Cybersécurité et devoir de prudence et de diligence des administrateurs.

Selon Pensez cybersécurité(1) , « En 2024, la question n’est pas de savoir si les cyberattaques se produiront, mais bien quand elles se produiront… »

Cet article aborde le devoir de prudence et de diligence des administrateurs, face aux risques de cybersécurité, résilience et gestion de crise.

Sauf exception (convention unanime d’actionnaires(2) ), les administrateurs sont responsables des actes de gestion de l’entreprise.

Face à l’accroissement exponentiel des risques de cybersécurité, quelles sont leurs obligations pour prévenir ces attaques et préparer l’entreprise à y réagir ?

I.  Que signifie l’obligation de prudence et de diligence de l’administrateur d’une entreprise ? 

L’obligation des administrateurs d’agir avec prudence et diligence dans la gestion d’une entreprise est encadrée par plusieurs textes(3). L’article 322 du Code civil du Québec :

« L’administrateur doit agir avec prudence et diligence. Il doit aussi agir avec honnêteté et loyauté dans l’intérêt de la personne morale. »

Cette obligation de portée générale est aussi reprise par la Loi sur les sociétés par action article 119 et par l’article 122 (1) de la Loi Canadienne sur les sociétés par action. 

L’obligation de prudence et de diligence exige des administrateurs et dirigeants de gérer l’entreprise en « bon père de famille », de s’informer adéquatement ou de recourir à des experts pour les éclairer sur des sujets complexes.

La jurisprudence interprète cette obligation comme une obligation de moyen et non comme une obligation de résultats. En effet, il ne s’agit pas de savoir si les administrateurs ont pris la meilleure décision mais si la décision prise revêt les caractéristiques d’une décision de gestion raisonnable compte tenu des circonstances.

Dans le contexte des enjeux de cybersécurité et de résilience, l’obligation de prudence et de diligence peut être analysée sous deux angles :

• En regard des obligations des administrateurs vis-à-vis de l’entreprise,

• En regard du régime général de la responsabilité civile.

II.  Obligation de prudence et de diligence des administrateurs et dirigeants en cybersécurité et résilience de l’entreprise

Les entreprises ont une grande dépendance envers les technologies de l’information. Elles sont de plus en plus exposées à des risques dont la réalisation peut avoir de graves conséquences sur la survie de l’entreprise(4).

Il ne s’agit pas de dire ici que les dirigeants et administrateurs doivent développer des compétences spécifiques en matière de cybersécurité.

Il est toutefois de leur devoir de s’assurer que l’entreprise a mis en œuvre les mesures de sécurité raisonnables(5)  afin de prévenir et réagir aux cyberattaques visant à paralyser ses activités économiques. 

Faute d’y voir, notre opinion est à l’effet que sous l’angle spécifique du devoir de prudence et de diligence, les administrateurs font défaut d’agir dans les meilleurs intérêts de l’entreprise.

III.  Obligation de prudence et de diligence sous l’angle de la responsabilité civile de l’entreprise

Nous analysons ici l’obligation de prudence et de diligence des administrateurs en regard au régime général de l’article 1457 du Code civil du Québec qui dispose :

« Toute personne a le devoir de respecter les règles de conduite qui, suivant les circonstances, les usages ou la loi, s’imposent à elle, de manière à ne pas causer de préjudice à autrui.

Elle est, lorsqu’elle est douée de raison et qu’elle manque à ce devoir, responsable du préjudice qu’elle cause par cette faute à autrui et tenue de réparer ce préjudice, qu’il soit corporel, moral ou matériel.

Elle est aussi tenue, en certains cas, de réparer le préjudice causé à autrui par le fait ou la faute d’une autre personne ou par le fait des biens qu’elle a sous sa garde. ».

Le Pr Nicolas Vermeys dans son ouvrage Responsabilité civile et sécurité informationnelle(6) 

mentionne :

 La personne ayant subi un préjudice à la suite d’une attaque réussie d’un système d’information pourrait grâce à cette disposition, « éventuellement rechercher pour négligence par exemple la responsabilité de l’entreprise exploitant le système attaqué ».

Sur la base du syllogisme ci-après, nous souscrivons aux propos du Pr Vermeys(7) :

L’entreprise exerce ses activités et agit par l’intermédiaire de ses dirigeants et administrateurs(7);

Comme personne morale l’entreprise « a le devoir de respecter les règles de conduite qui, suivant les circonstances, les usages, s’imposent à elle »;

Si l’entreprise, par omission ou inaction de ses administrateurs, fait défaut de respecter les « usages » entendus ici au sens de bonnes pratiques reconnues dans le domaine de la cybersécurité , elle pourrait advenant un préjudice et un lien de causalité être déclarée civilement responsable.

