La CAO refuse d’étendre la responsabilité pour intrusion dans l’intimité aux détenteurs de bases de données commerciales pirates – Law Times

Craig Lockwood

Le 30 novembre 2022

Le récent refus de la Cour d’appel de l’Ontario (CAO) d’étendre le délit civil d’intrusion dans l’intimité aux défendeurs qui ne protègent pas adéquatement les renseignements personnels recueillis et entreposés à des fins commerciales était fondé et motivé, affirme Craig Lockwood, associé, Litige, dans une entrevue accordée au Law Times.

L’action collective a débuté lorsque des tiers ont piraté les bases de données de renseignements personnels conservées par les agences d’évaluation du crédit Trans Union et Equifax, ainsi que par les hôtels Starwood de la chaîne Marriott. Ces bases de données contenaient des adresses, des renseignements sur les dettes, des historiques de paiement, des numéros d’assurance sociale, des noms, des dates de naissance, des renseignements sur les permis de conduire, des numéros de cartes de crédit, des adresses électroniques, des mots de passe, des numéros de téléphone, des numéros de passeport et des informations sur les comptes.

Les demandes de certification des plaignants visaient à appliquer la décision phare de 2012 de la CAO dans l’affaire Jones c. Tsige, qui a reconnu le délit intentionnel d’intrusion dans l’intimité. Pour établir ce délit, il fallait prouver qu’un défendeur s’était, intentionnellement ou de façon inconsidérée, ingéré dans les affaires privées d’un plaignant d’une manière qu’une personne raisonnable considérerait comme étant très choquante et causant de la détresse, de l’humiliation ou de l’angoisse.

« La preuve d’une perte réelle n’est pas un élément de la cause d’action pour intrusion dans l’intimité, alors qu’une action pour négligence exige normalement une telle preuve », indique Craig. « Cela a une grande importance, car toutes les pertes de données ne se traduisent pas par quelque chose qui puisse être utilisé par un pirate pour causer une perte réelle. »

« La cour a jugé que, même si les défendeurs avaient été négligents dans leurs efforts pour prévenir un dommage, leur négligence n’équivalait pas à un acte intentionnel d’intrusion comme l’exige l’arrêt Jones », ajoute Craig. Il maintient que la CAO n’a pas diminué la portée de Jones.

« La cour n’a pas minimisé l’importance du droit à la protection de la vie privée, mais ces décisions mettent un terme à la tendance consistant à essayer de tirer parti d’une avancée législative discrète pour l’appliquer à une situation que l’arrêt Jones n’avait pas initialement prévue. L’application de l’arrêt Jones aux défendeurs des bases de données aurait constitué un pas de géant dans l’évolution du droit, et non l’évolution progressive que les tribunaux ont pour mission de permettre. »

« En fait, la Cour a indiqué que si les plaignants ont un recours, ils ne doivent pas se tourner vers les tribunaux et leur demander d’en créer un nouveau simplement parce que le recours existant est plus difficile à mettre en œuvre. »

Lire dans son intégralité l’article de Julius Melnitzer publié par le Law Times le 30 novembre 2022 (en anglais seulement).