Skip to main content
Marsh logo

Article

Pourquoi la protection de la vie privée est une priorité absolue en matière de cyberrisques

Examinez pourquoi les atteintes à la vie privée demeurent un des principaux cyberrisques, l’évolution du contexte réglementaire, l’IA et des stratégies efficaces pour améliorer la cyberrésilience.

04/06/2026 · Lecture de 6 minutes

Qu’est-ce qui empêche les responsables de la gestion des cyberrisques de bien dormir la nuit?

Bien que le contexte des cyberrisques demeure complexe, avec de nombreux pièges potentiels, notre Rapport de Cyber Catalyst : Priorités stratégiques pour orienter les investissements en cybersécurité révèle que la protection de la vie privée et les rançongiciels sont une priorité. En Amérique du Nord, les atteintes à la vie privée demeurent une préoccupation importante pour les organisations, se classant comme la principale cybermenace au Canada et parmi les trois plus importantes menaces aux États-Unis (voir la figure 1). Les rançongiciels demeurent un risque important pour l’Amérique du Nord, tandis que les attaques par déni de service sont un risque important aux États-Unis, ce qui témoigne de la dépendance complète aux services numériques et du coût élevé des pannes de service (voir la figure 1).

Principaux points à retenir

  • Les principales menaces ne sont pas surprenantes : les atteintes à la vie privée et les rançongiciels demeurent les principales menaces à l’échelle mondiale et en Amérique du Nord, tandis que les attaques par déni de service sont une préoccupation opérationnelle qui affecte surtout les États-Unis.
  • Les risques d’atteinte à la vie privée évoluent : les risques d’atteinte à la vie privée ne se limitent plus aux violations de données, mais portent désormais davantage sur les pratiques commerciales. Le suivi, la collecte et l’utilisation non divulgués des données font l’objet d’une surveillance accrue des organismes de réglementation et des avocats de demandeurs.
  • L’environnement réglementaire devient plus complexe : le contexte réglementaire fragmenté, avec des obligations variant d’un état à l’autre, complique les efforts de conformité.
  • La réponse du marché est mitigée : les réponses des assureurs varient, soulignant l’importance de l’examen régulier des polices et des réunions de renouvellement anticipé.
  • Les stratégies d’atténuation efficaces sont essentielles : malgré l’augmentation des menaces, les organisations peuvent prendre des mesures pour atténuer les risques d’atteinte à la vie privée.

Pour en savoir plus sur la façon d’atténuer vos risques d’atteinte à la vie privée, communiquez avec nous.

Figure 1 : Les risques d’atteinte à la vie privée demeurent une préoccupation majeure aux États-Unis et au Canada

Pourquoi la protection de la vie privée demeure une préoccupation majeure

La protection de la vie privée n’est pas un nouveau sujet. Bien que de nombreuses organisations aient pris des mesures pour le gérer, ce risque persiste (voir la figure 2), principalement en raison de trois tendances convergentes.

Figure 2 : À l’échelle mondiale, l’atteinte à la vie privée et les rançongiciels sont les principaux risques qui préoccupent les hauts dirigeants

*Passez votre curseur ou cliquez sur les lignes pour afficher des données propres aux pays ou aux régions

1. De la violation des données aux pratiques relatives à la protection de la vie privée

Historiquement, les préoccupations en matière de protection de la vie privée étaient axées sur l’accès non autorisé. Aujourd’hui, cependant, les risques d’atteinte à la vie privée englobent l’accès non autorisé ainsi que les risques découlant de la façon dont les organisations recueillent, surveillent, regroupent et utilisent les données personnelles. Les technologies plus récentes, comme les pixels de suivi sur les sites Web, font l’objet d’un examen minutieux lorsqu’elles sont utilisées sans consentement éclairé.

Les organismes de réglementation et les demandeurs peuvent remettre en question des pratiques qui étaient peu examinées auparavant, ce qui signifie que les organisations peuvent faire face à des mesures réglementaires et à des litiges, même si aucun incident lié à la sécurité n’est survenu.

Ce changement signifie que les entreprises peuvent être soumises à des demandes de renseignements des organismes de réglementation ou à des recours collectifs fondés sur des pratiques de collecte ou d’utilisation, ce qui peut entraîner des frais juridiques et contribuer à des atteintes à la réputation, même en l’absence d’atteinte à la vie privée.

