Il ne fait plus aucun doute: la cybersécurité prend désormais une place importante dans la vie de tous, et ce, tant d’un point de vue professionnel et personnel.
Ainsi, qu’il soit question d’une personne physique ou d’une entreprise, il est crucial de prendre les mesures adéquates pour prévenir les risques de cyberattaque.
C’est dans cette optique que le gouvernement a mis en place un cadre juridique complet permettant de sanctionner toutes les personnes impliquées dans des activités de cybercriminalité.
Toutefois, bien que ces lois réprimandent les fautifs, une chose reste en suspens: comment obtenir une juste réparation pour les préjudice subi. Après tout, lorsque le gouvernement impose des sanctions financières, cet argent ne vous revient pas.
Cependant, nous savons également que les victimes de cyberattaques vont avoir de nombreuses conséquences qui peuvent avoir un impact financier important. Ainsi, il est important de savoir si vous pouvez intenter un recours en votre nom personnel.
Soumissions Avocat vous permet de savoir comment intenter un recours en cas de cyberattaque!
Cybercriminalité – Où en est le cadre juridique actuel?
Évidemment, lorsque vous êtes victime d’une cyberattaque, cela implique que l’auteur de l’attaque a perpétré un crime. Or, peu importe si le crime est hors ligne ou non, il sera possible de sanctionner les agissements.
Plus particulièrement, le Code criminel possède de nombreuses dispositions selon lesquelles plusieurs infractions diverses seront directement liées à la cybercriminalité. Cela est notamment le cas de la fraude, mais également:
- De l’utilisation interdite d’un ordinateur,
- De l’exploitation de personnes mineures, et
- Du vol de service de télécommunication.
Dans tous les cas, l’objectif du cadre législatif est de garantir un certain niveau de protection de la vie privée.
Évidemment, pour ce faire, il est nécessaire d’adopter des mesures de sécurité qui s’appliquent convenablement aux nouvelles technologies, mais également aux organisations qui collectent, traitent et utilisent les données personnelles de leurs utilisateurs.
Plus récemment, le gouvernement canadien a ajouté de nouvelles garanties en incluant l’infraction directement liée à l’intimidation en ligne, soit la cyberintimidation. Cependant, le Code criminel n’est pas la seule loi qui a un impact important sur les cyberattaques.
En effet, la Loi sur la concurrence vient également imposer des obligations aux entreprises. Notamment, ces dernières ne peuvent pas donner d’indications fausses ou trompeuses, et ce, même lors de communications électroniques.
Bien qu’il ne soit pas question de cyberattaque à proprement parler, plusieurs lois viennent encadrer les pourriels. Ceux-ci sont souvent utilisés par des pirates informatiques afin d’installer des logiciels malveillants (communément appelés des malwares) dans les ordinateurs des récipiendaires.
De plus, lorsqu’il est question de cybersécurité, il est important de ne pas se limiter aux frontières terrestres.
Ainsi, afin de pouvoir contrer les risques de cyberattaque, le Canada participe activement au niveau international. Par exemple, grâce à la stratégie de cybersécurité du Canada, le gouvernement a l’objectif principal de renforcer la protection des entreprises, mais également de tous les individus.
Le saviez-vous? Même si le Canada n’est pas un État membre du Conseil de l’Europe, nous avons ratifié la Convention sur la cybercriminalité. Cela permet d’augmenter les standards de sécurité.
Cette nouvelle stratégie encourage les partenariats avec d’autres pays ou des organisations internationales, telles que l’Organisation des États américains, l’Office des Nations Unies contre la drogue et le crime et le G7.
Quelles sont les conséquences pour les auteurs d’une cyberattaque?
Évidemment, dans le cas d’une cyberattaque, il peut être difficile, voire impossible de trouver l’auteur. Ainsi, plusieurs organismes s’entraident afin de pouvoir trouver la personne responsable, particulièrement le ministre de la Justice et la Gendarmerie royale du Canada.
Ensemble, elles forment le Centre antifraude du Canada qui a comme mandat de lutter contre les fraudes en ligne. Donc, dans l’éventualité où une personne est reconnue coupables, elle fera face à de lourdes conséquences:
- Des amendes, ou
- Une peine d’emprisonnement.
Ainsi, à titre d’exemple, si une personne envoie des logiciels malveillants par courriel, elle pourrait faire face à une amende maximale de 1 000 000 $. Toutefois, si l’auteur est une entreprise, elle s’expose alors à une amende de 10 000 000 $.
Cependant, si la contravention porte sur les dispositions de la Loi sur la concurrence, les amendes sont différentes:
Auteur de l’infraction | Amende maximale à payer |
Personne physique | 1 000 000 $ |
Personne morale | 15 000 000 $ |
En réalité, pour une personne victime d’une cyberattaque, il peut être particulièrement difficile d’intenter un recours contre l’auteur de l’attaque. En effet, pour exercer un recours civil, il faudra démontrer les trois éléments suivants:
- La faute,
- Le préjudice, et
- Le lien de causalité.
Toutefois, lorsque vous démontrez la faute, il faut que vous puissiez prouver qui est la personne responsable. Dans le cadre d’une cyberattaque, il peut être impossible de savoir qui a commis la faute. Même si vous trouvez l’identité de la personne, cette personne peut se trouver à l’autre bout du monde.
