Tour D’horizon Des Menaces: Perspectives 2026 Sur Les Incidents De Confidentialité – Partie 1

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. Découvrez la série complète.

Les incidents de confidentialité ont représenté un enjeu important et coûteux pour les entreprises en 2025. Selon un rapport d’IBM publié en juillet 2025 intitulé « Cost of a Data Breach 2025 » (le « Rapport IBM »), le coût moyen d’un incident de confidentialité au Canada était de 6,6 M$ CA.¹ Les coûts découlant des incidents de confidentialité proviennent des perturbations opérationnelles, de la réponse aux incidents (p. ex., la cyberenquête et l’investigation numérique), et de la conformité aux lois en matière de protection de la vie privée applicable (lesquelles se chevauchent souvent), y compris les exigences en matière de notification et de tenue de registres liées aux incidents. Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRP du Québec ») impose des amendes sévères liées aux incidents et aux interventions en cas d’incidents, pouvant atteindre 2 % du chiffre d’affaires mondial ou 10 M$ CA pour des sanctions administratives pécuniaires, et jusqu’à 4 % ou 25 M$ CA pour des sanctions pénales.² Compte tenu des coûts élevés découlant des incidents de confidentialité, les entreprises devraient surveiller attentivement la menace qu’ils représentent afin de renforcer leurs stratégies de préparation et d’atténuation des risques liées à de tels incidents.

Dans un tel contexte, le présent article offre un aperçu des principales cybermenaces externes et internes susceptibles d’avoir une influence sur le risque lié aux incidents de confidentialité pour les organisations canadiennes en 2026. L’analyse commence par un tour d’horizon des menaces externes, notamment l’examen de l’élargissement du groupe des auteurs de cybermenaces, la complexité croissante des attaques – en particulier celles rendues possibles par l’intelligence artificielle (IA) – et l’impact grandissant des rançongiciels, des compromissions aux chaînes d’approvisionnement et des attaques contre les systèmes d’entreprise fondés sur l’IA. Elle se tourne ensuite vers les menaces internes, notamment les erreurs humaines, l’informatique de l’ombre (shadow IT) et les conséquences juridiques pouvant découler de l’usage abusif des données par les employés. Ensemble, ces différentes parties de l’analyse visent à aider les organisations à mieux comprendre l’environnement des risques auxquels elles sont confrontées et à proposer des stratégies pratiques d’atténuation des risques compte tenu de l’évolution constante des cybermenaces.

Points clés à retenir

• Les incidents de confidentialité demeurent un risque commercial à fort impact au Canada. Les coûts des incidents ne cessent d’augmenter, et les organisations font face à une exposition importante au risque lié au non-respect de la loi (en particulier au Québec), ce qui rend la préparation et la gouvernance essentielles.
• Le contexte des menaces externe est plus large, évolue très rapidement et est plus professionnel. La cybercriminalité comme service (« CaaS ») et les outils optimisés par l’IA ont réduit les barrières à l’entrée et augmenté l’ampleur, la complexité et l’imprévisibilité des attaques. Nous constatons des avancées notables dans la sophistication des rançongiciels et du piratage psychologique.
• Les attaques visant les chaînes d’approvisionnement et centrées sur l’IA émergent comme des risques systémiques. La concentration des fournisseurs et le fait que les entreprises utilisent de plus en plus des systèmes d’IA font émerger de nouveaux vecteurs d’attaque.
• Les menaces internes demeurent une cause majeure d’incidents de confidentialité et d’exposition juridique. L’erreur humaine, l’informatique de l’ombre et l’usage abusif des données par les employés continuent de provoquer des incidents, ce qui renforce la nécessité de contrôles internes rigoureux, de formations et d’une culture axée sur la conformité.

