CONFÉRENCE HACKFEST 2010
                            (Québec, 5 novembre 2010)



© Étienne Dubreuil - 2010
CONFÉRENCE HACKFEST 2010




La régie d’entreprise et la sécurité
 relative aux actifs informationnels




               ...
Ce dont on parle

• La régie d’entreprise, ainsi que le rôle et la
  responsabilité du conseil d’administration à l’égard ...
Ce dont on parle

• L’intégration des actifs informationnels aux activités
  de l’entreprise ou mieux: l’inverse
• Revue t...
Régie d’entreprise

• On l’appelle régie d ‘entreprise ou gouvernance, c’est-à-
  dire un ensemble de règles qui s’imposen...
Régie d’entreprise

• Quelles sont les balises de la prudence et de la diligence
  requise ?
• Il s’agit de la responsabil...
Régie d’entreprise

• Pour le sujet qui nous concerne, cela signifie à la limite
  d’avoir pris les moyens raisonnables po...
Régie d’entreprise

• Alors que la responsabilité mentionnée plus haut peut
  être considérée comme une responsabilité act...
Régie d’entreprise

        • le défaut de l’entreprise de se conformer aux
          normes raisonnables applicables en l...
Régie d’entreprise

• Il y a lieu de rappeler que la loi américaine Sarbanes-
  Oxley Act requiert la certification de la ...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
  – En droit québécois, l’article 1463C.c.Q. rend
    l’employeur responsab...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
     – Certaines statistiques nous permettent de croire que
       plusieur...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
  – L’entreprise devrait instaurer des normes de sécurité
    organisationn...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
  – Quant à la procédure relative à une telle sécurité
    organisationnell...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
     • un rappel annuel de la politique et des procédures
       lors de l’...
Les actifs informationnels

• L’ÉLÉMENT HUMAIN
          • à cet égard, l’entreprise devrait avoir une
            procédu...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
  – Pour fins de compréhension, lorsque nous parlons
    des act...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
  – La sécurité du parc informatique constitue un
    investisse...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
  – Au minimum une gestion prudente devrait impliquer la
    con...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
    – L’étude et de l’implantation des logiciels nécessaires
   ...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
  – Plus spécifiquement sur les secrets de commerce et
    les i...
Les actifs informationnels

• L’ACTIF PHYSIQUE ET LOGIQUE
  – Cette protection peut être imposée par un contrat
    lorsqu...
La Diligence Nécessaire

• SECRET DE COMMERCE
  – De façon générale, un secret de commerce doit faire
    l’objet d’effort...
La diligence nécessaire

• SECRET DE COMMERCE
  – La divulgation à une tierce partie ne devrait pas être
    soumise à un ...
La diligence nécessaire

QUELS SONT LES SEUILS DE PROTECTION REQUIS?
•Prenons comme hypothèse
   – qu’aucun système n’est ...
La diligence nécessaire

QUELS SONT LES SEUILS DE PROTECTION REQUIS?
• Le coût de protection des systèmes requiert des cho...
La diligence nécessaire

QUELS SONT LES SEUILS DE PROTECTION REQUIS?
• Il existe peu de forum à l’intérieur desquels les
 ...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Comme nous l’avons dit précédemment, le législate...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• À tout le moins impose-t-on à l’administrateur l’...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Notre droit des sociétés permet à l’administrateu...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• D’agir autrement serait négligeant et imprudent, ...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Cela peut sans doute poser problème à l’égard des...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Il faut se rappeler ici que le fournisseur serait...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• D’autre part, l’acquéreur aura l’obligation de s’...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Les conseils d’administration devraient donc prév...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Les règles de meilleures pratiques suggèrent aux
...
La diligence nécessaire

L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE
• Le conseil devrait considérer la possibilité de c...
Conclusion

• La cybercriminalité est une réalité;
• Les risques d’intrusion ne s’en vont pas en
  s’amoindrissant;
• La q...
Conclusion

• Il faut favoriser la recherche sur le sujet et faciliter
  l’échange de données avec les contrôles nécessair...
BIBLIOGRAPHIE
Power, Michael E., 2006. Access to information and privacy. Éditions LexisNexis, novembre;
Sookman, Barry B....
Prochain SlideShare
Chargement dans…5
×

Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)

