Sauter la navigation

Cinq conseils pour protéger le secret professionnel en cas d’atteinte à la protection des données

Par Nicole Henderson et Christopher DiMatteo
22 octobre 2020
Aperçu
En savoir plus

Lorsque votre organisation est victime d’une cyberattaque ou d’une atteinte à la protection des données, la protection du secret professionnel devient vitale. À la suite d’une telle atteinte, les événements peuvent se bousculer très vite. Il est toutefois important de prendre les mesures appropriées pour s’assurer que les documents confidentiels et protégés par le secret professionnel, qui sont générés dans le cadre de votre enquête sur l’atteinte, de même que vos interventions connexes, demeurent protégés. La prise de raccourcis peut sembler opportune à première vue, mais elle peut éventuellement devenir source de problèmes, particulièrement advenant un litige. Il est donc primordial de recourir à la protection du secret professionnel pour préserver la confidentialité de vos communications avec vos conseillers juridiques et des documents relatifs à votre intervention en réponse à l’atteinte, de même que pour vous prémunir contre le risque de devoir produire ces communications et documents dans un litige éventuel.

Vous trouverez ci-dessous nos cinq grands conseils pour la protection du secret professionnel dans le contexte d’une atteinte à la protection des données :

  1. Évitez d’utiliser les systèmes informatiques de votre organisation si ceux-ci ont été compromis. S’il existe des raisons de croire que l’infrastructure des technologies Internet de votre organisation demeure compromise, vous ne devriez pas l’utiliser pour effectuer vos communications internes ou externes concernant l’atteinte. Dans le cas contraire, des communications protégées par le secret professionnel pourraient être interceptées par le cyberattaquant, aggravant du même coup l’atteinte à la protection des données. Vous devriez plutôt utiliser le téléphone ou une adresse courriel externe sécurisée et non compromise pour vos communications au sujet de l’atteinte.

  2. Faites appel à des conseillers juridiques le plus rapidement possible. Une atteinte à la protection des données doit être traitée comme un incident juridique visant l’organisation, et des conseillers juridiques doivent être impliqués dès le début de toute intervention. Les conseillers juridiques internes doivent être avisés immédiatement en cas d’atteinte. Si celle-ci est importante, il serait également judicieux de retenir sans tarder les services de conseillers juridiques externes en litige. Une telle mesure pourrait aider à renforcer la revendication du secret professionnel de l’avocat puisqu’elle souligne la nature juridique, et non commerciale, des conseils qui sont fournis. Dans la même veine, cela fait ressortir les objectifs axés sur la possibilité de litiges des rapports d’expertise sur l’atteinte à la protection des données, ce qui tend à renforcer également la revendication du privilège relatif aux litiges.

    Les privilèges du secret professionnel de l’avocat et relatif aux litiges peuvent s’appliquer aux conseillers juridiques internes, mais uniquement lorsque ceux-ci fournissent des conseils juridiques, et non des conseils de nature commerciale. Étant donné qu’il arrive souvent que les conseillers juridiques internes fournissent les deux types de conseils à la suite d’une atteinte à la protection des données, les tribunaux pourraient vouloir éplucher encore plus finement les revendications de privilèges s’y rapportant en cas de différend.

  3. En structurant les mandats confiés à des consultants tiers, tenez compte du privilège du secret professionnel. Les communications avec un expert externe embauché pour enquêter sur une atteinte à la protection des données, de même que les documents générés par cet expert, peuvent être protégés par le secret professionnel pourvu que le mandat qui lui a été confié ait été correctement structuré. Par exemple :

    • Dans la mesure du possible, les conseillers juridiques externes et l’organisation devraient conjointement retenir les services du tiers.

    • Dans le cas où l’organisation a une relation continue avec le consultant, il serait quand même indiqué de conclure avec celui-ci un mandat ou un énoncé de travail distinct relativement à l’atteinte de manière à faire une distinction entre le travail protégé par le secret professionnel et tout autre travail non protégé.    

    • Les modalités du mandat confié à un tiers devraient refléter la nature juridique des conseils offerts et l’ensemble des communications et des documents liés à ce mandat devraient comporter une mention indiquant que ceux-ci sont protégés par le secret professionnel et être traités comme tel par toutes les personnes impliquées.    

    • Le conseiller tiers devrait recevoir ses instructions de la part des conseillers juridiques (idéalement les conseillers juridiques externes) et faire rapport à ceux-ci.

    • Le règlement des honoraires du conseiller tiers devrait être comptabilisé et traité au titre des frais juridiques (par exemple, les fonds proviendraient du budget des affaires juridiques de l’organisation).

  4. Contrôlez la distribution de documents protégés par le secret professionnel au sein de votre organisation. Les communications protégées par le secret professionnel ne doivent pas être distribuées à un plus grand nombre de personnes qu’il est nécessaire au sein de l’organisation, notamment en mettant inutilement certaines personnes en copie. En outre, il sera habituellement prudent de mettre en copie les conseillers juridiques internes ou externes dans le cas des communications concernant l’atteinte. Cependant, une telle mesure ne fait pas automatiquement en sorte que ces communications deviennent protégées par le secret professionnel. De fait, l’ensemble des communications, des notes et des autres documents concernant l’atteinte devraient comporter une mention indiquant qu’ils sont « confidentiels et protégés par le secret professionnel ».

  5. Prenez garde lors de la divulgation de documents protégés par le secret professionnel à l’extérieur de votre organisation. Certains organismes de réglementation ont le pouvoir d’obliger votre organisation à leur remettre des documents protégés par le secret professionnel, comme un rapport d’expertise. Au moment de répondre à de telles demandes, il est important d’indiquer expressément que votre organisation n’a aucunement l’intention de renoncer au privilège du secret professionnel en remettant les documents en question. La divulgation volontaire de renseignements possiblement protégés par le secret professionnel à des organismes chargés de l’application de la loi doit être envisagée avec prudence. L’organisation doit également prendre garde à ne pas divulguer par inadvertance des renseignements protégés par le secret professionnel, comme des actes de procédure et d’autres documents juridiques à déposer, ce qui pourrait être interprété comme une renonciation à ce privilège. Lorsque la divulgation de tels renseignements est inévitable, il faut s’assurer de ne divulguer que ce qui est strictement nécessaire et d’indiquer clairement que, ce faisant, il n’est aucunement question de renoncer au privilège du secret professionnel.

Vous avez plus de cinq minutes? Communiquez avec Sunny HandaNicole Henderson, Christopher DiMatteo ou un autre membre de notre groupe Cybersécurité pour en apprendre davantage.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.

Partager la page
Enregistrer au format PDF
Perspectives connexes