rapport

Protection de la vie privée et responsabilité délictuelle Protection de la vie privée et responsabilité délictuelle

10 juillet 2025 14 MIN DE LECTURE
Télécharger le PDF

Accueil Articles Rapports Revue de la jurisprudence sur la protection de la vie privée d’Osler – Quatrième édition Été – 2025

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice)
Kristian Brabander

Associé, Litiges, Montréal

Robert Carson

Associé, Litiges, Toronto

Tommy Gelbman

Associé, Litiges, Calgary

Jessica Harding

Associée, Litiges, Montréal

Craig Lockwood

Associé, Litiges, Toronto

Julien Morissette

Associé, Litiges et Insolvabilité et restructuration, Montréal

Auteurs(trice):
Kristian Brabander, Robert Carson, Tommy Gelbman, Jessica Harding, Craig Lockwood, Julien Morissette

Table des matières

La jurisprudence sur la protection de la vie privée

Lire l’édition complète

Clearview AI Inc. v. Information and Privacy Commissioner for British Columbia, 2024 BCSC 2311

Lire les détails de l’affaire

Faits

Cette demande de contrôle judiciaire concernait l’application de la loi sur la protection des renseignements personnels de la Colombie-Britannique, intitulée Personal Information Protection Act (PIPA), à Clearview AI Inc., une entreprise américaine fournissant des services de reconnaissance faciale. La technologie de Clearview collecte (ou « moissonne ») des images de personnes sur Internet, notamment celles de résidents de la Colombie-Britannique, à partir desquelles elle crée des identifiants biométriques destinés à être utilisés par des clients tiers, tels que des forces de l’ordre.

À la suite d’une enquête conjointe menée par les organismes de réglementation canadiens chargés de la protection de la vie privée, le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique (le commissaire) a conclu que Clearview avait collecté, utilisé et communiqué des renseignements personnels de résidents de la Colombie-Britannique sans leur consentement, en violation de la PIPA. Il a rendu une ordonnance interdisant à Clearview d’offrir ses services en Colombie-Britannique, lui enjoignant de cesser la collecte, l’utilisation et la communication de ces renseignements et de faire tout son possible pour supprimer les renseignements personnels recueillis auprès de personnes de la province sans leur consentement.

Clearview a demandé un contrôle judiciaire, soutenant que la PIPA ne s’appliquait pas à ses activités du fait qu’elle est une entreprise américaine, que l’interprétation du commissaire de l’expression « accessible au public » et « fin raisonnable » était déraisonnable, et que l’ordonnance était inutile, inapplicable ou trop générale.

Décision

La Cour suprême de la Colombie-Britannique a rejeté la requête, confirmant la décision et l’ordonnance du commissaire, et a rendu les conclusions suivantes :

  • Compétence et application extraterritoriale de la PIPA : La collecte par Clearview de renseignements personnels auprès de personnes de la Colombie-Britannique et la fourniture de services à des entités dans la province établissaient un lien suffisant pour justifier la compétence. Le fait que Clearview n’ait aucune présence physique (bureaux, employés ou serveurs) en Colombie-Britannique n’était pas déterminant, compte tenu de la nature de la collecte de données sur Internet et du modèle commercial en cause.
  • Interprétation de l’expression « accessible au public » : Le commissaire a interprété de manière raisonnable l’expression de renseignements « accessibles au public » au sens de la PIPA et de son règlement comme excluant les renseignements disponibles sur les médias sociaux ou sur des sources Internet grand public. La conclusion du commissaire selon laquelle les sites de médias sociaux ne constituent pas des sources « accessibles au public » aux fins de la PIPA était étayée par le texte, le contexte et l’objet de la loi, ainsi que par des décisions antérieures et la nature sensible des renseignements biométriques.
  • Consentement et fins raisonnables : La Cour a convenu que Clearview n’avait pas obtenu le consentement requis pour la collecte, l’utilisation ou la communication des renseignements personnels. L’analyse a tenu compte des éléments suivants : i) la sensibilité des données biométriques moissonnées par Clearview; ii) l’absence de lien entre les fins pour lesquelles les images avaient été publiées et l’utilisation qui en était faite par Clearview; et iii) les risques de préjudice, notamment l’identification erronée et les atteintes à la protection des données.
  • Nécessité, force exécutoire et portée de l’ordonnance : La Cour a jugé l’ordonnance nécessaire, compte tenu du refus de Clearview de s’engager à se retirer définitivement du marché de la Colombie-Britannique et de la poursuite de sa collecte de renseignements personnels. L’ordonnance n’était pas non plus trop générale, car la PIPA réglemente les activités des organisations en matière de renseignements personnels des personnes en Colombie-Britannique, quel que soit leur statut de résidence.