1 815 vues

Publié le

Cette conférence traitera principalement de la responsabilité des dirigeants d’entreprise à l’égard des technologies de l’information, tout spécifiquement concernant la protection des informations confidentielles que détient l’entreprise. Nous examinerons comment le conseil d’administration devrait aborder cette question, quels sont les enjeux juridiques et quelles seraient les règles qui devraient guider le conseil d’administration dans cette démarche. Enfin, nous dégagerons certaines recommandations pratiques qui permettront aux dirigeants d’entreprise d’instaurer une certaine discipline à l’égard de la protection de l’information, y compris l’accès aux actifs informationnels.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 815
Sur SlideShare
0
Issues des intégrations
0
Intégrations
545
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)

  1. 1. CONFÉRENCE HACKFEST 2010 (Québec, 5 novembre 2010) © Étienne Dubreuil - 2010
  2. 2. CONFÉRENCE HACKFEST 2010 La régie d’entreprise et la sécurité relative aux actifs informationnels 2
  3. 3. Ce dont on parle • La régie d’entreprise, ainsi que le rôle et la responsabilité du conseil d’administration à l’égard des technologies de l’information • Les actifs informationnels et les dangers intrinsèques qu’ils posent – L’élément humain – L’actif physique et logique (hardware – software) 3
  4. 4. Ce dont on parle • L’intégration des actifs informationnels aux activités de l’entreprise ou mieux: l’inverse • Revue très brève de la diligence raisonnable nécessaire à l’exonération de responsabilité • Conclusion – Certaines recommandations pratiques 4
  5. 5. Régie d’entreprise • On l’appelle régie d ‘entreprise ou gouvernance, c’est-à- dire un ensemble de règles qui s’imposent au conseil d’administration à l’intérieur de l’obligation de gestion • Le conseil est l’organe responsable en premier lieu des activités de l’entreprise tant à l’égard des actionnaires qu’à l’égard des tiers (employés, créanciers, etc.) • Il doit administrer les affaires de l’entreprise avec habileté, prudence et diligence* • Voir à cet effet les articles 123.84 Loi sur les compagnies, article 321C.c.Q., article 322C.c.Q., article 119 La nouvelle loi des compagnies du Québec et article 122 Loi canadienne sur les sociétés par actions. 5
  6. 6. Régie d’entreprise • Quelles sont les balises de la prudence et de la diligence requise ? • Il s’agit de la responsabilité pour les affaires de l’entreprise, le résultat de sa négligence d’avoir effectué ou pris ou mis en place les mesures raisonnables afin d’éviter qu’un dommage soit créé à une tierce partie ou à l’entreprise 6
  7. 7. Régie d’entreprise • Pour le sujet qui nous concerne, cela signifie à la limite d’avoir pris les moyens raisonnables pour éviter que l’entreprise elle-même propage un virus informatique ou encore que les employés ou autres personnes sous son contrôle utilisent les actifs informationnels pour créer un dommage à une tierce partie ou à l’entreprise • Pour les fins de la discussion, j’englobe sous le vocable « virus » toutes les formes de logiciels malicieux 7
  8. 8. Régie d’entreprise • Alors que la responsabilité mentionnée plus haut peut être considérée comme une responsabilité active, on doit aussi considérer les dommages qui peuvent être créés à l’entreprise par une responsabilité passive, c’est- à-dire le défaut d’avoir pris les moyens de protéger l’entreprise elle-même à l’égard d’intrusion ou de contamination par virus – La responsabilité [extracontractuelle] en la matière pourra donc prendre la forme • du bris de l’obligation de l’entreprise à ne pas soumettre une tierce partie à un risque non raisonnable de contamination par virus 8
  9. 9. Régie d’entreprise • le défaut de l’entreprise de se conformer aux normes raisonnables applicables en la matière – Et qu’il en résulte un dommage à une tierce partie • Même si la responsabilité du conseil d’administration n’est pas nécessairement engagée, la responsabilité de l’entreprise peut être engagée par une mauvaise utilisation des technologies de l’information 9
  10. 10. Régie d’entreprise • Il y a lieu de rappeler que la loi américaine Sarbanes- Oxley Act requiert la certification de la part du CEO et du CFO d’une entreprise dont les titres se transigent publiquement à l’effet que l’entreprise possède des contrôles adéquats à l’égard de ses données corporatives (financières) • Une prochaine étape semble prendre forme pour traiter spécifiquement de la sécurité de l’information corporative et des processus pour ce faire (certification non seulement du résultat mais des contrôles et procédures utilisés) 10