I. Tour d’horizon des menaces externes

A. Aperçu des menaces externes

Ces dernières années, de nombreuses entreprises ont accepté la dure réalité qu’il ne s’agit pas de savoir « si » des acteurs externes parviendront à pénétrer leurs défenses, mais plutôt « quand », « quelle sera la gravité de l’incident » et « quel sera notre degré de préparation à cet égard ». Ce sentiment est partagé par le Centre canadien pour la cybersécurité (le « CCCS »). Dans son Évaluation des cybermenaces nationales 2025-2026 (le « Rapport ECN 25/26 »), le CCCS écrit que « [L]e Canada se retrouve dans une nouvelle ère de cybervulnérabilité, où les cybermenaces sont omniprésentes et où les Canadiennes et Canadiens ressentiront de plus en plus les répercussions des cyberincidents qui s’enchaînent et perturbent leur vie quotidienne. »³

i) Augmentation du nombre d’auteurs de cybermenaces

Le CCCS explique que l’environnement de cybermenaces est en pleine expansion en partie à cause de la prévalence croissante des modèles de CaaS. Dans le cadre de la CaaS, des auteurs de cybermenaces sophistiqués conçoivent et commercialisent des trousses d’exploitation, des outils de vol de données, des rançongiciels et d’autres cyberopérations offensives, qui sont ensuite vendus ou loués à des criminels moins techniquement compétents évoluant dans des marchés clandestins. Ce modèle réduit considérablement les obstacles traditionnels à l’entrée et augmente le nombre total ainsi que la diversité des auteurs de cybermenaces en activité. Le rapport de Google, Cybersecurity Forecast de 2026 (le « Rapport de Google 2026 ») confirme cette évaluation, notant l’émergence d’un écosystème de cybercriminalité mature et industrialisé dans lequel les auteurs d’attaques exploitent de plus en plus des outils d’IA pour amplifier la vitesse, la portée et l’efficacité de ces attaques fondées sur des services.⁴

L’effet combiné est une réduction spectaculaire – voire dans certains cas une suppression – des obstacles traditionnels liés aux compétences, ce qui augmente le nombre total, la diversité et la portée géographique des auteurs de cybermenaces externes.

ii) Une plus grande sophistication

Des outils optimisés par l’IA. Un facteur majeur qui façonne le paysage des risques est l’augmentation de l’utilisation d’outils de haute qualité optimisés par l’IA par les auteurs de cybermenaces. Dans le Rapport ECN 25/26, le CCCS écrit que « Les technologies d’IA réduisent presque certainement les obstacles à l’entrée et augmentent la qualité, l’ampleur et la précision des activités de cybermenace malveillantes ».⁵ Les systèmes d’IA agentive (soit les systèmes d’IA capables de planifier et d’exécuter de manière autonome des tâches à travers plusieurs étapes d’une attaque avec une supervision humaine minimale) sont de plus en plus utilisés pour amplifier et accélérer les cyberattaques.⁶

La CaaS. En plus de réduire les obstacles à l’entrée pour les auteurs de cybermenaces, la CaaS est également utile pour les entreprises criminelles établies. Le Rapport de Google 2026 décrit un écosystème de cybercriminalité mature et industrialisé dans lequel des groupes spécialisés fournissent des outils d’exploitation du jour zéro (zero-day exploits), des trousses d’exploitation pour la gestion du transfert de fichiers ou gestionnaire MFT (managed file transfert), des modules sophistiqués de piratage psychologique et une infrastructure pour les campagnes de vol de données et d’extorsion. Cette professionnalisation permet aux groupes criminels d’augmenter et d’étendre la portée des activités existantes, produisant des attaques à plus fort impact et avec une plus grande efficacité opérationnelle.⁷

iii) Parrainage par des États

Le nombre de conflits géopolitiques, de tensions et de rivalités touchant le Canada ou ses partenaires alliés demeure élevé au moment de la rédaction du présent article. Dans un tel contexte, les opérations dans le cyberespace sont devenues une caractéristique persistante de l’art de gouverner, et la cyberactivité parrainée par un État représente désormais une menace importante et croissante pour les organisations canadiennes – en particulier celles exerçant leurs activités dans les infrastructures critiques, le gouvernement, la recherche et les secteurs technologiques. Le rapport du Forum économique mondial intitulé Global Cybersecurity Outlook 2026 (« Rapport du FEM 2026 ») indique que 64 % des organisations interrogées prennent en compte les cyberattaques motivées par des raisons géopolitiques.⁸

Selon le CCSC, les acteurs parrainés par un État figurent parmi les groupes malveillants les plus sophistiqués et les mieux dotés en ressources.⁹ Leurs objectifs incluent souvent l’espionnage, le vol de propriété intellectuelle et la perturbation des services essentiels.¹⁰ L’impact de telles activités peut être grave, entraînant la perte de données sensibles, des perturbations dans l’exploitation et même des risques pour la sécurité nationale.