Point principal à retenir

Les lois provinciales sur la protection des renseignements personnels peuvent avoir une portée extraterritoriale dans le contexte de la collecte de données sur Internet. Les organismes de réglementation de la protection des renseignements personnels peuvent rendre des ordonnances exécutoires à l’encontre d’entités étrangères dont les activités ont un lien réel et substantiel avec la province. Les organisations ne peuvent pas non plus invoquer l’exception de renseignements « accessibles au public » prévue par la PIPA pour justifier le moissonnage sans consentement de renseignements personnels sur les médias sociaux ou sur Internet. Les exceptions aux mesures de protection des renseignements personnels seront interprétées de manière restrictive, et le risque de préjudice — notamment la perte de contrôle sur les renseignements personnels et le risque d’erreur d’identification — sera au cœur de l’évaluation du caractère raisonnable des fins au regard des lois sur la protection de la vie privée. Cette décision fait l’objet d’un appel.

Moon v. International Alliance of Theatrical Stage Employee (IATSE) (Local 891), 2024 BCSC 1560

Lire les détails de l’affaire

Faits

Kelly Moon, ex-déléguée syndicale principale de la section locale 891 de l’International Alliance of Theatrical Stage Employee (IATSE), a intenté une action civile contre le syndicat et plusieurs membres de son comité de direction, alléguant un préjudice causé par la diffusion non autorisée d’un rapport détaillant l’utilisation de sa carte de crédit, qui contenait des allégations contestées et graves à son encontre. La publication du rapport a coïncidé avec sa campagne de réélection en 2019, ce qui a porté gravement atteinte à sa réputation et a finalement conduit à sa défaite électorale. Mme Moon a affirmé que le comité de direction, notamment Gary Mitch Davies, avait conspiré pour publier le rapport afin de nuire à sa candidature, et elle a allégué des violations de diverses lois, notamment la loi sur la protection de la vie privée (la Privacy Act) de la Colombie-Britannique et la loi sur la protection des renseignements personnels (la Personal Information Protection Act ou PIPA) de la Colombie-Britannique, ainsi que des négligences. Les défendeurs ont demandé la radiation de ses réclamations, faisant valoir qu’elle n’avait pas épuisé les recours internes et que ses réclamations étaient dépourvues de motif valable.

Décision

La demande des défendeurs visant à radier les réclamations a été en grande partie rejetée, à l’exception de la contestation de la décision du comité électoral, qui était de nature administrative. L’analyse de la Cour concernant le délit civil de divulgation publique de faits privés, un délit reconnu en Alberta et en Ontario, était particulièrement pertinente. Après avoir examiné les décisions récentes de la Cour d’appel de la Colombie-Britannique en matière d’intrusion dans l’intimité (Tucci v. Peoples Trust Company, 2020 BCCA 246) et, de manière plus générale, en matière de délits civils de la common law relatifs à la vie privée (Insurance Corporation of British Columbia v. Ari, 2023 BCCA 331), la Cour a conclu que les tribunaux de la Colombie-Britannique pouvaient toujours reconnaître les délits civils en matière de vie privée, y compris la divulgation publique de faits privés, et a refusé de radier la nouvelle réclamation. La Cour a également refusé de radier les réclamations connexes de Mme Moon en vertu de la PIPA et de la Privacy Act, car le commissaire à la protection de la vie privée avait conclu que la section locale 891 de l’IATSE avait enfreint la PIPA et avait fait preuve de négligence.

