Mots de passe sauvegardés, informations bancaires en ligne, données personnelles…
De plus en plus, la cybersécurité prend une importance grandissante, tant pour les personnes privées que pour les organisations. Le droit canadien dispose d'un cadre juridique robuste pour réprimer les activités liées à la cybercriminalité, que ce soit pour sanctionner les auteurs de la cybercriminalité, mais aussi pour responsabiliser les entreprises qui collectent des données privées.
En effet, les cyberattaques peuvent entrainer des sanctions juridiques pour plusieurs acteurs, dont les auteurs de cybercrimes et les entreprises qui contreviennent à leurs obligations en matière de protection des renseignements personnels.
Dans cet article, JuriGo explore en détail les conséquences juridiques d'une cyberattaque au Canada, en introduisant par le cadre juridique existant et en vous expliquant les sanctions criminelles et administratives associées à une cyberattaque.
Quel est le cadre juridique de la cybercriminalité au Canada?
Tout d’abord, le Code criminel prévoit plusieurs infractions liées à la cybercriminalité, notamment l'exploitation des enfants, l'utilisation non autorisée d'un ordinateur, le vol de service de télécommunication, et la fraude. Les lois sur la protection de la vie privée exigent l'adoption de mesures de sécurité appropriées pour les organisations qui collectent des données personnelles.
Récemment, le Canada a étendu son arsenal législatif pour inclure des infractions liées à la cyberintimidation . De plus, la Loi sur la concurrence interdit les indications fausses ou trompeuses, y compris dans les communications électroniques.
Quant à elles, les lois anti-pourriel du Canada visent à prévenir l'installation non autorisée de logiciels malveillants dans les ordinateurs.
En plus de cela, le Canada participe activement à des collaborations nationales et internationales pour contrer les menaces cybernétiques. La Stratégie de cybersécurité du Canada vise à renforcer la protection des individus, des industries, et des gouvernements contre les cybermenaces.
Cette stratégie implique des partenariats avec des organismes internationaux tels que le G7, l'Office des Nations Unies contre la drogue et le crime, et l'Organisation des États américains. Enfin, le Canada a ratifié la Convention sur la cybercriminalité du Conseil de l'Europe.
De nouvelles obligations pour les entreprises en cas de cyberattaque
Depuis septembre 2022, des modifications significatives ont été apportées à la Loi sur la protection des renseignements personnels dans le secteur privé par le biais de la Loi 25 , imposant aux entreprises l'obligation d'informer la Commission d'accès à l'information (CAI) et les personnes concernées en cas d'incident de confidentialité présentant un risque sérieux de préjudice.
La notion de «risque de préjudice sérieux» n'est pas explicitement définie dans la loi. Toutefois, lors de l'évaluation de ce risque, divers facteurs doivent être pris en compte, notamment:
- La sensibilité des renseignements concernés;
- Les conséquences anticipées de leur utilisation; et
- La probabilité d'une utilisation préjudiciable.
Depuis décembre 2022, le Règlement sur les incidents de confidentialité est entré en vigueur pour encadrer la forme et le contenu des avis à la CAI et aux personnes concernées. Ces avis doivent respecter des critères spécifiques, afin d’assurer une transmission adéquate des informations nécessaires.
L'avis à la CAI doit être rédigé et contenir des détails clés en cas de cyberattaque, tels que:
- Le nom de l’entreprise impliquée;
- Les coordonnées de la personne à contacter;
- Une description des renseignements personnels touchés;
- Les circonstances de l'incident;
- La date de sa survenance; et
- Les mesures prises ou envisagées par l'organisation.
De même, l'avis aux personnes concernées doit être transmis par écrit. Il convient de noter que le règlement prévoit des situations où un avis public peut être privilégié au lieu d'un avis direct à la personne concernée, notamment en l'absence de coordonnées disponibles.
En somme, pour se conformer à ces nouvelles obligations, il est maintenant impératif pour les entreprises d'établir une procédure documentée pour traiter les incidents de confidentialité présentant un risque sérieux de préjudice. Cela peut faciliter la réponse aux questions éventuelles de la CAI et des personnes concernées.
