Passer au contenu

Balado d’AccessPrivacy : Table ronde d'experts en litiges relatifs aux données

Le 20 septembre 2021

Conférence téléphonique d’AccessPrivacy – septembre 2021

La conférence téléphonique mensuelle qui a eu lieu en septembre portait sur le nombre croissant d’actions collectives fondées sur l’atteinte aux données dont les tribunaux du Canada ont été saisis. Elle comportait, entre autres, une analyse des tendances actuelles relatives au dépôt et à l’autorisation des actions collectives, de ce que l’on entend par « renseignement personnel » et « préjudice indemnisable », de l'évolution de la législation et de la jurisprudence dans différents territoires, des leçons que peuvent tirer les entreprises appelées à réagir à une atteinte à la confidentialité des données, et plus encore, y compris le point de vue et l’expérience de plusieurs plaideurs chevronnés :

Écoutez la table ronde sur la protection de la vie privée maintenant. Disponible en anglais seulement

Transcript


Inscrivez-vous aux prochaines conférences téléphoniques d'AccessPrivacy

Vous êtes déjà inscrit à AccessPrivacy ?

Inscrivez-vous aux prochaines conférences téléphoniques d'AccessPrivacy

Vous n’êtes pas inscrit à AccessPrivacy ?

Créez gratuitement un compte AccessPrivacy pour vous inscrire à nos événements et à nos bulletins électroniques gratuits. Une fois que vous aurez créé un compte, cliquez sur l'onglet Événements pour vous inscrire aux prochaines conférences téléphoniques d'AccessPrivacy.


Trancription à partir de l’anglais

ADAM KARDASH : Bonjour et bienvenue à tous, en cette fin d’été, à notre conférence téléphonique mensuelle sur la vie privée. Comme nous l'avons mentionné au fil des ans, lors de conférences téléphoniques précédentes, l'un des thèmes principaux de notre pratique relative à la protection de la vie privée est l'augmentation constante du risque de litige pour les entreprises de tous les secteurs qui recueillent, créent, traitent et stockent de plus en plus grandes quantités de données, particulièrement des renseignements personnels.

Outre le risque de litiges associés aux incidents de sécurité, nous nous entretenons régulièrement avec nos clients et leurs mandataires du risque de litiges liés à des allégations d’utilisation abusive des données. À ces risques, s’ajoute celui de litiges en cours et de litiges potentiels, dans divers contextes, découlant de la publication d’une décision défavorable d’un organisme de réglementation de la protection de la vie privée.

Parfois même, un litige peut découler d’une simple annonce selon laquelle une ou plusieurs autorités de réglementation de la vie privée agissant ensemble ont l’intention de lancer une enquête contre une entreprise en particulier. Comme nous avons à cœur les préoccupations des clients et que celles-ci sont assez récentes, nous tiendrons une conférence téléphonique mensuelle sur le sujet alors que les litiges se multiplieront probablement dans le sillage de la réforme législative en cours sur la protection de la vie privée.

Notre table ronde d’experts se concentrera aujourd'hui sur les actions collectives en matière de protection des renseignements personnels. J'ai le privilège d'être accompagné d'un groupe d’avocats-plaideurs chevronnés de notre cabinet qui possèdent tous une grande expertise en matière de protection de la vie privée et de litiges liés aux données – Mark Gelowitz, Chris Naudie et Lauren Tomasich de notre bureau de Toronto, Emily MacKinnon de notre bureau de Vancouver, et enfin, bien sûr, Céline Legendre de notre bureau de Montréal.

Merci beaucoup à tous de vous joindre à nous. Alors, commençons. Je vais d’abord m’adresser à toi, Chris. Étant donné que bon nombre des personnes participent régulièrement à nos conférences téléphoniques, et à celle-ci en particulier, et qu’elles ne sont pas des juristes, il serait utile de définir l’action collective en matière de protection des renseignements personnels et d’expliquer ce qui permet aux demandeurs de se prévaloir d’un tel recours.

