rapport

Actions collectives en matière de protection des renseignements personnels : atteintes à la protection des données

12 Nov 2024 13 MIN DE LECTURE
Télécharger le PDF

Table des matières


Revue de la jurisprudence sur la protection de la vie privée

Option Consommateurs c. Home Depot of Canada Inc., 2024 QCCS 1305

Lire les détails de l’affaire

Faits

La demanderesse a demandé l’autorisation d’exercer une action collective à l’encontre de Home Depot. Selon la demanderesse, Home Depot a manqué à ses obligations légales et statutaires en partageant avec des tiers, y compris Facebook, des renseignements personnels des membres du groupe sans leur consentement, portant ainsi atteinte à leur droit fondamental à la vie privée. Le partage de renseignements a fait l’objet d’une enquête du Commissariat à la protection de la vie privée du Canada (le CPVP), qui a conclu que la défenderesse avait omis d’obtenir un consentement valable et valide pour la communication de renseignements personnels.

Décision

Le tribunal a accueilli en partie la demande pour autorisation d’exercer une action collective à l’encontre de Home Depot, et permis à la demanderesse de demander le recouvrement de 10 000 000 $ en dommages-intérêts punitifs, mais a rejeté les prétentions fondées sur la responsabilité extracontractuelle et les fausses représentations. Le tribunal a également modifié la description du groupe, afin de le restreindre aux membres qui sont détenteurs d’un compte Facebook.

Selon le tribunal, les allégations considérées véridiques suggèrent que Home Depot aurait partagé les renseignements personnels de ses membres sans leur consentement implicite ou explicite, en violation des articles 35 et 37 du Code civil du Québec (le CcQ) ainsi que de l’article 13 de la Loi sur la protection des renseignements personnels dans le secteur privé et des articles 5 et 6.1 de la Loi sur la protection des renseignements personnels et les documents électroniques. Il était donc possible de soutenir que Home Depot avait commis une faute en vertu de l’article 1457 du CcQ.

Toutefois, le tribunal a estimé que la demanderesse n’avait pas démontré l’existence d’un préjudice. Le simple fait que des renseignements personnels soient en possession non autorisée d’un tiers ne constitue pas un préjudice et, par conséquent, ne donne pas lieu à des dommages compensatoires. Pour ces raisons, le tribunal a considéré que la demanderesse n’avait pas démontré l’existence d’une cause défendable fondée sur la responsabilité extracontractuelle.

Le tribunal a également rejeté les arguments de la demanderesse fondés sur les fausses prétentions, car il a estimé que les articles pertinents de la Loi sur la protection des consommateurs ne s’appliquaient pas.

En ce qui concerne les dommages-intérêts punitifs pour atteinte illicite et intentionnelle du droit à la vie privée, le tribunal a estimé que les allégations permettaient de déduire que la défenderesse devait connaître les conséquences du comportement fautif allégué.


Point principal à retenir

Le tribunal rappelle l’importance d’obtenir du consommateur son consentement exprès à l’utilisation de ses renseignements personnels. Le simple fait que des renseignements personnels soient en possession non autorisée d’un tiers ne constitue pas, en soi, un préjudice. Cette affaire rappelle que la réclamation de dommages-intérêts punitifs peut, à elle seule, donner lieu à l’autorisation d’exercer une action collective.


Del Giudice v. Thompson, 2024 ONCA 70, autorisation d’appel devant la CSC rejetée 2024 CanLII 88330

Lire les détails de l’affaire

Faits

Cet appel fait suite à une décision rejetant la requête en certification d’une action collective projetée fondée sur une atteinte à la protection des données concernant des renseignements personnels et confidentiels recueillis auprès de demandeurs de cartes de crédit. Les causes d’action distinctes invoquées ont été classées en deux catégories : (1) les prétentions d’utilisation abusive de données et (2) les prétentions d’atteinte à la protection des données. Le juge saisi de la requête a estimé que les actes de procédure n’étayaient aucune cause d’action valable et qu’ils étaient « exagérés » (egregious) et contrevenaient aux règles les régissant. Les appelants ont soutenu que le juge saisi de la requête avait commis une erreur (1) en déterminant qu’aucune des causes d’action invoquées n’était viable, (2) en s’appuyant sur des documents non assermentés, et (3) en supprimant des parties de l’exposé de la demande sans accorder l’autorisation de le modifier.

