LifeLabs interjette appel d’une décision judiciaire prévoyant la publication du rapport d’enquête du CIPVP de l’Ontario et de l’OIPC de la Colombie-Britannique sur une atteinte à la vie privée

La société LifeLabs a annoncé qu’elle demanderait l’autorisation d’interjeter appel d’un jugement confirmant la décision du Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) et du Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (OIPC) de rendre public leur rapport d’enquête conjoint sur la cyberattaque commise en 2019 contre les systèmes informatiques de LifeLabs.

Le CIPVP et l’OIPC ont mené une enquête conjointe sur cette cyberattaque, qui a touché plus de huit millions des clients de cette société dans ces deux provinces. Le rapport d’enquête a été rédigé en juin 2020.

Cette enquête a révélé que LifeLabs n’avait pas respecté ses obligations en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et de la Personal Information Protection Act (PIPA) de la Colombie-Britannique, en omettant notamment de prendre des mesures raisonnables pour protéger les renseignements personnels et les renseignements personnels sur la santé des personnes touchées par l’atteinte à la vie privée.

Le rapport d’enquête conjoint contient des conclusions et des enseignements importants, non seulement pour LifeLabs, mais aussi pour de nombreux autres dépositaires de renseignements sur la santé confrontés à des risques de cybersécurité de plus en plus sérieux. Il fait toute la lumière sur les causes de l’atteinte à la vie privée et propose des mesures correctives visant à réduire le risque qu’elle se reproduise.

LifeLabs a respecté les ordonnances et recommandations énoncées dans le rapport d’enquête conjoint, mais a soutenu que ce rapport ne devrait pas être rendu public, car il contient des renseignements visés par le secret professionnel de l’avocat et le privilège relatif au litige. LifeLabs a déposé une requête en révision judiciaire de la décision du CIPVP et de l’OIPC de rejeter ses demandes et de publier le rapport.

En avril 2024, la Cour divisionnaire de l’Ontario a confirmé à l’unanimité la décision du CIPVP et de l’OIPC de publier le rapport d’enquête. Elle a conclu que les dépositaires de renseignements sur la santé ne peuvent pas se soustraire aux obligations que leur impose la loi ontarienne sur la protection des renseignements personnels sur la santé en affirmant que des faits concernant des atteintes à la vie privée font l’objet d’un privilège.

Comme la société a annoncé son intention d’interjeter appel de la décision de la Cour divisionnaire devant la Cour d’appel de l’Ontario, le CIPVP et l’OIPC ne peuvent pas publier leur rapport d’enquête conjoint sur cette cyberattaque, malgré l’importance de ce rapport pour informer le public.

Le CIPVP et l’OIPC doivent attendre le jugement de la Cour d’appel de l’Ontario sur la question de savoir si des renseignements contenus dans le rapport d’enquête font l’objet d’un privilège ou sont confidentiels avant de publier le rapport. Comme les tribunaux sont encore saisis de cette affaire, leurs bureaux ne feront aucun autre commentaire à ce sujet pour le moment.

Ressource 

Document d’information sur l’atteinte à la vie privée chez LifeLabs, 17 décembre 2019 (en anglais)

Renseignements pour les médias

CIPVP – Ontario 
@email

OIPC – C.-B.
Michelle Mitchell, directrice des communications
@email