rapport

Actions collectives en matière de protection de la vie privée : atteintes à la protection des données Actions collectives en matière de protection de la vie privée : atteintes à la protection des données

10 juillet 2025 12 MIN DE LECTURE
Télécharger le PDF

Accueil Articles Rapports Revue de la jurisprudence sur la protection de la vie privée d’Osler – Quatrième édition Été – 2025

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice):
Kristian Brabander, Robert Carson, Tommy Gelbman, Jessica Harding, Craig Lockwood, Julien Morissette

Table des matières

La jurisprudence sur la protection de la vie privée

Lire l’édition complète

Royer c. Capital One Bank (Canada Branch) et al., 2025 QCCA 217

Lire les détails de l’affaire

Faits

Une brèche de sécurité a permis à une ex-employée d’accéder illégalement aux données confidentielles de demandes de carte de crédit d’environ 100 millions d’Américains et 6 millions de Canadiens collectées par les défenderesses Capital One Bank et al. (Capital One) sur une période de 14 ans, et de les stocker sur des serveurs des défenderesses Amazon Web Services Inc. et al. (Amazon). Lorsqu’il a été informé de la brèche de sécurité, l’appelant, Michael Royer (M. Royer), a demandé l’autorisation d’intenter une action collective.

Le juge chargé de la demande d’autorisation (première instance) a conclu qu’il existait une preuve suffisante de faute contractuelle de la part de Capital One, notamment pour avoir omis de protéger adéquatement les renseignements personnels, pour avoir trop tardé à découvrir la fuite et à informer ses clients et pour avoir conservé les données de certaines personnes pendant une période déraisonnable, en particulier celles dont la demande de carte de crédit a été refusée.

Le juge de l’autorisation a également conclu qu’il existait une preuve suffisante de la responsabilité civile d’Amazon, notamment sur le fondement des articles 3 et 10 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1.

Il a souligné l’absence d’allégations de vol d’identité et a rejeté la plupart des réclamations de dommages proposées relativement à la valeur des données ayant fait l’objet de la fuite et au préjudice causé par le retard à aviser les membres du groupe. Il a toutefois estimé que la surveillance du crédit requise à la suite de la violation constituait un préjudice indemnisable et que la suffisance de cette surveillance déjà offerte par Capital One (deux ans) devait faire l’objet d’une décision du juge de première instance. Le juge a également estimé que les allégations étaient suffisantes pour permettre une réclamation de dommages punitifs à l’encontre de Capital One, mais pas à l’encontre d’Amazon.

Toutes les parties ont fait appel. M. Royer a critiqué le juge d’autorisation pour avoir exclu d’autres réclamations de dommages de l’action collective (l’appel principal). Capital One et Amazon ont fait valoir que le juge d’autorisation n’aurait pas dû accueillir les réclamations de dommages pour des préjudices que le représentant du groupe n’avait pas lui-même subis (l’appel incident). Capital One a également contesté l’autorisation de la réclamation de dommages punitifs.

Décision

La Cour d’appel du Québec a accueilli l’appel principal et a rejeté l’appel incident.

La Cour a estimé que le cas personnel du représentant du groupe ne doit pas nécessairement être représentatif de celui de l’ensemble ou de la majorité des membres du groupe, mais doit plutôt démontrer qu’ils ont subi au moins un chef de dommages. L’autorisation ne doit pas être limitée et doit viser tout dommage ayant été potentiellement subi par au moins un membre du groupe.

De plus, la Cour a déclaré que les préjudices subis par les membres du groupe à la suite de la violation ne sont pas nécessairement de même nature. C’est ainsi que certains peuvent avoir payé des frais de surveillance alors que d’autres peuvent avoir fait d’autres démarches et engagé d’autres coûts pour assurer la même fin.

Enfin, la Cour a jugé qu’il ne convient pas de déterminer, à ce stade, l’existence de pertes non pécuniaires indemnisables. Tant qu’il existe des allégations qui établissent de manière suffisante la possibilité d’une atteinte fautive entraînant des conséquences indemnisables, il revient au juge du fond d’en décider. La Cour a donc autorisé l’action collective pour tous les chefs de dommages compensatoires.

Quant aux dommages punitifs, la Cour a jugé qu’il n’y avait aucun motif de révision en appel.

Point principal à retenir

Cette décision renforce le critère du seuil relativement peu élevé pour autoriser les actions collectives au Québec, en particulier dans les affaires portant sur des atteintes à la vie privée. Même si le représentant du groupe n’a pas subi tous les chefs de dommages, l’action collective peut inclure d’autres chefs potentiellement subis par au moins un membre du groupe. Malgré le fait que différents membres du groupe puissent avoir subi différents types de pertes, ces variations n’empêchent pas l’autorisation d’une action collective.