Décision

La Cour d’appel de l’Ontario a rejeté l’appel, estimant que les actes de procédure étaient invalides, car les prétentions plaidées n’avaient aucune chance de succès. La Cour a également estimé que le juge saisi de la requête avait le droit de s’appuyer sur des documents non assermentés pour parvenir à cette conclusion, en vertu du principe bien établi selon lequel un acte de procédure est réputé inclure tout document auquel il se réfère. En l’espèce, les documents en question (notamment la politique de confidentialité du défendeur, la demande de crédit du demandeur et un contrat de carte de crédit) étaient tous expressément mentionnés dans l’exposé de la demande. La Cour a donc conclu que le juge saisi de la requête était en droit de s’appuyer sur ces documents pour rejeter la prétention selon laquelle les défendeurs avaient utilisé les renseignements des demandeurs à des fins non autorisées. La Cour s’en est également remise à la décision du juge saisi de la requête de ne pas accorder l’autorisation de modifier l’exposé de la demande, reconnaissant que les appelants avaient eu de multiples occasions de le faire, mais qu’ils ne l’avaient pas fait.


Point principal à retenir

Cette affaire confirme que la certification continue d’être un puissant outil de filtrage des demandes sans fondement et illustre également comment les défendeurs peuvent contester les actes de procédure à un stade précoce. Il s’agit également d’un rappel utile de la portée des actes de procédure, qui sont réputés inclure tout document auquel ils font référence.


Ari v. Insurance Corporation of British Columbia, 2024 BCSC 964

Lire les détails de l’affaire (disponible en anglais seulement)

Faits

La Cour suprême de la Colombie-Britannique a accordé des dommages-intérêts à l’échelle du groupe pour une atteinte à la vie privée commise par un employé de l’Insurance Corporation of British Columbia (ICBC) qui avait accédé de manière inappropriée aux renseignements personnels de certains clients de l’ICBC et les a vendues. Certains de ces renseignements ont servi à déclencher des incendies criminels et des fusillades visant des maisons et des véhicules appartenant à certains de ces clients.

Décision

À un stade antérieur de l’instance, l’ICBC a été jugée responsable du fait d’autrui pour la violation par son employé de la loi de la Colombie-Britannique intitulée Privacy Act. Le groupe comprenait toutes les personnes résidant dans une maison touchée par l’atteinte à la vie privée.

La Cour a accordé à chaque membre du groupe des dommages-intérêts symboliques de 15 000 $, indépendamment du préjudice réel subi par les membres du groupe. Elle a estimé que ce montant entrait dans la catégorie des dommages-intérêts modestes ou symboliques, compte tenu de la gravité de la violation, de l’objectif public de la loi et de la nécessité de rendre des comptes. La Cour a rejeté la proposition de l’ICBC d’accorder des dommages-intérêts de 500 $ au motif qu’elle banaliserait le droit à la vie privée qui a été violé et rendrait la cause d’action prévue à la loi en question effectivement dénuée de sens. Les dommages-intérêts individuels seront évalués ultérieurement.


Point principal à retenir

Des dommages-intérêts symboliques peuvent être accordés en cas de violation des lois sur la protection des renseignements personnels, et leur montant peut, dans certaines circonstances, atteindre un montant non négligeable afin d’assurer la protection des renseignements vulnérables et de clarifier les conséquences de tout manquement à cet égard. Les motivations du défendeur à atteindre à la vie privée d’une personne, y compris le gain financier personnel, et le partage délibéré des renseignements avec des criminels augmentent la gravité de l’incident et les sanctions encourues.


G.D. v. South Coast British Columbia Transportation Authority, 2024 BCCA 252

Lire les détails de l’affaire (disponible en anglais seulement)

Faits

La Cour d’appel de la Colombie-Britannique a apporté des éclaircissements sur la responsabilité des dépositaires de données en cas d’atteinte à la protection des données. Cette affaire concernait une atteinte à la protection des données par des pirates informatiques tiers malveillants qui ont accédé aux renseignements personnels sensibles des employés, y compris leurs numéros d’assurance sociale, leurs renseignements bancaires, leurs dates de naissance et leurs adresses. L’action collective projetée a été déposée au nom des personnes touchées à l’encontre de TransLink, le dépositaire de la base de données, alléguant qu’il avait agi de manière imprudente en ne faisant rien pour empêcher l’atteinte à la protection des données.

Décision

La loi de la Colombie-Britannique intitulée Privacy Act crée une cause d’action pour les atteintes délibérées à la vie privée. Lors de la certification, le juge en chambre a rejeté les prétentions du demandeur au titre de cette loi au motif que le défendeur, même s’il était insouciant, n’avait pas délibérément atteint à la vie privée des membres du groupe en n’empêchant pas un tiers d’accéder à leurs renseignements sans autorisation. La Cour d’appel de la Colombie-Britannique a infirmé cette décision, estimant qu’il est au moins possible de soutenir qu’un dépositaire de données qui ne protège pas adéquatement les renseignements personnels peut être tenu responsable d’une atteinte délibérée à la vie privée.

Le juge en chambre a également rejeté la prétention de négligence du demandeur au motif que celle-ci était fondée sur une violation de la loi de la Colombie-Britannique intitulée Freedom of Information and Protection of Privacy Act (BCFIPPA), car cette loi ne crée pas de cause d’action. La Cour a estimé que la prétention de négligence n’était pas vouée à l’échec, estimant que les violations alléguées de la BCFIPPA constituaient un contexte pertinent et n’empêchaient pas TransLink d’avoir en common law une obligation de diligence envers ses employés et ses clients en ce qui concerne la protection de leurs renseignements personnels.