CHRIS NAUDIE : Bien sûr. Merci, Adam. Je suis heureux d'être ici, aujourd’hui. Comme la plupart des participants le savent, l'application et la protection du droit à la vie privée au Canada sont confiées à des organismes publics. Notamment, un organisme de réglementation indépendant est le principal responsable de la protection du droit à la vie privée des Canadiens. Au niveau fédéral, le Commissariat à la protection de la vie privée du Canada a la responsabilité exclusive de faire appliquer la LPRPDE et il n'existe aucun droit d'action privé en dommages-intérêts en vertu de cette loi fédérale.

Cependant, au niveau provincial, un particulier qui a subi une atteinte à son droit à la vie privée dispose d'un certain nombre de recours potentiels en vertu de la loi et de la common law. Et l’éventail de recours dont il dispose dépend de la province dans laquelle il réside. Premièrement, dans certaines provinces, un particulier peut se prévaloir d’un droit d'action en vertu des lois provinciales. Par exemple, la Privacy Act de la Colombie-Britannique.

Deuxièmement, il peut inclure une demande fondée sur l’atteinte à la vie privée dans une action pour rupture de contrat ou pour négligence. Exemple typique, le particulier allègue qu'en concluant le contrat d’achat d’un produit ou d’un service, il tenait pour acquis que le vendeur s’engageait à protéger ses renseignements personnels. En cas d’atteinte à ses renseignements personnels, il peut alléguer la rupture de contrat du fait que le vendeur a failli à son engagement.

Troisièmement, depuis 2012, les tribunaux de certaines provinces ont reconnu un nouveau délit, soit celui d’intrusion dans l’intimité. Ce nouveau délit est unique, en ce qu’il ne comporte pas l’obligation de prouver l’existence d’un préjudice. Cet éventail de recours permet à un particulier, dont les renseignements personnels permettant d’établir son identité ont été divulgués, d’intenter une action contre une entreprise qui a failli à ses obligations de protéger ces renseignements et d’empêcher leur divulgation en cas d’atteinte aux données.

Si le demandeur ou le particulier est en mesure de prouver une faute de l’entreprise, le tribunal pourrait lui accorder des dommages-intérêts en compensation de ses pertes pécuniaires et inconvénients, et dans certains cas, des dommages moraux pour l'embarras ou l'humiliation subi en raison de la violation des données. En règle générale, le particulier poursuivrait personnellement l’entreprise. Toutefois, la législation sur les actions collectives, adoptée par toutes les provinces du Canada, permet à un particulier de demander une réparation collective au moyen d’une action collective. C’est-à-dire, qu’il peut réclamer des dommages-intérêts en son nom et au nom de tous les autres particuliers au Canada qui sont touchés par la violation des données.

La force motrice derrière l’action collective est souvent un cabinet spécialisé dans ce type de recours. Il faut savoir qu'en vertu de la législation sur les actions collectives en vigueur au Canada, le cabinet qui introduit l’action collective peut, en cas de succès, exiger des honoraires qui sont établis selon un pourcentage du montant total du règlement ou du jugement de première instance.

Toutefois, le cabinet doit d’abord démontrer au tribunal que la cause se prête à l’action collective. Il doit d’abord établir que la cause répond aux critères d’autorisation de l’action collective. Ensuite, il doit persuader le tribunal que les réclamations des membres du groupe ont suffisamment de points communs pour justifier une action collective.

Ainsi, ce régime juridique a permis, au cours des dix dernières années environ, la multiplication des actions collectives fondées sur les atteintes à la vie privée, y compris la violation de données, la perte involontaire de données, la divulgation par les employés, et maintenant, l’utilisation abusive des données par les entreprises – particulièrement l'utilisation des données à des fins non envisagées par le consommateur ou le client au moment où il a donné son consentement à l’entreprise.

Et bien que l’incertitude subsiste quant à savoir si ces types de demandes sont ou non susceptibles d’autorisation, la tendance générale des dernières années a été de les autoriser. En effet, les tribunaux ont décidé que ces demandes pouvaient être autorisées en tant qu’actions collectives. Cependant, comme nous l'entendrons de la part de plusieurs de mes collègues aujourd'hui, la jurisprudence récente a apporté une certaine correction et quelques développements intéressants quant aux types de demandes qui peuvent faire l’objet d’une action collective.

