L impact des lois internationales visant la protection de la vie privée sur l atténuation des cyber-risques

Transcription

1 L impact des lois internationales visant la protection de la vie privée sur l atténuation des cyber-risques

2 L impact des lois internationales visant la protection de la vie privée sur l atténuation des cyber-risques Introduction Ce qui est particulièrement éloquent de l exposition au cyber-risque dans le monde entier est le nombre abondant d atteintes même si les lois sur la protection des données personnelles dans bon nombre de pays à l extérieur du Canada n exigent pas à l heure actuelle que les compagnies qu elles régissent divulguent ces incidents. Une atteinte à la protection des données qui a compromise les renseignements personnels d environ 100 millions de clients d un important détaillant américain à la fin de 2013 a coûté à la compagnie approximativement 164 millions de dollars, y compris le coût de la mise à jour de sa technologie de protection des données. L atteinte à la protection des données a aussi tenu compte de la décision de la compagnie de remplacer son présidentdirecteur général et son chef de l information quelques mois après l incident. 1 Dans l une des séries de vols électroniques importants ciblant des renseignements importants commis récemment en Corée du Sud, les renseignements sur les cartes de crédit et d autres renseignements personnels de 20 millions de personnes ont fait l objet de vols au début de 2014 commis par un pirate informatique chez un entrepreneur en informatique dont les services avaient été retenus par un bureau de crédit de premier plan dans le pays. Dans le cadre de l enquête, les autorités compétentes de la Corée du Sud ont ordonné des enquêtes sur le plan des mesures de protection des données dans trois compagnies de cartes de crédit importantes de la Corée du Sud à la suite de preuves suggérant que le pirate informatique aurait eu accès au bureau au moyen de l un des systèmes informatiques de la compagnie. 2 On blâme les pirates informatiques d avoir volé des sommes encore indéterminées de devises numériques au début de 2014 à partir d un poste de change de bit coins important basé à Tokyo Le vol a forcé le bureau de change à fermer ses portes, menaçant sérieusement ainsi son avenir et entraînant des poursuites entamées par ses clients. Les estimations de la valeur du vol électronique, qui touche les clients du monde entier de la bourse, varient entre des millions de dollars à plus de 500 millions de dollars. 3 4 L atteinte à la protection des données de juin 2014, qui a mis en péril les renseignements des cartes de crédit et de débit de milliers de clients d une chaîne de restaurants aux É.-U. présents dans plus de 200 localités dans le monde entier, a attiré l attention du Service secret des É.-U. 5 6 Plus d un mois après l incident, que le président-directeur général de la compagnie affirme avoir été exécuté par une opération criminelle hautement sophistiquée, les restaurants de la chaîne utilisaient toujours les systèmes d impression de cartes manuels. 1. Target s CEO Steps Down Following The Massive Data Breach And Canadian Debacle. May 8, Forbes. 2. Credit card details on 20 million South Koreans stolen. Jan. 20, BBC. 3. Court Rejects Bankruptcy Protection For Mt. Gox. The Associated Press. April 16, Mt. Gox Hack Only Amounted to A Handful of Bitcoins: Study. Devin Coldewey. March 27, NBC News. 5. P.F. Chang s Confirms Data Breach. CNBC. June 13, Angelique Soenarie. P.F. Chang s updates progress in handling data breach. July 2, AZCentral.com. Ces exemples d atteintes à la protection des ordinateurs ne sont pas des exceptions mais ils illustrent le cyber-risque auquel chaque organisation disposant d un système informatique et d une connexion sur Internet fait face peu importe le lieu où elle est active dans le monde, selon les chercheurs et les experts dans le domaine. Ce qui est particulièrement éloquent de l exposition au cyber-risque dans le monde entier est le nombre abondant d atteintes connues, même si les lois sur la protection des données personnelles dans bon nombre de pays à l extérieur du Canada n exigent pas à l heure actuelle que les compagnies régies par ces lois divulguent ces incidents. Toutefois, ces lois vont probablement devenir plus sévères au cours des prochaines années. Déjà l Union européenne s apprête à mettre en œuvre une réglementation sur la protection des renseignements personnels plus rigoureuse qui imposerait des exigences en matière de divulgation et de notification aux clients plus importantes pour les compagnies qui font l objet d une atteinte à la protection des données. Plusieurs pays en Asie et en Amérique latine ont déjà entériné ce type de législation. Une réglementation plus sévère ne fera qu exacerber l impact financier des cyber-attaques qui ne cessent de croître. 2

