de la gestion des risques sera bénéfique pour toutes les parties intéressées. Cette sensibilisation aux cyberattaques a également suscité un plus grand intérêt pour la cyberassurance. D’ailleurs, nous constatons une hausse des demandes en matière de cyberassurance de la part de nouveaux acheteurs parce que les attaques par rançongiciel ne sont plus considérées comme un problème qui touche uniquement les grandes organisations. En réalité, les petites entreprises ont très bien compris qu’elles peuvent également être la cible de ces attaques.

Les attaques par rançongiciel sont sans doute devenues le sujet le plus chaud aujourd’hui en matière de cyberassurance. Comment percevez-vous la hausse de cette menace au cours des dernières années et qu’en est-il pour l’avenir ?

Les attaques par rançongiciel touchent un nombre croissant d’entreprises, quelle que soit l’industrie au sein de laquelle elles évoluent. Le rançongiciel en tant que service (connu sous l’acronyme RaaS, en anglais) a permis à un plus grand nombre de pirates informatiques de lancer des attaques. Il n’est plus nécessaire pour les auteurs de ces attaques d’être des pirates techniquement expérimentés pour déployer ces rançongiciels parce qu’avec les avancées technologiques, il est devenu beaucoup plus facile de mettre à exécution ces menaces. Les personnes et les organisations sont maintenant mieux informées en matière de cybersécurité, ce qui leur permet de se défendre plus efficacement contre les cybercriminels. En outre, beaucoup parmi elles ont concentré leurs efforts et leurs ressources sur la création et le maintien de sauvegardes cryptées, de même que sur leurs processus de restauration de données. Considérant que beaucoup d’entreprises sont maintenant mieux outillées, advenant le cas où des fichiers seraient corrompus, les entreprises touchées pourraient être dans une position où elles n’auraient pas à payer de rançon. Les auteurs de ces attaques se sont adaptés à cette situation et leurs menaces d’extorsion impliquent non seulement le versement d’une rançon pour libérer les données piratées, mais également la divulgation de ces renseignements confidentiels à des tiers si l’organisation touchée refusait de payer la rançon exigée. Ces cybercriminels mènent également des attaques par déni de service distribué (DDoS pour Distributed Denial of Service) contre leurs victimes afin de les contraindre à verser une rançon. En fait, ces pirates ont étendu les attaques par rançongiciel jusqu’à en faire un véritable modèle d’affaires qui consiste à utiliser la meilleure méthode pour arnaquer la victime ciblée. Ces méthodes comprennent le cryptage, le déni de service et la divulgation de renseignements personnels. Elles ont toutes pour but de causer un maximum de perturbations chez les victimes de ces attaques.

Quelles sont les industries les plus exposées aux cyberrisques et est-ce que celles-ci souscrivent de la cyberassurance ?

Toute personne et toute organisation qui utilise Internet s’expose à des risques ! Cependant, des industries et des entreprises sont encore plus à risque. Historiquement, il s’agit des secteurs suivants : soins de santé, gouvernements, services publics, établissements d’enseignement et institutions financières. La situation n’a pas changé, car aujourd’hui, ces industries continuent d’être plus à risque, et ce, pour différentes raisons. Ainsi, le secteur des soins de santé opère sur la base de systèmes vieillissants qui sont mal protégés. Cette réalité combinée au fait que ce secteur détient des dossiers patients fait de lui une cible de choix. De leur côté, les gouvernements, les institutions financières et les universités détiennent un grand nombre de renseignements confidentiels. Dans ces secteurs, les grandes organisations souscrivent de la cyberassurance depuis de nombreuses années. Fait nouveau, les plus petites entreprises souscrivent plus régulièrement de la cyberassurance. En outre, nous avons observé une augmentation des réclamations dans les secteurs de la fabrication, des services professionnels et de la construction. Même si l’achat de cyberassurance a connu une hausse dans ces secteurs, il reste encore beaucoup d’entreprises qui ne se sont pas encore dotées d’une cyberassurance.

Comment les courtiers d’assurance composent-ils avec ce marché difficile ? Que doivent-ils faire pour tirer leur épingle du jeu et proposer les meilleures solutions à leurs clients ?

