Télécharger le document technique

Transcription

L’impact des lois internationales
visant la protection de la vie
privée sur l’atténuation des
cyber-risques
L’impact des lois internationales
visant la protection de la vie privée
sur l’atténuation des cyber-risques
Introduction
Ce qui est particulièrement
éloquent de l’exposition au
cyber-risque dans le monde
entier est le nombre
abondant d’atteintes même si
les lois sur la protection des
données personnelles dans
bon nombre de pays à
l’extérieur du Canada
n’exigent pas à l’heure
actuelle que les compagnies
qu’elles régissent divulguent
ces incidents.
Une atteinte à la protection des données qui a compromise les renseignements personnels
d’environ 100 millions de clients d’un important détaillant américain à la fin de 2013 a
coûté à la compagnie approximativement 164 millions de dollars, y compris le coût de la
mise à jour de sa technologie de protection des données. L’atteinte à la protection des
données a aussi tenu compte de la décision de la compagnie de remplacer son présidentdirecteur général et son chef de l’information quelques mois après l’incident.1
Dans l’une des séries de vols électroniques importants ciblant des renseignements
importants commis récemment en Corée du Sud, les renseignements sur les cartes de
crédit et d’autres renseignements personnels de 20 millions de personnes ont fait l’objet
de vols au début de 2014 commis par un pirate informatique chez un entrepreneur en
informatique dont les services avaient été retenus par un bureau de crédit de premier
plan dans le pays. Dans le cadre de l’enquête, les autorités compétentes de la Corée du
Sud ont ordonné des enquêtes sur le plan des mesures de protection des données dans
trois compagnies de cartes de crédit importantes de la Corée du Sud à la suite de preuves
suggérant que le pirate informatique aurait eu accès au bureau au moyen de l’un des
systèmes informatiques de la compagnie.2
On blâme les pirates informatiques d’avoir volé des sommes encore indéterminées
de devises numériques au début de 2014 à partir d’un poste de change de bit coins
important basé à Tokyo Le vol a forcé le bureau de change à fermer ses portes, menaçant
sérieusement ainsi son avenir et entraînant des poursuites entamées par ses clients. Les
estimations de la valeur du vol électronique, qui touche les clients du monde entier de la
bourse, varient entre des millions de dollars à plus de 500 millions de dollars.3 4
L’atteinte à la protection des données de juin 2014, qui a mis en péril les renseignements
des cartes de crédit et de débit de milliers de clients d’une chaîne de restaurants aux É.-U.
présents dans plus de 200 localités dans le monde entier, a attiré l’attention du Service
secret des É.-U.5 6 Plus d’un mois après l’incident, que le président-directeur général de la
compagnie affirme avoir été exécuté par une opération criminelle hautement sophistiquée,
les restaurants de la chaîne utilisaient toujours les systèmes d’impression de cartes manuels.
1.Target’s CEO Steps Down Following The
Massive Data Breach And Canadian Debacle.
May 8, 2014. Forbes.
2.Credit card details on 20 million South
Koreans stolen. Jan. 20, 2014. BBC.
3.Court Rejects Bankruptcy Protection For Mt.
Gox. The Associated Press. April 16, 2014.
4.Mt. Gox Hack Only Amounted to A Handful
of Bitcoins: Study. Devin Coldewey. March
27, 2014. NBC News.
5.P.F. Chang’s Confirms Data Breach. CNBC.
June 13, 2014.
6.Angelique Soenarie. P.F. Chang’s updates
progress in handling data breach. July 2,
2014. AZCentral.com.
Ces exemples d’atteintes à la protection des ordinateurs ne sont pas des exceptions
mais ils illustrent le cyber-risque auquel chaque organisation disposant d’un système
informatique et d’une connexion sur Internet fait face peu importe le lieu où elle est
active dans le monde, selon les chercheurs et les experts dans le domaine. Ce qui est
particulièrement éloquent de l’exposition au cyber-risque dans le monde entier est le
nombre abondant d’atteintes connues, même si les lois sur la protection des données
personnelles dans bon nombre de pays à l’extérieur du Canada n’exigent pas à l’heure
actuelle que les compagnies régies par ces lois divulguent ces incidents.
Toutefois, ces lois vont probablement devenir plus sévères au cours des prochaines années.
Déjà l’Union européenne s’apprête à mettre en œuvre une réglementation sur la protection
des renseignements personnels plus rigoureuse qui imposerait des exigences en matière