La Cour d’appel a renvoyé la question de la certification de l’action au juge en chambre.


Point principal à retenir

Les dépositaires de bases de données peuvent être tenus responsables, en vertu des lois sur la protection des renseignements personnels, d’avoir omis par négligence d’empêcher l’accès non autorisé à des renseignements personnels sensibles, même s’ils n’ont pas eu l’intention de commettre l’atteinte sous-jacente ou s’ils n’y ont pas participé. Cela contraste avec le délit d’intrusion dans l’intimité en common law, lequel, selon les tribunaux de l’Ontario, ne s’applique pas aux dépositaires de bases de données.

L’affaire précise également que les violations des lois sur la protection des renseignements personnels qui ne prévoient pas elles-mêmes une cause d’action autonome peuvent néanmoins servir à déterminer si l’omission d’un défendeur à empêcher une atteinte à la protection des données constituait un comportement « délibéré » aux fins des prétentions invoquées en vertu des lois sur la protection des renseignements personnels applicables.


Campbell v. Capital One Financial Corporation, 2024 BCCA 253

Lire les détails de l’affaire (disponible en anglais seulement)

Faits

La Cour d’appel de la Colombie-Britannique a récemment fourni des orientations concernant les prétentions d’abus de confiance et de négligence dans le cadre d’une action collective découlant d’une atteinte à la protection des données touchant des personnes ayant demandé ou détenu des cartes de crédit émises par Capital One.

Décision

La décision porte sur les causes d’action viables dans le contexte d’une action collective pour atteinte à la protection des données. Le demandeur a fait appel de la décision du juge de la requête en certification de biffer ses prétentions d’abus de confiance et de délit d’intrusion dans l’intimité en common law. Les défendeurs ont interjeté appel de la certification des prétentions de violation des lois provinciales sur la protection des renseignements personnels, de négligence, de rupture de contrat et de violation des lois sur la protection du consommateur.

Le demandeur avait allégué que le pirate informatique était responsable du délit d’intrusion dans l’intimité et de violation des lois provinciales sur la protection des renseignements personnels, et que Capital One était conjointement responsable de tout dommage moral causé par le pirate informatique en vertu de la loi de la Colombie-Britannique intitulée Negligence Act. La Cour d’appel n’a pas été de cet avis, estimant que cette loi ne pouvait être invoquée pour rendre une partie négligente conjointement responsable de dommages dont elle n’aurait jamais pu être responsable si elle avait agi seule. Étant donné que les dommages moraux recouvrables en cas de délit d’intrusion dans l’intimité en common law ou de violation des lois sur la protection des renseignements personnels sont d’une nature différente de ceux qui le sont en cas de négligence, Capital One ne pouvait être tenue conjointement responsable des dommages moraux causés par le pirate informatique. La Cour d’appel a refusé de répondre à la question de savoir si le délit d’intrusion dans l’intimité est reconnu en Colombie-Britannique.

La Cour d’appel a également rejeté la prétention d’abus de confiance du demandeur au motif que le défendeur avait conservé à tort des renseignements sur les clients. Pour le délit d’abus de confiance, le demandeur doit établir qu’il a subi un préjudice par suite de la violation de l’obligation de confiance. Or, il n’a allégué avoir subi un préjudice que par suite des actes du pirate informatique, et non d’une utilisation abusive des renseignements par Capital One. Une telle allégation ne suffisait pas à justifier une prétention d’abus de confiance.

La Cour d’appel a toutefois confirmé les autres causes d’action, y compris les prétentions de violation des lois provinciales sur la protection des renseignements personnels, de négligence, de rupture de contrat et de violation des lois sur la protection du consommateur.


Point principal à retenir

Un demandeur ne peut pas invoquer la loi de la Colombie-Britannique intitulée Negligence Act pour obtenir des dommages moraux qu’un pirate informatique pourrait être tenu de payer en vertu des lois provinciales sur la protection des renseignements personnels ou du délit d’intrusion dans l’intimité d’un défendeur dépositaire de bases de données qui, par négligence, n’a pas empêché la même atteinte à la protection des données.

Une prétention d’abus de confiance à l’encontre d’un défendeur dépositaire de bases de données au motif que celui-ci a conservé à tort certains renseignements peut être rejetée s’il n’est pas fait état d’un préjudice distinct par suite de l’utilisation abusive alléguée.

L’affaire met également en lumière l’incertitude qui subsiste quant à la viabilité des prétentions statutaires formulées à l’encontre d’un défendeur dépositaire de bases de données dans le contexte d’une atteinte causée par l’intrusion d’un tiers. À tout le moins, ces prétentions sont susceptibles d’être maintenues à l’étape des contestations préliminaires.