Le durcissement du marché de la cyberassurance a créé d’autres défis pour les courtiers. En raison d’une baisse de capacité dans les marchés, les courtiers en sont réduits à trouver des marchés de remplacement pour les assurances primaires et excédentaires. Il est devenu encore plus important pour les souscripteurs de communiquer clairement leur appétit pour le risque aux courtiers afin que ces derniers puissent choisir la solution la plus viable pour leurs clients. Aujourd’hui, la décision de souscrire une cyberassurance ne vise pas seulement à assurer la protection des renseignements personnels. Par exemple, l’exposition au risque pour un fabricant est très différente de celle d’un cabinet d’avocats. Il est donc essentiel pour les assureurs de bien comprendre les risques propres à chacun de leurs clients pour espérer bâtir une relation reposant sur la confiance. De plus, il est important pour les courtiers de se garder à jour sur les tendances émergentes relatives aux cybermenaces parce que cela leur permettra de bien informer leurs clients sur les risques associés à ces menaces. D’ailleurs, plusieurs marchés exigent davantage de renseignements en matière de souscription. Pourquoi ? Parce qu’une meilleure compréhension des risques permet aux marchés de mieux les prévoir et d’être proactifs quand il s’agit de mettre en place des mesures de sécurité accrues qui sont plus que jamais nécessaires. Si une entreprise dispose de mesures de contrôle efficaces, il est probable qu’elle pourra souscrire une cyberassurance à de meilleures conditions. Ces meilleures mesures de contrôle sont avantageuses pour le client parce que leurs systèmes informatiques seront mieux protégés contre les risques. En raison d’un paysage numérique en évolution constante, il peut être difficile d’être au fait de toutes les tendances se profilant dans le marché, à plus forte raison si vous n’êtes pas un expert dans le domaine de la cybersécurité. Cela représentera certes un atout pour vous de trouver la perle rare qui vous aidera à naviguer dans les méandres du marché.

Selon vous, quels sont les vecteurs d’attaque et les atteintes les plus répandus en matière de cybersécurité ? (N’hésitez pas à donner des exemples.)

Nous constatons qu’il y a encore beaucoup de pertes résultant de systèmes de protection faibles ou compromis. Les noms d’utilisateur et les mots de passe restent exposés au vol de données et à l’hameçonnage. Quand ce type de renseignements est volé ou perdu, c’est chose facile pour les cybercriminels de pénétrer dans les systèmes informatiques d’une entreprise. Si un employé utilise le même mot de passe à des fins personnelles et professionnelles, et que ce mot de passe est compromis sur son ordinateur personnel, le pirate pourra ensuite profiter de l’occasion pour pénétrer dans le système informatique de son employeur. En choisissant des mots de passe difficiles à identifier, en ne les divulguant pas ou en les modifiant régulièrement, entre autres, ou en utilisant un dispositif d’authentification multi-facteurs et même de la biométrie, on réduira d’autant les risques de piratage. L’hameçonnage reste un moyen couramment employé par les pirates informatiques, probablement parce qu’il est efficace. Les cybercriminels ont d’ailleurs raffiné leurs méthodes d’hameçonnage. Ainsi, durant la pandémie, nous avons observé des méthodes d’hameçonnage où les criminels imitaient les organismes de santé ou prétendaient offrir du secours d’urgence. La formation continue d’employés, les tests d’hameçonnage et le recours au principe du privilège minimum pour accéder aux systèmes informatiques peuvent contribuer à réduire le risque d’hameçonnage.

Il est important de mentionner que toutes les menaces ne proviennent pas des êtres humains. Des applications et des serveurs non protégés ou des lacunes dans la mise à jour des logiciels de protection constituent également des vulnérabilités communes qui sont susceptibles de laisser la porte ouverte à des attaques. Les attaques de janvier 2021 contre les serveurs de Microsoft Exchange, qui ont eu un impact sur 200 000 serveurs, représentent un bon exemple de ces vulnérabilités. Même si des correctifs de sécurité ont été divulgués par Microsoft en mars 2021, ils n’ont pas eu pour effet de retirer rétroactivement toutes les portes dérobées qui ont pu être installées par les pirates. Les mises à jour logicielles et la mise en place de correctifs de sécurité aussitôt qu’ils sont disponibles peuvent contribuer à atténuer ces vulnérabilités.

Dans ce marché où les menaces se font croissantes, quelles sont les meilleures pratiques visant à atténuer les cyberrisques que les entreprises (grandes et petites) devraient mettre en œuvre ?