ADAM KARDASH : Alors, Chris, après ces prémisses, nous pouvons maintenant passer aux différents thèmes. Quelles tendances actuelles as-tu pu observer en ce qui concerne le dépôt et l’autorisation des demandes ?

CHRIS NAUDIE : Bien sûr. Merci, Adam. Comme vous l'avez mentionné au début de l’exposé, nombreux sont nos clients dont les activités dépendent de la collecte, de la gestion et de l'utilisation de grandes quantités de renseignements sensibles qui permettent d'établir l’identité des particuliers. Ces clients sont, entre autres, des entreprises de vente au détail, des institutions financières, des entreprises de télécommunications, des prestataires de soins de santé et des entreprises de médias sociaux.

Et, compte tenu de l'évolution des recours privés et des actions collectives dans ce domaine du droit, nos clients nous interrogent continuellement sur les risques associés à la collecte, à la conservation et à l'utilisation de ces grands réservoirs de données. Afin de répondre à leurs préoccupations, notre cabinet a entrepris un important projet de suivi des actions collectives. En bref, au cours des cinq ou six dernières années, nous avons recueilli le plus de données possible sur toutes les actions collectives accessibles au public qui ont été déposées dans tous les territoires du Canada. Notre analyse de ces données nous a permis de comprendre l’orientation que prennent ces actions collectives en matière de protection de la vie privée au Canada.

Nous pouvons maintenant partager avec vous certaines tendances importantes qui s’en dégagent. Premièrement, selon nous, plus de 140 actions collectives en matière de protection des renseignements personnels ont été intentées au Canada depuis la première cause de cette nature. La majorité de ces causes étaient fondées sur l’atteinte aux données. Soit des causes impliquant le piratage de la base de données d’une entreprise ou le vol de données de celle-ci par un tiers malveillant.

Mais également un nombre important de causes découlant de l’indiscrétion des employés, de la perte de données et de l'utilisation abusive de données par l’entreprise. Le nombre de réclamations a connu une forte augmentation ces dernières années. À ce jour, en 2021, il y en a eu autant que pour toute l’année 2020.

Et la majorité d’entre elles ont été prises en Ontario – 40 % environ. Nous constatons une augmentation du nombre de causes au Québec et en Colombie-Britannique. Et cette tendance s'accélère en partie à cause des récentes modifications, favorables aux demandeurs, apportées à la Loi de 1992 sur les recours collectifs de l’Ontario.

En 2021, ces demandes se sont réparties à peu près également entre les actions collectives fondées sur la violation des données et celles fondées sur l’utilisation abusive des données. Pour les causes de violation des données, la plupart ont fait suite à la publication d’un incident ou à un avis en vertu de la LPRPDE.

Nous pouvons également vous informer sur la répartition des causes par secteur de l’industrie. La majorité d’entre elles concernent les entreprises de vente au détail, les fournisseurs de soins de santé et les entreprises de médias sociaux. Récemment, près de la moitié des nouvelles causes concernent des fournisseurs de soins de santé. Et environ 40 %, des entreprises de technologies et de médias sociaux. L’asymétrie marquée de ces résultats est possiblement attribuable à des incidents très médiatisés ces dernières années.

Ainsi, bon nombre de demandes ont été autorisées en tant qu’actions collectives. Et bon nombre d’entre elles ont été réglées par le paiement d’une somme forfaitaire très élevée. Mais en dépit de ces tendances, les tribunaux se sont parfois montrés réticents à l'idée d’autoriser ces types de demandes. Après tout, l’incidence d'une violation de données n’est pas nécessairement la même pour chacun des membres du groupe, selon la nature des données et les segments de données divulguées, et la réaction de chacun et l'expérience vécue peuvent différer d’une personne à l’autre. Par conséquent, au cours des deux dernières années, les tribunaux ont refusé d’autoriser un certain nombre de demandes d’importance. Ils se sont également demandé s’il y avait lieu d’autoriser une demande en l’absence de preuve immédiate de vol d'identité ou de préjudice personnel des membres du groupe. Je vais laisser mes collègues vous parler de ces causes, en commençant par Lauren.