B. Principales menaces externes

Les menaces externes suivantes devraient représenter des risques importants pour les entreprises tout au long de l’année 2026.

i) Rançongiciels

Le rançongiciel demeure l’une des menaces les plus persistantes et financièrement perturbatrices. Le Rapport ECN 25/26 explique que la « menace de rançongiciel continuera presque certainement de croître au cours des deux prochaines années », notant que les opérateurs de rançongiciel se sont probablement remis de la pression accrue exercée par les forces de l’ordre et des autres perturbations visant l’écosystème du rançongiciel des dernières années.¹¹

Les entreprises devraient tenir compte des tendances suivantes en matière de rançongiciel lorsqu’elles élaborent leurs stratégies de prévention et de réponse.

• Rançongiciel comme service (Ransomware‑as‑a Service (RaaS) visant des associés : dans le modèle RaaS, les organisations mères d’auteurs de cybermenaces vendent ou louent leur variante de rançongiciel à des associés. Un résultat notable de cette externalisation « sous marque blanche » aux associés est une volatilité accrue dans le comportement des auteurs de cybermenaces.¹² Par exemple, l’entreprise victime A pourrait avoir une expérience très différente de l’entreprise victime B lorsqu’elle traite avec le même type d’organisation d’auteurs de cybermenaces. Il est tout à fait possible qu’après paiement, une victime reçoive une clé de déchiffrement fonctionnelle et l’assurance que ses données compromises seront supprimées, tandis que l’autre victime reçoit une clé dysfonctionnelle et voit ses données publiées sur le Web caché.
• Meilleures techniques d’obscurcissement : les auteurs de cybermenaces conçoivent continuellement de nouvelles techniques et stratégies pour mieux se cacher dans l’environnement d’une victime. Le Rapport ECN 25/26 indique que les auteurs de cybermenaces utilisent des techniques de chiffrement de plus en plus avancées pour rendre plus difficile la récupération des données par les victimes (p. ex., chiffrement hybride et multicouche). Les auteurs de cybermenaces « exploitent des ressources locales » (Living-of-the-Land) – pour échapper à la détection dans le réseau de la victime – pendant de plus longues périodes afin d’augmenter leur mouvement latéral et l’efficacité de leur attaque avant de déposer une note de rançon.¹³

ii) Piratage psychologique

Les attaques par piratage psychologique, telles que l’hameçonnage (phishing), le soutirage d’informations confidentielles (pretexting) et l’usurpation d’identité, devraient conserver leur statut de menaces externes majeures en 2025. Le Rapport de Google 2026 avertit que le piratage psychologique optimisé par l’IA va s’intensifier en 2026, les attaquants créant de l’hypertrucage audio généré par l’IA pour usurper l’identité de membres de la direction, de cadres supérieurs ou de membres du personnel des TI, du contenu d’hameçonnage très personnalisé et sans erreur, et effectuer une reconnaissance optimisée par l’IA pour créer des prétextes crédibles. La messagerie générée par l’IA évite de plus en plus les indices détectables (fautes de frappe, syntaxe maladroite, personnalisation médiocre) qui signalaient traditionnellement une tentative de fraude. En conséquence, on s’attend à ce que les attaques de piratage psychologique deviennent nettement plus convaincantes et évolutives.¹⁴

iii) Attaques visant les chaînes d’approvisionnement

Alors que les entreprises continuent d’adopter la transformation numérique et d’intégrer des systèmes technologiques sophistiqués, leur dépendance envers des fournisseurs spécialisés qui fournissent ces solutions avancées augmente également. La plupart des entreprises s’appuient sur des fournisseurs tiers pour des fonctions commerciales clés telles que l’hébergement à l’échelle de l’entreprise (p. ex., AWS et Azure) et les solutions de planification des ressources de l’entreprise, qui peuvent inclure la gestion de la relation client (GRC) et la gestion des ressources humaines (GRH). La plupart de ces fournisseurs traiteront des données sensibles appartenant à l’entreprise, y compris les renseignements personnels des employés et des clients.

