Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Cette série propose aux équipes de direction et aux conseils d’administration canadiens des façons pratiques de renforcer la surveillance et de protéger la valeur de l’entreprise dans un monde numérique qui évolue rapidement.
Les infrastructures technologiques favorisent l’efficacité opérationnelle et la mobilisation des clients, en plus de procurer un avantage concurrentiel. C’est toutefois leur assise juridique – vos contrats – qui protège l’entreprise en cas de problème. Le conseil d’administration doit donc chercher activement à comprendre en quoi les contrats technologiques contribuent à l’atteinte des objectifs de protection de la vie privée, de cybersécurité et de conformité.
Pourquoi est-ce important?
Les organisations confient à des tiers certains services névralgiques, notamment l’infonuagique et les logiciels-services. Les relations avec ces fournisseurs posent des risques juridiques et opérationnels, surtout quand les contrats ne définissent pas clairement les rôles, les responsabilités ou les obligations en cas d’incident. Ces faiblesses contractuelles exposent l’organisation à des atteintes à la sécurité des données, à des pannes, voire à des sanctions pécuniaires.
Surveillées de près par leurs parties prenantes et les organismes de réglementation, les entreprises doivent démontrer qu’elles prennent des mesures raisonnables pour gérer les risques associés aux tiers. La première ligne de défense? Les contrats.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
1. Clarté des obligations de signalement et d’intervention en cas de problème
Les contrats doivent indiquer clairement quand et comment les fournisseurs doivent signaler les incidents. Ils doivent aussi prévoir des procédures d’escalade, des obligations de coopération et des droits d’accès.
2. Droits de vérification et visibilité des risques
Le conseil d’administration doit s’assurer que les contrats prévoient des vérifications périodiques des pratiques des fournisseurs, y compris les certifications de sécurité, les contrôles opérationnels et les incidents passés. Sans droit de vérification, c’est difficile de bien cerner les risques.
3. Résidence et souveraineté des données
Où vos données sont-elles conservées? Les contrats doivent traiter de la résidence des données, de la compétence des tribunaux et du transfert international de données. C’est essentiel au respect des lois canadiennes et des règlements internationaux sur la protection des renseignements personnels.
4. Attribution de la responsabilité juridique
Les contrats doivent préciser qui est responsable de la conformité juridique (obligations de protection de la vie privée, atteintes à la sécurité des données, indemnités contractuelles…). Le conseil d’administration doit exiger un examen juridique de tous les contrats clés avec des fournisseurs.
5. Planification de la fin du contrat et de la transition
Les contrats doivent comprendre des dispositions sur la fin du contrat, la transition et le retour des données. Le conseil d’administration doit vérifier la présence de plans de continuité des relations avec les fournisseurs clés.
Dernières réflexions
La force des infrastructures numériques tient non seulement aux technologies, mais aussi aux contrats qui anticipent les risques et établissent les responsabilités. Le conseil d’administration doit s’assurer que les équipes des TI et de l’approvisionnement respectent les normes juridiques et la tolérance au risque. Après tout, la qualité des contrats est un impératif stratégique.