Cette décision souligne également le fait que la menace d’un préjudice financier découlant de certains types d’atteintes à la confidentialité des données peut parfois suffire à justifier une action collective au Québec, même lorsque la défenderesse offre une quelconque forme de surveillance de crédit.

InvestorCOM Inc. v. L’Anton, 2025 BCCA 40

Lire les détails de l’affaire

Faits

Cette action concerne une atteinte présumée à la protection des données stockées sur des serveurs exploités par InvestorCOM Inc. Une action collective a été intentée en Colombie-Britannique. Une action collective parallèle avait déjà été intentée en Ontario par différents demandeurs et leurs avocats, qui réclamaient la certification d’une action collective nationale portant sur le même sujet. L’action intentée en Ontario était en voie d’être entendue en audience de certification.

InvestorCOM et Mackenzie Financial Corporation ont demandé le rejet de l’action intentée en Colombie-Britannique pour abus de procédure, faisant valoir que l’existence de l’action intentée en Ontario rendait la procédure en Colombie-Britannique redondante et inutile. Le juge en chambre a rejeté la demande. InvestorCOM et Mackenzie ont interjeté appel.

Décision

La Cour d’appel a rejeté les appels, jugeant que la simple existence d’actions collectives similaires ou parallèles dans différentes provinces ne constitue pas, en soi, un abus de procédure. Pour autant, cela ne veut pas dire que l’action intentée en Colombie-Britannique sera autorisée à aller de l’avant. La Cour d’appel a souligné que les préoccupations relatives au dédoublement sont dûment prises en compte à l’étape de la certification aux termes de l’alinéa 4.1(1)(b) de la Class Proceedings Act de la Colombie-Britannique, qui prévoit la constitution d’un dossier complet aux fins de la certification. Cette disposition permet au tribunal de refuser la certification s’il est préférable que l’instance soit menée dans un autre territoire de compétence.

La Cour a distingué cette affaire des situations où une action provisoire est intentée uniquement à des fins tactiques. Elle a également reconnu que les différences entre les lois provinciales, le régime des dépens et le lieu de résidence du demandeur justifiaient que l’action soit intentée en Colombie-Britannique.

Point principal à retenir

Il est courant que des actions collectives soient intentées dans plusieurs provinces après une atteinte à la protection des données. En Colombie-Britannique, les tribunaux semblent préférer traiter les chevauchements dans le cadre de la requête en certification. En général, cela augmente le temps et les coûts nécessaires pour régler les chevauchements.

Hvitved v. Home Depot of Canada Inc., 2025 BCSC 18

Lire les détails de l’affaire

Faits

Dans sa demande de certification d’une action collective projetée, le demandeur alléguait que Home Depot avait porté atteinte au droit à la vie privée de ses clients en recueillant leurs adresses de courriel et les renseignements sur leurs achats — fournis dans le but de recevoir des reçus électroniques — et en divulguant ces renseignements à Meta Platforms.

Le demandeur a présenté des réclamations en vertu des lois provinciales sur la protection des renseignements personnels (Colombie-Britannique, Saskatchewan, Terre-Neuve-et-Labrador et Manitoba), ainsi que des réclamations pour intrusion dans l’intimité, rupture de contrat et enrichissement sans cause. Home Depot s’est opposée à la certification, soutenant que les réclamations étaient sans fondement et qu’une action collective n’était pas appropriée.

Décision

La Cour a certifié l’action collective uniquement en ce qui concerne les prétentions fondées sur des dispositions législatives et a rejeté les réclamations pour intrusion dans l’intimité, rupture de contrat et enrichissement sans cause.

Principales conclusions :

  • Violation des lois sur la protection des renseignements personnels : La prétention fondée sur la loi était suffisante pour établir une cause d’action aux fins de la certification. La Cour a rejeté l’argument de Home Depot selon lequel on ne pouvait raisonnablement s’attendre à ce que les données partagées soient visées par les lois sur la protection des renseignements personnels, s’appuyant sur l’arrêt Insurance Corporation of British Columbia v. Ari, 2023 BCCA 331, pour souligner que la protection des renseignements personnels doit être évaluée en tenant compte du contexte et non de manière fragmentaire.
  • Intrusion dans l’intimité : La Cour a jugé que les actes de procédure ne satisfaisaient pas au seuil plus élevé requis pour établir le délit d’intrusion dans l’intimité en common law, car les renseignements partagés étaient moins sensibles que ceux pris en compte dans des affaires analogues de l’Ontario et ne constituaient pas une intrusion très offensante. En appliquant le droit de l’Ontario, la Cour a déterminé que le délit d’intrusion dans l’intimité n’était pas établi dans les actes de procédure. La Cour a refusé de se prononcer sur la question de savoir si ce délit est applicable en Colombie-Britannique.
  • Rupture de contrat et enrichissement sans cause : La Cour a jugé l’exposé de la demande incomplet, soulignant l’absence de faits pertinents concernant l’existence de clauses contractuelles expresses et l’insuffisance des allégations à l’appui d’une demande d’enrichissement sans cause, en particulier en ce qui concerne la perte de la possibilité de vendre des renseignements personnels.

