Quiconque suit de près l’actualité concernant les litiges pour atteinte à la protection des données s’intéressera à la décision récente intitulée In re Experian Data Breach Litigation (« In Re Experian »), dans laquelle la cour de district de la Californie a reconnu le bien‑fondé d’un privilège de confidentialité relativement à un rapport d’expertise préparé suivant une atteinte à la protection des données.

CONTEXTE

Cette décision survient dans le contexte d’une action collective intentée contre Experian Information Solutions Inc. (« Experian ») après que celle‑ci a annoncé que l’un de ses systèmes avait fait l’objet d’un accès non autorisé. À la suite de cette atteinte à la sécurité, mais avant qu’un litige ne prenne naissance, Experian a retenu les services d’avocats externes qui ont, à leur tour, retenu ceux d’une société de sécurité pour effectuer une analyse et produire un rapport d’experts portant sur l’attaque (le « rapport »). Le rapport a été fourni aux avocats externes, qui l’ont communiqué aux avocats internes d’Experian. Les demandeurs ont demandé une ordonnance afin d’obliger Experian à produire une copie du rapport, ce à quoi Experian s’est opposé au motif qu’il s’agit d’un rapport préparé en vue d’un litige anticipé.

DÉCISION

Pour établir si le rapport est assujetti au privilège relatif au litige (appelé le « work product doctrine » aux États‑Unis), le critère appliqué par la cour a consisté à déterminer s’il avait été préparé en raison d’un litige actuel ou anticipé. Il ne s’agit donc pas de déterminer si le litige constitue le motif « principal » pour la création du rapport, mais bien d’examiner toutes les circonstances entourant sa création : le privilège s’appliquera lorsqu’il est juste de conclure que le document a été créé en raison d’un litige actuel ou anticipé. Ce critère est différent de celui de l’« objet principal » qu’un tribunal canadien appliquerait pour établir si un document est protégé par le privilège relatif au litige : il est toutefois difficile de déterminer si la cour serait arrivée à une conclusion en appliquant ce critère.

La cour a rejeté l’argument principal des demandeurs pour obtenir le rapport, à l’effet qu’Experian avait des motifs d’affaires pour enquêter sur les atteintes à la protection des données qu’elle détient et qu’elle a embauché une société de sécurité externe pour mener cette enquête puisqu’elle ne disposait pas des ressources requises à l’interne. La cour a accepté l’argument selon lequel Experian aurait pu avoir des raisons d’enquêter autres que la préparation d’un litige anticipé, mais elle a conclu qu’il ressortait clairement des documents en preuve que la société de sécurité avait été embauchée par les avocats externes afin de préparer un rapport en prévision d’un litige. La cour a également semblé accorder une certaine importance au fait que le rapport n’avait pas été fourni à l’équipe d’enquête interne d’Experian.

De plus, elle a rejeté l’argument des demandeurs voulant qu’ils subiraient un préjudice important si le rapport n’était pas produit, étant donné qu’ils n’avaient pas accès aux serveurs en ligne de la défenderesse. La cour a conclu que les experts n’y avaient pas accès non plus lorsqu’ils ont mené leur enquête afin de préparer le rapport et que les demandeurs pouvaient retenir les services d’un expert pour qu’il effectue la même analyse à partir d’images des serveurs.

La cour a également rejeté l’argument des demandeurs selon lequel Experian avait renoncé à son privilège en partageant le rapport avec T‑Mobile (un client d’Experian) sous forme caviardée. Elle a noté qu’Experian et T‑Mobile avaient conclu une entente de défense conjointe de sorte que la transmission du rapport ne constituait pas une renonciation au privilège.

Notons qu’Experian alléguait aussi que le rapport était protégé par le secret professionnel de l’avocat. Cela dit, puisque la cour a conclu que le rapport était protégé par le privilège relatif au litige, elle n’a pas eu à trancher cette question.

RÉPERCUSSIONS

Bien que la décision In Re Experian relève du droit américain, elle nous rappelle que les communications et les rapports effectués après une atteinte à la sécurité d’une entreprise peuvent être assujettis à un privilège de confidentialité. Les leçons clés à tirer de cette décision sont les suivantes :

  • il peut être avantageux que les services d’enquêteurs experts soient retenus par des avocats externes.
  • le fait qu’un rapport serve à des fins autres qu’un litige n’empêche pas nécessairement l’application du privilège, pour autant que l’objet principal de sa préparation ait été un litige actuel ou anticipé.
  • il peut être avantageux de conclure une entente de défense conjointe pour quiconque souhaite partager un rapport d’expertise avec un tiers.