Comprendre les limites du privilège juridique à la suite d’une cyberattaque : enseignements tirés de la violation des données de Lifelabs
Comprendre les limites du privilège juridique à la suite d’une cyberattaque : enseignements tirés de la violation des données de Lifelabs
Lorsqu’elles ont été victimes d’une cyberattaque, les organisations ont tendance à exercer une surveillance étroite sur les renseignements relatifs à l’incident. Il y a de bonnes raisons à cela. Premièrement, les renseignements relatifs à une cyberattaque pourraient révéler des vulnérabilités susceptibles d’être exploitées par d’autres cybercriminels. Deuxièmement, la divulgation de détails sensibles sur l’incident peut pousser à examiner de plus près les décisions prises par l’organisation avant ou après l’incident, ce qui pourrait porter atteinte à sa réputation ou même entraîner une responsabilité civile et réglementaire.
C’est ainsi que les organisations peuvent tenter de protéger les renseignements sensibles liés à l’incident en invoquant un certain privilège juridique. Toutefois, les récents développements juridiques ont mis en lumière la portée limitée du privilège juridique en ce qui concerne les dossiers produits dans le cadre de l’enquête sur l’incident et du processus d’intervention.
Dans LifeLabs LP v. Information and Privacy Commr (Ontario)[1], une formation de la Cour divisionnaire de la Cour supérieure de justice de l’Ontario a confirmé une décision réglementaire selon laquelle les privilèges juridiques invoqués par LifeLabs ne s’appliquaient pas, entre autres, à l’analyse interne des données touchées par la violation, aux communications avec les auteurs de l’attaque et au rapport d’expertise judiciaire préparé par un tiers consultant en cybersécurité.
Cette décision souligne l’importance de sensibiliser l’équipe d’intervention aux limites du privilège juridique et d’élaborer une stratégie efficace pour gérer les préoccupations en matière de confidentialité concernant les renseignements sensibles sur les incidents.
Contexte
LifeLabs LP (« LifeLabs ») fournit des services de laboratoire partout au Canada et, dans le cadre de cette activité, traite des renseignements personnels sensibles sur la santé de ses clients[2]. En 2019, LifeLabs a été victime d’une attaque par rançongiciel qui a entraîné un accès non autorisé aux renseignements personnels sur la santé de millions de Canadiens[3]. Le commissaire à l’information et à la protection de la vie privée de l’Ontario et le bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (collectivement, les « Commissaires ») ont mené une enquête conjointe sur l’incident[4].
Dans le cadre de leur enquête, les Commissaires ont demandé à consulter plusieurs documents relatifs à la cyberattaque que LifeLabs avait obtenus de ses consultants[5]. Il s’agissait notamment des documents ci-après :
- un rapport d’enquête d’un cabinet d’expertise en cybersécurité décrivant la cyberattaque;
- les courriels échangés entre un cabinet de cyberenseignement et les pirates après la découverte de l’attaque;
- l’analyse des données internes de LifeLabs décrivant les personnes touchées par la violation des données;
- d’autres communications entre LifeLabs et les Commissaires[6].
LifeLabs avait refusé de fournir les documents en question, alléguant que ces renseignements étaient protégés par le privilège du secret professionnel de l’avocat et/ou du secret des renseignements préparatoires au procès (privilège relatif au litige)[7]. Les Commissaires ont estimé conjointement que les revendications de privilège devaient être rejetées, au motif que LifeLabs ne leur a pas fourni de preuves suffisantes pour démontrer que les documents étaient effectivement soumis aux privilèges juridiques invoqués[8].
Le privilège ne protège pas les faits sous-jacents relatifs à l’incident
La Cour divisionnaire a confirmé la décision du Commissaire selon laquelle ni le secret professionnel de l’avocat ni le secret des renseignements préparatoires au procès ne s’appliquaient aux documents visés.
Le secret professionnel de l’avocat protège les communications confidentielles entre un avocat et son client tenues dans le cadre de la demande, de la prestation et de la réception de conseils juridiques. Le secret des renseignements préparatoires au procès protège les communications faites et les documents créés principalement dans l’intention d’être utilisés dans le cadre d’un litige en cours, prévu ou envisagé.
Ces deux privilèges sont souvent invoqués dans le contexte d’un incident de cybersécurité.
Tout en reconnaissant le sacro-saint principe du privilège juridique, la Cour divisionnaire a néanmoins conclu qu’une partie ne saurait étendre ce privilège à des faits défavorables à son égard concernant une cyberattaque, en fournissant une copie des faits à son avocat ou en les incluant dans un rapport préparé, en partie, en gardant à l’esprit l’éventualité d’un litige[9].
Par exemple, la Cour a conclu que les lignes de code utilisées par les pirates ne pouvaient pas être privilégiées simplement parce qu’elles avaient été copiées et collées dans un rapport d’expertise judiciaire, et que les mesures prises pour se protéger contre les failles de sécurité ne pouvaient pas non plus être privilégiées simplement parce que ces renseignements avaient été recueillis par un avocat.
Attention aux limites du privilège de l’intérêt commun!
