17 février 2022Calcul en cours...

Enjeux relatifs au secret professionnel dans le cadre d’enquêtes de cybersécurité : tendances en litige

Ces dernières années ont vu une hausse spectaculaire des incidents de cybersécurité ainsi que des enquêtes réglementaires et des litiges en résultant. Les organismes de réglementation et les demandeurs demandent régulièrement la production de rapports d’expertise et d’autres documents liés aux enquêtes internes et externes concernant les violations de renseignements personnels et commerciaux, les attaques par rançongiciel et autres incidents de sécurité, testant ainsi les limites du secret professionnel à l’égard de ces documents produits dans ces contextes et ce, des deux côtés de la frontière. À mesure que les entreprises continuent d’élaborer leurs plans d’intervention et à se préparer dans l’éventualité d’un incident, les conseils d’administration et les équipes de direction devraient connaître les dernières tendances transfrontalières remettant en cause la portée du droit au secret professionnel de l’avocat, du privilège relatif aux travaux préparatoires et du privilège relatif au litige dans le cadre d’enquêtes de cybersécurité.

Paysage juridique au Canada

Les incidents de cybersécurité font généralement l’objet d’une enquête dirigée par les conseillers juridiques internes ou externes, puisque la cause et les conséquences de l’incident, ainsi que les mesures d’intervention sont étroitement liées aux risques juridiques et réglementaires encourus par l’organisation. Un privilège est couramment invoqué à l’égard de la correspondance, des rapports et des évaluations d’experts liés aux incidents, car ceux-ci sont préparés à la demande des avocats et créés pour appuyer l’analyse des risques juridiques auxquels l’organisation s’expose. Toutefois, les tribunaux canadiens commencent à mettre à l’épreuve la portée de ces revendications de privilège.

La Cour supérieure de l’Ontario a examiné cette question dans l’affaire Kaplan v. Casino Rama Services Inc., un recours collectif proposé par des employés et clients faisant suite à une cyberattaque contre un casino. Les demandeurs réclamaient la communication d’un rapport d’enquête d’une firme d’experts en cyber sécurité, des communications ainsi que des dossiers de vérification de la sécurité1. Casino Rama a invoqué un privilège à l’égard de ces documents afin de résister à la demande de communication. Le tribunal ne s’est pas prononcé sur la revendication du privilège comme telle, mais s’est plutôt concentré sur la renonciation par l’organisation au privilège et sur la pertinence des documents dont la production était demandée.

En effet, dans un affidavit produit en réponse à la demande d’autorisation d’exercer le recours collectif, Casino Rama s’était appuyée sur le rapport d’enquête et sur des informations recueillies par ses experts externes. La cour ayant conclu qu’il s’agissait là d’une renonciation au privilège, Casino Rama a dû divulguer une partie des documents auxquels elle avait fait référence dans ses procédures au stade de l’autorisation, lesquels étaient pertinents quant à la taille et à la portée du groupe (plutôt qu’à l’égard du bien-fondé du recours au fond)2.

Plus fréquemment, un organisme de réglementation demande un rapport d’expertise concernant un incident de sécurité dans le cadre d’une enquête. En règle générale, les avocats retiennent les services d’experts en cyber sécurité pour enquêter sur les causes et les conséquences de l’incident et leur demandent de produire un rapport à l’égard duquel leurs clients revendiquent un privilège, puisque le rapport sert à appuyer les conseils juridiques fournis aux clients. Cependant, le rapport d’expert contient également des renseignements détaillés se rapportant à l’incident de sécurité.

La commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a examiné cette question après une cyberattaque visant LifeLabs. En 2019, LifeLabs a informé la CIPVP qu’elle avait subi un incident de sécurité touchant les données personnelles et médicales d’environ 15 millions de clients3. La CIPVP a demandé à LifeLabs de lui communiquer des documents liés à l’incident et à son enquête interne4.LifeLabs a revendiqué le droit au secret professionnel de l’avocat et un privilège relatif au litige à l’égard de divers documents, dont ceux liés à des tests de sécurité et à des communications avec les pirates informatiques menés par ses consultants, ainsi que la correspondance avec des tiers impliqués dans sa défense contre un litige parallèle5.

Or, à moins d’en être expressément autorisés par la loi, les organismes de réglementation canadiens ne peuvent exiger la production de renseignements privilégiés pour décider de la validité d’une revendication de privilège. Par conséquent, un différend en matière de privilège entre une organisation et un organisme de réglementation doit être examiné par les tribunaux ou décidé par l’organisme de réglementation en fonction de la description des dossiers seulement6.

