Les commissaires de la vie privée de la Colombie-Britannique et de l’Ontario constatent que LifeLabs n’a pas protégé les données personnelles des patients

Les commissaires de la vie privée de la Colombie-Britannique et de l’Ontario ont publié la semaine dernière leurs conclusions d’une enquête selon lesquelles LifeLabs a violé la vie privée de millions de Canadiens en ne mettant pas en place des mesures de protection adéquates pour protéger leurs données de santé personnelles.

LifeLabs, une entreprise de laboratoire, a été frappée par une cyberattaque en octobre 2019, qui a touché jusqu’à 15 millions de Canadiens. Les données qui auraient été dérobées lors de l’attaque comprenaient les noms d’utilisateur, mots de passe, numéros de carte d’assurance maladie ainsi que des résultats de certains examens en laboratoire des clients de LifeLabs.

Les commissaires de la vie privée ont noté que LifeLabs n’avait pas pris de mesures raisonnables pour protéger les données personnelles de ses clients enregistrées dans ses systèmes électroniques, que LifeLabs n’avait pas mis en œuvre des politiques de sécurité adéquates et que la société avait recueilli plus de données de santé auprès de ses clients que ce qui était raisonnablement nécessaire.

Le commissaire de la vie privée de l’Ontario, Brian Beamish, a indiqué que la Colombie-Britannique et l’Ontario aimeraient rendre le rapport public, mais LifeLabs a affirmé que certains éléments importants sont confidentiels ou soumis au secret professionnel.

« Nous ne sommes pas du tout d’accord, a déclaré M. Beamish. Nous avons fourni à LifeLabs les raisons détaillées pour lesquelles nous rejetons leur demande. En se basant sur la position de LifeLabs tout au long de cette enquête, nous nous attendons à ce qu’ils nous traînent en justice pour nous empêcher de publier le rapport. »

Mr. Beamish a également noté que cette cyberattaque devrait rappeler aux entreprises leur « devoir de diligence face à ce type d’attaques ».

Le commissaire de la vie privée de la Colombie-Britannique, Michael McEvoy, est d’accord pour que LifeLabs accepte de rendre le rapport public prochainement.

« LifeLabs a exposé la population britanno-colombienne, ainsi que des millions d’autres Canadiens au vol d’identité, à des pertes financières [possibles] et potentiellement endommagé leur réputation », a déclaré M. McEvoy dans une déclaration.

« Cette enquête réaffirme le besoin de changer les lois britanno-colombiennes pour permettre aux autorités d’imposer des pénalités financières aux entreprises qui violent les droits à la vie privée des citoyens. »

Le commissaire de la vie privée de la Colombie-Britannique n’a actuellement pas le pouvoir d’imposer des sanctions financières pour les violations de la vie privée. Une révision de la loi sur la protection de la vie privée de la province est actuellement en cours, et comprend une proposition visant à donner au commissaire de la vie privée de la Colombie-Britannique le pouvoir d’imposer de telles sanctions.

La semaine dernière, LifeLabs a publié un communiqué rassurant les Canadiens sur les mesures prises pour renforcer ses systèmes de sécurité informatique. Par exemple, la société a déclaré qu’elle avait nommé un responsable de la sécurité en matière de données pour diriger les améliorations en matière de sécurité, et qu’elle utiliserait une technologie plus performante pour détecter les éventuels incidents de piratage informatique.

« Depuis le début, LifeLabs s’est engagé à être ouvert et transparent et nous continuerons à suivre ces principes alors que nous travaillons ensemble sur la voie de l’avenir », indique le communiqué de LifeLabs.

« Nous nous sommes engagés envers nos clients à apprendre et à travailler dur pour regagner leur confiance. »

Après la cyberattaque, le ministre de la santé de la Colombie-Britannique aurait renouvelé son contrat avec l’entreprise, mais a apporté des changements importants, notamment des dispositions qui renforcent les considérations relatives à la protection de la vie privée.

« Le public peut être sûr qu’il y a eu des changements importants quand il utilise LifeLabs », a déclaré le ministre de la santé de la Colombie-Britannique, Adrian Dix. « LifeLabs est un partenaire de longue date du système de santé provincial, mais nous nous attendons à des améliorations de sa part. » Il note qu’il n’a vu aucune indication que les données volées ont été utilisées de manière frauduleuse. Cependant, il reconnaît que la violation des données a affecté la confiance du public envers LifeLabs.

LifeLabs a été touché par un recours collectif à grande échelle en décembre, qui accuse LifeLabs de négligence, de rupture de contrat et de violation des lois sur la vie privée et la protection des consommateurs.

Le recours collectif contre LifeLabs prétend que l’entreprise de laboratoire a eu connaissance de la cyberattaque en octobre 2019 mais n’a pas informé le public de la violation massive des données avant décembre 2019, après que LifeLabs ait payé une rançon aux pirates.

Une douzaine de recours collectifs contre LifeLabs auraient été intentés à travers le Canada.

L’avocat Peter Waldmann, qui représente des clients dans l’un des recours collectifs contre LifeLabs, affirme que les conclusions des commissaires de la vie privée renforcent leur dossier.

« L’enquête nous aidera sans doute à découvrir ce qui s’est passé, ce qui est la seule raison pour laquelle je pense qu’ils ne voudront pas le divulguer, parce que c’est embarrassant », a déclaré Me Waldmann.

Que pensez-vous des conclusions des commissaires de la vie privée concernant la cyberattaque ? Pensez-vous que le rapport devrait être rendu public ? Faites-nous part de votre avis dans la section « Commentaires »  ci-dessous !

Lisez plus sur les procès et les règlements :

Poursuite pour abus contre des agences de services à l’enfance et à la famille du Manitoba

Recours collectif contre JUUL alléguant de graves risques pour la santé

Des membres du clergé arrêtés pour des agressions sexuelles présumées sur des mineurs pendant plusieurs décennies

Comment intenter une action en responsabilité du fabricant

[legal_notice_french]