Point principal à retenir

La Cour a refusé de rejeter une réclamation pour délit civil de divulgation publique de faits privés, refusant ainsi de fermer la porte aux délits civils liés à la vie privée en Colombie-Britannique et ouvrant la voie à la reconnaissance éventuelle de ce délit civil en particulier.

The Hospital for Sick Children v. Information and Privacy Commissioner of Ontario, 2025 ONSC 385

Lire les détails de l’affaire

Faits

L’Hospital for Sick Children (SickKids) a demandé une ordonnance de mise sous scellés afin de caviarder certains renseignements du dossier de la procédure à la suite d’une cyberattaque par rançongiciel survenue le 18 décembre 2022. Cette attaque a perturbé les systèmes cliniques et administratifs de l’hôpital, entraînant des retards dans la délivrance des ordonnances et la communication des résultats d’analyses. Au 29 décembre 2022, environ 50 % des systèmes prioritaires de l’hôpital avaient été rétablis. À la suite de l’incident, SickKids a signalé les faits au Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP), qui a ouvert une enquête en vertu de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) afin d’établir s’il y avait eu divulgation non autorisée ou perte de renseignements personnels sur la santé. SickKids a coopéré avec le CIPVP en lui fournissant des informations sur ses mesures de cybersécurité, que le CIPVP a accepté de garder confidentielles afin de protéger l’hôpital contre de futures attaques.

Décision

SickKids a démontré que la publication des renseignements caviardés demandés augmenterait sa vulnérabilité aux cyberattaques futures, compromettant ainsi la sécurité de ses systèmes informatiques et les soins médicaux essentiels qu’il dispense. La Cour a estimé que les caviardages demandés étaient minimes et nécessaires pour se prémunir contre de nouvelles cybermenaces, ce qui sert un intérêt public important en matière de protection des soins aux patients. La Cour a accueilli la requête, concluant que les caviardages étaient nécessaires pour protéger les activités de l’hôpital et l’intérêt public. En outre, la Cour a jugé que SickKids avait droit au remboursement des frais de la requête, car le CIPVP s’y était initialement opposé sans déposer de mémoire en défense, se contentant d’une lettre qui n’aidait pas la Cour à statuer.

Point principal à retenir

La Cour a reconnu le besoin impérieux de trouver un équilibre entre la transparence et la protection des renseignements sensibles, en particulier dans le contexte de la cybersécurité. Les organisations pourraient s’appuyer sur cette affaire pour demander des caviardages limités lorsqu’elles peuvent démontrer l’existence d’un risque crédible de cybermenaces.

Lamarche v. British Columbia (Securities Commission), 2025 BCCA 146

Lire les détails de l’affaire

Faits

Au cours d’une enquête, la Commission des valeurs mobilières (la Securities Commission ou la Commission) de la Colombie-Britannique a saisi les dossiers de courriels de l’appelant, notamment des communications qui, selon lui, étaient protégées par le secret professionnel de l’avocat. L’appelant a intenté une action civile alléguant des violations de la Charte canadienne des droits et libertés et de la loi sur la protection de la vie privée de la Colombie-Britannique (la Privacy Act), en vue d’obtenir des mesures de redressement déclaratoires et pécuniaires. La Commission a demandé la suspension ou la radiation des réclamations au motif qu’une procédure administrative était en cours et/ou que les réclamations ne révélaient aucune cause d’action raisonnable.

Le juge en chambre a suspendu les réclamations constitutionnelles en attendant que le processus de la Commission soit mené à terme et a radié les réclamations en vertu de la Privacy Act. L’appelant a fait appel, soutenant que la Cour ne devrait pas s’en remettre au processus administratif et que ses réclamations en vertu de la Privacy Act ont été incorrectement radiées.

Décision

La Cour d’appel a partiellement accueilli l’appel. Elle a confirmé la suspension à statuer sur les réclamations constitutionnelles, estimant qu’en l’absence de circonstances exceptionnelles, les parties doivent épuiser les voies de recours administratives avant de saisir la justice.

