Les commissaires rendent public leur rapport d’enquête de 2020 sur l’atteinte à la vie privée commise contre LifeLabs qui a touché des millions de Canadiennes et de Canadiens

Ce rapport fait suite au rejet par la Cour d’appel de l’Ontario de la motion de LifeLabs visant à en interdire la publication

TORONTO (ONTARIO) — Les commissaires à l’information et à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont rendu public leur rapport d’enquête de 2020 sur l’atteinte à la vie privée commise contre LifeLabs qui a touché des millions de Canadiennes et de Canadiens, après que la Cour d’appel de l’Ontario eut rejeté la motion en autorisation d’appel déposée par LifeLabs de la décision de la Cour divisionnaire dans l’affaire LifeLabs LP v. Information and Privacy Commissioner of Ontario (IPC).

Ce rapport d’enquête conjoint (disponible en anglais uniquement) sur la cyberattaque commise en 2019 contre les systèmes informatiques de LifeLabs a été dressé en juin 2020. Cette enquête a révélé que LifeLabs n’avait pas respecté ses obligations en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario et de la Personal Information Protection Act de la Colombie-Britannique, en omettant notamment de prendre des mesures raisonnables pour protéger les renseignements personnels et les renseignements personnels sur la santé de millions de Canadiennes et de Canadiens.

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) et le Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (OIPC) ont rendu plusieurs ordonnances et formulé une recommandation pour corriger ces manquements. LifeLabs s’y est conformée, mais a soutenu que ce rapport ne devait pas être rendu public au motif qu’il contient des renseignements visés par le secret professionnel de l’avocat et le privilège relatif au litige. En 2020, le CIPVP et l’OIPC ont conclu que LifeLabs n’avait pas fourni de preuves suffisantes pour démontrer que les faits contenus dans le rapport d’enquête conjoint étaient visés par l’un ou l’autre de ces privilèges.

LifeLabs a déposé ensuite une requête en révision judiciaire de la décision du CIPVP et de l’OIPC sur la question du privilège. La Cour divisionnaire a rejeté cette requête et confirmé les conclusions du CIPVP et de l’OIPC, en déclarant que les faits liés à la cyberattaque, dont ceux devant être établis ou produits conformément à l’obligation légale de LifeLabs de faire enquête sur l’atteinte à la vie privée et de prendre des mesures correctives, n’étaient pas visés par un privilège.

LifeLabs a ensuite demandé l’autorisation d’en appeler de la décision de la Cour divisionnaire, que la Cour d’appel de l’Ontario a refusée.

« Les renseignements personnels sur la santé sont particulièrement sensibles et les atteintes à la vie privée ont de graves conséquences pour les particuliers, ce qui finit par ébranler la confiance dans le système de santé de l’Ontario », a déclaré Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Je suis très satisfaite de cette décision de la cour, qui permet d’informer le public des circonstances de cette cyberattaque et de fournir un compte rendu transparent des conclusions de notre enquête, afin de rétablir la confiance du public dans les mécanismes de surveillance visant à s’assurer que les organisations rendent des comptes. Cette décision permet aussi, ce qui est tout aussi important, de faire part aux autres dépositaires de renseignements sur la santé des leçons durement apprises à la suite de cet incident afin d’améliorer leurs propres mesures de sécurité et de rehausser la cyberrésilience de l’ensemble du secteur. »

« Il a fallu trop de temps pour que l’on fasse preuve de responsabilité et de transparence à l’égard des citoyennes et des citoyens de la Colombie-Britannique et de l’ensemble du pays qui ont été victimes de la cyberattaque commise contre LifeLabs en 2019 », a déclaré Michael Harvey, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique. « En négligeant de mettre en place des mesures de précaution adéquates pour se protéger contre cette attaque, LifeLabs a trahi la confiance des patients et les a exposés à des risques inacceptables. Lorsqu’un tel incident se produit, il est important de tirer la leçon de ses erreurs pour éviter d’autres atteintes à la vie privée. Mais pour tirer cette leçon, il faut faire preuve d’ouverture. Pendant quatre ans, LifeLabs a tenté d’empêcher la publication de ce rapport en s’adressant aux tribunaux. Je suis ravi de ce jugement, qui confirme que l’on ne peut invoquer un privilège général pour entraver le travail essentiel de nos bureaux en vue d’assurer la reddition de comptes au public, la transparence et l’information. »

Ressources 
Rapport d’enquête conjoint du CIPVP et de l’OIPC – 25 juin 2020 (disponible en anglais uniquement)
Résumé du rapport du CIPVP et de l’OIPC (2020)

Renseignements pour les médias 
Michelle Mitchell | Directrice des communications
Bureau du commissaire à l’information et à la protection de la vie privée de la C.-B. 
250 217-7872 | @email
X : @BCInfoPrivacy
LinkedIn : https://www.linkedin.com/company/office-of-the-information-and-privacy-commissioner-for-british-columbia/

Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario
@email.