Le Rapport ECN 25/26 signale que la concentration des fournisseurs augmente les vulnérabilités en cybersécurité.¹⁵ À mesure que les clients se concentrent autour des mêmes grands fournisseurs de technologie, ces fournisseurs deviennent des plaques tournantes centralisées de grandes quantités de données. Cette concentration les rend des cibles attrayantes pour les auteurs de cybermenaces, qui, en compromettant un seul fournisseur, peuvent potentiellement accéder aux données sensibles de plusieurs entreprises à la fois. Un bon exemple remonte à 2023 lorsque CLOP – une souche de rançongiciel – a été utilisée pour attaquer MOVEit, le fournisseur de transfert de fichiers utilisé par des milliers d’entreprises dans le monde. Selon le Rapport ECN 25/26, ce seul incident a touché environ 2 750 entreprises, 94 millions de personnes physiques et s’est soldé par des paiements de rançon d’environ 100 M$ US.¹⁶

Selon les lois canadiennes sur la protection de la vie privée, une entreprise demeure responsable des renseignements personnels qu’elle partage avec un fournisseur tiers qui traite des données en son nom. Par conséquent, si un fournisseur de l’entreprise subit un incident de confidentialité et que les renseignements personnels appartenant à l’entreprise sont compromis, en fonction des faits, l’incident peut également être considéré comme un incident de l’entreprise. Dans de telles situations, l’entreprise doit s’assurer que toutes les mesures qu’elle prend en réponse à l’incident satisfont à ses propres obligations de tenue de registres et de notification des incidents en vertu des lois sur la protection de la vie privée. Cela souligne le besoin critique pour les entreprises d’exercer une surveillance rigoureuse et de mettre en œuvre des mesures robustes de protection des données (y compris des mécanismes de contrôle contractuels solides) lorsqu’elles retiennent les services de fournisseurs tiers.

iv) Attaques visant les systèmes d’entreprise fondés sur l’IA

À mesure que les organisations intègrent de plus en plus d’outils optimisés par l’IA dans les processus commerciaux essentiels, les auteurs de cybermenaces commencent à cibler directement ces systèmes. Le Rapport de Google 2026 met en lumière un risque croissant d’attaques visant à manipuler les systèmes fondés sur l’IA de l’entreprise, ou les compromettre, notamment par des techniques telles que l’infiltration de requête, qui peuvent amener les systèmes d’IA à contourner les mesures de sécurité et à exécuter des actions non autorisées.¹⁷ On s’attend à ce que ces attaques évoluent, passant des exploits de preuve de concept isolés à des campagnes plus coordonnées impliquant l’exfiltration de données, le sabotage ou la corruption des résultats générés par l’IA.¹⁸ À mesure que la dépendance à l’IA augmente, ces vecteurs d’attaque fondés sur l’IA sont prêts à devenir un élément distinct et important du contexte plus large des incidents.

v) Infrastructures critiques

Les environnements d’infrastructures critiques demeurent particulièrement vulnérables aux cyberattaques en raison de leur complexité opérationnelle, de leurs technologies héritées et des conséquences potentiellement disproportionnées d’une perturbation. Selon le Rapport ECN 25/26, les États adversaires du Canada considèrent très probablement les infrastructures civiles critiques comme une cible légitime de cybermenace, en particulier au moyen des rançongiciels.¹⁹ Dans ce contexte, la cyberactivité parrainée par des États va au-delà de l’espionnage pour inclure la préparation à d’éventuelles cyberopérations perturbatrices ou destructrices.²⁰

C. Stratégies d’atténuation

Les entreprises devraient envisager d’inclure les éléments suivants dans leurs stratégies pour atténuer les menaces externes identifiées ci-dessus.