Pour les personnes et pour les entreprises, les cyberrisques n’ont pas cessé d’augmenter depuis l’arrivée d’Internet. Ce phénomène ira croissant parce que nous serons de plus en plus connectés à Internet. Dans ce contexte, il est logique de penser que les cybercriminels trouveront de nouvelles façons de tirer avantage de toute vulnérabilité. Les entreprises de toutes tailles sont vulnérables aux cyberattaques et elles devraient prendre les moyens appropriés pour chercher à atténuer ces risques. L’erreur humaine représente encore et toujours l’une des principales causes de la violation des données informatiques. C’est pourquoi la formation et la sensibilisation des employés sont si essentielles pour combattre ce risque. Les dispositifs d’authentification multi-facteurs sont devenus une mesure de sécurité standard dont toutes les entreprises devraient se doter parce que ces dispositifs renforcent la sécurité d’une entreprise en ajoutant une barrière additionnelle de protection que le cybercriminel devra franchir pour accéder au système informatique de cette entreprise. En outre, l’implantation d’un processus de gestion des correctifs de sécurité permet à votre logiciel de continuer à fonctionner convenablement et elle vous assure également de maintenir la sécurité de votre système. De plus, en vous gardant à jour sur les tendances émergentes en matière de correctifs de sécurité, vous pourrez plus aisément combattre les vulnérabilités logicielles. Les entreprises devraient également tenir à jour un système de gestion des documents en ne conservant que les documents qui sont requis par l’entreprise et en éliminant les anciennes données qui ne sont plus utiles. Si vous avez la responsabilité de gérer ces documents, il vous faudra les protéger. Si cela n’est pas possible, il vous sera alors utile d’avoir en main les copies de sauvegarde des données les plus importantes. Même si les stratégies de sauvegarde des données varieront d’une entreprise à l’autre, les données sauvegardées devraient être à jour, cryptées et stockées de manière sécuritaire hors site.

Comment la pandémie de COVID-19 a-t-elle affecté le paysage des cyberrisques ?

Depuis le début de la pandémie de COVID-19, on a remarqué que des cybercriminels ont profité du fait que des gens travaillaient à partir de chez eux. Plusieurs entreprises ne possédaient pas les systèmes requis ou la sécurité voulue pour accommoder une grande partie de leur personnel dans une optique de travail à distance. Par conséquent, on a observé une augmentation des attaques par hameçonnage et des programmes malveillants. En général, les équipements informatiques à la maison sont moins sécuritaires, ce qui rend les dispositifs d’authentification multi-facteurs, la formation des employés et les plans d’intervention à distance en cas d’incident encore plus nécessaires. La COVID-19 a permis aux cybercriminels de ratisser plus large en menant davantage de cyberattaques dans un contexte où les employés travaillent de plus en plus à la maison. Plusieurs entreprises ont constaté qu’elles étaient plus à risque et elles ont choisi d’investir dans les TI ainsi que dans des contrôles de cybersécurité additionnels pour les aider à mieux gérer le risque. Il est également important de se pencher sur l’avenir des modèles d’affaires dans un monde post-pandémique. On prévoit qu’un nombre croissant d’entreprises privilégiera un milieu de travail plus souple. Il pourrait s’agir d’un modèle reposant sur le travail à temps plein à partir de la maison ou d’un modèle hybride qui comprendrait le partage de bureau. La technologie, la sécurité ainsi que les programmes de formation et de sensibilisation des employés devront être mis à jour afin de s’assurer que les meilleures mesures en matière de cybersécurité seront en place pour l’organisation. De plus, il sera nécessaire d’actualiser le plan d’intervention en cas d’incident de l’organisation pour qu’il comprenne la manière dont l’entreprise exerce ses activités et le lieu où les employés travaillent.

Quels sont les cyberrisques à prévoir ?

La pénurie de personnel dans le domaine de la cybersécurité constitue une préoccupation majeure pour les entreprises et l’industrie de l’assurance. Pendant que le nombre des attaques augmente et que la demande pour des professionnels de la cybersécurité est en hausse, on a observé une diminution constante du personnel en matière de cybersécurité. Selon un article du réseau CNN, il y a environ 3,12 millions de postes à combler pour des professionnels de la cybersécurité dans le monde. Cette problématique a pour effet de rendre les entreprises encore plus vulnérables aux risques d’atteintes à la sécurité des données. La cybersécurité représente donc une préoccupation planétaire non seulement parce que les pirates peuvent résider n’importe où, mais également parce qu’ils peuvent utiliser les systèmes de tierces entreprises pour porter atteinte à vos propres systèmes en utilisant tous les moyens à leur disposition, notamment les attaques par déni de service distribué, les attaques par interception et les techniques de minage clandestin. La cybersécurité doit se présenter comme un effort de groupe pour combattre les cybercriminels. De plus, alors que la technologie de cinquième génération (5G, en anglais) continue de se développer (en fait, elle est plus rapide et elle a la capacité de prendre en charge une multitude de dispositifs connectés simultanément encore plus efficacement que les réseaux traditionnels), cette avancée accroîtra les risques en matière de cybersécurité parce que beaucoup plus de logiciels seront utilisés sur le réseau, ce qui augmentera proportionnellement les risques d’attaques. La rapidité accrue de la technologie de cinquième génération, même si elle sera bénéfique pour les utilisateurs, pourrait se révéler un défi pour les professionnels de la cybersécurité. En raison de sa capacité de prendre en charge un plus grand nombre de dispositifs, cette technologie de pointe permettra d’accroître les équipements Internet des objets (IDO). Cependant, ce ne sont pas tous les équipements IDO qui sont conçus avec un souci de sécurité. Si des milliards d’équipements IDO étaient connectés simultanément — avec des niveaux de sécurité variables — on pourrait alors avoir affaire à des milliards d’atteintes potentielles !

