Protéger le privilège dans les enquêtes sur les incidents de confidentialité: Perspectives 2026 sur les incidents de confidentialité – Partie 4

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. Découvrez la série complète.

La réponse à un incident de confidentialité peut être complexe et urgente, et peut impliquer de multiples parties et parties prenantes liées à l’entreprise. Les renseignements échangés entre ces parties et les parties prenantes sont souvent sensibles, et les entreprises préféreraient les garder confidentiels. Le privilège juridique peut offrir aux entreprises et à leurs conseillers juridiques des protections utiles concernant les renseignements sensibles dans le cadre d’un incident de confidentialité et devrait donc faire partie du plan d’intervention en cas d’incidents de chaque entreprise.

Privilèges juridiques

Le privilège juridique est un principe fondamental de notre système judiciaire qui permet à une entreprise de communiquer de manière franche avec son conseiller juridique sans craindre la divulgation de ces communications. Il existe également pour faciliter et protéger le processus contradictoire. Cela permet, entre autres, aux organisations de divulguer tout ce qui est nécessaire pour permettre à leurs conseillers juridiques de poursuivre leurs objectifs juridiques et est particulièrement important dans le contexte d’un litige.

Il existe deux types de privilèges juridiques qui s’appliquent généralement dans le contexte d’un incident de confidentialité :

• Le secret professionnel de l’avocat protège les communications entre un client et son conseiller juridique qui portent sur la sollicitation et la prestation de conseils juridiques et qui sont destinées à demeurer confidentielles. Une fois appliqué, ce privilège est permanent à moins que et jusqu’à ce que le client y renonce.
• Le privilège relatif au litige protège les documents et les communications établis ou recueillis dans le but principal d’un litige et s’applique lorsqu’un litige est en cours ou raisonnablement anticipé au moment de la communication ou de la collecte. Ce privilège prend fin une fois que le litige qui en est à l’origine se termine.

Dans le contexte d’un incident de confidentialité, le secret professionnel de l’avocat peut offrir une protection relativement à la demande de prestation de conseils juridiques ainsi qu’aux conseils juridiques fournis ultérieurement par le conseiller juridique, tandis que le privilège relatif au litige peut fournir des protections aux rapports d’expertise ou à d’autres enquêtes menées dans le but principal d’un litige. Cependant, comme le suggèrent les décisions suivantes, le simple fait de retenir les services d’un conseiller juridique après la survenance d’un incident peut ne pas être suffisant pour protéger les enquêtes et les rapports relatifs à l’incident.

Leçons sur le privilège en matière d’incident de confidentialité tirées de décisions rendues au Canada et aux États-Unis

• Lifelabs LP v. Information and Privacy Commissioner (Ontario), 2024 ONSC 2194

La Cour divisionnaire de la Cour supérieure de justice de l’Ontario a jugé que le privilège ne s’étendait pas aux renseignements contenant des faits sous-jacents qui seraient autrement divulgués conformément au régime législatif et que le simple fait d’inclure le conseiller juridique dans les communications ou de lui transmettre des rapports n’enclenche pas immédiatement l’application du privilège.

• Jonshal Enterprises Limited v. J.D.H. Holdings Limited, 2025 ONSC 3148

Suivant la décision LifeLabs, la Cour supérieure de justice de l’Ontario confirme que le « raisonnement inverse » (flip side) est vrai et que les communications concernant un document existant resteraient protégées par le privilège si le but principal de la communication est le litige, même si le rapport sous-jacent est lui-même divulgué indépendamment ou n’est pas protégé par le privilège.

• Kaplan v Casino Rama Services Inc., 2018 ONSC 3545

La Cour supérieure de justice de l’Ontario a jugé qu’il y a eu renonciation implicite à tout privilège dès que Casino Rama s’est fondée sur les rapports dans les affidavits qu’elle a produits, et a conclu qu’une partie ne peut pas divulguer des renseignements provenant d’une source visée par un privilège, se fonder sur ceux-ci, puis chercher à en empêcher la divulgation.

• Coopers Park Real Estate Development Corporation v. The King, 2024 TCC 122

Bien que cette affaire ne concerne pas un incident de confidentialité, son étude de l’application du privilège entre des conseillers juridiques et des conseillers tiers est très pertinente. Les parties avaient signé une lettre de mission entre l’entreprise, son conseiller juridique externe et des comptables tiers qui, selon la Cour, ne définissait pas clairement les rôles et les relations de chaque partie. Par conséquent, le privilège ne pouvait pas être invoqué pour protéger certaines communications entre les parties.