de divulgation et de notification aux clients plus importantes pour les compagnies qui font
l’objet d’une atteinte à la protection des données. Plusieurs pays en Asie et en Amérique
latine ont déjà entériné ce type de législation. Une réglementation plus sévère ne fera
qu’exacerber l’impact financier des cyber-attaques qui ne cessent de croître.
L’impact des lois internationales visant la protection de la vie privée sur l’atténuation des cyber-risques
2
Étant donné que les coûts potentiels des atteintes à la protection des renseignements
personnels croissent et que les experts de la gestion des risques commencent à
convaincre les cadres supérieurs des compagnies dans le monde entier que toutes
les organisations sont vulnérables et qu’elles seront victimes d’un genre quelconque
d’atteinte à la protection des données éventuellement, les entreprises partout sur la
planète envisageront vraisemblablement de contracter une assurance cyber-risques
en tant qu’option de financement des risques. Pour les compagnies multinationales,
toutefois, la couverture des activités dans un autre pays en vertu d’un programme-cadre
international non agréé plutôt qu’en vertu d’une police d’assurance agréée localement
pourrait entraîner une multitude de complications advenant une perte.
Les chiffres
Bien que les lois sur la protection des renseignements personnels dans bon nombre de
pays dans le monde entier n’exigent pas que les compagnies notifient les clients lorsque
leurs renseignements personnels ont été volés ou compromis, bon nombre de chercheurs
et de consultants en cyber-sécurité ont fouillé pour trouver suffisamment d’information
au sujet de ces incidents pour exposer la magnitude du cyber-risque.
Les résultats du sondage de PricewaterhouseCoopers mené auprès de 9 681 cadres
d’entreprises de toutes les tailles dans 115 pays démontrent que le nombre d’atteintes à
la protection des renseignements personnels connues ne représente qu’une fraction des
incidents de sécurité auxquels les organisations font face.7 La firme PwC a questionné
les répondants au sondage en février 2013 au sujet de tous leurs incidents de protection
de la vie privée, non seulement les atteintes à la protection des données, au cours
des 12 mois précédents. Ces incidents incluent «tout mauvais incident qui menace un
certain aspect de la sécurité informatique ». Les répondants au sondage ont déclaré que
leurs organisations ont fait face chacune d’entre elles à 3 791 incidents de sécurité en
moyenne, ou à plus de 10 incidents chaque jour. Cela représente une augmentation de
presque 27 pour cent par rapport aux 2 989 incidents que les répondants ont signalés
dans le sondage qui a eu lieu un an auparavant et une augmentation de 48 pour cent
par rapport aux 2 562 incidents signalés deux ans plus tôt. Mais à peine un cinquième
des répondants – 18 pour cent – n’ont pu répondre à la question dans le dernier sondage
effectué, soit le double du pourcentage obtenu deux ans plus tôt.
Cependant, entre 76 pour cent et 84 pour cent des cadres sondés ont déclaré qu’ils étaient sûrs
de leurs systèmes de sécurité. Les présidents-directeurs généraux comptaient parmi ceux qui
étaient les plus sûrs, tandis que les directeurs financiers étaient les moins sûrs. Dans l’ensemble,
74 pour cent des répondants au sondage étaient sûrs de leurs systèmes de sécurité.
Menace derrière les chiffres
Qui peut bien s’intéresser à des renseignements personnels? Une source importante du
problème est les criminels professionnels qui reproduisent les renseignements des cartes
de paiement qu’ils volent, sur des cartes contrefaites qui sont ensuite vendues.8
7.The Global State of Information Security
Survey 2014. September 2013.
PricewaterhouseCoopers, CIO Magazine,
CSO Magazine.
8.From April 25, 2014, interview with Ben
Beeson, vice president-cyber security and
privacy at Lockton Cos.
Mais des parties fortement motivées ayant d’autres projets en tête sont responsables
également des atteintes à la protection des données. Des gouvernements ainsi que des
concurrents de l’industrie exercent du cyber-espionnage dans un souci de voler de la
propriété intellectuelle. D’autres fois, ces mêmes acteurs commettent du cyber-sabotage,
interrompant et endommageant ainsi les réseaux informatiques ou les manipulant d’une
manière qui occasionne des dommages matériels à un site physique séparé où ces systèmes
