Cybersécurité, respect de la vie privée et protection des renseignements personnels

Lorsqu’il s’agit de cybersécurité, il existe deux types d’organisations : celles qui ont été victimes d’une cyberattaque et ne le savent que trop bien, et celles qui l’ont été, mais qui ne le savent pas encore.
La gestion du risque informatique est un enjeu qui gagne en importance pour toutes les organisations. En tant que cabinet d’envergure nationale offrant une gamme complète de services, nous pouvons compter sur l’une des équipes juridiques les plus talentueuses et les plus expérimentées du Canada dans le domaine de la cybersécurité. Nos avocats, riches d’une vaste expérience et de solides connaissances spécialisées en matière de gestion du risque informatique et de services juridiques de gestion de crise, n’ont pas leur pareil pour mener à bien des cyberlitiges complexes aussi bien du côté de la poursuite que de la défense (y compris des actions collectives). 

Notre équipe chevronnée offre des services ciblés dans six domaines.

Programme de gestion du risque informatique

Nous pouvons vous aider pour ce qui suit :

  • Détecter, évaluer et classer en ordre de priorité les risques en matière de cybersécurité et choisir les meilleures stratégies pour atténuer le plus possible les risques relevés
  • Donner des conseils sur les exigences légales et les directives réglementaires
  • Réaliser des vérifications et des évaluations confidentielles
  • Donner des conseils sur les mesures à prendre pour remédier aux risques
  • Rédiger et réviser des documents sur les programmes

Plans dintervention en cas dincident

Nous mettons au point des plans d’intervention en cas d’incident écrits et prédéterminés qui comprennent des lignes directrices et des protocoles divers et permettent des interventions rapides, licites et efficaces à la suite de divers types d’incidents touchant la cybersécurité. Nous formulons des conseils sur les exigences légales et les directives réglementaires et rédigeons ou révisons des plans d’intervention en cas d’incident et des documents connexes portant notamment sur ce qui suit :

  • Protocoles et lignes directrices pour les communications
  • Tenue des dossiers
  • Collecte d’éléments de preuve
  • Évaluation des risques
  • Avis et partage d’information
  • Examen après un incident

Programme d’évaluation, de formation et d’exercices

Un programme d’évaluation, de formation et d’exercices peut être très utile pour faire en sorte que les plans d’intervention en cas d’incident soient à jour et que les systèmes pertinents liés au personnel et aux technologies de l’information soient prêts à réagir. Nous pouvons vous épauler dans les tâches suivantes :

  • Concevoir et mettre en œuvre un programme d’évaluation, de formation et d’exercices en procurant des conseils sur les exigences légales et les directives réglementaires
  • Rédiger et réviser des documents liés au programme
  • Participer aux activités prévues au programme (comme les exercices de simulation)
  • Réaliser des évaluations et fournir des conseils confidentiels

Pratiques, procédures et formation

Nous offrons des pratiques et des procédures ainsi que de la formation concernant l’utilisation des systèmes de technologie de l’information, ainsi que de la formation continue au personnel concerné. Nous offrons notamment les services suivants :

  • Fournir des conseils sur les exigences légales et les directives réglementaires, notamment en ce qui concerne la protection de la vie privée, l’embauche, l’accueil et l’orientation du personnel ainsi que le suivi et le respect de la conformité
  • Rédiger et réviser des politiques et des procédures
  • Prêter main-forte en matière de formation
  • Offrir des conseils sur le suivi, l’évaluation et le respect de la conformité

Gestion des risques relatifs aux partenaires commerciaux

Nous offrons également des services-conseils en gestion des risques relatifs aux partenaires commerciaux. Il est impératif que les contrats conclus avec des partenaires commerciaux (comme les vendeurs, fournisseurs, fournisseurs de services et sous-traitants) traitent des risques informatiques, particulièrement les ententes qui prévoient le transfert de renseignements réglementés (p. ex., des renseignements personnels) à des partenaires commerciaux ou le recours à des services d’infonuagique et les autres ententes d’impartition. Nous offrons notamment les services suivants :

  • Fournir des conseils sur les exigences légales et les directives réglementaires
  • Établir des listes de vérification aux fins de contrôle diligent
  • Rédiger et réviser des documents d’approvisionnement et des échéanciers contractuels types
  • Rédiger et négocier des contrats avec des partenaires commerciaux
  • Rédiger et réviser des politiques et des procédures internes
  • Prêter main-forte pour le suivi et la vérification de la conformité des partenaires commerciaux aux exigences contractuelles