 

 

Un message du chef de l’exploitation de Trisura

Un message du chef de l’exploitation de Trisura

Bonjour mes amis,

Man in blazer standing in front of marble wall.

À l’aube de la clôture du premier trimestre 2021, je tiens à prendre un moment pour vous remercier de votre soutien continu et vous réitérer l’importance de notre partenariat. La dernière année a été remplie de défis inédits et, malgré cette situation sans précédent, nous espérons avoir réussi à vous permettre de bien naviguer dans ces eaux troubles.

Chez Trisura, nous sommes fiers de pouvoir aider nos partenaires courtiers à connaître du succès. En 2020, nous avons réalisé un sondage exhaustif auprès de nos courtiers afin de leur demander de nous fournir un aperçu de la manière dont nous pourrions améliorer votre expérience auprès de notre compagnie. Nous vous remercions de tous vos commentaires et nous avons entrepris de les revoir. Je tiens à vous rappeler le rôle important joué par les courtiers et les responsabilités cruciales qu’ils ont au sein de notre économie. C’est pourquoi Trisura se réjouit d’appuyer vos efforts, de même que ceux de l’Association des courtiers d’assurances du Canada (ACAC). Cela dit, Trisura est heureuse de réitérer son soutien comme partenaire à part entière du Programme de promotion du courtier de l’ACAC.

Restons optimistes. Je suis convaincu que nous pourrons nous revoir en personne plus tard cette année. D’ici là, soyez assurés que nous ferons tout en notre pouvoir pour vous fournir une qualité de service qui se situera toujours un échelon plus haut.

 

Richard Grant
Chef de l’exploitation, Compagnie d’assurance Trisura Garantie

Et le Prix d’excellence en matière de responsabilité professionnelle est décerné à …

Et le Prix d’excellence en matière de responsabilité professionnelle est décerné à …

Par Sara Ametrano

 

Au cours des derniers mois, Insurance Business Canada s’est consacré à choisir les assureurs chefs de file au Canada dans le domaine de l’assurance responsabilité professionnelle. Trisura se réjouit d’annoncer que notre compagnie fait partie de la liste des lauréats !

« Nous sommes ravis d’avoir été reconnus à titre d’assureur cinq étoiles en matière de responsabilité professionnelle », souligne Marilyn vanGansewinkel, première vice-présidente chez Trisura, Solutions d’assurances spécialisées. Trisura s’emploie toujours à viser un échelon plus haut en créant des expériences positives pour ses partenaires courtiers et en leur fournissant des solutions sur mesure qui répondent à leurs exigences particulières. »

Pour choisir les gagnants, le magazine a réalisé une recherche exhaustive, des sondages ainsi que des entrevues de personne à personne avec des courtiers pour identifier les assureurs chefs de file en matière de responsabilité professionnelle au pays. Des informations furent recueillies pour un vaste éventail de catégories. Trisura s’est nettement distinguée en étant l’une des deux seules organisations à avoir été choisie comme assureur cinq étoiles dans toutes les catégories identifiées, soit :

  • Erreurs et omissions (secteur privé)
  • Responsabilité liée aux pratiques d’emploi (secteur privé)
  • Responsabilité des administrateurs et des dirigeants (secteur privé)
  • Erreurs et omissions (avocats)
  • Erreurs et omissions (concepteurs)
  • Erreurs et omissions (comptables)
  • Erreurs et omissions (médecins)
  • Erreurs et omissions (construction)
  • Erreurs et omissions (non lucratif)
  • Erreurs et omissions (secteur public)
  • Responsabilité liée aux pratiques d’emploi (secteur public)
  • Responsabilité des administrateurs et des dirigeants (secteur public)
  • Réclamations
  • Souscription

Qu’est-ce que l’assurance responsabilité professionnelle ?

L’assurance responsabilité professionnelle protège les organisations et les personnes contre les réclamations découlant d’actes négligents présumés dans le cadre de la prestation de services professionnels. Si un client est d’avis qu’une organisation a contrevenu à ses obligations professionnelles, ce qui lui a occasionné une perte financière, ce client pourrait alors exiger une compensation financière.

L’approche de Trisura:

Qu’il s’agisse d’assurance responsabilité professionnelle ou de tout autre produit offert par Trisura, nous sommes en mesure d’adapter la couverture aux exigences particulières de chaque catégorie de professionnels que nous assurons. L’approche ciblée et personnalisée de Trisura s’applique à toutes les formes de réclamations, et notre compagnie fournit l’expertise et les solutions voulues afin que nos clients (organisations et particuliers) n’aient aucun souci à se faire.