servent à contrôler. En outre, les parties ayant des projets politiques à l’esprit – ou les
3
hacktivistes – portent atteinte aux systèmes des organisations avec qui ils ont des conflits
idéalistes, dans l’intention d’interrompre leurs activités et d’entacher leur réputation.9
Plusieurs facteurs exacerbent le cyber-risque déjà significatif des organisations. Un facteur
important est que bon nombre d’organisations voient de nombreuses occasions de
réduire les dépenses dans le domaine de la technologie. Mais ces mesures augmentent
généralement le risque des cyber-attaques.10
Les criminels qui tentent de
porter atteinte à la sécurité
des organisations sont aussi
devenus beaucoup plus
complexes dans la façon de
préparer leurs attaques en
concevant des logiciels
malveillants spécifiquement
pour une cible particulière.
Par exemple, la voix sur le protocole Internet, ou VoIP, le service téléphonique est moins
sécuritaire que la téléphonie conventionnelle à fil. De même, l’informatique en nuage
est plus rentable mais jugée moins sécuritaire par bon nombre de professionnels de
la gestion des risques. Le fait de permettre aux employés d’utiliser leurs appareils TI
personnels – y compris les téléphones intelligents, les tablettes et les ordinateurs portatifs
– au travail – est à la fois une mesure qui permet d’économiser et d’augmenter le moral,
mais cela peut exposer l’organisation à un cyber-risque beaucoup plus grand. En outre,
l’Internet des objets – le concept de brancher tous les jours des objets autres que les
ordinateurs, les téléphones intelligents et les appareils de divertissement tels que les
appareils de télévision et les lecteurs DVD à l’Internet – augmente considérablement aussi
la vulnérabilité des organisations aux atteintes à la protection des données. Grâce aux
télécopieurs et aux caméras de sécurité branchés à l’Internet, l’IdO a déjà créé le cyberrisque pour bon nombre d’organisations.
Les criminels qui tentent de porter atteinte à la protection des données des organisations
sont aussi devenus beaucoup plus difficiles dans la façon de préparer leurs attaques en
concevant des logiciels malveillants spécifiquement pour une cible particulière, ce qui
peut augmenter considérablement les chances qu’ils ne tarderont pas à porter atteinte
à la protection des données de l’organisation. Avant de lancer une attaque, ces pirates
informatiques étudieront l’organisation pour y détecter une faiblesse en matière de
sécurité qu’ils peuvent exploiter afin de sauter dans le système de l’organisation de
manière à ne pas être détectés.
Cette ouverture, par exemple, pourrait être un vice-président qui joue au football virtuel
et qui pourrait ne pas y penser à deux fois avant d’ouvrir un message électronique –
envoyé au moyen du compte de la compagnie du cadre – en provenance d’un site Web
de sports d’apparence légitime qui est censé fournir d’importants conseils concernant
le jeu de football. Lorsque le cadre ouvre le courriel, lequel contient des renseignements
légitimes pour éviter de susciter des soupçons, le logiciel malveillant intégré dans le
message se fraye tranquillement un chemin dans le système de la compagnie.11
Les pirates informatiques ont trouvé récemment un moyen différent de pénétrer dans le
système des compagnies dont ils n’avaient pas pu à ce jour accéder au système. Ils ont
infecté le menu en ligne d’un restaurant chinois qui est souvent fréquenté par les employés
de la compagnie. Lorsque les employés de la compagnie ouvraient le menu en ligne, cela
livrait le logiciel malveillant des pirates informatiques dans le système de la compagnie.12
9.Ibid.
10.From April 29, 2014, interview with Larry
Clinton, president and CEO of the Internet
Security Alliance.
11.Ibid.
12.Hackers Lurking in Vents and Soda
Machines. Nicole Perlroth. April 7, 2014.
The New York Times.
Ce qui facilite considérablement le travail des pirates informatiques ce sont les failles en
matière de sécurité qui sont même supérieures aux propres mesures inappropriées d’une
organisation conçues pour sauvegarder les renseignements personnels des clients. Deux
failles de ce genre se sont déjà manifestées depuis le début de 2014 seulement.
L’une d’elles est la faille en matière de sécurité Heartbleed dans la technologie de
cryptage à source ouverte. Environ les deux-tiers des serveurs Web dans le monde entier
utilisent la technologie pour protéger toutes sortes de renseignements personnels, y