  11. 11. Les actifs informationnels • L’ÉLÉMENT HUMAIN – En droit québécois, l’article 1463C.c.Q. rend l’employeur responsable à l’égard des tiers de la faute de ses « préposés » – Bien que l’employeur ait un recours contre l’employé fautif par rapport au tiers, c’est l’employeur qui est responsable de la réparation du dommage 11
  12. 12. Les actifs informationnels • L’ÉLÉMENT HUMAIN – Certaines statistiques nous permettent de croire que plusieurs intrusions dans les systèmes informatiques de l’entreprise y compris la contamination de ses systèmes par virus peuvent parvenir des employés** **Voir la Surveillance de l’Utilisation d’Internet au Travail en bibliographie référence, p.20, #24, faite à Robert Richardson « the 2008 CSI/FBI Computer Crime and Security Survey » 50 % des entreprises américaines auraient été victimes d’une attaque par virus alors que 44 % auraient été responsables d’une mauvaise utilisation du système informatique par leurs propres employés 12
  13. 13. Les actifs informationnels • L’ÉLÉMENT HUMAIN – L’entreprise devrait instaurer des normes de sécurité organisationnelle, ce qui s’effectuera par l’élaboration de politiques et de procédures – Le but est de responsabiliser les employés, donc : • leur faire prendre conscience des enjeux ayant trait à la responsabilité de l’entreprise et • de leur rappeler leur propre responsabilité personnelle puisque l’utilisation des actifs informationnels par l’employé à l’extérieur de la politique ou contraire à cette dernière pourrait donner lieu à des sanctions disciplinaires 13
  14. 14. Les actifs informationnels • L’ÉLÉMENT HUMAIN – Quant à la procédure relative à une telle sécurité organisationnelle, elle doit graviter autour d’une ligne d’autorité claire attribuée à un ou des employés de haut niveau de la direction – Une politique d’entreprise devrait couvrir ce qui suit: • la revue systématique et la mise à jour des secteurs qui requièrent une protection pour l’entreprise y compris les protocoles d’intervention dans l’éventualité de bris de procédure ou incident 14
  15. 15. Les actifs informationnels • L’ÉLÉMENT HUMAIN • un rappel annuel de la politique et des procédures lors de l’évaluation des employés de la même façon qu’on fait le rappel des obligations de loyauté et de confidentialité • somme toute, rappeler aux employés que les actifs informationnels physiques et logiques sont mis à leur disposition pour leur permettre d’effectuer leur prestation de travail 15
  16. 16. Les actifs informationnels • L’ÉLÉMENT HUMAIN • à cet égard, l’entreprise devrait avoir une procédure prévoyant le nettoyage de disques durs suite au départ ou lors de l’échange de quincaillerie afin de s’assurer de la destruction du matériel sensible lui appartenant Pour une liste intéressante de procédures et politiques, voir Guide Juridique du Commerçant Électronique en bibliographie. 16
  17. 17. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Pour fins de compréhension, lorsque nous parlons des actifs physiques nous parlons en fait du parc informatique de l’entreprise y compris l’accès au réseau et la mise en réseau – À tout le moins l’entreprise devrait-elle connaître avec certitude le contenu de son parc informatique – Le nombre de licences de logiciels devrait correspondre aux équipements – La personne responsable de ces actifs doit être facilement identifiable 17
  18. 18. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – La sécurité du parc informatique constitue un investissement puisqu’il assure la protection des bases de données de l’entreprise, lesquelles sont constituées de toutes ses activités, listes de clients, prix, facturation, états financiers, plan d’affaire, informations personnelles liées aux ressources humaines, salaires, paies, etc. 18
  19. 19. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Au minimum une gestion prudente devrait impliquer la constitution de dossiers de sauvegarde, hébergement et un plan de relève dans l’éventualité d’un désastre, mais encore 19
  20. 20. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – L’étude et de l’implantation des logiciels nécessaires pour éviter les intrusions, le vol d’informations ou encore la publication non-autorisée d’informations confidentielles*** ***Voir à cet égard les Secrets de Commerce et Renseignements Confidentiels F. George Sayegh cité en bibliographie 20
  21. 21. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Plus spécifiquement sur les secrets de commerce et les informations confidentielles, les entreprises admettront rarement publiquement aux intrusions ou au vol de leurs secrets de commerce ou encore des informations confidentielles dont elles disposent – En matière de secret de commerce, Internet constitue un média de choix pour faire perdre la qualité de secret ou de confidentialité à une information que l’on valorise et que l’on veut autrement protéger contre la divulgation publique 21
  22. 22. Les actifs informationnels • L’ACTIF PHYSIQUE ET LOGIQUE – Cette protection peut être imposée par un contrat lorsqu’il s’agit de l’information d’un tiers ou encore un actif important pour l’entreprise 22
  23. 23. La Diligence Nécessaire • SECRET DE COMMERCE – De façon générale, un secret de commerce doit faire l’objet d’efforts « raisonnables » et « constants » afin de conserver son caractère confidentiel et secret – Des efforts raisonnables doivent être soutenus et devraient faire l’objet de la procédure et de la politique de l’entreprise quant au traitement et la divulgation – En matière de secret de commerce entre autres, la divulgation ne devrait se faire qu’à ceux qui ont un besoin de connaître le secret 23
  24. 24. La diligence nécessaire • SECRET DE COMMERCE – La divulgation à une tierce partie ne devrait pas être soumise à un terme permettant à ce tiers d’être relevé de son obligation de confidentialité 24
  25. 25. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? •Prenons comme hypothèse – qu’aucun système n’est impénétrable – que les systèmes sont souvent inter-reliés – que l’intrusion dans un système peut permettre l’intrusion dans un autre système •Malgré que la protection des systèmes informatiques constitue un investissement, elle n’en constitue pas moins un coût et une dépense substantielle pour l’entreprise 25
  26. 26. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Le coût de protection des systèmes requiert des choix parfois difficiles puisque, pour l’entreprise, c’est l’ensemble du système qu’il faut protéger • Est-il alors raisonnable de penser qu’un système peut être à l’épreuve de toutes vulnérabilités? Une certaine réflexion s’impose • La prévention a elle-même ses limites, qu’elles soient technologiques ou économiques 26
  27. 27. La diligence nécessaire QUELS SONT LES SEUILS DE PROTECTION REQUIS? • Il existe peu de forum à l’intérieur desquels les entreprises peuvent facilement échanger sur le sujet • Le coût d’acquisition des technologies sécuritaires est ordinairement plus dispendieux • Les technologies sécuritaires sont ordinairement moins conviviales et comme certains l’ont déjà écrit, le retour sur l’investissement en matière de sécurité des systèmes informatiques est moins facilement mesurable que sur d’autres actifs de l’entreprise 27
  28. 28. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Comme nous l’avons dit précédemment, le législateur a fixé une norme de conduite pour le conseil d’administration ou pour l’administrateur à savoir la prudence, la diligence et la bonne foi • Le mot prudence contient la notion de sagesse et de conduite raisonnable, c’est-à-dire une conduite réfléchie • Les juristes s’entendront pour dire que l’on ne demande pas aux administrateurs de tout connaître ni d’être un expert dans tous les secteurs, mais on exige d’eux qu’ils agissent avec prudence et diligence 28
  29. 29. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • À tout le moins impose-t-on à l’administrateur l’obligation de se renseigner adéquatement, afin qu’il puisse prendre une décision éclairée • Lorsqu’il est approprié, on doit obtenir l’information requise ainsi que les conseils d’une personne compétente afin de permettre la prise d’une décision éclairée 29
  30. 30. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Notre droit des sociétés permet à l’administrateur de se fier aux rapports qui lui ont été donnés par des experts sur le sujet sur lequel il est appelé à prendre une décision • Ce que les américains ont appelé le « business judgment rule », c’est-à-dire une véritable obligation qu’on impose aux administrateurs comme devoir de se procurer toute l’information raisonnablement disponible 30
  31. 31. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’agir autrement serait négligeant et imprudent, la négligence impliquant nécessairement une conduite qui est déraisonnablement risquée • Il nous semble raisonnable de croire que les fournisseurs de systèmes informatiques devraient connaître les limites de leurs produits (logiques et physiques) de telle sorte qu’ils ne devraient pas soumettre l’acquéreur à un risque déraisonnable d’infection par virus 31