Point principal à retenir

L’avocat du demandeur devait faire preuve de rigueur dans l’exposé de ses arguments en se concentrant sur les causes d’action liées aux atteintes présumées à la vie privée et en privilégiant manifestement les prétentions fondées sur des dispositions législatives, qui semblent plus susceptibles d’être accueillies dans le cadre des demandes de certification. La Cour a signalé — sans toutefois se prononcer — qu’elle doutait que le délit d’intrusion dans l’intimité puisse être invoqué en Colombie-Britannique, en raison de la réticence des tribunaux de cette province à se prononcer sur cette question depuis des années. Enfin, contrairement à de nombreuses autres décisions rendues en Colombie-Britannique, la Cour n’a pas autorisé le demandeur à modifier les actes de procédure qui avaient été radiés, imposant ainsi une fois de plus des règles strictes quant à la manière dont les actions collectives doivent être formulées.

Shriqui v. Blackbaud Canada Inc. et al., 2024 ONSC 6957

Lire les détails de l’affaire

Faits

La demanderesse a demandé la certification d’une action collective à la suite d’une attaque par rançongiciel qui a compromis les données personnelles de diverses organisations et personnes utilisant les services des défenderesses. L’attaque a eu lieu entre février et mai 2020, période durant laquelle des données ont été extraites de Blackbaud, exigeant de l’entreprise qu’elle paye une rançon. Malgré cette atteinte, ni la demanderesse ni aucune autre personne touchée n’ont signalé de conséquences négatives découlant de l’incident. Le groupe visé par l’action projetée comprenait des résidents canadiens dont les renseignements personnels ont été consultés.

Décision

La Cour a conclu que l’action satisfaisait aux critères de certification prévus par la Loi de 1992 sur les recours collectifs, notamment l’existence d’une question commune concernant le devoir de diligence des défenderesses. Toutefois, la Cour a conclu que la probabilité de succès de la procédure était faible, car aucun préjudice n’avait été démontré. Les parties ont conclu un règlement de 340 000 $, qui devait être distribué selon la doctrine du cy-près en common law à deux établissements d’enseignement spécialisés en politique Internet et en sécurité des données. La Cour a certifié l’action en vue d’un règlement et a approuvé un plan de notification limité, compte tenu de l’impossibilité pratique d’identifier les membres du groupe.

Point principal à retenir

Lorsqu’un demandeur ne peut démontrer un préjudice réel découlant des actes de la défenderesse, les chances d’obtenir gain de cause sur le fond peuvent être faibles. Un règlement selon la doctrine du cy-près peut être recommandé dans les affaires d’atteinte à la protection des données pour lesquelles il est impossible d’identifier les membres du groupe.

Donegani v. Facebook, Inc., 2024 ONSC 7153

Lire les détails de l’affaire

Faits

Les demandeurs alléguaient que Facebook avait utilisé leurs données de manière abusive en les mettant à la disposition de certaines applications tierces. Les demandeurs ont demandé la certification d’une action collective nationale, alléguant, entre autres, une intrusion dans l’intimité et une violation des lois provinciales sur la protection des renseignements personnels.

Décision

La juge Akbarali a rendu diverses conclusions concernant la cause d’action et les critères relatifs aux questions communes du critère de certification, mais n’a finalement pas statué sur la requête en certification. Voici certaines de ses conclusions :

  • Les tribunaux de l’Ontario n’ont pas compétence pour entendre les réclamations en vertu des lois sur la protection des renseignements personnels de la Colombie-Britannique, du Manitoba et de Terre-Neuve-et-Labrador, ni pour statuer sur celles-ci.
  • Les questions communes proposées relatives à l’intrusion dans l’intimité ne pouvaient pas faire l’objet d’une certification dans ces circonstances.
  • Certaines des questions communes proposées relatives aux contrats entre Facebook et ses utilisateurs, ainsi qu’au consentement, pouvaient faire l’objet d’une certification. Toutefois, aucune des questions communes proposées relatives aux préjudices ne pouvait être certifiée.

La juge Akbarali n’a pas statué sur le critère de la procédure préférable. Elle a ordonné aux demandeurs de proposer une nouvelle définition du groupe et un nouveau plan de litige, à la suite de quoi les parties reviendraient pour présenter leurs arguments.

Point principal à retenir

La requête en certification reste en suspens.

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.