Patrick Gunning de King & Wood Mallesons rapporte que, le 2 novembre 2023, le commissaire australien à l’information a déposé une plainte auprès de la Cour fédérale d’Australie contre Australian Clinical Labs Limited pour obtenir une sanction civile (c’est à dire, une amende) dans le cadre de la réponse de l’entreprise à une violation de données survenue en février 2022. L’affaire est importante car : (1) c’est seulement la deuxième fois que le régulateur australien engage une procédure judiciaire de ce type alors qu’il a le pouvoir de le faire depuis 2014 ; et (2) cela signale la priorité du régulateur de garantir que les incidents de cybersécurité reçoivent une réponse rapide. Le législateur australien a augmenté les sanctions maximales pour les violations « graves » de la loi sur la protection de la vie privée, avec effet à compter de décembre 2022, à au moins 50 millions de dollars australiens. Cependant, la sanction maximale disponible dans cette affaire sera de 2,2 millions de dollars australiens, car la conduite de l’entreprise s’est produite avant décembre 2022.
Les faits accessibles au public
Australian Clinical Labs Limited est cotée à l’Australian Securities Exchange et exploite l’une des plus grandes entreprises de pathologie en Australie. Les informations présentées ci-dessous sont basées sur les annonces faites par la société au marché et par le régulateur.
La société a acquis Medlab Pathology (« Medlab ») en décembre 2021.
En février 2022, Medlab a pris connaissance d’un accès non autorisé de tiers à son système informatique et a entrepris une enquête médico-légale menée par des cyber-experts externes indépendants. Cette enquête n’a révélé aucune preuve que les données des patients avaient été exfiltrées.
En mars 2022, l’Australian Cyber Security Center (l’« ACSC », une agence du gouvernement fédéral australien) a contacté l’entreprise pour l’informer qu’elle avait reçu des renseignements selon lesquels Medlab aurait pu être victime d’un incident de ransomware. L’entreprise a répondu à l’ACSC et a déclaré qu’à sa connaissance, elle ne croyait pas qu’aucune donnée ait été compromise.
En juin 2022, l’ACSC a de nouveau contacté l’entreprise pour l’informer qu’elle pensait que les données des patients de Medlab avaient été publiées sur le dark web. L’entreprise a pris des mesures immédiates pour rechercher et télécharger l’ensemble de données sur le dark web et l’analyser.
Le 10 juillet 2022, la société a informé le Bureau du commissaire australien à l’information (« OAIC ») de l’incident.
Le 27 octobre 2022, la société a annoncé à l’Australian Securities Exchange qu’elle avait subi un incident de cybersécurité affectant son activité Medlab Pathology et que, sur la base de son analyse médico-légale, elle avait déterminé qu’environ 223 000 personnes avaient été touchées. Dans ce chiffre, environ 17 500 avaient des dossiers médicaux et de santé associés à un test pathologique, environ 28 000 avaient des détails de carte de crédit compromis et environ 128 000 numéros Medicare ont été compromis.
Le 5 décembre 2022, l’OAIC a annoncé qu’elle avait ouvert une enquête sur les pratiques de traitement des informations personnelles de Medlab Pathology en relation avec sa violation de données à notifier.
Environ 11 mois plus tard, une procédure a été déposée devant la Cour fédérale d’Australie.
Les allégations dans l’affaire
Les documents d’origine ne sont pas encore accessibles au public. L’annonce de l’OAIC concernant le dépôt de la procédure indique que les allégations sont les suivantes :
- Entre mai 2021 (c’est-à-dire avant que l’entreprise n’acquière Medlab) et septembre 2022, l’entreprise n’a pas pris de mesures raisonnables pour protéger les informations personnelles de ses patients contre tout accès ou divulgation non autorisés, ce qui a rendu l’entreprise vulnérable aux cyberattaques. Si cela était établi, cela constituerait une violation du principe australien de confidentialité 11.1.
- L’entreprise a enfreint l’article 26WH de la Loi sur la protection de la vie privée, qui exigeait qu’elle procède à une évaluation raisonnable et rapide pour déterminer si une violation de données à notifier s’est produite, et qu’elle prenne toutes les mesures raisonnables pour garantir que l’évaluation soit terminée dans un délai de 30 jours.
- L’entreprise a violé l’article 26WK de la Loi sur la protection de la vie privée, qui exigeait qu’elle informe l’OAIC d’une violation de données à notifier dès que possible après avoir pris conscience qu’il existe des motifs raisonnables de croire qu’une violation de données à notifier s’est produite.
La société a déclaré qu’elle défendrait sa plainte et qu’elle affirme que ses systèmes de cybersécurité sont robustes.