Pour toute question sur vos obligations en matière de protection des renseignements personnels, il est fortement recommandé de consulter un avocat.
Les conséquences juridiques d’une cyberattaque pour les auteurs
Divers organismes gouvernementaux, dont le ministère de la Justice et la Gendarmerie royale du Canada (GRC), collaborent pour protéger les citoyens contre les cyberattaques. Le Centre antifraude du Canada, fruit de cette collaboration, lutte activement contre la fraude en ligne.
En ce qui concerne les sanctions, les infractions liées à la cybercriminalité peuvent entraîner des amendes importantes et des peines d'emprisonnement.
Par exemple, le non-respect de la Loi anti-pourriel peut entraîner l'imposition d'une sanction administrative maximale de 1 million de dollars canadiens pour une personne physique et de 10 millions de dollars canadiens pour une organisation.
De même, la violation des dispositions de la Loi sur la concurrence peut entraîner des amendes maximales de 1 million de dollars canadiens pour une personne physique et de 15 millions de dollars canadiens pour une société.
Les conséquences juridiques d’une cyberattaque pour les entreprises
Les modifications à la Loi sur la protection des renseignements personnels dans le secteur privé ont également renforcé les sanctions pénales en matière de protection des renseignements personnels. La Commission d'accès à l'information joue un rôle clé dans l'application de ces dispositions.
En effet, la Commission peut désormais imposer des sanctions pénales aux entreprises pour les manquements à la loi suivants:
- La collecte illégale de renseignements personnels;
- Le non-signalement d'incidents de confidentialité; et
- Le défaut de mettre en place des mesures de sécurité adéquates.
Les amendes peuvent varier de:
- Pour une personne physique: 5 000 $ à 100 000 $
- Pour une personne morale: 15 000 $ à 25 000 000 $ ou 4 % du chiffre d'affaires mondial
Une poursuite pénale peut être privilégiée en présence d'un manquement grave à la loi, entraînant des dommages sérieux. Par exemple, si une entreprise omet de signaler un incident de confidentialité mettant en danger des renseignements personnels sensibles, des poursuites pénales peuvent être engagées.
Les délais de prescription et la prévention contre les sanctions
Toute poursuite pénale doit être intentée dans un délai de cinq ans de la perpétration de l'infraction.
Lors de la détermination de la peine, un juge peut tenir compte de divers facteurs, tels que la nature de l'infraction, la sensibilité des renseignements personnels, la preuve de négligence, et le nombre de personnes exposées au risque de préjudice.
Le meilleur moyen pour une entreprise d'éviter une poursuite pénale est d'adopter des mesures proactives pour respecter la loi. Cela inclut la mise en place de politiques de confidentialité, de registres d'incidents, de mesures de sécurité informatique, et de formations pour les employés.
Toutes les personnes et entreprises ont intérêt à être proactives et diligentes pour éviter les conséquences juridiques liées à une cyberattaque.
Trouvez un avocat spécialisé en cybercriminalité et en protection des renseignements personnels!
La cybercriminalité au Canada est encadrée par un ensemble de lois visant à dissuader, punir, et prévenir les infractions. Les conséquences juridiques d'une cyberattaque vont au-delà des sanctions financières comme les amendes assez salées, elles peuvent aussi inclure des peines d'emprisonnement.
La vigilance et la conformité à la loi restent les meilleures défenses contre les poursuites pénales dans le domaine de la cybersécurité. En cas d’incident lié à une cyberattaque, il est primordial de faire appel à un avocat dès que possible afin que celui-ci vous guide à travers les prochaines démarches à prendre.
C’est pourquoi JuriGo est là pour trouver l’avocat qu’il vous faut! Eh oui, vous n’avez qu’à remplir le formulaire de demande ci-bas et nous vous mettons en contact avec un avocat spécialisé dans votre région.
Cette mise en relation est complètement gratuite et ne vous engage en rien, alors n’hésitez pas pour obtenir de l’aide dès maintenant!