À propos des Prix d’excellence cinq étoiles en matière de responsabilité professionnelle d’Insurance Business Canada:

Durant une période de 15 semaines, Insurance Business Canada a réalisé des recherches, des sondages et des entrevues auprès de milliers de courtiers pour identifier les meilleurs assureurs au pays. Les assureurs ont été notés en fonction de divers critères, notamment les suivants : relations d’affaires entre les parties; capacité à traiter les réclamations; expertise en matière de souscription; et gamme de produits offerts. Pour consulter la liste complète des lauréats et pour plus de renseignements sur ces prix, cliquez ici (en anglais seulement).

Pour en savoir davantage sur l’assurance responsabilité professionnelle de Trisura, cliquez ici. Vous pouvez également parler à l’un de nos experts dès aujourd’hui ! Contactez-nous.

Répandre la bonne humeur

Répandre la bonne humeur

Répandre la bonne humeur

En cette période de fin d’année, j’ai récemment pris le temps de faire une pause et de regarder mon dessin animé favori de Noël, Comment le Grinch a volé Noël, l’adaptation traditionnelle de 1966 tirée du livre pour enfants du Dr Seuss. À ne pas confondre avec les réinterprétations récentes du cinéma hollywoodien. Je parle ici de l’authentique film original. Je devais avoir environ 3 ans quand ce film est sorti pour la première fois. Même si à prime abord, le personnage du Grinch me terrifiait, j’ai toujours vivement apprécié le dessin animé et le message sous-jacent qui parle de l’importance de l’esprit de Noël.

Qu’importe vos origines, votre foi ou que vous fêtiez ou non Noël ou que vous célébriez toute autre tradition. Le thème principal du Grinch est le même que celui du classique de 1843 de Charles Dickens, Un chant de Noël. Il s’agit de faire preuve de bonne volonté envers autrui : se montrer généreux, gentil, charitable, indulgent, répandre la joie et la bonne humeur, soit tout autant de vertus sur lesquelles nous avons une emprise. Quelle que soit la confession à laquelle vous appartenez, ce moment de l’année constitue une occasion privilégiée pour se rappeler l’importance de ces vertus qui représentent également les assises sur lesquelles nous pouvons ériger une communauté bienveillante et accueillante. Chacune et chacun d’entre nous peut faire sa part.

Prenez votre temps et soyez reconnaissant

Ce message devrait être d’une importance primordiale pour tous et chacun d’entre nous. Malheureusement, je le sens s’appauvrir progressivement. Cela est peut-être attribuable au stress croissant dans nos vies. Cependant, je constate que nous sommes bien davantage centrés sur nous-mêmes qu’ouverts à notre communauté. En somme, je crois que nous devenons peu à peu des Grinch en puissance.

Pourtant, cette période de l’année nous invite à prendre notre temps, à remettre en question notre situation et à être reconnaissant pour ce que nous avons et ce que nous sommes.

La politique anti-Grinch

Tout cela me fait penser à tous les efforts déployés chez Trisura depuis que nous avons mis la compagnie sur pied il y a 13 ans. Nous avons travaillé ferme pour bâtir une culture d’entraide reposant sur les employés, car sans vous, il n’y aurait pas de compagnie qui tienne. Notre noble raison d’être est de fournir des expériences exceptionnelles à toutes nos parties prenantes qui sont fondées sur l’élaboration de relations d’affaires profondes et à long terme qui sont mutuellement bénéfiques. Nous avons soutenu ce qui nous apparaissent être des valeurs fondamentales et des principes directeurs significatifs afin de nous assurer que nous restions sur la bonne voie. Vous êtes importants à nos yeux et nos relations d’affaires réciproques le sont tout autant. Nous sommes à votre écoute et nous travaillons afin de trouver les solutions qui répondent à vos besoins. Votre réussite nous importe et nous tenons à vous aider pour que vous puissiez l’obtenir. Nous avons une politique d’embauche qui fait en sorte  qu’aucun imbécile n’est admis chez nous (c’est notre politique anti-Grinch). Nous nous employons aussi à faire une contribution active et positive dans notre communauté.

Un grand merci. Nous nous estimons privilégiés et reconnaissants que vous ayez adhéré à notre approche. Votre soutien est vivement apprécié. Je me sens comme le Grinch repentant quand il s’est mis à découper le rôti de bœuf !

Au nom de toute la famille de Trisura, je vous souhaite ainsi qu’à vos proches une très heureuse période des Fêtes et une formidable année 2019.