2. Évolution réglementaire et créativité en matière de litiges

Aux États-Unis, le contexte réglementaire relatif à la protection de la vie privée continue d’évoluer, 19 États ayant déjà adopté des lois complètes en matière de confidentialité des données, et 17 États ayant des projets de loi à l’étude. Les règlements propres aux États peuvent représenter un défi en matière de conformité, car les organisations doivent respecter des obligations en matière de divulgation, de consentement, de droits de la personne concernée et de transmission transfrontalière qui peuvent varier d’un État à l’autre.

Cette variété de règlements augmente souvent la complexité opérationnelle, exigeant que les équipes cartographient les obligations entre les juridictions et que les équipes de produits justifient les choix en matière de collecte et de conservation de données dans un contexte où plusieurs lois différentes peuvent s’appliquer.

En même temps, les avocats des demandeurs deviennent plus créatifs dans leur recherche de dossiers à litiges. Certains adaptent des lois plus anciennes et des stratégies juridiques créatives qui n’ont pas été créées en tenant compte des pratiques modernes en matière de données. Même les affaires qui ne sont pas portées devant les tribunaux peuvent représenter un fardeau financier important.

3. Essor de l’intelligence artificielle

À ce jour, l’utilisation de l’intelligence artificielle générative n’a pas créé une nouvelle catégorie de risques; cependant, elle peut amplifier les risques existants et courants. D’abord, l’utilisation non divulguée de données personnelles dans le cadre de l’entraînement de modèles d’intelligence artificielle peut engendrer des responsabilités réglementaires et contractuelles. De plus, les pirates peuvent utiliser l’intelligence artificielle pour automatiser leurs recherches de cibles et créer des campagnes de piratage psychologique plus convaincantes, ce qui peut augmenter le risque d’incidents qui pourraient compromettre des renseignements confidentiels.

Les répercussions potentielles de l’intelligence artificielle générative sur la vie privée sont soumises à un examen minutieux des assureurs, dans un contexte où l’on s’attend à ce que les réclamations liées à l’intelligence artificielle augmentent à mesure que l’utilisation de cette technologie s’accélère. Bien que les experts en cyberrisques de Marsh considèrent que les risques d’atteinte à la vie privée liés à l’intelligence artificielle sont déjà pris en compte dans le cadre d’une cyberassurance étendue, les réponses des assureurs peuvent varier. Les assureurs continuent de surveiller de près les litiges existants liés à l’intelligence artificielle qui impliquent des allégations d’atteinte à la vie privée.

Comment les organisations peuvent-elles mieux gérer les risques d’atteinte à la vie privée?

Le Rapport de Cyber Catalyst : Priorités stratégiques pour orienter les investissements en cybersécurité démontre qu’il existe une certaine confiance dans la gestion des cyberrisques, bien que cela varie grandement d’une région à l’autre. Le Canada se situe dans la moyenne, la confiance étant un peu plus élevée aux États-Unis. Sans surprise, les grandes entreprises ont tendance à avoir plus confiance en leurs capacités de gestion et d’atténuation des cyberrisques que les petites et moyennes entreprises. Mais à mesure que le contexte des risques continue d’évoluer, la complaisance doit être évitée. Au lieu de cela, les organisations doivent se concentrer sur quatre mesures essentielles qui peuvent les aider à réduire l’incidence des risques d’atteinte à la vie privée. 

  • Désignez un responsable des données et tenez à jour un registre méticuleux de l’endroit où les données sont recueillies, traitées et partagées, en superposant ces renseignements sur les cartes réglementaires pour mieux comprendre les risques.
  • Mettez à jour les avis de confidentialité, les flux de consentement et les politiques sur la conservation des dossiers. Exigez des évaluations de l’incidence sur la vie privée pour les nouveaux produits, en particulier les initiatives d’intelligence artificielle.
  • Mettez en place une gouvernance responsable, y compris des conseillers juridiques et des responsables de la protection des renseignements personnels, pour mettre en œuvre des pratiques de protection de la vie privée dans l’ensemble des équipes responsables des produits, du marketing et des TI.
  • Faites en sorte que les avis de confidentialité et les mécanismes de consentement couvrent explicitement l’entraînement des modèles d’intelligence artificielle et le partage de données à des tiers, et tenez à jour des registres des changements pour démontrer des efforts raisonnables et continus de conformité aux organismes de réglementation et aux assureurs.

