Insights Header image
Insights Header image
Insights Header image

Comprendre les limites du privilège juridique à la suite d’une cyberattaque : enseignements tirés de la violation des données de Lifelabs

7 mai 2024 Bulletin sur la protection de la vie privée et des données Lecture de 5 min

Lorsqu’elles ont été victimes d’une cyberattaque, les organisations ont tendance à exercer une surveillance étroite sur les renseignements relatifs à l’incident. Il y a de bonnes raisons à cela. Premièrement, les renseignements relatifs à une cyberattaque pourraient révéler des vulnérabilités susceptibles d’être exploitées par d’autres cybercriminels. Deuxièmement, la divulgation de détails sensibles sur l’incident peut pousser à examiner de plus près les décisions prises par l’organisation avant ou après l’incident, ce qui pourrait porter atteinte à sa réputation ou même entraîner une responsabilité civile et réglementaire.

C’est ainsi que les organisations peuvent tenter de protéger les renseignements sensibles liés à l’incident en invoquant un certain privilège juridique. Toutefois, les récents développements juridiques ont mis en lumière la portée limitée du privilège juridique en ce qui concerne les dossiers produits dans le cadre de l’enquête sur l’incident et du processus d’intervention.

Dans LifeLabs LP v. Information and Privacy Commr (Ontario)[1], une formation de la Cour divisionnaire de la Cour supérieure de justice de l’Ontario a confirmé une décision réglementaire selon laquelle les privilèges juridiques invoqués par LifeLabs ne s’appliquaient pas, entre autres, à l’analyse interne des données touchées par la violation, aux communications avec les auteurs de l’attaque et au rapport d’expertise judiciaire préparé par un tiers consultant en cybersécurité.

Cette décision souligne l’importance de sensibiliser l’équipe d’intervention aux limites du privilège juridique et d’élaborer une stratégie efficace pour gérer les préoccupations en matière de confidentialité concernant les renseignements sensibles sur les incidents.

Contexte

LifeLabs LP (« LifeLabs ») fournit des services de laboratoire partout au Canada et, dans le cadre de cette activité, traite des renseignements personnels sensibles sur la santé de ses clients[2]. En 2019, LifeLabs a été victime d’une attaque par rançongiciel qui a entraîné un accès non autorisé aux renseignements personnels sur la santé de millions de Canadiens[3]. Le commissaire à l’information et à la protection de la vie privée de l’Ontario et le bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (collectivement, les « Commissaires ») ont mené une enquête conjointe sur l’incident[4].

Dans le cadre de leur enquête, les Commissaires ont demandé à consulter plusieurs documents relatifs à la cyberattaque que LifeLabs avait obtenus de ses consultants[5]. Il s’agissait notamment des documents ci-après :

  1. un rapport d’enquête d’un cabinet d’expertise en cybersécurité décrivant la cyberattaque;
  2. les courriels échangés entre un cabinet de cyberenseignement et les pirates après la découverte de l’attaque;
  3. l’analyse des données internes de LifeLabs décrivant les personnes touchées par la violation des données;
  4. d’autres communications entre LifeLabs et les Commissaires[6].

LifeLabs avait refusé de fournir les documents en question, alléguant que ces renseignements étaient protégés par le privilège du secret professionnel de l’avocat et/ou du secret des renseignements préparatoires au procès (privilège relatif au litige)[7]. Les Commissaires ont estimé conjointement que les revendications de privilège devaient être rejetées, au motif que LifeLabs ne leur a pas fourni de preuves suffisantes pour démontrer que les documents étaient effectivement soumis aux privilèges juridiques invoqués[8].

Le privilège ne protège pas les faits sous-jacents relatifs à l’incident

La Cour divisionnaire a confirmé la décision du Commissaire selon laquelle ni le secret professionnel de l’avocat ni le secret des renseignements préparatoires au procès ne s’appliquaient aux documents visés.

Le secret professionnel de l’avocat protège les communications confidentielles entre un avocat et son client tenues dans le cadre de la demande, de la prestation et de la réception de conseils juridiques. Le secret des renseignements préparatoires au procès protège les communications faites et les documents créés principalement dans l’intention d’être utilisés dans le cadre d’un litige en cours, prévu ou envisagé.

Ces deux privilèges sont souvent invoqués dans le contexte d’un incident de cybersécurité.

Tout en reconnaissant le sacro-saint principe du privilège juridique, la Cour divisionnaire a néanmoins conclu qu’une partie ne saurait étendre ce privilège à des faits défavorables à son égard concernant une cyberattaque, en fournissant une copie des faits à son avocat ou en les incluant dans un rapport préparé, en partie, en gardant à l’esprit l’éventualité d’un litige[9].

Par exemple, la Cour a conclu que les lignes de code utilisées par les pirates ne pouvaient pas être privilégiées simplement parce qu’elles avaient été copiées et collées dans un rapport d’expertise judiciaire, et que les mesures prises pour se protéger contre les failles de sécurité ne pouvaient pas non plus être privilégiées simplement parce que ces renseignements avaient été recueillis par un avocat.

Attention aux limites du privilège de l’intérêt commun!