  32. 32. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Cela peut sans doute poser problème à l’égard des logiciels qui sont transmis par internet • À l’inverse, l’acquéreur d’un tel produit devrait s’enquérir des risques • Dans la mesure où un fournisseur de services soumet, par son action ou son inaction, une autre partie à un risque déraisonnable de contamination par virus, alors il y aurait faute en ce que le fournisseur de services n’aurait pas une conduite d’une personne raisonnablement prudente 32
  33. 33. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Il faut se rappeler ici que le fournisseur serait présumé connaître les défauts du produit qu’il fournit • En revanche, le secteur de l’informatique n’est pas statique, il est toujours en évolution, de telle sorte qu’il y aura toujours une mouvance et un balancier qui imposera à l’un, le fournisseur, de faire évoluer son produit afin d’éviter le risque de contamination dans la mesure du possible selon les règles connues de la technologie 33
  34. 34. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • D’autre part, l’acquéreur aura l’obligation de s’enquérir des limites et de l’évolution du produit du fournisseur afin de pouvoir mieux évaluer les risques d’intrusion ou d’infection avec le passage du temps • C’est entre ces deux pôles que se situe la gestion prudente, laquelle tiendra compte évidemment des limites de la science informatique, ainsi que des pratiques sophistiquées sans cesse croissantes des cybercriminels 34
  35. 35. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les conseils d’administration devraient donc prévoir périodiquement directement ou par l’intermédiaire d’un comité une revue des éléments pertinents aux activités du groupe responsable des technologies de l’information**** ****Voir à cet égard Directors Duties in Canada, 3rd edition cité à la bibliographie 35
  36. 36. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Les règles de meilleures pratiques suggèrent aux conseils d’administration de s’interroger périodiquement sur les tendances en technologies de l’information ainsi que le positionnement de l’entreprise en rapport avec ces dernières • Le conseil devrait développer des indicateurs clés de la performance du département ou service responsable des technologies de l’information et des méthodes d’étalonnage utilisées selon les standards de l’industrie***** *****Par exemple: Virus Bulletin (http://www.virusbtn.com) 36
  37. 37. La diligence nécessaire L’ANALYSE DE LA DILIGENCE RAISONNABLE REQUISE • Le conseil devrait considérer la possibilité de créer un sous-comité responsable des technologies de l’information et s’assurer que la responsabilité de régie d’entreprise en matière de technologies de l’information a été assignée à des personnes d’un rang suffisamment élevé dans l’entreprise pour en permettre une discussion sérieuse au conseil d’administration 37
  38. 38. Conclusion • La cybercriminalité est une réalité; • Les risques d’intrusion ne s’en vont pas en s’amoindrissant; • La question est suffisamment d’intérêt pour avoir provoqué aux États-Unis l’idée d’un sommet international sur la cybercriminalité; • La cybersécurité constitue un élément clé du succès des économies mais le coût des solutions peut être très onéreux; 38
  39. 39. Conclusion • Il faut favoriser la recherche sur le sujet et faciliter l’échange de données avec les contrôles nécessaires; • Le sujet devrait être envisagé au même titre que la recherche et l’échange de données pour éviter les pandémies, favoriser le dépistage et le traitement des autres types de virus; • La question n’est pas simplement juridique. 39
  40. 40. BIBLIOGRAPHIE Power, Michael E., 2006. Access to information and privacy. Éditions LexisNexis, novembre; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 1; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 2; Sookman, Barry B. Computer, Internet and Electronic Commerce Law. Éditions Carswell, vol 3; Reither, Barry. Director’s Duties In Cananda, 3rd édition. Éditions CCH Canadian Limited, 2006; Poulin, Daniel. Labbé, Éric. Jacquot, François. Bourque, Jean-François, 2e trimestre 2003. Guide juridique du commerçant électronique, Les Éditions Thémis; Radin, Margaret Jane. Rothchild, John A. Silverman, Gregory M, 2004. Intellectual Property and the Internet, Éditiosn Thompson West; Bueckert, Melanie R., septembre 2009. Law of Employee Monitoring in Canada (the), Éditions LexisNexis; Sayegh, F. Georges, 4e trimestre 2006. Secrets de commerce et les renseignements confidentiels (Les), Les Éditions Yvons Blais; Rompré, Sophie, 4e trimestre 2009. Surveillance de l’utilisation d’Internet au travail (La), Les Éditions Yvons Blais; Schwartz, Paul M. Janges, Edward J., 2006-2007. Notification of Security Breaches, 105 Mich. L. Rev. 913. 40

×