Observations initiales sur les allégations
Mesures de sécurité. La question de l’adéquation des mesures de sécurité mises en œuvre par l’entreprise fera l’objet d’une expertise. Le régulateur dispose de pouvoirs statutaires lui permettant d’exiger la production d’informations et de documents et d’interroger des témoins sous serment lors d’une enquête. Il est raisonnable de supposer que le régulateur a utilisé ces pouvoirs pour obtenir des preuves des mesures de sécurité en place pendant la période concernée et a retenu les services d’un expert pour donner un avis sur l’adéquation de ces mesures. Si l’entreprise veut défendre sa demande avec succès, elle devra retenir les services de son propre témoin expert et, si un accord ne peut être trouvé entre les experts, le tribunal devra décider quel avis il accepte.
Enquête sur l’incident et notification au régulateur. L’argument du régulateur doit être que l’obligation de mener une enquête a été déclenchée en février 2022 et que l’entreprise n’aurait pas dû conclure qu’il n’y avait aucun risque de préjudice grave pour les personnes simplement parce que l’enquête médico-légale n’a pas révélé de preuve d’exfiltration. C’est un sujet qui a émergé dans les rapports périodiques publiés par l’OAIC en relation avec les violations de données notifiées au régulateur. Par exemple, dans un rapport publié en septembre 2023, l’OAIC a déclaré :
Si une entité soupçonne qu’une violation de données s’est produite mais n’est pas en mesure d’éliminer ces soupçons rapidement et en toute confiance, elle devrait envisager de partir de la présomption qu’il y a eu une violation de données. Les obligations de notification sont déclenchées dès qu’il existe des motifs raisonnables de croire qu’une violation de données éligible s’est produite. Une preuve concluante ou positive d’un accès non autorisé, d’une divulgation ou d’une perte n’est pas requise pour qu’une entité puisse évaluer qu’une violation de données éligible s’est produite.
L’entreprise fera probablement valoir qu’elle a satisfait à son obligation d’enquêter en février 2022 et, à la lumière des conclusions de l’enquête médico-légale, elle a estimé qu’une personne raisonnable conclurait que l’incident n’était pas susceptible d’entraîner un préjudice grave. personnes, elle n’a donc pas informé l’OAIC à ce moment-là. Selon cette approche, l’entreprise est également susceptible de dire que l’obligation d’enquête a été réanimée en juin 2022 lorsque l’ACSC a informé l’entreprise des données disponibles sur le dark web, et que l’enquête a été menée dans des délais raisonnables et rapides. et notifié à l’OAIC dans le délai de 30 jours.
Problèmes de garantie
Cyber-risques en M&A. Si le régulateur obtient gain de cause selon lequel les mesures de sécurité étaient inadéquates à partir de mai 2021, la société pourrait avoir une action en garantie contre les vendeurs de l’activité Medlab Pathology (acquise en décembre 2021) en fonction des garanties données et de toute limitation convenue. délais pour faire valoir les demandes de garantie. Cette affaire est un exemple concret de l’importance de la répartition des risques dans une transaction de fusion et acquisition en matière de responsabilité découlant de vulnérabilités latentes en matière de sécurité de l’information existant avant la finalisation de la transaction.
Actions collectives. L’entreprise est également confrontée à un risque de recours collectifs. L’assureur maladie australien Medibank Private Limited a subi une violation de données à grande échelle en octobre 2022. En conséquence, Medibank fait face à un recours collectif de consommateurs (au nom des personnes ayant subi un préjudice à la suite de l’incident) et à un recours collectif en valeurs mobilières. action (au nom des investisseurs qui prétendent que Medibank a manqué à ses obligations d’information continue en tant que société cotée en omettant d’informer le marché que ses mesures de sécurité étaient inadéquates et que les membres du groupe ont acheté des actions alors qu’ils ne l’auraient pas fait s’ils avaient été informés de la état réel des mesures de sécurité des informations de Medibank). De même, l’entreprise de télécommunications australienne Optus a subi une violation de données à grande échelle en septembre 2022 et fait face à un recours collectif de consommateurs. Il n’existe pas de recours collectif en valeurs mobilières en Australie contre Optus car la société est une filiale de Singapore Telecommunications Limited, qui est cotée à Singapour plutôt qu’en Australie. Aucun recours collectif n’a été annoncé contre Australian Clinical Labs au moment de la rédaction de cet article. Les bailleurs de fonds potentiels évaluent probablement la viabilité économique d’une telle affaire, qui serait d’une ampleur bien moindre que celle des actions contre Medibank et Optus en raison de la taille plus petite de la classe.