Toutefois, la Cour a annulé l’ordonnance rejetant les réclamations fondées sur la Privacy Act. Même si la Commission bénéficiait d’une immunité d’origine législative pour les actes accomplis de bonne foi, un degré suffisant d’imprudence peut justifier une présomption de mauvaise foi. Les actes de procédure de l’appelant, selon lesquels la Commission aurait agi de manière imprudente en ne mettant pas en œuvre des protocoles adéquats, étaient suffisants pour étayer une conclusion potentielle de mauvaise foi ou d’absence de bonne foi. La Cour a également rejeté la conclusion du juge en chambre selon laquelle la Privacy Act ne pouvait être invoquée pour faire valoir des allégations pouvant également fonder une violation de la Charte canadienne, précisant que les allégations relatives à la vie privée et à la Charte canadienne ne s’excluent pas mutuellement.

La Cour a ordonné que les réclamations fondées sur la Privacy Act, notamment les réclamations de dommages punitifs, soient suspendues (plutôt que rejetées) jusqu’à la fin du processus administratif de la Commission, afin d’éviter le dédoublement et la fragmentation des procédures.

Point principal à retenir

Les réclamations fondées sur la Privacy Act peuvent survivre à une requête en radiation, même lorsque l’immunité d’origine législative pour conduite de bonne foi est invoquée, car un degré suffisant d’imprudence peut justifier une présomption de mauvaise foi. La décision confirme également que les délits civils en matière de vie privée et les réclamations fondées sur la Charte canadienne peuvent faire l’objet de poursuites parallèles, sous réserve d’un report de procédure afin d’éviter les litiges redondants.

Insurance Corporation of British Columbia v. Ari, 2025 BCCA 131

Lire les détails de l’affaire

Faits

L’action collective sous-jacente découle des actes d’un ex-employé de l’appelant qui avait accédé aux renseignements personnels de 78 clients à des fins illégitimes et vendu certains de ces renseignements à des criminels. Par la suite, 13 personnes ont été la cible d’incendies criminels et de coups de feu. Le groupe a été défini comme comprenant toutes les personnes dont les renseignements avaient été consultés, ainsi que les résidents à leur adresse. Le juge d’instruction sommaire a accordé des dommages-intérêts globaux de 15 000 $ par membre du groupe pour violation de la vie privée en vertu de l’article premier de la loi sur la protection de la vie privée de la Colombie-Britannique (la Privacy Act). Ces dommages-intérêts ont été accordés indépendamment du fait que les membres du groupe aient réellement subi un préjudice. Les préjudices individuels seront examinés à un stade ultérieur de la procédure.

Décision

La Cour d’appel a confirmé l’octroi de dommages-intérêts, affirmant que la Privacy Act crée un délit civil pour atteinte à la vie privée sans preuve de préjudice. Des dommages-intérêts généraux peuvent être accordés pour indemniser, réparer et dissuader les atteintes à la vie privée proprement dite, reflétant ainsi la nature quasi constitutionnelle du droit à la vie privée.

La Cour a rejeté l’argument selon lequel, en l’absence de preuve de préjudice, seuls des dommages-intérêts symboliques pouvaient être accordés, soulignant que la loi présume qu’un préjudice découle de la simple atteinte à la vie privée. La gravité et le caractère délibéré de l’atteinte, à savoir la diffusion de renseignements à des criminels et les risques qui en découlaient pour les membres du groupe, justifiaient l’octroi d’une indemnité supérieure à un montant purement symbolique. Le fait de limiter les dommages-intérêts à une somme dérisoire aurait porté atteinte à l’intention du législateur de la Privacy Act et rendu inefficace le droit à la protection de la vie privée garanti par la loi.

Point principal à retenir

La décision confirme qu’en vertu de la Privacy Act, des dommages-intérêts généraux pour atteinte à la vie privée peuvent être accordés sans preuve d’un préjudice consécutif. Même si la décision ne concernait que la Privacy Act, d’autres provinces ont des lois similaires, de sorte que le raisonnement de la Cour d’appel pourrait s’appliquer à des lois parallèles sur la protection des renseignements personnels. L’affaire démontre également que des dommages-intérêts globaux potentiellement importants peuvent être accordés pour des atteintes à la protection des données, même en l’absence de preuve d’un préjudice individuel.

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.