La transformation numérique et les principaux risques liés à la technologie, à la cybersécurité et à la protection de la vie privée

Les entreprises investissent dans la transformation numérique depuis quelques années déjà. Pour plusieurs d’entre elles, la pandémie a accéléré leur passage au numérique en vue de permettre, entre autres choses, la transition vers une certaine forme de télétravail, et ce, même si l’on envisage un retour sur les lieux de travail au cours des prochains mois.

Il n’y a pas, pour ainsi dire, de définition unique qui décrit ce qu’est la « transformation numérique ». Précisons simplement qu’elle englobe i) la modernisation des systèmes et des infrastructures en fin de vie utile, ii) l’accélération du passage à l’infonuagique et au XaaS (tout en tant que service) et iii) la création et l’utilisation de nouvelles technologies comme l’intelligence artificielle et l’apprentissage automatique. La justification sous-jacente de ces initiatives est le potentiel qu’elles représentent en termes d’économies de coûts et de gains d’efficience qui profiteront aux activités de l’entreprise.

À l’instar de toute grande initiative, la réussite d’une transformation numérique repose sur la détection des principaux risques et la mise en œuvre de mesures (notamment contractuelles) visant à les atténuer. Le type et la gravité des risques sont tributaires de divers facteurs, dont le modèle d’affaires de l’entreprise, ses parties prenantes et la complexité de sa technologie. Dans cet article, nous abordons brièvement les risques associés à la transformation numérique du point de vue de la technologie, de la cybersécurité et de la protection de la vie privée.

Risques liés à la technologie

Comme point de départ, songez à tous les différents types de technologies que votre entreprise envisage de mettre en œuvre dans le cadre de sa stratégie globale de transformation numérique (p. ex. 5G, Web 3.0, Smart API, AI/ML, IOT, DevOps, les chaînes de blocs et l’infonuagique). L’élaboration d’un cadre visant à regrouper la totalité ou une partie de ces technologies sous un cadre de référence cohérent et unifié devrait être une priorité absolue. En l’absence d’un tel cadre, une entreprise pourrait se retrouver à gérer un ensemble disparate de technologies, de services et de contrats. Par conséquent, votre équipe juridique devrait prendre les devants en veillant à la mise en place de la méthodologie, des normes de présentation de l’information, des mesures de contrôle et des redressements structurants, soit tous les éléments autour desquels s’articulera la transformation numérique.

L’un des principaux défis réside dans le risque lié à l’adoption précoce d’une technologie, c’est-à-dire lorsque le fournisseur d’une technologie prometteuse n’a pas à son actif une longue feuille de route en matière de déploiements réussis. Il s’ensuit que l’entreprise prend essentiellement plus de risques qu’elle ne le ferait normalement pour s’offrir la possibilité de mettre en œuvre une technologie prometteuse plus rapidement. Quoi qu’il en soit, il y a des moyens d’atténuer certains des risques connexes. Par exemple, le contrat conclu avec le fournisseur devrait stipuler clairement les modalités relatives à la livraison de la technologie dans les délais et dans le respect du budget et des normes techniques définies ou acceptables. L’entreprise devrait également insister sur l’existence de mesures de redressement efficaces et exécutoires pour remédier aux défaillances si elle souhaite éviter des frais et des pertes supplémentaires irrécouvrables (surtout si la technologie en question est cruciale pour l’entreprise). En déterminant les recours qu’elles pourraient exercer, les entreprises devraient tenir compte des différents scénarios de défaillance possibles et tenter de les quantifier en fonction des pertes financières potentielles pour l’entreprise, y compris du point de vue de la perturbation des activités.

Une autre façon de minimiser les risques consiste à effectuer des essais rigoureux de validation du concept qui permettront d’évaluer la fonctionnalité et la performance de la technologie par rapport aux déclarations faites par le fournisseur. Cette étape représente surtout une excellente occasion d’évaluer l’interaction entre la nouvelle technologie et les autres technologies (nouvelles ou anciennes). En d’autres termes, il faut se demander si la technologie A interagit comme prévu avec la technologie B existante de même qu’avec une nouvelle technologie C. Si ce n’est pas le cas, n’y aurait-il pas lieu de remettre en question l’acquisition par l’entreprise de cette technologie A?

Enfin, aucun projet de transformation numérique ne se déroule de manière entièrement cloisonnée, et les entreprises devraient déterminer quel soutien pourrait devoir être fourni par d’autres fournisseurs de services tiers et quelle interaction pourrait être requise avec ceux-ci. Tout changement apporté à un élément de l’infrastructure informatique est susceptible d’avoir un impact sur d’autres éléments de l’environnement informatique global de l’entreprise. C’est pourquoi il convient de se pencher attentivement sur l'interdépendance des parties lorsqu’il est question d’intégrer un nouveau fournisseur de services.

Risques liés à la cybersécurité

Assurer la protection des données et de l’environnement numérique contre les accès non autorisés représente un autre défi de taille pour les projets de transformation numérique. Comme nous l’avons mentionné dans notre publication précédente, la pandémie de COVID-19 et le télétravail présentent des risques accrus en matière de sécurité pour les organisations et augmentent l’exposition à des cyberattaques ou à d'autres accès non autorisés. Les organisations auraient donc intérêt à assurer la protection des données dans l’ensemble de l’écosystème numérique, notamment les données au repos et en mouvement. Cette tâche peut s’avérer difficile lorsque les données doivent parcourir une infrastructure informatique complexe – à laquelle les fournisseurs ont parfois accès et où, dans d’autres cas, les données en question sont carrément confiées aux fournisseurs.

