Cybersécurité et intervention en cas d’incident lié à la sécurité

Gestion des incidents de sécurité

Lorsqu’une entreprise subit une cyberattaque, il est essentiel de se tourner vers une équipe d’experts pouvant offrir l’aide et les conseils nécessaires pour gérer l’incident de sécurité et les conséquences qui en découlent. Les avocats d’Osler ont été mis à contribution dans le cadre de plusieurs des incidents de sécurité et des enquêtes des autorités figurant parmi les plus grands et les plus importants au Canada à ce jour. Ils sont venus en aide à des entreprises dans le cadre d’intrusions liées à un éventail de situations, dont les suivantes :

• des cyberattaques commandées par un gouvernement ou à motivation politique (comme le groupe Anonymous);
• des appareils égarés ou volés (comme des portables, ou des clés USB) qui contiennent des renseignements personnels;
• une extorsion de données;
• du courrier et des courriels envoyés au mauvais destinataire
• des employés et des sous-traitants rebelles.

Aide en cas d’incident de sécurité

La gestion des incidents de sécurité nécessite habituellement un soutien à plusieurs niveaux. L’équipe expérimentée d’Osler peut aider sur les suivants :

• fournir des conseils sur les enquêtes internes et externes d’expertise légiste;
• fournir des conseils sur les obligations de déclaration et d’avis et les pratiques exemplaires du secteur privé et du secteur de la santé, dont une évaluation du « risque réel de préjudice grave » dans les circonstances et le nouveau régime de notification des atteintes à la sécurité en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques;
• fournir des conseils concernant les attentes des autorités à la protection de la vie privée et les communications avec celles-ci;
• rédiger le texte des déclarations verbales et écrites aux autorités à la protection de la vie privée compétentes;
• rédiger les notifications aux personnes visées;
• communiquer avec les entreprises de surveillance du crédit, les experts légistes et d’autres fournisseurs de services clés;
• rédiger un document de questions fréquemment posées et d’autres déclarations à l’intention du public;
• gérer les enquêtes des autorités à la protection de la vie privée;
• agir dans le cadre de poursuites.

Préparation à un incident de sécurité

L’adoption d’une approche proactive en matière d’intervention en cas d’incident lié à la sécurité peut s’avérer d’une valeur inestimable pour les organisations et permettra d’assurer que celles-ci sont prêtes à faire face à une intrusion. Les membres de l’équipe de gestion de la protection de la vie privée et des données d’Osler collaborent souvent avec les organisations pour élaborer, mettre à l’essai et améliorer autrement leur protocole d’intervention en cas d’incident lié à la sécurité et pour les aider à l’intégrer aux cadres étendus de gestion des données des entreprises.

Gestion des litiges

Les avocats d’Osler en gestion de la protection de la vie privée et des données collaborent étroitement avec notre groupe de litige national et notre groupe spécialisé en recours collectifs. Notre groupe de litige jouit d’une vaste expérience en matière de procédure liée à la protection de la vie privée et l’équipe d’Osler agit actuellement pour le compte de plusieurs clients reconnus dans le cadre de recours collectifs en matière de protection de la vie privée qui ont été déposés au Canada.

Mandats représentatifs

Parmi les mandats représentatifs de notre équipe de gestion de la protection de la vie privée et des données en matière d’incidents de sécurité figurent les suivants :

• un grand détaillant des États-Unis, dans le cadre d’un incident de sécurité visant des millions de fichiers de carte de crédit et d’adresses de courriel;
• une multinationale de services financiers, dans le cadre d’un incident de cybersécurité visant des millions d’adresses de courriel;
• un détaillant des États-Unis concernant l’enquête menée conjointement par le Commissariat à la protection de la vie privée du Canada (« CPVP ») et l’autorité à la protection de la vie privée de l’Alberta, dans le cadre de l’incident de cybersécurité visant des millions de fichiers de carte de paiement;
• une société de technologie et de divertissement mondiale, dans le cadre des requêtes conjointes du CPVP, des autorités à la protection de la vie privée de l’Alberta, de la Colombie-Britannique et du Québec concernant l’incident de cybersécurité visant des millions de fichiers sur des clients;
• un site de réseautage social, dans le cadre des requêtes conjointes des autorités à la protection de la vie privée du Canada indiquées ci-dessus concernant l’incident de cybersécurité portant sur le vol de millions de mots de passe de ses membres;
• une société Web, dans le cadre de l’incident de cybersécurité visant des millions de mots de passe de membres et d’autres données;
• une société informatique multinationale, dans le cadre de l’enquête conjointe du CPVP et de l’autorité irlandaise à la protection des données, dans le cadre de l’incident de cybersécurité visant des millions de comptes d’utilisateur;
• un site de réseautage social, dans le cadre de plusieurs enquêtes (dont une enquête sur un incident de sécurité) du CPVP.