L'attribution de la responsabilité dans les contrats relatifs aux technologies en cas d'atteintes à la protection des données est une préoccupation croissante pour les entreprises canadiennes. Récemment, Blakes a publié la première édition de l'Étude sur la responsabilité des données au Canada (l'« Étude »), laquelle cerne et analyse les tendances du marché à l'égard de la responsabilité liées aux données dans le cadre d'ententes commerciales relatives aux technologies.

Le présent article met en lumière les principales constatations de l'Étude ainsi que des pratiques exemplaires à adopter pour gérer la responsabilité liée aux données.

Plafond de responsabilité distinct. L'une des constatations notables de l'Étude est l'établissement de plus en plus répandu de plafonds de responsabilité distincts pour les atteintes à la protection des données. Environ 75 % des contrats visés par l'Étude prévoyaient un plafond relativement à la responsabilité liée aux données, et dans 65 % de ces contrats, ce plafond était distinct du plafond de responsabilité générale. Cette approche permet de tenir compte du risque accru d'atteintes à la protection des données, tout en évitant une responsabilité illimitée. Les parties peuvent ainsi à la fois reconnaître le risque réel de pertes de données potentiellement catastrophiques et limiter la responsabilité générale. Changements dans la réglementation. Pour veiller à demeurer conforme à la réglementation, il est impératif, entre autres, de rédiger des dispositions contractuelles claires. Les lois canadiennes sur la protection de la vie privée et la cybersécurité évoluent rapidement; les régimes sur le signalement obligatoire des atteintes à la vie privée et les nouveaux pouvoirs en matière d'application de la loi apportant son lot de défis sur le plan de la conformité pour les entreprises. Sans parler des modifications proposées à la législation fédérale pour tenir compte de certains régimes provinciaux plus stricts, ainsi que des obligations propres aux secteurs des finances, de la santé et des télécommunications, qui viennent s'ajouter à leur fardeau. Inducteurs de coût liés aux atteintes à la protection des données. Comme l'Étude le met en évidence, les répercussions financières des atteintes à la protection des données peuvent être considérables, ce qui explique en partie pourquoi les plafonds liés à la responsabilité sont si fermement négociés. Selon certaines recherches, le coût moyen d'une atteinte à la protection des données au Canada est d'environ 4,66 M$ US; des incidents majeurs ayant entrainé un coût supérieur à 375 M$ US. Ces répercussions financières sont tributaires de différents facteurs, dont les enquêtes, la gestion de crise, les déclarations réglementaires, la surveillance du crédit et les occasions d'affaires perdues. Le fait de bien comprendre ces possibles répercussions sur le plan financier aide les parties à évaluer les limites appropriées en matière de responsabilité et à établir des plafonds réalistes compte tenu des risques. Précisions dans les litiges. Les plafonds de responsabilité, les exclusions et les définitions doivent être rédigés sans ambiguïté en vue d'atténuer le risque de litige. Les tribunaux interprètent les plafonds de façon plus restrictive; des exclusions mal définies relativement aux dommages indirects ou consécutifs peuvent donner lieu à des différends quant à la possibilité de recouvrement. Des dispositions mal rédigées, par exemple en ce qui concerne l'abus de confiance et les fautes intentionnelles, pourraient ne pas rendre fidèlement la répartition des risques convenue entre les parties. Tendances internationales. Les tendances sur le marché canadien semblent correspondre de manière générale aux tendances internationales. Les parties qui négocient avec des fournisseurs et des clients internationaux constatent que les approches utilisées relativement aux plafonds de responsabilité, aux indemnités et aux exigences en matière d'assurance sont semblables d'un pays à l'autre, ces approchent variant essentiellement pour tenir compte de nuances juridiques locales. Les normes internationales continuent d'évoluer, et les entreprises canadiennes devraient se préparer à faire face à des attentes plus élevées en matière de responsabilité, puis à revoir leurs modèles et leurs stratégies de négociation afin de demeurer concurrentielles.