i) Plan d’intervention en cas d’incidents

Un plan d’intervention en cas d’incidents qui évolue en fonction des menaces est un outil incroyablement utile pour aider l’entreprise à rester organisée lorsqu’un incident se produit. Étant donné le contexte actuel des menaces, il est impératif pour les entreprises de mettre à jour régulièrement leurs plans d’intervention et de les mettre à l’essai en fonction de scénarios réalistes afin de leur permettre de répondre efficacement à la menace continuelle d’attaques. Répondre à une attaque nécessite souvent l’aide de certains prestataires de services, notamment pour la négociation de la rançon et la cyberenquête. Il est donc crucial que le plan d’intervention délimite une stratégie claire qui permet à l’entreprise de maintenir le privilège juridique tout au long du processus d’intervention en cas d’incidents. Cela suppose la participation d’un conseiller juridique et la garantie que les communications et les activités lors de la période d’intervention en cas d’incident sont protégées de manière appropriée.

Le plan d’intervention devrait intégrer les leçons apprises au fil du temps. Les entreprises doivent effectuer des simulations – souvent appelées exercices sur table (ou XT) – pour vérifier l’efficacité de leurs plans d’intervention. Ces simulations devraient intégrer des éléments caractéristiques du contexte actuel des menaces, tels que la nature erratique d’un associé de rançongiciel ou le contenu hyperréaliste dans une attaque par piratage psychologique optimisée par l’IA. À la suite de telles simulations ou de la survenance d’un véritable incident, une entreprise devrait ajuster son plan d’intervention pour tenir compte des lacunes repérées dans son intervention.

ii) Hygiène des données

Les entreprises ne doivent conserver les données sensibles (notamment, les renseignements personnels) que le temps raisonnablement nécessaire pour remplir les finalités auxquelles ces données ont été recueillies (ou selon ce qui est autrement exigé par la loi). L’hygiène en matière de conservation des renseignements personnels n’est pas seulement une exigence en vertu des lois canadiennes sur la protection de la vie privée, mais elle est aussi une bonne stratégie pour atténuer le risque d’attaque en donnant moins de données à chiffrer et exfiltrer aux auteurs de la menace. En pratique, cela signifie que les entreprises doivent savoir quelles données elles possèdent (c’est-à-dire cartographie des données) et mettre en œuvre une politique et un processus de conservation de données avec des périodes de conservation clairement définies. La gouvernance de l’information est un défi pour la plupart des organisations – les approches pragmatiques peuvent inclure la réduction de l’exposition par l’archivage (c’est-à-dire le stockage hors ligne) et la dépersonnalisation.

Dans le même ordre d’idées, lorsque les entreprises communiquent des renseignements personnels à des fournisseurs tiers, elles doivent faire preuve de prudence en restreignant cette communication aux données uniquement nécessaires pour permettre au fournisseur de fournir les services qu’il s’est engagé à fournir. Cette approche ciblée de la communication des données aide à atténuer le risque accru d’incidents de confidentialité qui sont susceptibles de survenir lorsque les auteurs d’une menace ciblent des fournisseurs centralisés ayant accès à de grands volumes de données.

iii) Gestion des fournisseurs

Les entreprises devraient envisager les éléments suivants lors de l’élaboration de leur stratégie de gestion des fournisseurs :