 

 

 

 

Les dispositions relatives à la déclaration de la violation des données au Canada en vigueur

Les dispositions relatives à la déclaration de la violation des données au Canada en vigueur

 

Présenté en partenariat avec Cox & Palmer

Article rédigé par :
Matt Saunders

La violation des données à l’échelle locale et mondiale retient encore l’attention des médias. Que ce soit la divulgation par Facebook des profils de millions de ses utilisateurs (sans leur consentement) ou de la récente violation des données du site intranet du gouvernement de la Nouvelle-Écosse, on observe une sensibilisation croissante relative au droit à la vie privée, à la manière dont les gens partagent leurs données et à la façon dont les renseignements personnels sont protégés.

L’intérêt des Canadiens pour toutes ces questions ira croissant à la suite de l’entrée en vigueur, le 1er novembre 2018, des nouvelles dispositions obligatoires régissant la déclaration des atteintes aux mesures de sécurité en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques LPRPDE »). Des informations supplémentaires sur le processus de déclaration sont contenues dans le nouveau Règlement concernant les atteintes aux mesures de sécurité (le « Règlement ») qui a été publié sous sa forme finale le 18 avril 2018.

Le cadre relatif aux nouvelles dispositions régissant la déclaration des atteintes aux mesures de sécurité énumère les mesures qu’une organisation est tenue de prendre quand elle subit « des atteintes aux mesures de sécurité » (ou une violation de données attribuable au défaut de mettre en place des mesures de sécurité) :

  1. Déterminer si l’atteinte présente un « risque réel de préjudice grave » à l’endroit de toute personne dont les renseignements personnels étaient visés par l’atteinte;
  2. Si la réponse à la question 1 est « oui », aviser, le plus tôt possible, les personnes visées et signaler cette atteinte au commissaire à la protection de la vie privée du Canada (le « commissaire »);
  3. Aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice causé aux personnes visées; et
  4. Tenir un dossier de toute atteinte à la protection des données dont l’organisation est informée et le fournir au commissaire à sa demande.

« RISQUE RÉEL DE PRÉJUDICE GRAVE »

En vertu du nouveau cadre établi par le Règlement, l’expression « préjudice grave » est définie largement pour inclure la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte d’emploi, la perte d’occasions commerciales ou professionnelles, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou leur perte.

Quand il s’agit d’établir si une atteinte aux mesures de sécurité présente un risque réel de préjudice grave à l’endroit des personnes visées, l’organisation devrait notamment considérer les éléments suivants : le degré de sensibilité des renseignements personnels touchés par la violation des données, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l’être et tout autre élément qui peut être prévu par règlement.

DÉCLARATION AU COMMISSAIRE

Une fois qu’elle a déterminé qu’une atteinte aux mesures de sécurité est survenue et qu’elle présente un risque réel de préjudice grave, une organisation doit faire rapport au commissaire sur cette violation des données le plus tôt possible. Le Règlement exige que tout rapport au commissaire soit fait par écrit et envoyé par tout moyen de communication sécuritaire. Cette déclaration doit comprendre les éléments suivants :

  • une description des circonstances de l’atteinte et, si elle est connue, la cause de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si aucune de ces périodes n’est connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • le nombre de personnes visées par l’atteinte ou, s’il n’est pas connu, une approximation de ce nombre;
  • les mesures que l’organisation a prises afin de réduire le risque de préjudice à l’endroit des personnes visées qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice;
  • les mesures que l’organisation a prises ou qu’elle entend prendre afin d’aviser les personnes visées de toute atteinte; et
  • le nom et les coordonnées d’une personne qui peut répondre au nom de l’organisation aux questions du commissaire au sujet de l’atteinte.

De plus, une organisation peut transmettre au commissaire tout nouveau renseignement mentionné ci-dessus dont elle prend connaissance après avoir fait la déclaration.

AVIS AUX PERSONNES VISÉES

Les organisations doivent également fournir un avis à toute personne visée par une atteinte, à moins que la loi ne l’interdise. Ces avis doivent contenir les renseignements suivants :

  • une description des circonstances de l’atteinte;
  • la date ou la période où il y a eu atteinte ou, si aucune de ces périodes n’est connue, une approximation de la période;
  • la nature des renseignements personnels visés par l’atteinte, pour autant qu’elle soit connue;
  • une description des mesures que l’organisation a prises afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte;
  • une description des mesures que peut prendre toute personne visée afin de réduire le risque de préjudice qui pourrait résulter de l’atteinte ou afin d’atténuer un tel préjudice; et
  • les coordonnées permettant à la personne visée de se renseigner davantage au sujet de l’atteinte.

Les organisations doivent informer directement toute personne visée ayant subi une atteinte en personne, par téléphone, par courrier, par courriel ou par tout autre moyen de communication qu’une personne raisonnable estimerait acceptable dans les circonstances.

