35 | D O C U M E N T D ’ E N R E G I S T R E M E N T U N I V E R S E L 2 0 2 3
d’interprétations différentes, qui peuvent être incohérentes ou contradictoires d’une juridiction à une autre. Pour
se préparer et se conformer à ces obligations, la Société doit consacrer des ressources importantes et peut être
amenée à modifier ses services, ses technologies de l’information, ses systèmes et ses pratiques, ainsi que ceux des
tiers qui traitent des données à caractère personnel en son nom.
La Société peut parfois échouer (ou être perçue comme ayant échoué) dans ses efforts pour se conformer à ses
obligations en matière de confidentialité et de sécurité des données. En outre, malgré ses efforts, son personnel ou
les tiers sur lesquels elle s’appuie peuvent ne pas respecter ces obligations, ce qui pourrait avoir un impact négatif
sur ses activités commerciales. Si la Société ou les tiers sur lesquels elle s’appuie ne parviennent pas, ou sont perçus
comme n’ayant pas réussi, à traiter ou à respecter les obligations applicables en matière de confidentialité et de
sécurité des données, la Société pourrait être confrontée à des conséquences importantes, y compris, mais sans s’y
limiter : des mesures d’application gouvernementales (par exemple, des enquêtes, des amendes, des pénalités, des
audits, des inspections et autres ; des litiges (y compris des recours collectifs) ; des exigences supplémentaires en
matière de rapports et/ou de surveillance ; des interdictions de traiter des données à caractère personnel ; et des
injonctions de détruire ou de ne pas utiliser des données à caractère personnel. Chacun de ces événements pourrait
avoir un effet négatif important sur la réputation, les activités ou la situation financière de la Société, y compris, mais
sans s’y limiter, la perte de clients, l’incapacité de traiter des données personnelles ou d’opérer dans certaines
juridictions, la capacité limitée de développer ou de commercialiser les produits de la Société, la dépense de temps
et de ressources pour défendre toute réclamation ou enquête, la publicité négative ou des changements substantiels
de son modèle d’entreprise ou de ses activités.
Si ses systèmes de technologie de l’information ou ses données, ou ceux de tiers sur lesquels la Société s’appuie,
sont compromis ou si la Société est compromise, la Société pourrait subir des conséquences négatives résultant de
cette compromission, y compris, mais sans s’y limiter, des enquêtes ou des actions réglementaires, des litiges, des
amendes et des pénalités, des perturbations de ses opérations commerciales, une atteinte à sa réputation, une perte
de revenus ou de bénéfices, et d’autres conséquences négatives.
Dans le cours normal de ses activités, la Société et les tiers sur lesquels elle s’appuie peuvent traiter des données
sensibles et, par conséquent, la Société et les tiers sur lesquels elle s’appuie sont confrontés à une variété de
menaces évolutives, y compris, mais sans s’y limiter, les attaques de ransomware, qui pourraient provoquer des
incidents de sécurité. Les cyberattaques, les activités malveillantes sur Internet, la fraude en ligne et hors ligne et
d’autres activités similaires menacent la confidentialité, l’intégrité et la disponibilité de ses données sensibles et de
ses systèmes informatiques, ainsi que de ceux des tiers sur lesquels la Société s’appuie. Ces menaces sont répandues
et continuent d’augmenter, sont de plus en plus difficiles à détecter et proviennent de diverses sources, notamment
des « pirates » informatiques traditionnels, des acteurs de la menace, des « hacktivistes », des acteurs de la menace
criminelle organisée, du personnel (par exemple par le biais d’un vol ou d’une mauvaise utilisation), des États-nations
sophistiqués et des acteurs soutenus par des États-nations.
Certains acteurs se livrent actuellement à des cyber-attaques et devraient continuer à le faire, y compris, mais sans
s’y limiter, des acteurs étatiques pour des raisons géopolitiques et dans le cadre de conflits militaires et d’activités
de défense. En temps de guerre ou d’autres conflits majeurs, la Société et les tiers sur lesquels elle s’appuie peuvent
être exposés à un risque accru de ces attaques, y compris des cyber-attaques de représailles, qui pourraient
perturber matériellement ses systèmes et ses opérations, sa chaîne d’approvisionnement et sa capacité à produire,
à vendre et à distribuer ses services.
La Société et les tiers sur lesquels elle s’appuie peuvent être soumis à diverses menaces en constante évolution, y
compris, mais sans s’y limiter, les attaques par ingénierie sociale (y compris les attaques par hameçonnage), les
codes malveillants (tels que les virus et les vers), les logiciels malveillants (y compris à la suite d’intrusions par des
menaces persistantes avancées), les attaques par déni de service (telles que le bourrage d’informations
d’identification), la collecte d’informations d’identification, les fautes ou erreurs du personnel, les attaques par
ransomware, les attaques de la chaîne d’approvisionnement, les bogues logiciels, les dysfonctionnements du
serveur, les défaillances logicielles ou matérielles, la perte de données ou d’autres actifs informatiques, les logiciels
publicitaires, les défaillances des télécommunications, les tremblements de terre, les incendies, les inondations et
d’autres menaces similaires.
En particulier, les attaques graves de ransomware sont de plus en plus fréquentes et peuvent entraîner des
interruptions importantes de ses activités, la perte de données sensibles et de revenus, une atteinte à sa réputation
et le détournement de fonds. Les paiements d’extorsion peuvent atténuer l’impact négatif d’une attaque de
ransomware, mais la Société peut ne pas vouloir ou ne pas pouvoir effectuer de tels paiements en raison, par
exemple, de lois ou de réglementations applicables interdisant de tels paiements.