Ainsi, afin de répondre aux objections basées sur le privilège, la CIPVP a demandé la production d’une liste détaillée de documents pertinents décrivant [traduction] « les documents qui existent et le fondement de chaque réclamation »7. Insatisfaite de la réponse de LifeLabs indiquant simplement des catégories générales de documents, la CIPVP a ordonné la production de documents par des tiers, y compris des rapports d’expertise et des analyses internes des changements apportés par LifeLabs en réponse à l’incident8. Le raisonnement de la CIPVP était fondé sur le fait que LifeLabs n’avait pas fourni de preuve pour justifier ses revendications de privilège, plutôt que sur une conclusion précise concernant le caractère privilégié des documents.

Le commissaire a souligné que le fait qu’une partie soit visée par un litige parallèle en lien avec un incident n’est pas suffisant en soit pour justifier que les documents liés aux mesures d’intervention suivants l’incident soient protégées par le privilège relatif au litige9. Il incombait donc à LifeLabs de réfuter la présomption selon laquelle [traduction] « les documents de tiers avaient été nécessairement créés en réponse aux besoins opérationnels de la société en lien avec ses mesures d’intervention »10. De même, selon la CIPVP, le seul fait de communiquer des rapports de tiers détenus par LifeLabs à des conseillers juridiques internes ou externes ne crée pas nécessairement un droit au secret professionnel de l’avocat11. Même si LifeLabs a indiqué qu’elle demanderait une révision judiciaire de cette ordonnance, aucune décision n’a encore été rendue publique.

Paysage juridique aux États-Unis

Le droit en cette matière est relativement plus développé aux États-Unis et comporte plusieurs décisions, dont une récemment rendue dans l’affaire In re Capital One.

Capital One avait une entente de service avec Mandiant, une société bien connue de services-conseils en cybersécurité et en intervention en cas d’incident. Après que Capital One ait subi un incident de cybersécurité, ses conseillers juridiques externes ont retenu les services de Mandiant, dans le cadre de son entente de services existante, pour enquêter sur les facteurs techniques ayant mené à l’incident12. Capital One a invoqué la doctrine du privilège relatif aux travaux préparatoires (semblable au privilège relatif au litige qui existe au Canada) pour refuser de produire ce rapport dans le cadre d’un recours collectif13.

Le tribunal a conclu que ce n’était pas suffisent de convertir une entente de service pré-incident en un mandat de services d’enquête une fois l’incident identifié pour établir un privilège, puisque les services rendus par Mandiant à Capital One étaient les mêmes avant et après l’incident. Autrement dit, les avocats ne pouvaient pas modifier l’entente de services-conseils existante pour les protéger d’une demande de production dans le cadre d’un litige éventuel.

Le tribunal a notamment comparé la relation contractuelle entre Capital One et Mandiant à celle de Mandiant dans le cadre d’une affaire antérieure impliquant Experian14. Dans cette affaire, Experian avait d’abord embauché des conseillers juridiques externes qui ont ensuite retenu les services de Mandiant15. Alors que dans l’affaire Capital One, le rapport d’expertise avait été communiqué à l’interne, dans Experian, Mandiant avait envoyé ses rapports aux conseillers juridiques externes et internes d’Experian seulement et non pas l’équipe d’intervention interne, ce qui a permis à Experian d’affirmer que les rapports avaient été faits en préparation à un litige plutôt que dans le cadre de services-conseils d’affaires16.

Ainsi, alors que le rapport était protégé dans Experian, il a dû être produit dans Capital One, puisque le tribunal n’était pas convaincu qu’il aurait été substantiellement différent si la société n’avait pas fait face à un litige lié à l’incident de sécurité.

Dans une décision plus récente, la cour fédérale de la Pennsylvanie a exigé la production d’un rapport d’expertise dans le cadre d’un litige lié à une violation de données subie par Rutters. Le tribunal a conclu que le rapport d’expertise préparé par un tiers avait généralement pour but de déterminer l’existence et la portée de la violation de données – de l’information factuelle qui était pertinente pour les activités de la société, bien avant l’instigation du litige découlant de l’incident17.