En conclusion

Cet article n’aborde pas la responsabilité personnelle des administrateurs .

Il a pour vocation de mettre l’accent sur leur devoir de prudence et de diligence en tenant compte des liens de dépendance de l’entreprise vis-à-vis des technologies de l’information.

Comme administrateurs, vous devez vous assurer que l’entreprise sous votre gouverne prend les mesures raisonnables et suffisantes pour gérer les risques de cybersécurité et faire preuve de résilience dans un contexte de crise ou d’incidents majeurs.

Me Elhadji M. Niang

Me Niang porte un intérêt aux interactions entre la sécurité informatique et le droit.

Outre son travail d’avocat, il réalise des mandats en cybersécurité comme consultant.

Il dispense aussi un cours à l’Université Laval - Faculté des sciences de l’administration.

https://www.linkedin.com/in/elhadji-m-niang-1655bb26/

Références :

(1) https://www.pensezcybersecurite.gc.ca/fr/sont-organisations-canadiennes-matiere-cybersecurite-2024

(2) Art. 213 Loi sur les sociétés par actions du Québec

(3) Dans l’affaire Magasins à rayons Peoples inc. (Syndic de) c. Wise, la Cour suprême du Canada nous enseigne au sujet de l’obligation de prudence et de diligence des administrateurs : « La norme de diligence est une norme objective.  Les décisions des administrateurs et des dirigeants doivent constituer des décisions d’affaires raisonnables compte tenu de toutes les circonstances, notamment les conditions socio‑économiques existantes, qu’ils connaissaient ou auraient dû connaître » - [Soulignement ajouté]

(4) Selon Statistiques Canada : « En 2023, les dépenses totales engagées pour le rétablissement des activités à la suite d'incidents de cybersécurité ont aussi augmenté. Elles ont doublé pour passer d'environ 600 millions de dollars en 2021 à 1,2 milliard de dollars en 2023. » Voir https://www150.statcan.gc.ca/n1/daily-quotidien/241021/dq241021a-fra.htm

(5) Cette obligation de prendre des mesures de sécurité raisonnable est aussi prévue à l’art 10 de la Loi sur la protection des renseignements personnels dans le secteur privé et à l’art 63.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.

(6) VERMEYS, Nicolas, W., Responsabilité civile et sécurité informationnelle, Cowansville, Yvon Blais, 2010, P. 105

(7) Voir art 311 et 312 du Code civil du Québec

(8)mÀ titre d’exemple seulement, norme ISO 27002 : https://www.iso.org/fr/standard/75652.html , NIST Cybersecurity Framework: https://www.nist.gov/cyberframework , ANSSI : Sécuriser son organisation - https://cyber.gouv.fr/securiser-son-organisation - Centre Canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/petites-moyennes-entreprises 

3 clés pratiques de cybersécurité pour administrateurs

À titre d’administrateurs, vous devez être en mesure de démontrer avoir fait preuve de diligence et de prudence dans vos actes de gestion.

Voici 3 clés pratiques pour vous acquitter de votre obligation de prudence et de diligence en matière de cybersécurité.

1.Gouvernance

• S’assurer que les encadrements nécessaires (politiques, directives, processus et procédures …) sont mis en place afin de fixer les orientations, les principes directeurs et règles en matière de cybersécurité.

• Approuver les budgets cybersécurité ainsi que la structure organisationnelle de l’entreprise (répartition des rôles et responsabilités).

• Mesurer la performance (les dépenses de cybersécurité sont justifiées et réduisent les risques) – Amélioration continue et reddition de compte.

2.Gestion des risques

• S’assurer que votre entreprise dispose d’une stratégie et des outils de gestion des risques.

• Exiger minimalement un suivi et une reddition sur les points suivants :

• Les risques majeurs sont analysés et les mesures de mitigations appropriées sont mises en œuvre;

• Surveillance des actifs critiques de l’entreprise afin de détecter et réagir en temps opportun à une attaque ou panne.

3.Préparez votre entreprise au pire

La sécurité absolue n’existe pas. En votre qualité d’administrateurs, vous devez-vous assurer :

• Votre entreprise est préparée pour prévenir et réagir aux cyberattaques ou pannes majeurs

• Votre entreprise dispose d’une infrastructure de relève, des copies de sauvegarde et un plan de continuité des activités.

• Votre stratégie de gestion de crise, votre plan de relève informatique et plan de continuité des activités sont régulièrement testés et ils fonctionnent convenablement.