compris les renseignements financiers, recueillis par les sites Web HTTPS. Heartbleed
4
a résulté d’une erreur de codage dans la technologie de cryptage en mars 2012. Par
conséquent, pendant deux ans, Heartbleed a permis aux pirates informatiques à la fois
de voler des données personnelles à partir des serveurs et de créer de faux sites Web
en double pour recueillir des données personnelles directement sans que personne ne
sache que le risque existait. Pour régler le problème, les sites Web touchés ainsi que les
particuliers doivent prendre diverses mesures.13
Seulement quelques semaines après que la faille en matière de sécurité Heartbleed
se soit manifestée, Microsoft a annoncé une importante faille en matière de sécurité
avec les versions 6 à 11 de son navigateur Internet Explorer. La faille a procuré aux
pirates informatiques qui utilisaient les ordinateurs de réseau le même niveau d’accès
que l’utilisateur légitime, mettant en péril ainsi les renseignements personnels de
millions d’utilisateurs d’IE (Internet Explorer). Le fabricant de logiciels cyber-sécurité
FireEye a signalé que la faille a permis à un groupe de pirates informatiques d’attaquer
des institutions financières et des cabinets de défense aux É.-U. Microsoft a émis un
programme de correction pour pallier la faille cinq jours après l’avoir dévoilée.14 15
Les incidents Heartbleed et Internet Explorer sont des exemples de faille en matière de sécurité
pratiquement isolés hors du contrôle d’une organisation. Par exemple, les utilisateurs du
iPad d’Apple et des navigateurs Web Firefox et Safari ont eux aussi été victimes de failles en
matière de sécurité et d’atteintes à la protection des renseignements personnels.16
Nouvelles règles du jeu
Lorsque des atteintes à la protection des données se produisent, les lois visant la
protection des renseignements personnels dans bon nombre de pays dans le monde
entier n’exigent pas des organisations qui en sont les victimes de notifier les clients que
leurs renseignements personnels ont été volés ou compromis, bien qu’il soit possible que
les agences de réglementation concernant la protection des renseignements personnels
doivent en être informées.17 Par comparaison, les lois dans 47 États américains, dans le
District de Columbia et dans plusieurs territoires appartenant aux É.-U. demandent à ce que
les compagnies victimes d’atteintes à la protection des données notifient leurs clients.18
13.The ‘Heartbleed’ security flaw that affects
most of the Internet. Heather Kelly. April 9,
2014. CNN.
14.U.S. Government Suggests that You Switch
from Internet Explorer. Jim Finkle. Reuters.
April 27, 2014.
15.Microsoft Issues IE Security Patch, Includes
XP Users. Kelly Clay. May 1, 2014. Forbes.
16.Apple’s Worst Security Breach: 114,000
iPad Owners Exposed. Ryan Tate. June 9,
2010. Gawker.
17.2014 International Compendium of Data
Privacy Laws. BakerHostetler.
18.State Security Breach Notification Laws.
April 11, 2014. National Council of State
Legislatures.
19.From May 9, 2014, interview with Yves
Melin, partner – avocat member of the
Brussels bar at McGuireWoods LLP
Mais un modèle de réglementation ressemblant à celui des É.-U. qui impose des
responsabilités de notification aux organisations ayant fait l’objet d’une atteinte à la
protection des données se dirige vers l’Europe, et cela pourrait forcer d’autres pays à
modifier de la même manière leurs lois visant la protection des renseignements personnels.
En Europe actuellement, les règlements portant sur les atteintes à la protection
des renseignements personnels ne sont pas uniformes, tout comme leur mise en
application.19 Par exemple, en Italie, les organisations – sauf les fournisseurs de services
de communication électronique offerts au public – n’ont aucune obligation de notifier
les clients lorsque leurs renseignements personnels sont compromis. Au RoyaumeUni, il n’y a aucune obligation autre que la Loi sur les télécommunications, mais
l’agence de réglementation sur la protection des renseignements personnels du pays
en cause demande de notifier les clients si une atteinte à la protection des données
touche un grand nombre de particuliers. La France a une exigence de notification
à plusieurs niveaux qui commence par l’agence de réglementation sur la protection
des renseignements personnels du pays en cause et peut s’étendre, à la discrétion de
l’agence de réglementation – au particulier qui a été touché par l’atteinte à la protection