Bien que la décision dans l’affaire LifeLabs ne traite pas expressément de la question, il convient de garder à l’esprit les implications importantes d’un recours éventuel au privilège d’intérêt commun. Les organisations victimes d’une cyberattaque sont souvent tenues de communiquer les rapports d’expertise judiciaires ou d’autres renseignements liés à cet incident aux compagnies d’assurance qui couvrent les coûts liés aux interventions en cas de violations de données, ou à d’autres tiers qui ont un intérêt commun dans l’affaire. Il est essentiel que les parties à de tels arrangements réfléchissent aux limites susmentionnées.

Le privilège d’intérêt commun permet aux parties ayant un intérêt juridique commun de se transmettre des informations confidentielles sans renoncer aux privilèges qui les couvrent. Fait important, le privilège d’intérêt commun ne constitue pas une catégorie distincte de privilège; il ne s’applique que lorsqu’un autre privilège existe déjà et n’a pour seul but que de protéger le privilège existant contre la renonciation[10]. Par exemple, les tribunaux ont refusé de lever le privilège relatif au secret des renseignements préparatoires au procès visant un document partagé entre une organisation et son assureur lorsque le document est principalement destiné à être utilisé dans un litige envisagé ou en instance (c’est-à-dire lorsque le privilège relatif au secret des renseignements préparatoires au procès s’applique déjà)[11].

Les parties ayant un intérêt commun dans un incident particulier devraient examiner attentivement la pertinence des revendications de privilèges sous-jacentes, évaluer les implications potentielles de la communication d’informations entre elles, puis élaborer une stratégie pour faciliter la transmission d’informations nécessaires, de sorte que cela puisse préserver leur intérêt commun.

À retenir

La gestion des questions de privilège est une étape préliminaire essentielle du processus d’intervention en cas d’incident.

Bien que le privilège juridique soit sans aucun doute un outil précieux pour faciliter la circulation de renseignements en toute franchise dans le cadre de la recherche de conseils juridiques ou de la préparation à un litige, l’arrêt dans l’affaire LifeLabs démontre l’importance de sensibiliser l’équipe d’intervention en cas d’incident aux limites du privilège. Ensuite, en gardant les yeux grands ouverts, il convient d’élaborer une stratégie efficace d’enquête, de correction et de communication en tenant compte des risques importants liés au litige et à la réglementation.

L’équipe de protection de la vie privée et des données de McMillan est disposée à fournir des conseils stratégiques afin d’aider les organisations à intervenir en cas de cyberattaques et de violations de données mettant en cause des renseignements personnels et confidentiels sensibles, notamment en élaborant une approche efficace de gestion de questions de privilège.

[1] LifeLabs LP v. Information and Privacy Commr. (Ontario), 2024 ONSC 2194 [LifeLabs] (en anglais).
[2] LifeLabs au paragraphe 2.
[3] LifeLabs au paragraphe 1.
[4] LifeLabs au paragraphe 5.
[5] LifeLabs au paragraphe 6.
[6] LifeLabs au paragraphe 62.
[7] LifeLabs au paragraphe 6.
[8] LifeLabs au paragraphe 7; LifeLabs LP (Re), 2020 CanLII 24923 (CIPVP ON), aux paragraphes 56 et 68 (en anglais).
[9] LifeLabs aux paragraphes 78 et 81.
[10] Trillium Motor World c. General Motors, 2014 ONSC 4894 au paragraphe 14 (en anglais).
[11] Panetta v. Retrocom, 2013 ONSC 2386, aux paragraphes 61 et 62 (en anglais).

Par Mitch Koczerginski, Robbie Grant et Ada Ang (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Renseignements de la CVMO : examen de conformité des plateformes de cryptoactifs

La CVMO effectue un examen de conformité des plateformes de négociation de cryptoactifs (PNC) et fournit des directives.

Lire plus
7 Jan, 2025
Featured Insight

Projet de loi C-26 : un nouveau chapitre dans la réglementation canadienne en matière de cybersécurité

Le 5 décembre 2024, le Parlement a adopté la Loi concernant la cybersécurité (le Projet de loi C-26), qui marque le début d’une nouvelle ère en matière de cybersécurité pour les organisations sous réglementation fédérale.

Lire plus
6 Jan, 2025
Featured Insight

Approbation tant attendue des normes du marché mondial du carbone à la COP29 : une opportunité pour les entreprises canadiennes

La troisième partie de notre série sur les marchés du carbone traite des répercussions de la COP29 et des opportunités qu’elle peut offrir.

Lire plus
6 Jan, 2025
Featured Insight

Le gouvernement fédéral annonce que la corporation de garantie de prêts pour les autochtones du Canada accepte les demandes de garantie de prêt

Le Programme de garantie de prêts pour les Autochtones du gouvernement fédéral accepte désormais les demandes de garantie de prêt pour soutenir la prise de participation des Autochtones dans des projets liés aux ressources naturelles et à l’énergie.

Lire plus
6 Jan, 2025
Featured Insight

Avez-vous été gentil cette année? On termine 2024 avec un aperçu de la protection de la vie privée des enfants au Canada

Dans ce bulletin, nous identifions des questions cruciales pour aider les organisations du secteur privé à traiter les données des enfants conformément à la loi canadienne.

Lire plus
31 Déc, 2024