• Vérification diligente des fournisseurs. Les entreprises devraient se doter d’un processus standard pour évaluer les mécanismes de contrôle en matière de sécurité et de confidentialité de leurs fournisseurs. Étant donné la menace omniprésente des rançongiciels, les entreprises devraient porter une attention particulière aux mécanismes de contrôle qui atténuent ce risque, par exemple examiner les normes de chiffrement utilisées par le fournisseur pour les données au repos et en mouvement, les méthodologies de ségrégation des données, les mécanismes de contrôle des sous-traitants et des sous-processeurs, ainsi que les exigences en matière de sauvegarde des données. De plus, avec la montée des produits et services optimisés par l’IA, cette vérification diligente devrait également prendre en compte les systèmes d’IA que le fournisseur utilisera pour traiter les données de l’entreprise ou interagir avec ses systèmes.
• Mesures de protection contractuelles. Des mesures de protection contractuelles appropriées sont un autre aspect nécessaire d’une stratégie de gestion des fournisseurs. Les entreprises devraient envisager d’inclure les éléments suivants dans les contrats qu’elles concluent avec leurs fournisseurs :
• Notification des incidents. Le contrat doit prévoir une définition claire des incidents ainsi qu’un ensemble d’obligations du fournisseur qui permettraient à l’entreprise de s’acquitter de ses obligations en vertu des lois applicables (et en particulier, celles sur la protection de la vie privée). Ces obligations devraient inclure i) la notification de l’incident à l’entreprise rapidement et dans tous les cas, dans un délai maximal prévu, ii) la communication de l’information sur l’incident à l’entreprise selon ce qui est raisonnablement nécessaire pour permettre à celle-ci de se conformer à ses obligations de tenue de registres et de notification et iii) la prise rapide de mesures de confinement et de mesures correctives.
• Clarté sur les obligations de notification dans le contexte de la confidentialité. Il existe un historique de confusion quant à la partie ayant l’obligation de notification au Canada s’agissant des incidents visant des renseignements personnels. Bien que nous n’ayons pas formellement des concepts de « responsable du traitement » ou de « contrôleur » en vertu des lois canadiennes sur la protection de la vie privée dans le secteur privé comme c’est le cas du Règlement général sur la protection des données (RGPD) de l’Union européenne, nous avons un principe selon lequel une entreprise demeure responsable des renseignements personnels dont elle a le contrôle. Cependant, il est presque toujours préférable d’indiquer clairement quelle partie est responsable de la notification d’un incident, en particulier lorsqu’on entre dans des zones grises, comme lorsque des renseignements personnels sont « divulgués » au fournisseur à des fins propres au fournisseur (c’est-à-dire que le fournisseur ne traite pas les données pour le compte de l’entreprise). Dans de tels scénarios, les obligations de notification des incidents peuvent ne pas incomber clairement au fournisseur et/ou à l’entreprise. Il est important d’avoir cette discussion avec les fournisseurs d’une entreprise, puis de s’assurer que les rôles respectifs sont correctement assignés à chaque partie au contrat.
• Attribution de la responsabilité. En ce qui concerne l’indemnisation liée aux incidents de confidentialité, la discussion porte souvent uniquement sur la répartition des risques. Cependant, les entreprises devraient adopter une approche plus nuancée, en se concentrant sur des aspects particuliers tels que la question de savoir qui va gérer l’intervention en cas d’incident et qui va assumer le fardeau financier qui y est associé. Les négociations concernant les indemnisations et les limitations de responsabilité devraient aller au-delà du simple marchandage de positions. Les fournisseurs et les responsables du traitement qui sont dotés d’une stratégie sophistiquée et bien réfléchie devraient offrir des dispositions plus substantielles qu’un simple plafond de responsabilité étendu. Ces dispositions pourraient inclure des obligations détaillées en matière d’intervention en cas d’incident, des définitions claires des dommages couverts ainsi qu’un équilibre réfléchi des risques et des responsabilités, qui s’accordent avec l’incidence éventuelle réelle d’un incident.

II. Tour d’horizon des menaces internes

A. Aperçu des menaces internes

Les entreprises se concentrent souvent sur les menaces externes lorsqu’elles évaluent le risque lié aux incidents de confidentialité, mais un nombre important d’incidents impliquent des initiés. Les menaces internes peuvent provenir d’acteurs internes malveillants, mais elles résultent plus souvent d’erreurs humaines, de mauvais jugements ou d’une formation insuffisante.

i) Erreur humaine

Selon Verizon dans son rapport intitulé 2025 Data Breach Investigations Report (« DBIR 2025 »), 65 % des « [traduction] incidents dus à des auteurs internes » ont en effet été causés par une erreur humaine.²¹ Le rapport DBIR 2025 identifie la livraison à une personne autre que le destinataire comme l’action la plus répandue associée aux incidents dus à une erreur humaine, reflétant la fréquence à laquelle des données sont divulguées involontairement au mauvais destinataire.²²

