Passer au contenu

Cybersécurité : augmentation des risques juridiques et réglementaires et des risques d'atteinte à la réputation

Auteur(s) : Michael Fekete, Adam Kardash, Christopher Naudie

9 décembre 2015

En 2015, il y a eu une myriade de développements juridiques et réglementaires dans le domaine de la protection de la vie privée et de la gestion des données au Canada, comme en témoignent les recours collectifs pour atteinte à la vie privée, les activités d’application de la loi canadienne anti-pourriel (LCAP) et les modifications importantes à la loi canadienne sur la protection de renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Ensemble, ces développements ont souligné la nécessité pour les entreprises canadiennes d’améliorer leurs programmes de gouvernance des données afin de réduire un éventail de plus en plus large de risques juridiques, réglementaires et de risques liés à la mauvaise presse.

Nous croyons que 2015 sera considérée comme une année décisive pour le droit canadien relatif au respect de la vie privée. La disposition des tribunaux à rendre accessible le recours collectif en cas d’atteinte à la vie privée, le fait que de nouvelles poursuites sous forme de recours collectifs pour atteinte à la vie privée (dont celle pour atteinte à la sécurité des données du site Web Ashley Madison, qui a fait couler beaucoup d’encre) soient intentées, l’imposition de lourdes sanctions pécuniaires en vertu de la LCAP et l’obligation de signaler les atteintes aux mesures de sécurité aux termes de la LPRPDE (qui entrera en vigueur au moment de l’adoption d’un règlement en ce sens, probablement en 2016) ont profondément transformé le paysage canadien de la protection de la vie privée et de la gestion des données.

Recours collectifs pour atteinte à la vie privée

Il existe au Canada des recours privés en vertu d’une loi et en common law pour recouvrer des dommages-intérêts pour atteinte à la vie privée, et, en 2015, les tribunaux canadiens ont prononcé un certain nombre de décisions judiciaires importantes qui semblent avoir créé un terreau propice aux recours collectifs.

Plus particulièrement, les tribunaux ont autorisé le recours collectif dans de nombreuses causes marquantes d’atteinte à la vie privée, en plus d’établir l’existence d’une large compétence permettant d’exercer des recours extraterritoriaux contre des entreprises en ligne. Dans ce contexte, il arrive de plus en plus souvent que des entreprises victimes d’une atteinte à la sécurité des données fassent l’objet de recours collectifs multiples et parallèles au Canada et aux États-Unis réclamant un montant global de dommages-intérêts.

Les développements suivants, survenus en 2015, auront une incidence importante sur la gestion des risques pour les entreprises canadiennes et étrangères qui ont en leur possession ou sous leur garde des renseignements personnels de résidents canadiens :

  • En 2015, les tribunaux canadiens ont autorisé un certain nombre de recours collectifs importants fondés sur des atteintes à la sécurité des données. Dans Condon c. Canada, la Cour d’appel fédérale a confirmé l’autorisation d’un recours collectif déposé contre le gouvernement fédéral à la suite de la perte d’un lecteur de disque dur par Ressources humaines et Développement des compétences Canada. Dans John Doe et Suzie Jones c. Canada, la Cour fédérale a également autorisé un recours collectif contre le gouvernement fédéral à la suite de la divulgation de l’identité de participants au programme fédéral de cannabis médicinal. Le résultat de ces causes semble indiquer que, lorsque les circonstances s’y prêtent, les tribunaux autoriseront des recours collectifs en dommages-intérêts contre des organisations (y compris des gouvernements) auxquelles on reproche d’avoir failli à leur devoir de protection des renseignements personnels qu’ils détiennent.

  • Forts de leur succès à obtenir l’autorisation de recours collectifs dans ces affaires et dans d’autres affaires, les avocats de demandeurs au Canada ont intenté un certain nombre de nouveaux recours collectifs en 2015, dont certains étaient fondés sur des atteintes à la sécurité des données causées par des pirates informatiques (comme le recours collectif intenté contre Avid Media pour les atteintes à la sécurité des données du site Ashley Madison), et d’autres, fondés sur l’utilisation abusive de données sur les clients par les entreprises elles-mêmes (comme le recours collectif de 750 millions de dollars contre Bell pour son programme de publicités pertinent). Encouragés par leurs récents succès, les avocats des demandeurs sont devenus plus actifs et compétitifs, et on peut s’attendre à ce que d’autres recours collectifs soient intentés en 2016.

  • En 2015, la Cour d’appel de l’Ontario a rendu une décision importante qui a éliminé un obstacle de taille aux recours collectifs privés dans le secteur des soins de santé. Plus spécifiquement, dans Hopkins c. Kay, la Cour d’appel de l’Ontario a rejeté l’argument selon lequel la Loi sur la protection des renseignements personnels sur la santé de l’Ontario était un code complet qui interdisait les réclamations en responsabilité civile délictuelle pour atteinte à la vie privée. La Cour suprême du Canada a rejeté la demande de permission d’en appeler de cette décision. Par conséquent, il est dorénavant possible pour les particuliers et les groupes de plaignants d’intenter un recours et réclamer des dommages-intérêts au-delà des dispositions limitées de la Loi sur la protection des renseignements personnels sur la santé en matière de restitution.