Conseils à l’intention du CA et de la haute direction

Nous offrons des conseils sur mesure au CA et à la haute direction. Il incombe aux administrateurs et aux dirigeants de veiller à ce que leur entreprise ou organisation gère comme il se doit les risques informatiques et réagisse efficacement aux incidents. Nous pouvons former les administrateurs et les membres de la haute direction et les conseiller pour qu’ils soient en mesure de respecter leurs obligations légales ainsi que de mettre en place les registres appropriés en matière de contrôle diligent et d’appréciation commerciale.

Spécialisations

Expérience - Gestion du risque informatique et gestion de crise

  • Nous avons œuvré pour de nombreux clients (y compris des sociétés exerçant leurs activités dans les secteurs des services financiers et du commerce de détail) relativement à la gestion d'atteintes à la sécurité des données dans divers territoires canadiens, notamment en enquêtant sur ces atteintes; nous avons agi à titre de personne-ressource pour les parties intéressées et les personnes concernées, les médias, les consultants techniques externes et les commissaires à la vie privée (tels le Commissariat à la protection de la vie privée du Canada, les commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique, et la Commission d'accès à l'information du Québec); nous avons donné des conseils relatifs aux obligations d'information; nous avons fourni un soutien pour la rédaction d'avis et, de façon générale, nous avons contribué à la mise en œuvre d'une stratégie de réponse adéquate.
  • Nous avons représenté divers clients dans le cadre d'enquêtes menées par des commissaires à la vie privée et des organismes de réglementation, notamment les suivants :
    • une importante société canadienne d'évaluation et d'analyse du crédit; une multinationale américaine inscrite à la cote de la Bourse de New York (NYSE); un chef de file international du divertissement familial et des médias interactifs;
    • une multinationale du secteur des technologies;
    • diverses institutions financières.
  • Nous avons procédé à des évaluations de l'impact sur la protection de la vie privée et à des évaluations du risque lié à la gestion de renseignements personnels, conçu des programmes de protection des renseignements personnels adaptés aux besoins du client et aux risques auxquels il est exposé et participé à la mise en œuvre de ces programmes pour divers clients, dont :
    • une multinationale américaine cotée au NASDAQ et spécialisée dans les produits et services liés à Internet;
    • un câblodistributeur et télédiffuseur canadien;
    • une société de premier plan qui conçoit, fabrique, commercialise et distribue un large éventail de produits génériques pour le secteur pharmaceutique de détail;
    • un chef de file canadien des fintech.
  • Nous avons mené des audits relatifs au respect de la vie privée , notamment en étudiant les flux de renseignements personnels dans des entreprises et leurs filiales (« mappage des données ») et réalisé des « analyses d'écarts » axées sur les pratiques au chapitre des politiques sur la vie privée ou les lois applicables en la matière pour divers clients, dont les suivants :
    • l'un des détaillants les plus importants du Canada;
    • une entreprise de biens de consommation d'envergure;
    • une entreprise de premier plan du secteur pharmaceutique de détail.
  • Nous avons élaboré et fourni des services et des programmes de formation portant sur la conformité aux lois en matière de respect de la vie privée et de cybersécurité à l'intention d'employés qui gèrent les renseignements personnels de clients ou d'employés, de personnel de services juridiques (notamment les employés chargés de la conformité) de même que d'équipes des ventes, du marketing, des ressources humaines et des technologies de l'information, pour des clients comme :
    • l'une des plus grandes institutions financières du Canada;
    • l'un des plus importants fabricants automobiles;
    • l'un des plus grands fournisseurs de services d'impartition;
    • un chef de file canadien des biens de consommation.
  • Nous avons négocié d'importantes conventions entre partenaires commerciaux pour le compte de nombreux clients de divers secteurs (entre autres des détaillants, des fournisseurs de services de télécommunications, des institutions financières et des entreprises en ligne), lesquelles conventions tenaient compte de questions liées à la gestion du risque informatique, comme :
    • des ententes de partenariat stratégique;
    • des contrats d'impartition de services technologiques;
    • des ententes de services d'infonuagique;
    • des ententes relatives à l'échange de données.

Expérience - Cyberlitiges et actions collectives

  • Nous avons représenté un organisme de réglementation des services financiers nommé comme défendeur dans une action collective liée à la perte de renseignements personnels contenus dans un ordinateur portatif. Nous avons réussi à faire en sorte que l'action soit rejetée.
  • Nous avons représenté une importante société de financement automobile nommée comme défenderesse dans une action collective liée à la perte d'une cassette de données qui contenait des renseignements personnels. Nous avons réussi à faire en sorte que l'action soit rejetée.
  • Nous avons représenté Google, défenderesse dans une possible action collective portant sur le respect de la vie privée (actuellement à l'étape de la préautorisation) au nom de personnes dont les données électroniques auraient été transmises au moyen d'une connexion Internet sans fil non sécurisée et dont les renseignements personnels auraient ainsi été interceptés.
  • Nous avons représenté Bell Canada dans le cadre d'une action collective en matière de respect de la vie privée intentée au nom d'abonnés du service Internet relativement à une pratique alléguée de Bell, qui aurait délibérément ralenti le service aux consommateurs durant les heures de pointe pour tenter de favoriser les utilisateurs d'entreprises, et à l'utilisation présumée d'une technologie « d'inspection approfondie des paquets » pour recueillir le contenu des messages envoyés au moyen du service de Bell et y accéder.
  • Nous avons représenté l'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) dans une action collective en matière de vie privée relative à un incident mettant en cause la perte d'un ordinateur portatif non crypté contenant l'information financière de plus de 52 000 clients d'une maison de courtage. Nous avons réussi à faire en sorte que l'action soit rejetée.
  • Nous avons représenté un grand nombre d'hôpitaux et d'établissements de soins de santé qui font l'objet de réclamations potentielles ou réelles ayant trait à l' utilisation ou à la divulgation non autorisée de renseignements liés à la santé , allant d'infractions isolées dont la portée n'est pas considérable à des violations graves qui impliquent la perte ou le vol d'appareils servant à stocker les données.
  • Nous avons représenté un courtier établi à New York qui a intenté une action en vue d'obtenir une mesure injonctive d'urgence à l'encontre d'un fournisseur de service réseau qui refusait de lui fournir les mots de passe administratifs qui lui auraient permis d'accéder à des fonctions essentielles comme la lecture de ses courriels et l'impression de documents .
  • Nous avons obtenu, pour le compte de télédiffuseurs américains et canadiens dont les signaux de télévision protégés par le droit d'auteur étaient piratés, des ordonnances de fouille (procédure civile) dans le but de saisir des serveurs informatiques et d'identifier les malfaiteurs.
  • Nous avons obtenu des ordonnances de divulgation pour le compte d'un client à la suite du vol de ses renseignements personnels qui avaient été affichés sur un site Web afin de contraindre le fournisseur de service Internet à divulguer les adresses IP des malfaiteurs.
  • Nous avons obtenu une injonction afin d'exiger d'un prestataire de services d'hébergement Internet la fermeture de serveurs au moyen desquels était perpétré le vol, à l'échelle mondiale, d'œuvres protégées par le droit d'auteur.
  • Nous avons obtenu une injonction afin d'exiger d'un fournisseur de service au point de vente qu'il retire d'un système au point de vente d'un détaillant national un dispositif de blocage non autorisé servant à désactiver le système si les frais contestés n'étaient pas payés.
  • Nous avons représenté un établissement de soins de santé dans le cadre d'une action collective en matière de vie privée intentée par des employés d'un hôpital pour « intrusion dans l'intimité », à savoir une atteinte à la vie privée; il s'agit d'une affaire qui devrait fixer les paramètres de cette nouvelle violation.
  • Nous avons représenté un centre hospitalier dans le cadre de deux demandes d'action collective reposant sur des allégations selon lesquelles des employés de l'hôpital auraient indûment accédé aux coordonnées de nouvelles mères et vendu les renseignements personnels ainsi obtenus à des promoteurs de régimes enregistrés d'épargne-études (REEE) .
  • Nous avons représenté une banque canadienne poursuivie relativement aux gestes criminels d'un employé malveillant qui aurait porté atteinte à la vie privée des clients de la banque en ayant accès à des renseignements stockés de façon électronique.

Principaux contacts

Restez au courant

Abonnez-vous pour connaître nos points de vue sur les dernières évolutions du droit qui vous toucheront.
S’abonner