• In re Capital One Consumer Data Security Breach Litigation, E.D. Va, 26 mai 2020

Dans cette affaire, citée comme une décision faisant autorité dans la décision LifeLabs, la Cour de l’état de Virginie a conclu que, lorsqu’une entreprise a donné un mandat pour des services de cybersécurité dans le cours normal de ses affaires avant un incident de confidentialité, elle ne peut pas invoquer rétroactivement l’application du privilège aux rapports fournis par la société dont les services ont été retenus en faisant simplement signer à son conseiller juridique un accord visant essentiellement les mêmes services après l’incident. Pour que le privilège s’applique, le rapport doit être créé dans le cadre d’un litige.

•  In re Rutter’s Inc. Data Security Breach Litigation, Case No. 1:20-CV-382 (N.D. Penn., 22 juillet 2021)

La Cour de l’État de Pennsylvanie a rejeté l’argument selon lequel les rapports d’enquête sont protégés par le privilège relatif au litige parce qu’ils sont nécessairement préparés en prévision d’un litige éventuel. Au lieu de cela, pour que le privilège relatif au litige s’applique, les tribunaux doivent évaluer si le « but principal déterminant » (primary motivating purpose) de la création du rapport était le litige. Ici, le rapport avait été préparé dans le cours ordinaire des affaires de l’entreprise et remis directement à l’équipe des TI du défendeur afin qu’elle repère tout problème et y remédie, plutôt qu’à des fins de litige.

Stratégies d’atténuation

Voici quelques bonnes pratiques qui peuvent aider les entreprises à protéger les communications visées par un privilège lors d’une intervention en cas d’incident de confidentialité.

• Avoir une stratégie d’intervention en cas de cyberattaque est crucial et tout plan de ce type devrait aborder la préservation du privilège lors de la rétention des services d’un conseiller juridique compétent et expert ainsi que d’entreprises tierces spécialisées dans la cybersécurité. Le fardeau de la preuve incombe à la partie qui fait la demande, de sorte que les considérations relatives au privilège doivent être une priorité, y compris le flux et l’étiquetage approprié des communications. Un tel plan doit être régulièrement revu et mis à jour.
• Envisager de retenir les services d’un conseiller juridique externe. Bien que le conseiller juridique interne puisse, dans certaines circonstances, invoquer le privilège juridique, le fait pour une entreprise de faire appel à un conseiller juridique externe peut faire augmenter les chances que les communications ou documents, quels qu’ils soient, ne seront pas considérés comme faisant partie de ses activités ordinaires.
• Retenir les services d’un conseiller juridique le plus tôt possible afin de recevoir les conseils juridiques nécessaires pour intervenir immédiatement en cas d’incident et étayer toute revendication d’un privilège juridique.
• Penser à faire retenir les services d’entreprises tierces par le conseiller juridique au nom de l’entreprise, en prenant soin de définir clairement les rôles et d’organiser les communications, les mandats et les enquêtes pour éviter la perte du privilège juridique. Une définition claire de la relation est essentielle et toutes les décisions susmentionnées confirment l’importance de cette pratique.
• Examiner avec soin l’incidence éventuelle sur le privilège juridique avant de partager des documents avec des tiers, y compris des commissaires à la protection de la vie privée. Il convient d’agir avec prudence lors de la divulgation de renseignements protégés par un privilège juridique et de veiller à ce que la divulgation, quelle qu’elle soit, ne présente pas de risque à l’égard du privilège , en plus de faire preuve de prudence en matière de divulgations ou de renonciations involontaires.

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. À mesure que les menaces gagnent en complexité et que la surveillance des autorités de réglementation s’intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin de vous aider à anticiper ces défis, chaque article de cette série fournit de l’information concrète pour vous aider à vous préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et à atténuer les risques. Découvrez la série complète ici.

Ce que nous entendons par « incident de confidentialité »

Lorsque les gens entendent parler d’un « incident de confidentialité », ils pensent souvent uniquement aux incidents visant des renseignements personnels. Dans cette série, nous utilisons le terme de manière plus large. Nous examinons tout incident de sécurité dans le cadre duquel des données sensibles ou confidentielles sont consultées, exfiltrées, publiées, modifiées, effacées ou rendues indisponibles sans autorisation – que ces données appartiennent à des individus ou à l’entreprise elle-même. Cela inclut tout, de la propriété intellectuelle et des dossiers financiers aux systèmes d’exploitation mis hors ligne par un rançongiciel.

Pour en savoir plus sur la manière dont notre groupe Cyber/Données peut vous aider à vous orienter dans le paysage de la cybersécurité et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.