Les incidents causés par l’erreur d’un employé peuvent être attribués à la négligence, à des compétences insuffisantes ou à une combinaison de ces deux raisons. Bien que la faillibilité humaine signifie que les personnes physiques peuvent parfois faire preuve de négligence, les entreprises peuvent réduire proactivement ce risque en s’assurant que leur main-d’œuvre est correctement qualifiée et formée. Le rapport du FEM 2026 montre que les lacunes en compétences en cybersécurité demeurent un facteur important de vulnérabilité organisationnelle.²³ L’écart de compétences en cybersécurité contribuera probablement à l’apparition d’incidents en 2026 à mesure que les entreprises adoptent des technologies complexes que leurs employés ne sont pas suffisamment qualifiés ou formés pour gérer en toute sécurité.

ii) Informatique de l’ombre

Un autre risque interne important découle de l’utilisation d’applications et de technologies non autorisées au préalable par le service informatique d’une entreprise, souvent appelées « informatique de l’ombre ». Les employés peuvent adopter des outils non autorisés, y compris des plateformes de partage de fichiers, des applications de collaboration ou des outils d’IA générative (« IAG »). Les employés peuvent chercher à améliorer l’efficacité ou la commodité, mais de telles utilisations peuvent créer des angles morts dans les mécanismes de contrôle de la sécurité et de la confidentialité d’une organisation. Les outils IAG non autorisés suscitent une inquiétude particulière, car ils peuvent donner lieu à la saisie de renseignements sensibles ou personnels ou de données d’entreprise dans des systèmes dépourvus des protections appropriées, de garanties contractuelles ou de visibilité pour l’organisation.²⁴ Ces outils peuvent entraîner des divulgations non autorisées de données, des transferts transfrontaliers de données et une utilisation secondaire des renseignements sur lesquels l’entreprise n’a aucun contrôle. Lorsque les employés manquent de directives claires ou de formation sur les technologies approuvées, le risque d’incidents involontaires causés par l’informatique de l’ombre augmente, soulignant l’importance de la gouvernance, de politiques claires et de la sensibilisation des utilisateurs aux outils autorisés et aux pratiques de gestion des données.

iii) Responsabilité du fait d’autrui pour l’usage abusif des données par un employé

Du moins en matière de confidentialité, les tribunaux ont de plus en plus élargi la doctrine de la responsabilité du fait d’autrui, tenant les entreprises responsables de la faute de leurs employés qui entraîne un incident. Dans l’affaire Ari v. Insurance Corporation of British Columbia, la Cour suprême de la Colombie-Britannique a jugé l’Insurance Corporation of British Columbia (l’« ICBC ») responsable du fait d’autrui pour l’accès non autorisé d’une employée et la vente de renseignements de clients, qui ont ensuite été utilisés par des tiers pour mener des attaques. La Cour a souligné que l’ICBC avait créé le risque en plaçant l’employée dans une position où elle pouvait accéder de manière inappropriée à des renseignements personnels et que sa faute était étroitement liée à son emploi. L’ICBC a soutenu que les actes criminels de tiers étaient des événements intermédiaires imprévisibles, mais la Cour a rejeté cet argument, estimant qu’une fois que l’employé avait divulgué les renseignements, l’ICBC avait perdu le contrôle sur la manière dont ils seraient utilisés, ce qui a rendu le préjudice subséquent suffisamment lié à l’incident. Cette affaire met en lumière l’exposition accrue au risque juridique pour les employeurs lorsque des initiés abusent des renseignements personnels et renforce la nécessité de mettre en place de solides mécanismes de protection internes, de contrôles de l’accès et de surveillance proactive pour prévenir et détecter les atteintes à la vie privée.²⁵

B. Stratégies d’atténuation

i) Culture de conformité

Il est d’une grande importance pour les entreprises de devancer le problème des lacunes de compétences et de l’informatique de l’ombre afin de réduire le risque d’incidents d’origine interne. L’établissement d’une culture qui priorise la conformité en matière de confidentialité et de sécurité devrait être au cœur de leur approche. Une telle culture devrait encourager tous les employés – et pas seulement le chef de la sécurité de l’information ou le responsable de la protection de la vie privée ou de la confidentialité – à être vigilants en tout temps et à faire escalader des questions et en poser chaque fois qu’ils ne sont pas sûrs d’un risque potentiel.

ii) Politiques et procédures documentées

Consolider une culture de conformité commence par la documentation des principes de confidentialité et de sécurité de l’entreprise et des mécanismes de contrôle correspondants. Il est essentiel que l’ensemble du personnel comprenne les principes fondamentaux décrits dans ces documents, car cette compréhension est clé pour inculquer les réflexes et comportements appropriés nécessaires pour maintenir les normes de sécurité de l’entreprise.

Cependant, il est crucial que ces politiques et procédures évoluent en fonction des risques. À l’avenir, les entreprises devraient privilégier la documentation de leurs stratégies concernant l’utilisation légale et éthique de l’IA. Bien qu’il n’y ait pas de réglementation générale de l’IA au Canada à l’heure actuelle, les entreprises doivent encore fonctionner dans les limites des cadres juridiques existants. Ainsi, les politiques des entreprises devraient clairement délimiter les risques particuliers associés à l’IA et établir un cadre de gouvernance robuste qui décrit comment les employés peuvent utiliser ces technologies de manière responsable.

iii) Formation fondée sur les rôles

Combler les lacunes de compétences nécessite également une formation. Une formation obligatoire sur la confidentialité et la sécurité pour tous les employés est essentielle et doit être donnée régulièrement. Une telle formation devrait s’appuyer sur les politiques et procédures de l’entreprise – en les rendant concrètes – et devrait prendre en compte les risques propres à chaque rôle.

Conclusion

Les incidents de confidentialité deviennent de plus en plus courants et devraient rester une menace importante pour les entreprises canadiennes en 2026. Cette tendance s’explique par une hausse anticipée des attaques par rançongiciel, des tactiques d’attaque par piratage psychologique sophistiquées, et des perturbations dans les chaînes d’approvisionnement, ainsi que par des menaces internes constantes, souvent dues à des erreurs humaines. Alors que le développement rapide et l’adoption des technologies d’IA offrent de nombreux avantages – notamment pour renforcer les capacités en matière de cybersécurité, elles suscitent aussi de nouveaux risques dans le contexte des incidents de confidentialité. La nature complexe des outils d’IA peut exacerber la probabilité d’incidents dus à des erreurs humaines, tout en fournissant simultanément aux cybercriminels des méthodes plus élaborées pour exécuter leurs attaques. Il est important de traiter ces risques pour atténuer les conséquences potentiellement coûteuses d’un incident. Restez à l’affût du prochain article de notre série où nous examinerons le cadre juridique en évolution entourant les incidents de confidentialité.

Footnotes

1. Rapport IBM, à la p. 11 [LIEN]. Le rapport d'IBM présente les coûts en dollars américains. Le montant de 6,6 M$ CA représente une conversion en dollars canadiens fondée sur le taux de change en vigueur à la date de la rédaction du présent article.

2. LPRP du Québec, aux art. 90.12 et 91.

3. ECN 25/26, à la p. 8 [LINK].

4. Rapport de Google 2026 [LIEN].

5. Rapport ECN 25/26, à la p. 33.

6. Rapport de Google 2026, à la p. 4.

7. Rapport de Google 2026, aux p. 5, 7 et 8.

8. Rapport du FEM 2026 [LIEN], à la p. 5.

9. Rapport ECN 25/26, aux p. 10 à 18.

10. Rapport ECN 25/26, aux p. 10 à 18.

11. Rapport ECN 25/26, aux p. 22 et 23.

12. Rapport ECN 25/26, aux p. 24, 29.

13. E Rapport CN 25/26, à la p. 30.

14. Rapport de Google 2026, aux p. 5 et 6.

15. Rapport ECN 25/26, à la p. 36.

16. Rapport ECN 25/26, à la p. 23.

17. Rapport de Google 2026, aux p. 4 à 6.

18. Rapport de Google 2026, à la p. 4.

19. Rapport ECN 25/26, à la p. 26.

20. Rapport ECN 25/26, aux p. 7, 8, 12 à 17.

22. DBIR 2025, à la p. 60.

23. DBIR 2025, aux p. 49 et 50.

24. DBIR 2025, aux p. 24 et 25.

25. Ari v. Insurance Corporation of British Columbia, 2022 BCSC 1475.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.