Répercussions pour les entreprises

Alors que le droit sur cette question est encore en développement en Amérique du Nord, les organisations doivent tenir compte des enjeux liés au privilège dès les premières étapes de l’enquête sur un incident de cybersécurité. Voici quelques pratiques recommandées pour les conseils d’administration, les membres de la direction et les équipes d’intervention :

  • intégrer explicitement des protocoles en matière de privilège aux plans d’intervention en cas d’incident, traitant des questions suivantes :
    • les communications internes et externes sur l’état de préparation en matière de cybersécurité, les enquêtes internes et externes et les litiges,
    • l’embauche de conseillers opérationnels et de conseillers en intervention en cas de crise,
    • la supervision de l’enquête par des conseillers juridiques internes ou externes,
    • la consignation de l’information sur le moment anticipé des litiges,
    • les parties prenantes qui ont besoin d’accéder à divers renseignements dans le cadre de leurs fonctions commerciales et juridiques;
  • déterminer clairement la portée et l’objectif des enquêtes sur les incidents et séparer les ententes de service (et les rapports) liées à la préparation aux incidents, à l’intervention en cas d’incident et à la collecte de renseignements en vue d’enquêtes réglementaires ou de litiges;
  • demander aux conseillers juridiques d’intégrer les conclusions du rapport d’expertise qui sont pertinentes pour leur analyse juridique dans une analyse distincte sur la manière dont le droit, les régimes réglementaires et les obligations contractuelles s’appliquent à l’incident pour évaluer les risques et fournir des conseils stratégiques;
  • indiquer les sources des éléments de preuve utilisés dans la défense contre les litiges pour s’assurer que les rapports préparés pour les conseillers juridiques ne sont pas regroupés avec les conseils en prévention ou en correction fournis dans le cadre des activités de l’entreprise et ne sont pas communiqués d’une manière qui fait perdre le privilège;
  • consigner de manière rigoureuse la correspondance et les rapports privilégiés et non privilégiés pour faciliter la conformité avec les enquêtes réglementaires.

  1. 2018 ONSC 3545, paragr. 2 [Casino Rama].
  2. Casino Rama, paragr. 11, 18.
  3. [2020] OPIC No 40, paragr. 3 [LifeLabs].
  4. Idem, paragr. 5. La première demande de la CIPVP avait été faite en vertu du paragraphe 38(1)(b) de la Personal Information Protection Act. La CIPVP a ensuite fait une autre demande de production en vertu de l’article 40 de la Loi de 2004 sur la protection des renseignements personnels sur la santé.
  5. Idem, paragr. 6, 13.
  6. La Cour suprême du Canada a fait cette distinction dans l’arrêt Canada (Commissaire à la protection de la vie privée) c. Blood Tribe Department of Health, 2008 CSC 44 aux paragr. 22 et 29. Dans cette affaire, une ancienne employée avait été empêchée de consulter son dossier personnel par son employeur malgré ces craintes que celui-ci contienne des renseignements inexacts et recueillis de manière inappropriée. La Commissaire à la protection de la vie privée fédérale avait ordonné la production des documents à l’égard desquels l’employeur revendiquait le droit au secret professionnel de l’avocat. L’ordonnance a d’abord été accordée, puis refusée lors d’appels subséquents.
  7. Idem, paragr. 12-13, 18.
  8. Idem, paragr. 31-32.
  9. Idem, paragr. 36.
  10. Idem, paragr. 43.
  11. Idem, paragr. 65, 67.
  12. In re Capital One Consumer Data Security Breach Litigation, 2020 U.S. Dist. LEXIS 91736 (E.D. Va. 26 mai 2020), *5 [In re Capital One]; voir aussi cet incident ayant fait l’objet d’un recours collectif proposé au Canada :  Del Giudice v. Thompson, 2021 ONSC 5379.
  13. In re Capital One, *9.
  14. In re Capital One, *14-16; In re Experian Data Breach Litigation, 2017 U.S. Dist. LEXIS 162891 (C.D. Cal. 18 mai 2017).
  15. Les mêmes facteurs que ceux discutés dans les affaires Capital One et Experian ont été examinés dans plusieurs autres décisions. Dans In re Dominion Dental Servs. United States, 2019 U.S. Dist. LEXIS 225275 (E.D. Va. 2019), un rapport de Mandiant a été considéré comme non privilégié, car les défendeurs et Mandiant entretenaient des relations d’affaires avant l’incident et que la majorité du travail de Mandiant servait à des fins commerciales telles que la prévention et la correction. De même, dans In re Premera Blue Cross Customer Data Security Breach Litigation, 2019 U.S. Dist. LEXIS 20279 (D. Or. 2019), *668, le transfert d’une entente de service existante à des conseillers juridiques externes n’a pas nécessairement changé la portée du travail et donc, l’application du privilège.
  16. La vaste diffusion d’un rapport d’enquête a également permis de conclure que le privilège ne s’appliquait pas dans d’autres affaires telles que Wengui v. Clark Hill, PLC, 2021 U.S. Dist. LEXIS 5395 (D.D.C. 2021), *12.
  17. In re Rutter’s Data Security Breach Litigation, 2021 U.S. Dist. LEXIS 67031 (M.D. Pa. 22 juillet 2021), *6, 12.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant