Les commissaires à la protection de la vie privée du Canada ont insisté sur l’importance de la dernière étape de l’intervention en cas d’atteinte à la vie privée : la prévention et les leçons retenues. La récente décision de la Cour d’appel de la Colombie-Britannique dans l’affaire Ari v. Insurance Corporation of British Columbia confirme que l’octroi de dommages-intérêts punitifs peut être justifié si une organisation a négligé d’apprendre des atteintes à la vie privée passées afin de prévenir de futures atteintes.
Intervention en cas d’atteintes à la vie privée – une procédure en plusieurs étapes
Les commissaires à la protection de la vie privée du Canada ont émis des lignes directrices sur la procédure d’intervention en plusieurs étapes en cas d’atteinte à la vie privée. Les étapes recommandées sont les suivantes : (1) limitation de la fuite; (2) évaluation des risques; (3) avis/signalement; (4) prévention des futures atteintes/surveillance. Voir les documents Conseils pour limiter et réduire le risque d’atteinte à la vie privée, Privacy Breaches: Tools and Resources, Key Steps in Responding to Privacy Breaches et Que faire en cas de perte ou de vol de renseignements personnels?.
La procédure d’intervention recommandée suit généralement les pratiques exemplaires et les indications en matière de cybersécurité émises par d’autres organismes de réglementation, notamment le Computer Security Incident Handling Guide publié par l’institut national des normes et de la technologie (NIST) des États-Unis et Gestion des cyberincidents – Guide de planification de l’Organisme canadien de réglementation des valeurs mobilières.
Sur le plan de la prévention, le document Conseils pour limiter et réduire le risque d’atteinte à la vie privée contient les indications suivantes :
« Une fois que les mesures immédiates sont prises pour réduire les risques associés à l’atteinte aux renseignements personnels, les organisations doivent prendre le temps d’enquêter sur les causes de l’incident et de réfléchir à la nécessité d’élaborer un plan de prévention. Plus ou moins d’efforts devraient être déployés en fonction de la gravité de l’incident et de son caractère systémique ou isolé. Le plan pourrait prévoir ce qui suit : une vérification de la sécurité physique et technique; un examen des politiques et des procédures et tout changement témoignant des leçons tirées de l’enquête et subséquemment [...]; un examen des pratiques de formation des employés et un examen des partenaires de la prestation de services. »
Le Commissariat à la protection de la vie privée du Canada a observé que la dernière étape de l’intervention en cas d’atteinte « est parfois négligée », et que les incidents qui semblent être des événements isolés ne sont pas suffisamment analysés pour faire ressortir les problèmes systémiques sous-jacents. Dans le même ordre d’idée, le Computer Security Incident Handling Guide du NIST indique ce qui suit [traduction] : « L’une des parties les plus importantes de l’intervention en cas d’incident est aussi la plus souvent omise : l’apprentissage et l’amélioration. »
Le défaut de prévenir de futures atteintes à la vie privée peut donner lieu à des dommages-intérêts punitifs
l’ICBC a collaboré avec la police et renforcé ses protocoles de sécurité. La juge de première instance a certifié l’action collective, mais a refusé d’autoriser la question portant sur les dommages-intérêts punitifs. Invoquant la conduite exemplaire de l’ICBC après la découverte de l’atteinte, la juge a conclu que rien dans son comportement ne justifiait l’octroi de dommages-intérêts punitifs. Dans l’appel interjeté par le demandeur, la Cour d’appel de la Colombie-Britannique a déclaré que la juge de première instance avait commis une erreur en refusant d’autoriser la question portant sur les dommages-intérêts punitifs. La Cour d’appel a déclaré ce qui suit [traduction] :
« Au lieu de considérer les antécédents d’atteintes à la vie privée commises par des employés de l’ICBC – la preuve indique que l’ICBC a renvoyé au moins sept employés pour cause d’atteinte à la vie privée entre 2008 et 2011 –, la juge de première instance a seulement pris en compte les mesures prises depuis la découverte de l’atteinte en cause. Aussi admirable soit-elle, la conduite subséquente de l’ICBC n’est pas seul facteur à prendre en compte pour déterminer s’il y a lieu d’accorder des dommages-intérêts punitifs. La juge de première instance aurait dû prendre au sérieux les nombreuses allégations de divulgation de renseignements personnels par des employés de l’ICBC. »
La Cour d’appel a conclu que les antécédents d’atteintes à la vie privée commises par des employés de l’ICBC constituaient un fondement en fait justifiant l’autorisation d’une question commune portant sur les dommages-intérêts punitifs dans l’action collective.
Commentaire
La décision dans Ari v. Insurance Corporation of British Columbia rappelle aux organisations qu’elles doivent absolument s’assurer que leurs procédures d’intervention en cas d’incident comprennent une analyse d’incident et la mise en œuvre de mesures préventives et d’une surveillance appropriées. Pour en savoir plus, voir les bulletins de BLG intitulés Data Security Incident Response Plans – Some Practical Suggestions et Cyber Incident Response Plans – Test, Train and Exercise (en anglais seulement).im
Les organisations doivent également envisager d’adopter une stratégie relative au secret professionnel afin d’éviter la divulgation accidentelle ou inutile d’un avis protégé par le secret professionnel durant une analyse d’incident. Pour en savoir plus, voir les bulletins de BLG intitulés Cyber Risk Management – Legal Privilege Strategy – Part 1, Cyber Risk Management – Legal Privilege Strategy – Part 2, Legal Privilege for Data Security Incident Investigation Reports, and Loss of Legal Privilege over Cyberattack Investigation Report (en anglais seulement).