  • Effectuez des exercices de simulation sur les cyberrisques au moins deux fois par année, idéalement une fois avec la haute direction et au moins une fois avec les équipes techniques et opérationnelles. Faites en sorte que ces exercices couvrent les scénarios d’atteinte à la vie privée, y compris les enquêtes des autorités réglementaires, la détection du suivi non divulgué des données et l’utilisation problématique de données par les modèles d’intelligence artificielle, en plus des attaques par déni de service et des rançongiciels.
  • Testez les séquences de tâches liées aux affaires juridiques, aux communications et aux relations avec les organismes de réglementation et analysez l’efficacité des communications hors bande sécurisées qui seront utilisées pendant les pannes des infrastructures.
  • Élargissez la portée des exercices de simulation pour inclure les constats relatifs à la protection de la vie privée provenant des fournisseurs et les simulations d’application des règlements. Testez les protocoles de négociation et de documentation qui peuvent être nécessaires si les demandeurs ou les organismes de réglementation allèguent des défaillances systémiques plutôt qu’un seul événement d’atteinte à la vie privée.

  • Mettez en œuvre des mesures de diligence raisonnable à l’égard des fournisseurs, la confidentialité contractuelle et des clauses de vérification et effectuez une surveillance régulière des fournisseurs essentiels.
  • Déployez des outils qui détectent les pixels non divulgués, la télémétrie par un tiers et les flux de données de la chaîne d’approvisionnement, en priorisant les mesures correctives en fonction de l’importance des écarts de conformité.
  • Envisagez de faire appel à des fournisseurs spécialisés qui analysent le Web public et votre graphique de dépendance pour identifier les systèmes de suivi, le partage de données non autorisé et les erreurs de configuration de tiers. Certaines solutions plus récentes intègrent des modèles prédictifs capables de signaler les incidents potentiels avant qu’ils ne se concrétisent.

  • Passez en revue vos polices de cyberassurance avec votre courtier ou votre conseiller en assurance, en portant une attention particulière au libellé sur les réclamations liées à une atteinte à la vie privée sans violation de données et sur les réclamations liées à l’intelligence artificielle. Au besoin, coordonnez la couverture avec d’autres polices.
  • Déterminez si les produits d’assurance qui offrent une protection complète, comme Cyber CAT, conviennent à votre profil de risque.
  • Entamez les discussions de renouvellement de manière anticipée pour déterminer comment votre assureur perçoit les risques en évolution. Ne présumez pas que vous obtiendrez une garantie automatique et collaborez avec votre courtier ou votre conseiller en assurance pour bien comprendre votre police. Déterminez les contrôles que les assureurs peuvent exiger pour offrir une tarification et des modalités préférentielles.

Les préoccupations en matière d’atteinte à la vie privée ont évolué, mais demeurent un risque constant et considérable

Les organisations qui se concentrent sur la mise en place de solides mesures de protection de la vie privée, qui prennent des mesures pour atténuer les risques d’atteinte à la vie privée et qui disposent d’une assurance adéquate sont souvent mieux placées pour répondre de façon proactive aux préoccupations et pour renforcer la résilience.

Parlez à un représentant Marsh

Pour en savoir plus sur la façon de mieux gérer vos risques d’atteinte à la vie privée et d’autres défis liés à la cybersécurité, communiquez avec nous.

Communiquez avec nous

Renseignements connexes

Placeholder Image

Article

Cyberrisques dans le secteur manufacturier : gérer les menaces émergentes et renforcer la résilience

04/23/2026
Hands using smartphone in city

Rapport,Aperçus présentés

Mythes et réalités : Souscrire une cyberassurance ne réduit pas votre risque d’attaque

02/24/2026
Hands typing on keyboard of a laptop in a dark room close up selective focus photo

Rapport,Aperçus présentés

Réclamations liées aux cyberrisques en 2025 : la confidentialité des données reste un défi tandis que les rançongiciels persistent

02/01/2026
Hands using smartphone in city

Article

Comment les entreprises peuvent-elles gérer les risques et les occasions technologiques en cette ère marquée par la concurrence?

01/21/2026
En voir plus