des renseignements personnels. L’Allemagne exige que les organisations notifient les
particuliers qui sont touchés par l’atteinte à la protection des renseignements personnels
si vraisemblablement l’atteinte nuira considérablement à leurs droits et intérêts.20
20.BakerHostetler.
5
Bien que le Royaume-Uni et l’Espagne se classent au premier et au second rang,
respectivement, pour ce qui est du nombre de plaintes formulées au sujet de l’atteinte
à la protection des renseignements personnels et des amendes réglementaires les
plus élevées en moyenne, les organisations font face au plus grand risque d’amendes
réglementaires au Portugal et en Roumanie. Le nombre maximal d’amendes permis varie
aussi beaucoup parmi les pays de l’Union européenne (U.E.), pouvant varier de presque
607 000 euros au Royaume-Uni, 150 000 euros en France et 20 000 euros au Portugal.21
La proposition de réforme de la protection des renseignements personnels de la
Commission européenne harmoniserait et durcirait considérablement les diverses
règles de protection des renseignements personnels parmi les 28 États membres de
l’Union européenne et trois États de l’Espace économique européen (EÉE) qui ne sont
pas membres de l’U.E. Parmi les autres dispositions, les réformes exigeraient que les
organisations notifient sans tarder les agences de réglementation et possiblement
les clients des détails d’une atteinte à la protection des renseignements personnels.
Les réformes fixeraient également une amende pouvant aller jusqu’à 2 pour cent du
revenu annuel dans le monde entier d’une compagnie si les agences de réglementation
locales déterminent que la compagnie a enfreint les dispositions de protection des
renseignements de la directive.22
En outre, les organisations qui ne sont pas basées en Europe mais qui y sont actives ou
qui en ont l’intention devront se conformer pleinement aux réformes – y compris les
dispositions relatives aux amendes.23
Le Parlement européen et les États membres de l’U.E. individuels doivent continuer
d’agir pour respecter la directive proposée de sorte que bon nombre d’observateurs ne
s’attendent pas à ce que la proposition prenne effet avant la fin de 2015, voire en 2016.
21.2014 European Privacy Overview.
22.Progress on EU data protection reform now
irreversible following European Parliament
vote. March 12, 2014. European
Commission.
23.Ibid.
24.From May 6, 2014, interview with
Christopher Keegan, senior vice president
and national resource for cyber and E&O at
Willis North America.
Si la réforme de notification concernant l’atteinte à la protection des renseignements
personnels réussit à survivre, comme prévu, on peut s’attendre à ce que bon nombre
d’autres pays dans le monde entier adoptent une mesure semblable pour préserver leur
réputation de partenaires commerciaux attrayants avec l’Union européenne.24 Déjà, les
législateurs au Brésil – un des pays faisant partie du bloc BRICS des marchés émergents
importants – envisagent des réformes à la protection des renseignements personnels
fondées sur la proposition de l’U.E.25 En outre, le Canada, l’Australie et la NouvelleZélande se dirigent dans cette direction.26 27
Entre-temps, les compagnies qui exercent des activités dans les pays – particulièrement
en Europe et en Asie – où les lois sur la protection des renseignements personnels
n’incluent pas les dispositions de notification en cas d’atteinte à la vie privée continuent
de faire face à des coûts élevés sans compter les amendes réglementaires en vertu de ces
réglementations. Les lois visant la protection des renseignements personnels dans certains
de ces pays exigent que les organisations qui sont victimes d’atteinte à la vie privée
effacent toute utilisation fautive de l’identité d’un particulier à la suite d’une atteinte à
la vie privée et paient en compensation des dommages-intérêts – un processus qui peut
devenir complexe et coûteux.28
25.BakerHostetler.
26.Ibid.
27.Keegan
28.From a May 1, 2014, interview with Kevin
Kalinich, global practice leader for cyber risk
insurance at Aon Risk Solutions.
6
En faveur du financement du cyber-risque
Une atteinte à la protection des renseignements personnels peut entraîner de nombreuses
dépenses: les enquêtes judiciaires qui s’ensuivent, une mise à jour de la technologie et
du logiciel, la restauration des données, les pertes d’exploitation dues à une interruption