3 Étant donné que les coûts potentiels des atteintes à la protection des renseignements personnels croissent et que les experts de la gestion des risques commencent à convaincre les cadres supérieurs des compagnies dans le monde entier que toutes les organisations sont vulnérables et qu elles seront victimes d un genre quelconque d atteinte à la protection des données éventuellement, les entreprises partout sur la planète envisageront vraisemblablement de contracter une assurance cyber-risques en tant qu option de financement des risques. Pour les compagnies multinationales, toutefois, la couverture des activités dans un autre pays en vertu d un programme-cadre international non agréé plutôt qu en vertu d une police d assurance agréée localement pourrait entraîner une multitude de complications advenant une perte. Les chiffres Bien que les lois sur la protection des renseignements personnels dans bon nombre de pays dans le monde entier n exigent pas que les compagnies notifient les clients lorsque leurs renseignements personnels ont été volés ou compromis, bon nombre de chercheurs et de consultants en cyber-sécurité ont fouillé pour trouver suffisamment d information au sujet de ces incidents pour exposer la magnitude du cyber-risque. Les résultats du sondage de PricewaterhouseCoopers mené auprès de cadres d entreprises de toutes les tailles dans 115 pays démontrent que le nombre d atteintes à la protection des renseignements personnels connues ne représente qu une fraction des incidents de sécurité auxquels les organisations font face. 7 La firme PwC a questionné les répondants au sondage en février 2013 au sujet de tous leurs incidents de protection de la vie privée, non seulement les atteintes à la protection des données, au cours des 12 mois précédents. Ces incidents incluent «tout mauvais incident qui menace un certain aspect de la sécurité informatique». Les répondants au sondage ont déclaré que leurs organisations ont fait face chacune d entre elles à incidents de sécurité en moyenne, ou à plus de 10 incidents chaque jour. Cela représente une augmentation de presque 27 pour cent par rapport aux incidents que les répondants ont signalés dans le sondage qui a eu lieu un an auparavant et une augmentation de 48 pour cent par rapport aux incidents signalés deux ans plus tôt. Mais à peine un cinquième des répondants 18 pour cent n ont pu répondre à la question dans le dernier sondage effectué, soit le double du pourcentage obtenu deux ans plus tôt. Cependant, entre 76 pour cent et 84 pour cent des cadres sondés ont déclaré qu ils étaient sûrs de leurs systèmes de sécurité. Les présidents-directeurs généraux comptaient parmi ceux qui étaient les plus sûrs, tandis que les directeurs financiers étaient les moins sûrs. Dans l ensemble, 74 pour cent des répondants au sondage étaient sûrs de leurs systèmes de sécurité. Menace derrière les chiffres Qui peut bien s intéresser à des renseignements personnels? Une source importante du problème est les criminels professionnels qui reproduisent les renseignements des cartes de paiement qu ils volent, sur des cartes contrefaites qui sont ensuite vendues The Global State of Information Security Survey September PricewaterhouseCoopers, CIO Magazine, CSO Magazine. 8. From April 25, 2014, interview with Ben Beeson, vice president-cyber security and privacy at Lockton Cos. Mais des parties fortement motivées ayant d autres projets en tête sont responsables également des atteintes à la protection des données. Des gouvernements ainsi que des concurrents de l industrie exercent du cyber-espionnage dans un souci de voler de la propriété intellectuelle. D autres fois, ces mêmes acteurs commettent du cyber-sabotage, interrompant et endommageant ainsi les réseaux informatiques ou les manipulant d une manière qui occasionne des dommages matériels à un site physique séparé où ces systèmes servent à contrôler. En outre, les parties ayant des projets politiques à l esprit ou les 3