Cependant, une organisation peut fournir indirectement un avis à toute personne visée dans l’une ou l’autre des circonstances suivantes : (i) le fait de donner l’avis directement est susceptible de causer un préjudice accru à la personne visée; (ii) le fait de donner l’avis directement est susceptible de représenter une difficulté excessive pour l’organisation; ou (iii) l’organisation n’a pas les coordonnées de la personne visée. L’avis est donné indirectement par une communication publique ou par toute mesure similaire dont on peut raisonnablement s’attendre à ce qu’elle permette de joindre la personne visée.

AVIS À D’AUTRES ORGANISATIONS

Si une organisation fournit un avis à toute personne visée par une atteinte, elle doit également faire de même pour toute autre organisation, institution gouvernementale ou subdivision d’une telle institution, si elle croit que l’autre organisation, l’institution ou la subdivision peut être en mesure de réduire le risque de préjudice pouvant résulter de l’atteinte ou d’atténuer ce préjudice.

TENUE D’UN REGISTRE

Une organisation doit conserver le registre de toute atteinte aux mesures de sécurité qui concerne des renseignements personnels même si l’organisation a déterminé que ces renseignements ne posent aucun risque significatif de préjudice à une personne. Ce registre doit être conservé pendant vingt-quatre mois après la date à laquelle l’organisation a conclu qu’il y a eu atteinte. Le registre doit également contenir tout renseignement permettant au commissaire de vérifier la conformité avec les dispositions qui exigent la production de rapports au commissaire et l’avis fourni à toute personne visée.

AMENDES

Les organisations doivent également être conscientes que toute omission volontaire de faire rapport au commissaire ou d’aviser toute personne visée d’une atteinte qui pose un risque réel de préjudice grave, ou d’omettre volontairement de tenir un registre de toutes les atteintes peut entraîner des amendes allant jusqu’à 100 000 $

 

Légalisation du cannabis : Guide à l’intention des employeurs

Légalisation du cannabis : Guide à l’intention des employeurs

 

En partenariat avec Davies

 

 

 

Source: https://www.dwpv.com/fr/Insights#/article/Publications/2018/Legalization-of-Cannabis-A-Guide-for-Employers

Auteurs : Louise PatryBrian KujavskyJessica BullockJoseph-Anaël Lemieux, Rachael Lee et Brent Winston

 

Étant donné que la légalisation du cannabis à usage récréatif est entrée en vigueur le 17 octobre 2018, les employeurs canadiens doivent comprendre les droits dont ils disposent et les responsabilités qui leur incombent à l’égard de leurs employés.

 

Politique relative à la consommation de drogues et d’autres substances

 

Nous invitons les employeurs à adopter des politiques relatives à la consommation de drogues et d’autres substances ou à modifier leurs politiques actuelles afin que celles-ci tiennent compte de la légalisation du cannabis.

D’abord, les politiques relatives à la consommation de drogues des employeurs devraient clairement préciser qu’elles s’appliquent à la consommation de cannabis, même si celle-ci a été légalisée.

Ensuite, peu importe les règles précises qu’un employeur souhaite adopter, il importe d’adopter des politiques claires en ce qui concerne les comportements qui ne seront pas tolérés et les conséquences pouvant découler de leur non-respect. Ces politiques devraient également être appliquées à tous les employés de façon constante et uniforme (sous réserve, toutefois, du devoir d’accommodement dont il est question ci-après).

La mise en œuvre de politiques relatives à la consommation de cannabis devrait être assortie d’une formation portant sur les divers enjeux entourant la consommation de cannabis dans le milieu de travail, particulièrement pour les cadres qui auront à appliquer ces politiques.

 

Dans quels cas est-il permis de procéder au dépistage du cannabis?

 

Le fait d’exiger d’un employé qu’il se soumette à un test de dépistage des drogues est considéré comme une violation de son droit à la vie privée. Un tel dépistage n’est permis que dans des circonstances précises. En conséquence, le dépistage aléatoire unilatéral des employés ne se justifie que dans les secteurs ou les milieux de travail mettant en jeu la sécurité ou là où un problème généralisé d’abus d’alcool ou de drogues est démontré, et ne peut viser que des employés exerçant des fonctions mettant la sécurité en jeu.

En outre, un test de dépistage des drogues ne peut être exigé par l’employeur dans un milieu de travail mettant en jeu la sécurité, ni à l’égard d’un employé ayant un poste critique sur le plan de la sécurité, que dans les situations suivantes :

  • Il a des motifs raisonnables de croire que l’employé a les facultés affaiblies alors qu’il est au travail.
  • L’employé a été directement impliqué dans un accident ou un incident grave en milieu de travail.
  • L’employé revient au travail après une thérapie pour abus d’alcool ou de drogues.