des activités, les notifications de l’atteinte à la protection des renseignements personnels,
les remèdes pour pallier l’utilisation fautive des données, les amendes réglementaires, la
défense des litiges, les règlements ou les sommes accordées par la cour.
Une atteinte de ce type peut aussi entraîner une poursuite judiciaire contre des
administrateurs et des dirigeants d’une organisation, si les actionnaires croient que l’entité
disposait particulièrement d’une sécurité des données laxiste ou avait un financement cyberrisque inapproprié établi pour couvrir ces coûts émergeant d’une atteinte à la protection
des renseignements personnels. Une assurance de la RC des administrateurs et dirigeants
ne couvrirait généralement pas ces coûts, y compris les réclamations de responsabilité civile
découlant des erreurs et omissions présentées par les clients d’une organisation fournissant
des services.29
Alors que davantage de pays
renforcent leurs lois sur la
protection des
renseignements personnels,
les coûts potentiels d’une
violation de données pour
une organisation piratée, ne
feront qu’augmenter.
Une organisation dont les renseignements personnels sont compromis engagera
vraisemblablement au moins une partie de ces dépenses et possiblement la totalité de ces
dépenses, selon le lieu dans le monde où leurs clients résident. Étant donné que de plus en
plus de pays qui renforcent leurs lois visant la protection des renseignements personnels, les
coûts d’une atteinte à la protection des renseignements personnels pour une organisation
victime d’un acte de piratage informatique ne fera qu’augmenter.
Par conséquent, un plus grand nombre d’organisations partout dans le monde – étant donné
le nombre croissant de compagnies qui l’ont déjà fait – envisageront vraisemblablement de
financer leur cyber-risque, ce qui pourrait s’élever à des millions de dollars en dépenses pour
une seule atteinte à la protection des données. Par exemple, après une atteinte à la protection
des données, une compagnie du marché des moyennes et grandes entreprises générant des
revenus bruts annuels de l’ordre de 1 milliard $ partout dans le monde pourrait faire face
à une amende de 2 millions $ en vertu des réformes proposées concernant l’atteinte à la
protection des renseignements personnels de l’U.E. Cette perte n’inclurait pas les autres coûts
potentiels qui pourraient surgir d’une atteinte de ce genre.
La gestion des risques dans une organisation multinationale pourrait envisager d’assurer
son cyber-risque à l’échelle mondiale en vertu d’une seule police d’assurance offrant une
couverture mondiale pour l’entité au complet. Mais la stratégie du financement de risque
– comparativement à l’achat d’un véritable programme international à l’aide d’un contrat
cadre et d’une garantie séparée et agréée localement dans chaque pays où l’organisation
est exposée à un cyber-risque – pourrait créer une indemnisation et des problèmes d’impôts
pour une organisation qui subit une perte étant couverte.
29.From May 6, 2014, interview with Ann
Longmore, executive vice president and
D&O practice leader at Willis North
America.
Bon nombre de pays dans le monde ne permettent pas d’assurance non agréée. Selon Axco
Insurance Services, Ltd., seulement deux douzaines de pays dans le monde – principalement
en Europe – permettent une assurance non agréée. Mais certains spécialistes en droit disent
qu’il y en a même moins.
30.From Aug. 5, 2013, interview with Lee
Lindsay, managing director and
international product adviser at Aon
Financial Services Group.
Dans encore un plus grand nombre de pays, il y a des interprétations juridiques conflictuelles
de l’admissibilité d’assurance non agréée, parce que les lois et les règlements dans ces
territoires juridiques sont vagues sur le sujet, et il n’y a pas de jurisprudence sur ce point.30 31
31.From Aug. 15, 2013, interview with Heidi
Lawson, member, Mintz, Levin, Cohn,
Ferris, Glovsky and Popeo P.C., Boston.
7
Bien que la réglementation en matière d’assurance en Europe au premier coup d’œil indique
qu’un programme d’assurance cadre international souscrit au Canada serait parfaitement
acceptable, en réalité il existe de sérieux problèmes lorsqu’il s’agit de rendre ces programmes
internationaux conformes à la réglementation d’assurance locale sur tout le continent.
En vertu des règlements d’assurance dans toute l’Europe, qui se conforment à la troisième
directive d’assurance non-vie de l’U.E., tous les pays de l’Espace économique européen (EÉE)
acceptent comme étant valide un contrat d’assurance émis par un assureur autorisé dans un
autre pays de l’EÉE. Cette police d’assurance offrant une liberté de service peut être liée à
une cyber-police cadre internationale émise à l’extérieur de l’EÉA, éliminant par le fait même
le besoin d’une société mère non basée dans l’EÉE d’acheter des polices locales dans chacun
des pays de l’EÉE où la société mère est exposée à la cyber-responsabilité civile. De la même
façon, dans d’autres territoires juridiques à l’extérieur de l’EÉE qui interdisent l’assurance
non agréée, une police locale peut être liée à un contrat cadre international pour fournir les
limites supplémentaires locales et des conditions de couverture plus étendues sur une base de
Différences dans les conditions ou Différence dans les limites de base.
Toutefois, ces acheteurs d’assurance ne sont pas dégagés de la responsabilité de s’assurer
que leurs programmes d’assurance internationaux soient conformes aux nombreuses et
différentes – et parfois contradictoires – exigences en matière d’assurance dans chaque
pays de l’EÉE. Plutôt que de tenter de répondre à ce défi de taille – et peut-être impossible
à relever – appartenant au domaine de la réglementation, les gestionnaires des risques
pourraient garantir que leur programme se conformera à la réglementation en achetant
une cyber-police locale dans chacun des pays de l’EÉE où la société mère est exposée
à ce cyber-risque. Un gestionnaire des risques pourrait alors lier l’assurance locale à un
programme cadre international de la société mère pour des limites supplémentaires et des
conditions de couverture plus étendues, s’il y a lieu.
La non-conformité aux lois et aux règlements locaux régissant l’assurance non agréée peut
s’avérer coûteuse de bon nombre de façons – y compris les amendes réglementaires, les taxes
sur les primes non prévues et les cotisations d’impôts sur le revenu imposées à la société mère –
et les territoires juridiques dans le monde entier sont de plus en plus à l’affût de contrevenants.
Ces risques émanent d’une décision de la Cour de justice de l’U.E. en 2001 dans un procès
portant sur les taxes sur les primes d’assurance non-vie qui non seulement a posé un précédent
en Europe mais aussi a influé sur les agences de réglementation dans le monde entier.
Le procès a examiné si Kvaerner P.L.C. basé à Londres, qui a couvert une filiale hollandaise
en vertu d’un programme d’assurance de responsabilité civile professionnelle internationale,
a été obligé de payer une taxe sur la prime dans les Pays-Bas même si la couverture n’avait
pas été achetée là.35
32.Kalinich.
33.Lindsay.
34.Lawson.
35.Kvaerner P.L.C. vs. Staatssecretaris van
Financien. June 14, 2001. European Court
of Justice. EU: Case C-191/99. WestLaw
[2001] ECR I-4447.
36.Lawson.
37.Keegan.
La cour a décidé que Kvaerner – maintenant TH Global Ltd. – était tenu de payer une taxe sur
la prime sur la portion de son programme international qui couvrait son risque hollandais.
La décision a plusieurs implications pour chaque organisation multinationale, que celle-ci ait
ou non des activités seulement en Europe ou à l’échelle internationale.
Dans chacun des pays de l’EÉE où le risque est couvert en vertu d’un programme cadre
international, l’organisation doit s’acquitter des taxes sur les primes, et les agences de
réglementation vont s’efforcer de les percevoir. Toutefois, un courtier local ou un assureur
local doit généralement les remettre. Mais puisque ni l’un ni l’autre serait utilisé dans un
programme international, il n’y a pas de mécanisme pour payer la taxe sur les primes, ce
qui peut alors mener à de sérieux problèmes:36 37
8
• Si un souscripteur de programme international règle un sinistre à une société mère plutôt
qu’à sa filiale étrangère, ces recettes peuvent être assujetties à la taxation du pays en
question et alors encore à l’étranger si la société mère déplace les fonds à sa filiale.
• Une agence de réglementation pourrait interdire à la société mère de déplacer les fonds
de sa filiale si cette transaction contrevenait à l’investissement permissible maximal de la
société mère dans la filiale.
Une organisation qui est active dans un territoire juridique qui interdit une garantie non
agréée mais qui est couverte par une cyber-assurance émise ailleurs abandonne également
des services importants. Les assureurs prennent les dispositions nécessaires et couvrent
l’évaluation du risque, les services fournis par le Service des risques et le Service de
l’ingénierie, le traitement des sinistres et les enquêtes judiciaires portant sur la perte subie.
Mais un assureur non agréé ne peut pas prendre des dispositions nécessaires pour ce faire
et pour couvrir ces services dans les pays où il ne peut fournir de l’assurance.38 39
38.Beeson.
39.Longmore.
9
Conclusion
Les spécialistes en matière de
sécurité des données
n’aiment pas utiliser le mot si.
Selon eux, une atteinte à la
sécurité est inévitable.
Les spécialistes en matière de protection des données n’aiment pas utiliser le mot si. Pour eux,
une atteinte à la sécurité est inévitable. Elle peut être retardée, mais à un moment donné,
la vague des pirates informatiques, motivés souvent par les bénéfices mais aussi pour des
raisons politiques et autres, trouveront un moyen de pénétrer le système de richesses d’une
organisation – les renseignements personnels de milliers ou de millions de clients.
Entre-temps, dans le sens inverse, les législateurs dans bon nombre de pays –
particulièrement en Europe – étudient la possibilité d’ajouter un poids financier
supplémentaire aux organisations qui subissent des atteintes à la protection de leur
système de sécurité. Ces organisations touchées dans de nombreux autres pays devront
vraisemblablement sous peu notifier chaque client dont les données ont été volées. Cela
s’ajoutera aux coûts élevés entraînés par une enquête sur une atteinte à la protection
d’un système de sécurité, la restauration des données, les amendes réglementaires
sévères, les pertes d’exploitation et, dans de nombreux cas, la réparation du préjudice que
la perte de renseignements personnels a occasionné aux particuliers.
A1-112003970-A (09/14) 112003970
Étant donné la probabilité et le coût d’une atteinte à la protection des données, les
organisations dans le monde entier – à l’instar de compagnies américaines qui ont
déjà commencé à le faire – pourraient se tourner vers la cyber-assurance pour financer
le risque. Mais une compagnie multinationale peut s’attendre à des problèmes de
couverture et à d’autres difficultés si elle évite l’assurance agréée localement et qu’elle
compte plutôt sur une police mondiale pour couvrir ses cyber-risques, puisque bon
nombre de pays interdisent l’assurance non agréée.
L’information contenue dans la présente publication a été compilée à partir de sources estimées fiables à titre d’information seulement. Toutes les
politiques et procédures mentionnées à titre d’exemples dans la présente publication doivent servir de guide, que vous pouvez utiliser pour créer vos
propres politiques et procédures. Nous espérons que vous personnaliserez ces exemples pour les adapter à vos propres travaux et nous croyons que
ces exemples pourront servir de plateforme utile pour effectuer cette tâche. Toute information contenue dans la présente publication ne prétend pas
constituer un avis juridique et, par conséquent, vous devez consulter vos propres avocats pour mettre sur pied des programmes et des politiques. Nous
ne garantissons nullement l’exactitude de l’information fournie ni des résultats, et nous n’assumons d’ailleurs aucune responsabilité en lien avec la
présente publication et les politiques et procédures fournies à titre de modèles, y compris l’information, les méthodes ou les suggestions en matière
de sécurité renfermées dans la présente publication. De plus, Zurich vous rappelle que le présent document ne saurait prétendre contenir toutes les
procédures de sécurité et de conformité ni que ces procédures supplémentaires pourraient ne pas s’avérer appropriées dans les circonstances. Le
sujet traité dans la présente publication n’est lié à aucun produit d’assurance spécifique et le fait d’adopter ces politiques et procédures ne garantit
aucunement une protection qui serait accordée en vertu d’une police d’assurance.
Zurich
416 586 3000
www.zurichcanada.com
©2014 Zurich Compagnie d’Assurances SA

Télécharger le document technique

Transcription

Documents pareils

Cyber-risques

Le pronom

Se déplacer au Pérou - Réseau Espaces Volontariats

Morgan One Piece - Ecole élémentaire Victor Chapelliere Rimou

Vendredi 24 juillet 2013

En cas d`accident d`avion plusieurs assurances peuvent

one piece - BiblioLouve

Centragest-liberal - Le Réseau des Pages Franco Orientales

grandangle

Mission Valeurs Compétences Une association libre