4 hacktivistes portent atteinte aux systèmes des organisations avec qui ils ont des conflits idéalistes, dans l intention d interrompre leurs activités et d entacher leur réputation. 9 Plusieurs facteurs exacerbent le cyber-risque déjà significatif des organisations. Un facteur important est que bon nombre d organisations voient de nombreuses occasions de réduire les dépenses dans le domaine de la technologie. Mais ces mesures augmentent généralement le risque des cyber-attaques. 10 Les criminels qui tentent de porter atteinte à la sécurité des organisations sont aussi devenus beaucoup plus complexes dans la façon de préparer leurs attaques en concevant des logiciels malveillants spécifiquement pour une cible particulière. Par exemple, la voix sur le protocole Internet, ou VoIP, le service téléphonique est moins sécuritaire que la téléphonie conventionnelle à fil. De même, l informatique en nuage est plus rentable mais jugée moins sécuritaire par bon nombre de professionnels de la gestion des risques. Le fait de permettre aux employés d utiliser leurs appareils TI personnels y compris les téléphones intelligents, les tablettes et les ordinateurs portatifs au travail est à la fois une mesure qui permet d économiser et d augmenter le moral, mais cela peut exposer l organisation à un cyber-risque beaucoup plus grand. En outre, l Internet des objets le concept de brancher tous les jours des objets autres que les ordinateurs, les téléphones intelligents et les appareils de divertissement tels que les appareils de télévision et les lecteurs DVD à l Internet augmente considérablement aussi la vulnérabilité des organisations aux atteintes à la protection des données. Grâce aux télécopieurs et aux caméras de sécurité branchés à l Internet, l IdO a déjà créé le cyberrisque pour bon nombre d organisations. Les criminels qui tentent de porter atteinte à la protection des données des organisations sont aussi devenus beaucoup plus difficiles dans la façon de préparer leurs attaques en concevant des logiciels malveillants spécifiquement pour une cible particulière, ce qui peut augmenter considérablement les chances qu ils ne tarderont pas à porter atteinte à la protection des données de l organisation. Avant de lancer une attaque, ces pirates informatiques étudieront l organisation pour y détecter une faiblesse en matière de sécurité qu ils peuvent exploiter afin de sauter dans le système de l organisation de manière à ne pas être détectés. Cette ouverture, par exemple, pourrait être un vice-président qui joue au football virtuel et qui pourrait ne pas y penser à deux fois avant d ouvrir un message électronique envoyé au moyen du compte de la compagnie du cadre en provenance d un site Web de sports d apparence légitime qui est censé fournir d importants conseils concernant le jeu de football. Lorsque le cadre ouvre le courriel, lequel contient des renseignements légitimes pour éviter de susciter des soupçons, le logiciel malveillant intégré dans le message se fraye tranquillement un chemin dans le système de la compagnie. 11 Les pirates informatiques ont trouvé récemment un moyen différent de pénétrer dans le système des compagnies dont ils n avaient pas pu à ce jour accéder au système. Ils ont infecté le menu en ligne d un restaurant chinois qui est souvent fréquenté par les employés de la compagnie. Lorsque les employés de la compagnie ouvraient le menu en ligne, cela livrait le logiciel malveillant des pirates informatiques dans le système de la compagnie Ibid. 10. From April 29, 2014, interview with Larry Clinton, president and CEO of the Internet Security Alliance. 11.Ibid. 12. Hackers Lurking in Vents and Soda Machines. Nicole Perlroth. April 7, The New York Times. Ce qui facilite considérablement le travail des pirates informatiques ce sont les failles en matière de sécurité qui sont même supérieures aux propres mesures inappropriées d une organisation conçues pour sauvegarder les renseignements personnels des clients. Deux failles de ce genre se sont déjà manifestées depuis le début de 2014 seulement. L une d elles est la faille en matière de sécurité Heartbleed dans la technologie de cryptage à source ouverte. Environ les deux-tiers des serveurs Web dans le monde entier utilisent la technologie pour protéger toutes sortes de renseignements personnels, y compris les renseignements financiers, recueillis par les sites Web HTTPS. Heartbleed 4

5 a résulté d une erreur de codage dans la technologie de cryptage en mars Par conséquent, pendant deux ans, Heartbleed a permis aux pirates informatiques à la fois de voler des données personnelles à partir des serveurs et de créer de faux sites Web en double pour recueillir des données personnelles directement sans que personne ne sache que le risque existait. Pour régler le problème, les sites Web touchés ainsi que les particuliers doivent prendre diverses mesures. 13 Seulement quelques semaines après que la faille en matière de sécurité Heartbleed se soit manifestée, Microsoft a annoncé une importante faille en matière de sécurité avec les versions 6 à 11 de son navigateur Internet Explorer. La faille a procuré aux pirates informatiques qui utilisaient les ordinateurs de réseau le même niveau d accès que l utilisateur légitime, mettant en péril ainsi les renseignements personnels de millions d utilisateurs d IE (Internet Explorer). Le fabricant de logiciels cyber-sécurité FireEye a signalé que la faille a permis à un groupe de pirates informatiques d attaquer des institutions financières et des cabinets de défense aux É.-U. Microsoft a émis un programme de correction pour pallier la faille cinq jours après l avoir dévoilée. Les incidents Heartbleed et Internet Explorer sont des exemples de faille en matière de sécurité pratiquement isolés hors du contrôle d une organisation. Par exemple, les utilisateurs du ipad d Apple et des navigateurs Web Firefox et Safari ont eux aussi été victimes de failles en matière de sécurité et d atteintes à la protection des renseignements personnels. 16 Nouvelles règles du jeu Lorsque des atteintes à la protection des données se produisent, les lois visant la protection des renseignements personnels dans bon nombre de pays dans le monde entier n exigent pas des organisations qui en sont les victimes de notifier les clients que leurs renseignements personnels ont été volés ou compromis, bien qu il soit possible que les agences de réglementation concernant la protection des renseignements personnels doivent en être informées. 17 Par comparaison, les lois dans 47 États américains, dans le District de Columbia et dans plusieurs territoires appartenant aux É.-U. demandent à ce que les compagnies victimes d atteintes à la protection des données notifient leurs clients The Heartbleed security flaw that affects most of the Internet. Heather Kelly. April 9, CNN. 14. U.S. Government Suggests that You Switch from Internet Explorer. Jim Finkle. Reuters. April 27, Microsoft Issues IE Security Patch, Includes XP Users. Kelly Clay. May 1, Forbes. 16. Apple s Worst Security Breach: 114,000 ipad Owners Exposed. Ryan Tate. June 9, Gawker International Compendium of Data Privacy Laws. BakerHostetler. 18. State Security Breach Notification Laws. April 11, National Council of State Legislatures. 19. From May 9, 2014, interview with Yves Melin, partner avocat member of the Brussels bar at McGuireWoods LLP 20. BakerHostetler. Mais un modèle de réglementation ressemblant à celui des É.-U. qui impose des responsabilités de notification aux organisations ayant fait l objet d une atteinte à la protection des données se dirige vers l Europe, et cela pourrait forcer d autres pays à modifier de la même manière leurs lois visant la protection des renseignements personnels. En Europe actuellement, les règlements portant sur les atteintes à la protection des renseignements personnels ne sont pas uniformes, tout comme leur mise en application. 19 Par exemple, en Italie, les organisations sauf les fournisseurs de services de communication électronique offerts au public n ont aucune obligation de notifier les clients lorsque leurs renseignements personnels sont compromis. Au Royaume- Uni, il n y a aucune obligation autre que la Loi sur les télécommunications, mais l agence de réglementation sur la protection des renseignements personnels du pays en cause demande de notifier les clients si une atteinte à la protection des données touche un grand nombre de particuliers. La France a une exigence de notification à plusieurs niveaux qui commence par l agence de réglementation sur la protection des renseignements personnels du pays en cause et peut s étendre, à la discrétion de l agence de réglementation au particulier qui a été touché par l atteinte à la protection des renseignements personnels. L Allemagne exige que les organisations notifient les particuliers qui sont touchés par l atteinte à la protection des renseignements personnels si vraisemblablement l atteinte nuira considérablement à leurs droits et intérêts. 20 5