Les tests de dépistage actuels ne permettent pas de déterminer avec exactitude la mesure dans laquelle les facultés sont affaiblies suivant la consommation de cannabis. Bien que les tests de dépistage de cannabis peuvent détecter la présence de THC dans le sang, ils n’indiquent pas nécessairement que l’employé a ou a eu les facultés affaiblies en raison de la consommation de cannabis. De plus, puisque le THC demeure présent dans le sang plusieurs jours suivant la consommation, ces tests ne permettent pas de démontrer avec exactitude le moment où l’employé a eu les facultés affaiblies. Nous conseillons fortement aux employeurs d’obtenir des conseils juridiques avant de faire passer des tests de dépistage liés à la consommation de cannabis à leurs employés.

 

Devoir d’accommodement de l’employeur

 

Les employeurs sont tenus par la loi d’accommoder un employé présentant un handicap si un tel accommodement ne constitue pas une contrainte excessive. Bien que les employeurs puissent interdire la consommation de cannabis à usage récréatif dans le milieu de travail, ils doivent accommoder les employés qui se font prescrire du cannabis à des fins médicales ou qui souffrent d’une dépendance au cannabis, dans la mesure où leur handicap n’a pas d’incidence sur leur capacité à remplir leurs fonctions et sur la sécurité du milieu de travail.

La politique d’un employeur pourrait prévoir que les employés qui doivent consommer du cannabis à des fins médicales sont tenus d’en aviser leur employeur. La politique pourrait également prévoir que les employés qui souffrent d’une dépendance au cannabis sont invités à en informer leur employeur en toute confidentialité de façon à permettre aux deux parties de trouver une solution en vue d’accommoder l’employé.

Nous conseillons aux employeurs d’obtenir des conseils juridiques en ce qui concerne les mesures appropriées devant être adoptées à l’égard des employés qui consomment du cannabis à des fins médicales ou qui souffrent d’une dépendance au cannabis.

 

Québec : Projet de loi 157 visant à encadrer la consommation de cannabis dans les milieux de travail

 

Le projet de loi 157 du Québec, dans le cadre duquel a été édictée la Loi encadrant le cannabis (la « Loi »), entre autres, énonce des règles concernant la consommation et la possession de cannabis dans les milieux de travail. Aux termes de la Loi, les employeurs ont le choix d’encadrer, y compris d’interdire complètement, toute forme d’usage du cannabis par les membres de leur personnel sur les lieux de travail, peu importe la nature des activités qu’ils exercent. La Loi interdit également de fumer du cannabis dans un milieu de travail fermé. En outre, la Loi interdit précisément à quiconque doit, à l’occasion de sa prestation de travail ou de services, assurer la garde ou autrement prendre soin d’un mineur, d’un aîné ou de toute personne en situation de vulnérabilité, de faire usage de cannabis durant les heures où elle effectue cette prestation. La portée exacte de cette interdiction demeure nébuleuse, mais elle pourrait bien s’appliquer aux employés des écoles, des hôpitaux et des pharmacies et leur interdire de consommer du cannabis pendant leurs heures de travail, ce qui comprend vraisemblablement les pauses et/ou la période du dîner.

La Loi modifie également la Loi sur la santé et la sécurité du travail (la « LSST ») par l’ajout de l’interdiction pour les employés auxquels la LSST s’applique d’exécuter leur travail lorsque leur état représente un risque pour leur santé, leur sécurité ou leur intégrité physique, ou encore celles des autres personnes qui se trouvent sur les lieux de travail ou à proximité de ces lieux, en raison de leurs facultés affaiblies par le cannabis. En outre, la LSST crée une obligation correspondante pour l’employeur; ce dernier devant s’assurer que ses employés n’exécutent pas leur travail lorsque leur état représente un tel risque pour la santé, la sécurité ou l’intégrité physique. Il est à noter que, sur un chantier de construction, le fait d’avoir les facultés affaiblies par le cannabis est réputé représenter un risque pour la santé, la sécurité ou l’intégrité physique.

 

Ontario : Projet de loi 36 et la Loi sur la santé et la sécurité au travail

 

En Ontario, suivant son adoption le 17 octobre 2018, le projet de loi 36 a modifié la Loi de 2017 sur le cannabis de l’Ontario, qui deviendra la Loi de 2017 sur le contrôle du cannabis. Le projet de loi 36 prévoit qu’il est interdit de fumer ou de tenir du cannabis allumé dans un lieu de travail clos.

La Loi sur la santé et la sécurité au travail (Ontario) oblige les employeurs à assurer la sécurité et la protection de leurs employés en milieu de travail, ce qui signifie que la légalisation du cannabis n’a aucune incidence sur le droit de l’employeur d’exiger que ses employés n’aient pas les facultés affaiblies sur leurs lieux de travail.

Il importe de noter que les autres provinces et territoires du Canada peuvent adopter leurs propres règles concernant la consommation de cannabis en milieu de travail et que celles-ci peuvent différer de celles adoptées par le Québec et l’Ontario.