Privilège juridique et coopération avec les organismes d’application de la loi dans le cadre de cyberincidents
L’établissement et la protection du privilège juridique constituent un élément crucial de l’intervention en cas de cyberincident et de la gestion des risques. Lorsqu’une organisation subit un cyberincident, ses dirigeants doivent la protéger contre les litiges et enquêtes réglementaires, au cours desquels ils pourraient être tenus de divulguer des renseignements sur l’attaque et les mesures d’intervention qu’ils ont prises. Dans ce contexte, il faut bien comprendre la place du privilège dans la communication de ces renseignements.
Tant les pratiques adoptées par le secteur, que les directives officielles publiées par les régulateurs reflètent l’importance de repérer et de protéger les renseignements privilégiés compris dans les documents ainsi communiqués. Par exemple, le Bureau du surintendant des institutions financières (BSIF) a publié plus tôt cette année une directive à l’attention des institutions financières fédérales (IFF) concernant la gestion du risque lié aux technologies et aux cyberrisques, dans laquelle il recommande que les IFF prennent des mesures pour établir un privilège juridique à l’égard des communications et des documents relatifs à la conformité en matière de cybersécurité et à la réponse à un incident.
L’an dernier, Torys a décrit la façon dont les tribunaux américains et canadiens vérifient la force et l’étendue des revendications de privilège dans le contexte des interventions en cas de cyberincident. Depuis, il y a eu de nouveaux développements dans le domaine, particulièrement en ce qui concerne les revendications de privilège et la mise en application de la loi, dont les entreprises devraient être au courant lorsqu’elles élaborent et gèrent leurs procédures d’intervention en cas de cyberincident.
La coopération avec les organismes d’application de la loi n’entraîne pas une renonciation au privilège
Une décision récente de la Cour d’appel du Québec a confirmé que les organisations peuvent divulguer des documents protégés dans le but de collaborer à une enquête d’un organisme d’application de la loi sans nécessairement renoncer au bénéfice du privilège vis-à-vis des autres parties1. En l’espèce, le document en question était un rapport juricomptable produit par un cabinet comptable à la demande du Centre universitaire de santé McGill. Ce rapport était protégé par le secret professionnel de l’avocat, car il avait été préparé à la demande des avocats du centre aux fins de consultation juridique. Le centre a toujours maintenu son caractère privilégié à l’interne et avait clairement l’intention de préserver sa confidentialité. Il a cependant transmis le rapport à l’Unité permanente anticorruption (UPAC) pour coopérer à une enquête criminelle menée par celle-ci. Compte tenu de ce contexte factuel, la Cour a conclu que le centre n’avait pas l’intention de renoncer au privilège vis-à-vis des tiers en communiquant le document à un organisme d’application de la loi.
Cette décision fait suite à une jurisprudence moins récente dans d’autres provinces, dont l’Ontario, qui permet la communication de documents à un petit nombre de parties qui l’exigent sans que cela constitue une renonciation au privilège. Ainsi, la Cour supérieure de justice de l’Ontario a conclu qu’il n’y avait pas eu renonciation au secret professionnel de l’avocat lorsque des documents autrement protégés ont été fournis aux auditeurs de la Commission des valeurs mobilières de l’Ontario dans le cadre d’une enquête. La transmission de ces documents n’a pas entraîné la renonciation au privilège à toutes fins utiles, mais seulement dans la mesure nécessaire pour réaliser l’audit2.
L’état du droit américain
L’affaire Capital One dont nous avons traité l’an dernier constitue le développement le plus important qui a eu lieu récemment dans le domaine de la cybersécurité et du privilège juridique aux États-Unis et qui a été confirmé dans la jurisprudence subséquente3.
En mars 2022, le gouvernement fédéral des États-Unis a adopté la Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), qui exige que certaines entités exerçant des activités dans les secteurs des infrastructures essentielles déclarent les cyberincidents. Il importe de souligner que même si cette loi ne s’applique pas à toutes les organisations, on y mentionne explicitement que le signalement des cyberincidents en vertu de la CIRCIA ne constitue pas une renonciation au secret professionnel de l’avocat ou à une autre protection juridique.
Points à retenir
Comme nous l’avons mentionné ci-dessus, il est essentiel de maintenir le caractère privilégié des conseils juridiques, des litiges prévus et d’autres documents confidentiels dans le cadre des mesures d’intervention prises après un cyberincident. Parallèlement, tant les organismes d’application de la loi du Canada que des États-Unis exhortent les organisations à signaler les cyberattaques et à coopérer à leurs enquêtes dans le cadre d’efforts plus vastes visant à freiner ces activités criminelles. L’état du droit dans les deux pays offre une certaine assurance aux organisations qui cherchent à aider les forces de l’ordre à lutter contre la cybercriminalité tout en empêchant la divulgation de leurs renseignements privilégiés.
Ces décisions soulignent toutefois l’importance d’un traitement cohérent des documents dès les premières étapes d’un cyberincident. Les organisations doivent veiller à bien indiquer le caractère privilégié des documents et à tenir des registres identifiant le fondement du privilège, les mesures prises pour assurer la confidentialité et contrôler la distribution des documents et la justification de toute communication de renseignements à des fins d’application de la loi ou d’audit ou à d’autres fins juridiques. Si une entreprise n’est pas en mesure de fournir des dossiers suffisants pour étayer son intention de limiter strictement toute renonciation partielle au privilège, il lui sera difficile d’empêcher la communication ultérieure de ces renseignements dans le cadre de procédures réglementaires et judiciaires.
- Centre universitaire de santé McGill c. Lemay, 2022 QCCA 1394.
- [2005] O.J. No. 4418.
- Voir, par exemple, la décision Wengui v. Clark Hill, PLC, 338 F.R.D.7, 2021 U.S. Dist. LEXIS 5395, 2021 WL 106417 (D.D.C. 12 janvier 2021), dans laquelle on a exigé la production d’un rapport d’expertise dans le contexte d’un cyberincident après que la cour de district a conclu que le rapport avait été largement diffusé à l’interne et à l’externe et qu’il aurait été produit même en l’absence d’un litige.
Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.
Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.
Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.
© Torys, 2024.
Tous droits réservés.