6 Bien que le Royaume-Uni et l Espagne se classent au premier et au second rang, respectivement, pour ce qui est du nombre de plaintes formulées au sujet de l atteinte à la protection des renseignements personnels et des amendes réglementaires les plus élevées en moyenne, les organisations font face au plus grand risque d amendes réglementaires au Portugal et en Roumanie. Le nombre maximal d amendes permis varie aussi beaucoup parmi les pays de l Union européenne (U.E.), pouvant varier de presque euros au Royaume-Uni, euros en France et euros au Portugal. 21 La proposition de réforme de la protection des renseignements personnels de la Commission européenne harmoniserait et durcirait considérablement les diverses règles de protection des renseignements personnels parmi les 28 États membres de l Union européenne et trois États de l Espace économique européen (EÉE) qui ne sont pas membres de l U.E. Parmi les autres dispositions, les réformes exigeraient que les organisations notifient sans tarder les agences de réglementation et possiblement les clients des détails d une atteinte à la protection des renseignements personnels. Les réformes fixeraient également une amende pouvant aller jusqu à 2 pour cent du revenu annuel dans le monde entier d une compagnie si les agences de réglementation locales déterminent que la compagnie a enfreint les dispositions de protection des renseignements de la directive. 22 En outre, les organisations qui ne sont pas basées en Europe mais qui y sont actives ou qui en ont l intention devront se conformer pleinement aux réformes y compris les dispositions relatives aux amendes. 23 Le Parlement européen et les États membres de l U.E. individuels doivent continuer d agir pour respecter la directive proposée de sorte que bon nombre d observateurs ne s attendent pas à ce que la proposition prenne effet avant la fin de 2015, voire en European Privacy Overview. 22. Progress on EU data protection reform now irreversible following European Parliament vote. March 12, European Commission. 23. Ibid. 24. From May 6, 2014, interview with Christopher Keegan, senior vice president and national resource for cyber and E&O at Willis North America. Si la réforme de notification concernant l atteinte à la protection des renseignements personnels réussit à survivre, comme prévu, on peut s attendre à ce que bon nombre d autres pays dans le monde entier adoptent une mesure semblable pour préserver leur réputation de partenaires commerciaux attrayants avec l Union européenne. 24 Déjà, les législateurs au Brésil un des pays faisant partie du bloc BRICS des marchés émergents importants envisagent des réformes à la protection des renseignements personnels fondées sur la proposition de l U.E. 25 En outre, le Canada, l Australie et la Nouvelle Zélande se dirigent dans cette direction. Entre-temps, les compagnies qui exercent des activités dans les pays particulièrement en Europe et en Asie où les lois sur la protection des renseignements personnels n incluent pas les dispositions de notification en cas d atteinte à la vie privée continuent de faire face à des coûts élevés sans compter les amendes réglementaires en vertu de ces réglementations. Les lois visant la protection des renseignements personnels dans certains de ces pays exigent que les organisations qui sont victimes d atteinte à la vie privée effacent toute utilisation fautive de l identité d un particulier à la suite d une atteinte à la vie privée et paient en compensation des dommages-intérêts un processus qui peut devenir complexe et coûteux BakerHostetler. 26. Ibid. 27. Keegan 28. From a May 1, 2014, interview with Kevin Kalinich, global practice leader for cyber risk insurance at Aon Risk Solutions. 6