  • Dans une autre décision qui contraste nettement avec la décision Hopkins c. Kay, la Cour d’appel de la Colombie-Britannique a rendu une décision importante (Ari c. Insurance Corporation of British‑Columbia) qui a restreint la portée des recours en common law en matière d’atteinte à la vie privée en Colombie-Britannique. Plus particulièrement, dans le cadre d’une requête en radiation d’une partie d’un recours collectif portant sur des allégations d’accès non autorisé à des renseignements personnels et d’utilisation non autorisée de ceux-ci par un employé « malveillant », la Cour a indiqué que la loi de la Colombie‑Britannique intitulée Freedom of Information and Protection of Privacy Act est une loi complète et qu’il n’y a pas de cause d’action en négligence pour une violation de la loi. La Cour a toutefois refusé de radier une allégation au titre de la loi intitulée Privacy Act de la C.-B. fondée sur la responsabilité du fait d’autrui à l’encontre de l’employeur, ICBC, pour des actes commis par son employé.

  • Dans sa décision d’autoriser le recours, dans John Doe et Suzie Jones c. Canada, la Cour fédérale a conclu qu’il y avait une cause d’action valable en vertu du nouveau délit civil de « publicité donnée à la vie privée ». Reconnu dans bon nombre d’États américains, ce délit est peu reconnu au Canada. De plus, contrairement aux règles habituelles qui régissent les litiges civils, la Cour a autorisé l’utilisation de noms d’emprunt pour protéger la vie privée des représentants du groupe qui intentent un recours en matière de protection de la vie privée, afin de faciliter l’accès à la justice.

  • Dans Equustek Solutions Inc. c. Google Inc., la Cour d’appel de la C.-B. a confirmé une injonction extraordinaire contre le principal moteur de recherche en ligne du monde. Pour en savoir davantage sur cette affaire, veuillez vous reporter à l’article intitulé Compétence des tribunaux canadiens : jusqu’où « le long bras de la justice » s’étend-il?

  • Enfin, dans Douez c. Facebook, Inc., la Cour d’appel de la C.-B. a rejeté la demande d’autorisation d’un recours collectif pour atteinte à la vie privée contre Facebook, en appliquant une clause de choix des tribunaux, soit ceux de la Californie. Pour en savoir davantage sur cette cause, veuillez vous reporter à l’article intitulé Compétence des tribunaux canadiens : jusqu’où « le long bras de la justice » s’étend-il?

Activités d’application de la LCAP

La LCAP est peut-être la loi anti-pourriel la plus stricte dans le monde. La deuxième phase de la LCAP, qui impose des règles rigoureuses en matière de consentement et de notification en cas d’installation de programmes informatiques, est entrée en vigueur le 15 janvier 2015. La première phase de la LCAP, qui est entrée en vigueur le 1er juillet 2014, imposait des exigences semblables à l’égard de l’envoi de messages électroniques commerciaux (MEC).

Les sanctions en cas de non-conformité peuvent être lourdes : les organisations s’exposent à des sanctions administratives pouvant aller jusqu’à 10 millions de dollars et à un droit d’action privé en dommages-intérêts d’au plus 200 $ par contravention à la loi. Le droit d’action privé devrait entrer en vigueur le 1er juillet 2017.

Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a annoncé un certain nombre de mesures d’application de la loi en 2015. Il a publié un procès-verbal de violation assorti d’une sanction de 1,1 million de dollars contre Compu-Finder pour l’envoi de MEC sans le consentement du destinataire et l’absence d’un mécanisme de « désabonnement » fonctionnel. D’autre part, Plenty of Fish a convenu de verser 48 000 $, et Porter Airlines Inc. a accepté de verser 150 000 $ dans le cadre d’engagements distincts envers le CRTC relativement à des allégations de violation des règles de la LCAP applicables aux MEC. Plus récemment, Rogers Media a accepté de verser 200 000 $ dans le cadre d’un engagement envers le CRTC, relativement à des allégations selon lesquelles l’entreprise aurait envoyé des MEC à des clients, contenant un mécanisme de « désabonnement » qui ne fonctionnait pas correctement.

L’application de la LCAP par le CRTC se poursuivra en 2016 et dans les années à venir.

Nous nous attendons également à ce que les entreprises intensifient leurs efforts de conformité à la LCAP en 2016, afin de réduire le risque de recours collectif associé au droit d’action privé en vertu de la loi.

Modifications à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Des modifications à la LPRPDE sont entrées en vigueur en juin 2015. Entre autres choses, les modifications comprennent :

  • une obligation de donner un avis en cas d’atteinte à la sécurité des données, qui requiert qu’un avis soit remis au Commissaire à la protection de la vie privée du Canada, aux particuliers concernés ainsi qu’à d’autres organisations en cas d’atteinte à la sécurité qui présente « un risque réel de préjudice grave » à l’endroit des particuliers concernés;

  • des infractions découlant du non-respect de l’obligation de donner un avis en cas d’atteinte à la sécurité des données;

  • un concept de « validité du consentement » pour la collecte, l’utilisation et la communication de renseignements personnels;

  • des exceptions à l’obligation d’obtenir le consentement, notamment aux fins de la gestion d’une relation d’emploi et dans le cas de certaines enquêtes;

  • de nouveaux pouvoirs accordés au commissaire à la protection de la vie privée en matière de conclusion d’accords de conformité.

À la lumière de ces développements survenus l’an dernier dans le domaine du droit de la vie privée, les entreprises canadiennes devraient améliorer leurs programmes de gouvernance des données en 2016, afin de réduire les risques juridiques et réglementaires et les risques de mauvaise presse liés à l’évolution de la législation.