Durant la pandémie, le nombre de cyberattaques a augmenté et les auteurs de menaces ont usé de tactiques nouvelles, comme la « double extorsion », mettant les organisations à haut risque de perturbation de leurs activités. Le recours à des outils numériques supplémentaires a également fait croître les occasions d’erreur humaine, souvent exploitées par ces mêmes auteurs de menaces. Alors que de nombreuses organisations migrent vers un environnement davantage numérique pour s’adapter au travail en présentiel et au télétravail, il est important de concevoir et de mettre en œuvre des formations, des politiques et des contrôles pour assurer une protection contre les menaces en matière de cybersécurité. Par exemple, la transition vers une infrastructure infonuagique pour le courrier électronique qui ne s’accompagnerait pas d’une authentification multifactorielle et d’une formation et de contrôles appropriés en matière d’hameçonnage peut exposer l’organisation à une atteinte à sa cybersécurité. Les organisations devraient également évaluer si l’environnement numérique appelé à être mis en œuvre leur permettra d’obtenir, en cas d’atteinte à la cybersécurité, des éléments de preuve concernant leurs données, et si de tels éléments de preuve peuvent être admissibles en cour.

D’un point de vue contractuel, l’entreprise devrait insister pour que les normes de sécurité de l’information auxquelles sera assujetti le fournisseur soient claires. L’entreprise devrait également pouvoir évaluer et vérifier la conformité du fournisseur aux exigences stipulées dans le contrat. De plus, le libellé du contrat devrait énoncer clairement les circonstances dans lesquelles le fournisseur engage sa responsabilité en cas d’atteinte à la cybersécurité, l’étendue de la responsabilité financière de ce dernier et les coûts que pourrait devoir absorber l’entreprise. Cette étape peut souvent se révéler délicate, car l’issue tient parfois à la marge de manœuvre dont dispose une partie dans les négociations. Néanmoins, en omettant de s’attarder à ces éléments et d’en faire des points de négociation, l’entreprise peut se retrouver dans une situation très vulnérable si elle est victime d’atteinte à sa cybersécurité ou à la sécurité de ses données.

Risques liés à la protection de la vie privée et à la réglementation

Avec la pandémie de COVID-19 et l’utilisation accrue des technologies numériques, il est encore plus important d’assurer la protection des renseignements personnels. Les organisations de toutes tailles recueillent désormais davantage de renseignements personnels, notamment en matière de santé, au sujet de leurs employés et de leurs clients. La collecte, l’utilisation et la communication de ces renseignements personnels confidentiels doivent se faire en conformité avec les lois applicables en matière de protection des renseignements personnels. Selon le secteur dans lequel l’organisation exerce ses activités, le type de renseignements personnels recueillis et les méthodes de collecte employées, les organisations pourraient également être tenues de se conformer à d’autres exigences réglementaires. À titre d’exemple, une organisation ayant maintenant recours à des modes de paiement numériques pourrait devoir se conformer aux normes de sécurité des données de l’industrie des cartes de paiement (également appelées normes PCI DSS) et, s’il y a lieu, à d’autres exigences pouvant être imposées par des organismes de réglementation comme le Bureau du surintendant des institutions financières.

La recrudescence des cyberattaques signifie que l’exercice d’une surveillance en matière de sécurité est plus indispensable que jamais. Or, toute augmentation de la surveillance des renseignements ou tout accès élargi à ceux-ci devra tenir compte du droit à la vie privée des employés et des clients. Vu l’absence de directives réglementaires concernant les renseignements personnels des employés dans la plupart des territoires au Canada, et compte tenu des changements à venir touchant le régime canadien de protection de la vie privée, les organisations devront se pencher sur les moyens à prendre pour assurer leur conformité lorsqu’elles actualiseront leurs politiques et contrôles en matière de protection de la vie privée.

De plus, les entreprises font l’objet d’une surveillance accrue lorsqu’elles doivent démontrer qu’elles se conforment aux lois de plusieurs territoires en matière de protection de la vie privée, ce qui rend souvent ardue la conclusion de contrats avec des fournisseurs qui ne peuvent pas garantir leur conformité aux lois sur la protection de la vie privée dans les territoires de compétence du monde entier – plus particulièrement ceux dont les exigences de conformité sont très contraignantes. Toutefois, les entreprises doivent soupeser les risques et les possibilités qui s’offrent à elles et, dans certains cas où le risque associé à la vie privée est trop élevé (par exemple dans les cas où la non-conformité entraînerait des sanctions monétaires importantes), elles devraient envisager la possibilité de revoir à la baisse la solution technologique proposée ou établir si des garanties supplémentaires peuvent être obtenues de la part du fournisseur.

Conclusion

En bref, les projets de transformation numérique sont incontournables, et les équipes juridiques et d’approvisionnement devraient se donner pour rôle i) d’élaborer un cadre global qui orientera l’initiative de manière cohérente et ii) de s’attarder au libellé des clauses contractuelles, car ces démarches représentent l’une des rares manières d’atténuer sensiblement les risques associés à l’adoption précoce de nouvelles technologies.