Bien que la décision dans l’affaire LifeLabs ne traite pas expressément de la question, il convient de garder à l’esprit les implications importantes d’un recours éventuel au privilège d’intérêt commun. Les organisations victimes d’une cyberattaque sont souvent tenues de communiquer les rapports d’expertise judiciaires ou d’autres renseignements liés à cet incident aux compagnies d’assurance qui couvrent les coûts liés aux interventions en cas de violations de données, ou à d’autres tiers qui ont un intérêt commun dans l’affaire. Il est essentiel que les parties à de tels arrangements réfléchissent aux limites susmentionnées.
Le privilège d’intérêt commun permet aux parties ayant un intérêt juridique commun de se transmettre des informations confidentielles sans renoncer aux privilèges qui les couvrent. Fait important, le privilège d’intérêt commun ne constitue pas une catégorie distincte de privilège; il ne s’applique que lorsqu’un autre privilège existe déjà et n’a pour seul but que de protéger le privilège existant contre la renonciation[10]. Par exemple, les tribunaux ont refusé de lever le privilège relatif au secret des renseignements préparatoires au procès visant un document partagé entre une organisation et son assureur lorsque le document est principalement destiné à être utilisé dans un litige envisagé ou en instance (c’est-à-dire lorsque le privilège relatif au secret des renseignements préparatoires au procès s’applique déjà)[11].
Les parties ayant un intérêt commun dans un incident particulier devraient examiner attentivement la pertinence des revendications de privilèges sous-jacentes, évaluer les implications potentielles de la communication d’informations entre elles, puis élaborer une stratégie pour faciliter la transmission d’informations nécessaires, de sorte que cela puisse préserver leur intérêt commun.
À retenir
La gestion des questions de privilège est une étape préliminaire essentielle du processus d’intervention en cas d’incident.
Bien que le privilège juridique soit sans aucun doute un outil précieux pour faciliter la circulation de renseignements en toute franchise dans le cadre de la recherche de conseils juridiques ou de la préparation à un litige, l’arrêt dans l’affaire LifeLabs démontre l’importance de sensibiliser l’équipe d’intervention en cas d’incident aux limites du privilège. Ensuite, en gardant les yeux grands ouverts, il convient d’élaborer une stratégie efficace d’enquête, de correction et de communication en tenant compte des risques importants liés au litige et à la réglementation.
L’équipe de protection de la vie privée et des données de McMillan est disposée à fournir des conseils stratégiques afin d’aider les organisations à intervenir en cas de cyberattaques et de violations de données mettant en cause des renseignements personnels et confidentiels sensibles, notamment en élaborant une approche efficace de gestion de questions de privilège.
[1] LifeLabs LP v. Information and Privacy Commr. (Ontario), 2024 ONSC 2194 [LifeLabs] (en anglais).
[2] LifeLabs au paragraphe 2.
[3] LifeLabs au paragraphe 1.
[4] LifeLabs au paragraphe 5.
[5] LifeLabs au paragraphe 6.
[6] LifeLabs au paragraphe 62.
[7] LifeLabs au paragraphe 6.
[8] LifeLabs au paragraphe 7; LifeLabs LP (Re), 2020 CanLII 24923 (CIPVP ON), aux paragraphes 56 et 68 (en anglais).
[9] LifeLabs aux paragraphes 78 et 81.
[10] Trillium Motor World c. General Motors, 2014 ONSC 4894 au paragraphe 14 (en anglais).
[11] Panetta v. Retrocom, 2013 ONSC 2386, aux paragraphes 61 et 62 (en anglais).
Par Mitch Koczerginski, Robbie Grant et Ada Ang (stagiaire en droit)
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.
© McMillan S.E.N.C.R.L., s.r.l. 2024
Perspectives (5 Posts)Voir Plus
Introduction aux sites contaminés : comprendre les aspects clés pour assurer une gestion environnementale efficace
Nous vous invitons à assister, le jeudi 26 septembre, à un webinaire présenté par McMillan sur les aspects clés de la gestion des sites contaminés dans le contexte du droit de l’environnement au Canada.
Ce que les entreprises canadiennes doivent savoir sur les nouveaux droits de douane sur l’acier, l’aluminium et les véhicules électriques importés de Chine (ou : pourquoi vous pourriez payer une surtaxe sur votre prochain véhicule électrique)
Le 26 août 2024, le gouvernement du Canada a annoncé l’adoption de mesures commerciales visant les importations en provenance de Chine comme les véhicules électriques ainsi que l’acier et l’aluminium.
Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée
Les évaluations des facteurs relatifs à la protection de la vie privée constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à respecter les exigences applicables en matière de protection de la vie privée et des données
Tarifs douaniers, commerce et sécurité économique : aperçu de la dernière consultation du gouvernement du Canada
Le 9 août 2024, Affaires mondiales Canada a lancé un processus de consultation publique de 45 jours visant à protéger et à renforcer la sécurité économique du Canada.
Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues
Dans ce bulletin, nous expliquons ce qu’est une politique de protection des renseignements personnels en examinant ce qu’elle n’est pas.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.