Intenter un recours dès maintenant grâce à un avocat partenaire de Soumissions Avocat!
En cas de cyberattaque, quelles sont les obligations des entreprises?
Bien qu’il soit possible que des cyberattaques visent particulièrement des individus, il est également possible, pour un pirate informatique souhaitant obtenir plus d’informations personnelles, d’attaquer une entreprise qui détient les données de ses utilisateurs.
Puisque le risque est plus important, le gouvernement provincial a adopté la Loi 24, soit la Loi sur la protection des renseignements personnels dans le secteur privé. Ainsi, les entreprises ont désormais l’obligation d’informer la Commission d’accès à l’information lors d’une cyberattaques.
De plus, elles doivent aussi communiquer avec les personnes visées par l’attaque en question. Dans le cas d’un incident relatif à la confidentialité des utilisateurs, la compagnie devra communiquer avec les personnes indiquées dès que celles-ci ont un risque sérieux de subir un préjudice.
Qu’est-ce qu’un risque sérieux? Cette notion n’est pas clairement définie dans la Loi 25. Cependant, il est possible de prendre plusieurs critères en compte lorsqu’on évalue le risque de préjudice:
- Les conséquences que la cyberattaque peut avoir sur les utilisateurs,
- La sensibilités des données visées, et
- Les probabilités de préjudice pour les utilisateurs.
En parallèle de la Loi 25, il faut également prendre en considération le Règlement sur les incidents de confidentialité. Celui-ci a comme principal objectif d’encadrer le fond et la forme des avis envoyés à la Commission d’accès à l’information.
En effet, les entreprises ont l’obligation de remettre un avis qui respecte tous les critères indiqués dans le règlement. Cela permet d’être certain que l’information transmise est complète. Donc, en cas de cyberattaque, les entreprises doivent transmettre les informations suivantes:
- Les informations relatives à l’entreprise,
- Les coordonnées de la personne-ressource dans l’entreprise,
- La date de l’incident,
- Les circonstances de l’incident
- Les données personnelles visées, et
- Les mesures prises par l’entreprise.
Dans certains cas, au lieu de préparer un avis qui sera directement transmis aux personnes visées, le règlement peut préférer l’envoi d’un avis public. Par exemple, cela sera nécessaire lorsqu’il n’est pas possible de communiquer directement avec les victimes.
Finalement, les entreprises doivent également mettre en place une procédure afin de documenter et traiter les cyberattaques qui portent sur les informations personnelles des utilisateurs et qui causent un préjudice sérieux.
Remplissez le formulaire en ligne afin de trouver un avocat pouvant répondre à toutes vos questions concernant vos obligations en matière de protection des renseignements personnels!
Quelles sont les conséquences pour les entreprises en défaut?
Ainsi, dans l’éventualité où une entreprise ne respecte pas les obligations de la Loi 25, celle-ci fera face à de lourdes sanctions pénales. Cela est d’autant plus vrai lorsque la violation concerne la protection des renseignements personnels.
Qui impose les sanctions pénales? La Commission d’accès à l’information pourra, lorsqu’elle démontre l’infraction, imposer des sanctions pénales dans l’une où l’autre des situations suivantes:
- Lorsque l’entreprise ne met pas en place les bonnes mesures de sécurité,
- Lorsqu’il a une collecte illégale des données personnelles des utilisateurs, ou
- Lorsque l’entreprise ne signale pas les incidents.
À l’instar des lois fédérales, la Loi 25 impose des sanctions qui varient selon si l’auteur de l’infraction est une personne morale ou une personne physique:
Auteur de l’infraction | Amende minimum | Amende maximale |
Personne morale | 15 000 $ | 25 000 000 $ |
Personne physique | 5 000 $ | 100 000 $ |
Évidemment, si le manquement à la loi est grave et entraîne des dommages importants, il est fort probable qu’une poursuite pénale soit une meilleure alternative. Ainsi, lorsque l’entreprise ne signale pas un incident, le ministère de la Justice pourrait entamer des poursuites pénales.
Cependant, dans le cadre d’une poursuite pénale, il est important d’agir dans les 5 ans suivants la perpétration de l’infraction. Si l’entreprise souhaite éviter les sanctions financières, elle devrait prendre l’initiative d’adopter des mesures proactives.
Victime de cyberattaque? Intenter un recours grâce à un avocat en cybercriminalité!
Si vous êtes victime de cyberattaque, il existe plusieurs lois qui vont sanctionner l’auteur d’une telle infraction. Toutefois, celles-ci ne vous permettent pas nécessairement de réparer le préjudice que vous aurez subi.
Heureusement, les poursuites pénales par le gouvernement ne vous empêchent pas de demander des dommages-intérêts pour le préjudice que vous aurez personnellement subi. Néanmoins, en réalité, cela peut s’avérer plus difficile à dire qu’à faire.
En effet, au niveau du préjudice, vous devez être en mesure de démontrer toutes les conséquences directes et immédiates de la faute. De plus vous devez prouver une faute concrète.
Pour mettre toutes les chances de votre côté, il est recommandé de faire appel à un avocat spécialisé en cybercriminalité et en protection de données personnelles. Celui-ci sera en mesure de prouver tous les éléments vous permettant d’obtenir une indemnisation.
N’attendez plus et remplissez dès maintenant le formulaire en ligne de Soumissions Avocat pour trouver le professionnel qu’il vous faut!
