Skip to Content
logo
Partager cette page

Protéger le privilège dans les enquêtes sur les incidents de confidentialité : Perspectives 2025 Les incidents de confidentialité – Partie 4


2 avril 2025Publication

Cet article fait partie de notre série Perspectives 2025 : Les incidents de confidentialité, conçue pour aider les entreprises à naviguer le cadre en évolution des incidents de confidentialité. À mesure que les menaces liées aux atteintes à la vie privée deviennent plus sophistiquées et que la surveillance réglementaire s'intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin d’anticiper ces défis, chaque article dans cette série fournit des informations concrètes pour se préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et pour atténuer les risques. Découvrez la série complète ici.

La réponse à un incident de confidentialité peut être complexe et rapide, impliquant de multiples parties et parties prenantes liées à l'entreprise. Les informations échangées entre ces parties et ces parties prenantes sont souvent sensibles, et les entreprises préféreraient les garder confidentielles. Le privilège juridique peut offrir des protections précieuses aux informations sensibles lorsque les entreprises et leurs conseillers juridiques naviguent à travers un incident et devrait faire partie du plan de réponse aux incidents de chaque entreprise.

Privilèges juridiques

Le privilège juridique est un principe fondamental de notre système judiciaire qui permet à une entreprise de communiquer de manière franche avec son conseiller juridique sans craindre la divulgation de ces communications. Il existe également pour faciliter et protéger le processus contradictoire. Cela permet, entre autres, aux organisations de divulguer tout ce qui est nécessaire pour permettre à leurs conseillers de poursuivre leurs objectifs juridiques et est particulièrement important dans le contexte d'un litige.

Il existe deux types de privilèges juridiques qui s’appliquent généralement dans le contexte d’un incident :

  • Le privilège avocat-client protège les communications entre un client et son conseiller juridique qui impliquent la recherche et la fourniture de conseils juridiques et qui sont destinées à rester confidentielles. Une fois appliqué, ce privilège est permanent à moins que et jusqu'à ce que le client y renonce.
  • Le privilège relatif au litige protège les documents et les communications établis ou recueillis dans le but principal d’un litige et s'applique lorsqu’un litige est en cours ou raisonnablement anticipé au moment de la communication ou de la collecte. Ce privilège prend fin une fois que le litige qui en est à l'origine se termine.

Dans le contexte d'un incident, le privilège avocat-client peut offrir une protection à la demande de, et aux conseils juridiques fournis ultérieurement par le conseiller, tandis que le privilège relatif au litige peut fournir des protections aux rapports d'expertise ou à d’autres enquêtes menées dans le but principal d’un litige. Cependant, comme le suggèrent les décisions suivantes, le simple fait d'impliquer un conseiller juridique après un incident peut ne pas être suffisant pour protéger les enquêtes et les rapports relatifs aux incidents.

Leçons sur le privilège en matière de confidentialité et d’incident tirées de cas au Canada et aux États-Unis

(a) Lifelabs LP v. Information and Privacy Commissioner (Ontario)2024 ONSC 2194

La Cour divisionnaire de la Cour supérieure de justice de l'Ontario a jugé que le privilège ne s'étendait pas aux informations contenant des faits sous-jacents qui seraient autrement divulgués en vertu du régime législatif et que le simple fait d'inclure le conseiller dans les communications ou de transmettre des rapports n’enclenche pas immédiatement le privilège.

(b) Kaplan v Casino Rama Services Inc., 2018 ONSC 3545

La Cour supérieure de justice de l'Ontario a jugé que tout privilège était implicitement renoncé une fois que Casino Rama s'est appuyé sur les rapports dans ses affidavits soumis et a statué qu'une partie ne peut pas divulguer et s'appuyer sur des informations provenant d'une source privilégiée puis chercher à en empêcher la divulgation.

(c) Coopers Park Real Estate Development Corporation v. The King2024 TCC 122

Bien que cette affaire ne concerne pas un incident de confidentialité, son exploration de l'application du privilège entre les conseillers et les conseillers tiers est très pertinente. Les parties avaient signé une lettre de mission entre l'entreprise, son conseiller externe et des comptables tiers qui, selon la Cour, ne définissait pas clairement les rôles et les relations de chaque partie. Par conséquent, le privilège ne pouvait pas être invoqué pour protéger certaines communications entre les parties.

(d) In re Capital One Consumer Data Security Breach Litigation, E.D. Va May 26, 2020

Dans cette affaire, citée comme une autorité persuasive dans la décision LifeLabs, la Cour de l’état de Virginie a trouvé que, lorsqu'une entreprise a donné un mandat pour des services de cybersécurité dans le cours normal de ses affaires avant un incident, elle ne peut pas invoquer rétroactivement le privilège sur les rapports fournis par la société engagée en faisant signer à son conseiller un accord pour essentiellement les mêmes services après l’incident. Pour que le privilège s'applique, le rapport doit être créé en raison d'un litige.

(e) In re Rutter’s Inc. Data Security Breach Litigation, Case No. 1:20-CV-382 (N.D. Penn. July 22, 2021)

La Cour de l’état de Pennsylvanie a rejeté l'argument selon lequel les rapports d'enquête sont protégés par le privilège relatif au litige parce qu'ils sont nécessairement préparés en prévision d'un litige potentiel. Au lieu de cela, pour que le privilège relatif au litige s'applique, les tribunaux doivent évaluer si le « but principal motivant » de la création du rapport était le litige. Ici, le rapport a été préparé dans le cours ordinaire des affaires de l'entreprise et fourni directement à l'équipe informatique du défendeur pour qu'elle identifie et remédie à tout problème, plutôt que pour les fins d’un litige.

Stratégies d’atténuation

Voici quelques bonnes pratiques qui peuvent aider les entreprises à protéger les communications privilégiées lors d'une réponse à un incident.

  • Avoir une stratégie de réponse aux cyberattaques est crucial et tout plan de ce type devrait aborder la préservation du privilège lors de la rétention d'un conseiller juridique compétent et expert ainsi que des entreprises tierces de cybersécurité. Le fardeau de la preuve incombe à la partie qui fait la demande, de sorte que les considérations relatives au privilège doivent être une priorité, y compris le flux et l'étiquetage approprié des communications. Un tel plan doit être régulièrement revu et mis à jour.
  • Envisager l'utilisation d'un conseiller externe. Bien que le conseiller juridique interne puisse, dans certaines circonstances, revendiquer le privilège, faire appel à un conseiller externe peut augmenter la probabilité que toute communication ou document soit considéré comme ne faisant pas partie des activités ordinaires d'une organisation.
  • Engager un conseiller juridique le plus tôt possible afin de recevoir les conseils juridiques nécessaires pour répondre immédiatement à l’incident et pour soutenir tout droit de privilège..
  • Envisager de faire retenir les entreprises tierces par le conseiller juridique au nom de l'entreprise et avoir des rôles clairement définis et structurer les communications, les mandats et les enquêtes pour éviter la perte de privilège. Définir clairement la relation est essentiel et tous les aspects précédents aboutissent à cette suggestion.
  • Considérer attentivement l'impact potentiel sur le privilège avant de partager des documents avec des tiers, y compris des commissaires à la protection de la vie privée. Agir avec prudence lors de la divulgation d'informations privilégiées et s'assurer que toute divulgation ne présente pas de risque pour son privilège et être attentif aux divulgations ou renonciations involontaires.

Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la cybersécurité et des données, veuillez contacter les co-chefs nationaux Charles Morgan et Daniel Glover.

Personnes