7 En faveur du financement du cyber-risque Une atteinte à la protection des renseignements personnels peut entraîner de nombreuses dépenses: les enquêtes judiciaires qui s ensuivent, une mise à jour de la technologie et du logiciel, la restauration des données, les pertes d exploitation dues à une interruption des activités, les notifications de l atteinte à la protection des renseignements personnels, les remèdes pour pallier l utilisation fautive des données, les amendes réglementaires, la défense des litiges, les règlements ou les sommes accordées par la cour. Une atteinte de ce type peut aussi entraîner une poursuite judiciaire contre des administrateurs et des dirigeants d une organisation, si les actionnaires croient que l entité disposait particulièrement d une sécurité des données laxiste ou avait un financement cyberrisque inapproprié établi pour couvrir ces coûts émergeant d une atteinte à la protection des renseignements personnels. Une assurance de la RC des administrateurs et dirigeants ne couvrirait généralement pas ces coûts, y compris les réclamations de responsabilité civile découlant des erreurs et omissions présentées par les clients d une organisation fournissant des services. 29 Alors que davantage de pays renforcent leurs lois sur la protection des renseignements personnels, les coûts potentiels d une violation de données pour une organisation piratée, ne feront qu augmenter. Une organisation dont les renseignements personnels sont compromis engagera vraisemblablement au moins une partie de ces dépenses et possiblement la totalité de ces dépenses, selon le lieu dans le monde où leurs clients résident. Étant donné que de plus en plus de pays qui renforcent leurs lois visant la protection des renseignements personnels, les coûts d une atteinte à la protection des renseignements personnels pour une organisation victime d un acte de piratage informatique ne fera qu augmenter. Par conséquent, un plus grand nombre d organisations partout dans le monde étant donné le nombre croissant de compagnies qui l ont déjà fait envisageront vraisemblablement de financer leur cyber-risque, ce qui pourrait s élever à des millions de dollars en dépenses pour une seule atteinte à la protection des données. Par exemple, après une atteinte à la protection des données, une compagnie du marché des moyennes et grandes entreprises générant des revenus bruts annuels de l ordre de 1 milliard $ partout dans le monde pourrait faire face à une amende de 2 millions $ en vertu des réformes proposées concernant l atteinte à la protection des renseignements personnels de l U.E. Cette perte n inclurait pas les autres coûts potentiels qui pourraient surgir d une atteinte de ce genre. La gestion des risques dans une organisation multinationale pourrait envisager d assurer son cyber-risque à l échelle mondiale en vertu d une seule police d assurance offrant une couverture mondiale pour l entité au complet. Mais la stratégie du financement de risque comparativement à l achat d un véritable programme international à l aide d un contrat cadre et d une garantie séparée et agréée localement dans chaque pays où l organisation est exposée à un cyber-risque pourrait créer une indemnisation et des problèmes d impôts pour une organisation qui subit une perte étant couverte. 29. From May 6, 2014, interview with Ann Longmore, executive vice president and D&O practice leader at Willis North America. 30. From Aug. 5, 2013, interview with Lee Lindsay, managing director and international product adviser at Aon Financial Services Group. Bon nombre de pays dans le monde ne permettent pas d assurance non agréée. Selon Axco Insurance Services, Ltd., seulement deux douzaines de pays dans le monde principalement en Europe permettent une assurance non agréée. Mais certains spécialistes en droit disent qu il y en a même moins. Dans encore un plus grand nombre de pays, il y a des interprétations juridiques conflictuelles de l admissibilité d assurance non agréée, parce que les lois et les règlements dans ces territoires juridiques sont vagues sur le sujet, et il n y a pas de jurisprudence sur ce point. 31. From Aug. 15, 2013, interview with Heidi Lawson, member, Mintz, Levin, Cohn, Ferris, Glovsky and Popeo P.C., Boston. 7

8 Bien que la réglementation en matière d assurance en Europe au premier coup d œil indique qu un programme d assurance cadre international souscrit au Canada serait parfaitement acceptable, en réalité il existe de sérieux problèmes lorsqu il s agit de rendre ces programmes internationaux conformes à la réglementation d assurance locale sur tout le continent. En vertu des règlements d assurance dans toute l Europe, qui se conforment à la troisième directive d assurance non-vie de l U.E., tous les pays de l Espace économique européen (EÉE) acceptent comme étant valide un contrat d assurance émis par un assureur autorisé dans un autre pays de l EÉE. Cette police d assurance offrant une liberté de service peut être liée à une cyber-police cadre internationale émise à l extérieur de l EÉA, éliminant par le fait même le besoin d une société mère non basée dans l EÉE d acheter des polices locales dans chacun des pays de l EÉE où la société mère est exposée à la cyber-responsabilité civile. De la même façon, dans d autres territoires juridiques à l extérieur de l EÉE qui interdisent l assurance non agréée, une police locale peut être liée à un contrat cadre international pour fournir les limites supplémentaires locales et des conditions de couverture plus étendues sur une base de Différences dans les conditions ou Différence dans les limites de base. Toutefois, ces acheteurs d assurance ne sont pas dégagés de la responsabilité de s assurer que leurs programmes d assurance internationaux soient conformes aux nombreuses et différentes et parfois contradictoires exigences en matière d assurance dans chaque pays de l EÉE. Plutôt que de tenter de répondre à ce défi de taille et peut-être impossible à relever appartenant au domaine de la réglementation, les gestionnaires des risques pourraient garantir que leur programme se conformera à la réglementation en achetant une cyber-police locale dans chacun des pays de l EÉE où la société mère est exposée à ce cyber-risque. Un gestionnaire des risques pourrait alors lier l assurance locale à un programme cadre international de la société mère pour des limites supplémentaires et des conditions de couverture plus étendues, s il y a lieu. La non-conformité aux lois et aux règlements locaux régissant l assurance non agréée peut s avérer coûteuse de bon nombre de façons y compris les amendes réglementaires, les taxes sur les primes non prévues et les cotisations d impôts sur le revenu imposées à la société mère et les territoires juridiques dans le monde entier sont de plus en plus à l affût de contrevenants. Ces risques émanent d une décision de la Cour de justice de l U.E. en 2001 dans un procès portant sur les taxes sur les primes d assurance non-vie qui non seulement a posé un précédent en Europe mais aussi a influé sur les agences de réglementation dans le monde entier. Le procès a examiné si Kvaerner P.L.C. basé à Londres, qui a couvert une filiale hollandaise en vertu d un programme d assurance de responsabilité civile professionnelle internationale, a été obligé de payer une taxe sur la prime dans les Pays-Bas même si la couverture n avait pas été achetée là Kalinich. 33. Lindsay. 34. Lawson. 35. Kvaerner P.L.C. vs. Staatssecretaris van Financien. June 14, European Court of Justice. EU: Case C-191/99. WestLaw [2001] ECR I Lawson. 37. Keegan. La cour a décidé que Kvaerner maintenant TH Global Ltd. était tenu de payer une taxe sur la prime sur la portion de son programme international qui couvrait son risque hollandais. La décision a plusieurs implications pour chaque organisation multinationale, que celle-ci ait ou non des activités seulement en Europe ou à l échelle internationale. Dans chacun des pays de l EÉE où le risque est couvert en vertu d un programme cadre international, l organisation doit s acquitter des taxes sur les primes, et les agences de réglementation vont s efforcer de les percevoir. Toutefois, un courtier local ou un assureur local doit généralement les remettre. Mais puisque ni l un ni l autre serait utilisé dans un programme international, il n y a pas de mécanisme pour payer la taxe sur les primes, ce qui peut alors mener à de sérieux problèmes: 8

9 Si un souscripteur de programme international règle un sinistre à une société mère plutôt qu à sa filiale étrangère, ces recettes peuvent être assujetties à la taxation du pays en question et alors encore à l étranger si la société mère déplace les fonds à sa filiale. Une agence de réglementation pourrait interdire à la société mère de déplacer les fonds de sa filiale si cette transaction contrevenait à l investissement permissible maximal de la société mère dans la filiale. Une organisation qui est active dans un territoire juridique qui interdit une garantie non agréée mais qui est couverte par une cyber-assurance émise ailleurs abandonne également des services importants. Les assureurs prennent les dispositions nécessaires et couvrent l évaluation du risque, les services fournis par le Service des risques et le Service de l ingénierie, le traitement des sinistres et les enquêtes judiciaires portant sur la perte subie. Mais un assureur non agréé ne peut pas prendre des dispositions nécessaires pour ce faire et pour couvrir ces services dans les pays où il ne peut fournir de l assurance. 38. Beeson. 39. Longmore. 9

10 Conclusion Les spécialistes en matière de sécurité des données n aiment pas utiliser le mot si. Selon eux, une atteinte à la sécurité est inévitable. Les spécialistes en matière de protection des données n aiment pas utiliser le mot si. Pour eux, une atteinte à la sécurité est inévitable. Elle peut être retardée, mais à un moment donné, la vague des pirates informatiques, motivés souvent par les bénéfices mais aussi pour des raisons politiques et autres, trouveront un moyen de pénétrer le système de richesses d une organisation les renseignements personnels de milliers ou de millions de clients. Entre-temps, dans le sens inverse, les législateurs dans bon nombre de pays particulièrement en Europe étudient la possibilité d ajouter un poids financier supplémentaire aux organisations qui subissent des atteintes à la protection de leur système de sécurité. Ces organisations touchées dans de nombreux autres pays devront vraisemblablement sous peu notifier chaque client dont les données ont été volées. Cela s ajoutera aux coûts élevés entraînés par une enquête sur une atteinte à la protection d un système de sécurité, la restauration des données, les amendes réglementaires sévères, les pertes d exploitation et, dans de nombreux cas, la réparation du préjudice que la perte de renseignements personnels a occasionné aux particuliers. Étant donné la probabilité et le coût d une atteinte à la protection des données, les organisations dans le monde entier à l instar de compagnies américaines qui ont déjà commencé à le faire pourraient se tourner vers la cyber-assurance pour financer le risque. Mais une compagnie multinationale peut s attendre à des problèmes de couverture et à d autres difficultés si elle évite l assurance agréée localement et qu elle compte plutôt sur une police mondiale pour couvrir ses cyber-risques, puisque bon nombre de pays interdisent l assurance non agréée. A A (09/14) L information contenue dans la présente publication a été compilée à partir de sources estimées fiables à titre d information seulement. Toutes les politiques et procédures mentionnées à titre d exemples dans la présente publication doivent servir de guide, que vous pouvez utiliser pour créer vos propres politiques et procédures. Nous espérons que vous personnaliserez ces exemples pour les adapter à vos propres travaux et nous croyons que ces exemples pourront servir de plateforme utile pour effectuer cette tâche. Toute information contenue dans la présente publication ne prétend pas constituer un avis juridique et, par conséquent, vous devez consulter vos propres avocats pour mettre sur pied des programmes et des politiques. Nous ne garantissons nullement l exactitude de l information fournie ni des résultats, et nous n assumons d ailleurs aucune responsabilité en lien avec la présente publication et les politiques et procédures fournies à titre de modèles, y compris l information, les méthodes ou les suggestions en matière de sécurité renfermées dans la présente publication. De plus, Zurich vous rappelle que le présent document ne saurait prétendre contenir toutes les procédures de sécurité et de conformité ni que ces procédures supplémentaires pourraient ne pas s avérer appropriées dans les circonstances. Le sujet traité dans la présente publication n est lié à aucun produit d assurance spécifique et le fait d adopter ces politiques et procédures ne garantit aucunement une protection qui serait accordée en vertu d une police d assurance. Zurich Zurich Compagnie d Assurances SA