ADAM KARDASH : Merci, Chris. Lauren, Chris vient de mentionner que certains défendeurs ont réussi à faire rejeter des demandes d’autorisation d’actions collectives en matière de protection des renseignements personnels. Et il a mentionné que c’est en grande partie grâce à leur intervention précoce dans la procédure. Peux-tu expliquer ce qu’il en est ?

LAUREN TOMASICH : Absolument. Merci, Adam. Et merci beaucoup pour ton introduction, Chris. Comme beaucoup de personnes en ligne le savent, car elles sont bien informées, la question de savoir si une action collective est susceptible d’autorisation est une question de procédure. Comme l'a dit Chris, le tribunal cherche à déterminer si les revendications communes se prêtent à être jugées dans le cadre d'un procès collectif. Donc, théoriquement, le tribunal ne cherche pas à déterminer si l’action collective est fondée. Il décide uniquement si la demande révèle une cause d'action.

Et ce qui caractérise les causes d’atteinte à la vie privée mentionnées par Chris, c'est qu'elles concernent presque toujours un grand nombre de particuliers, car elles impliquent la collecte, le stockage ou l'accès aux renseignements personnels de ces particuliers. On comprend assez facilement pourquoi les actions collectives en matière de protection des renseignements personnels sont intéressantes pour les avocats des demandeurs.

Par contre, même si de telles actions collectives sont nombreuses, nous constatons qu’en défense à une action collective, tous les moyens juridiques disponibles sont invoqués pour démontrer au tribunal que la demande est mal fondée et n’est donc pas susceptible d’autorisation, même si à sa face même les membres du groupe semblent avoir une revendication commune.

Nous avons connu un certain succès récemment et Mark, qui a participé à la contestation de certaines de ces causes, vous entretiendra à ce sujet. Emily vous parlera ensuite de causes récentes où des arguments procéduraux propres à la Colombie-Britannique ont permis d’attaquer les questions de fond à un stade très précoce de la demande et à l’égard desquels les tribunaux de la Colombie-Britannique se sont montrés très réceptifs.

En fait, nous constatons que les tribunaux examinent de près les actions collectives en matière de protection des renseignements personnels et jouent le rôle de gardien que la Cour suprême du Canada leur a récemment confié, à l’égard des actions collectives, dans l’arrêt Atlantic Lottery. De plus, notre suivi des données indique une tendance positive en ce sens. Et ce, nettement depuis environ deux ans. Nous sommes évidemment ravis de participer à cette tendance.

ADAM KARDASH : Si je comprends bien, cette tendance est due, en partie, au fait que les tribunaux se sont penchés sur ce qui constitue réellement un renseignement personnel. Pouvez-vous en parler un peu ?

LAUREN TOMASICH : Bien sûr. Chris a également mentionné le sujet. Les tribunaux reconnaissent maintenant ce qui était relativement évident et positif, soit que la violation de données ou la divulgation de certains renseignements personnels permettant d’établir l’identité d’un particulier n’engage pas nécessairement la responsabilité du défendeur en vertu de la législation sur la protection des renseignements personnels et ne fait pas nécessairement en sorte que le ou les particuliers concernés subissent un préjudice.

Prenons l’exemple de renseignements tels que les nom, numéro de téléphone et âge. La divulgation de tels renseignements n’entraîne pas nécessairement un préjudice indemnisable. Le meilleur argument, lequel a été soulevé dans une affaire impliquant Uber en Alberta, est l’analogie directe avec le gros bottin téléphonique livré à domicile contenant les noms, adresses et numéros de téléphone de tous les abonnés de la ville, dont se souviendront les personnes assez âgées pour l’avoir connu.

On pouvait y chercher les coordonnées d’un particulier et même s’il n’aimait pas que des télémarketeurs ou autres personnes lui téléphonent, le tribunal a jugé que la simple contrariété, le désagrément ou l'angoisse n’étaient pas susceptibles d’indemnisation, à moins qu'ils n'atteignent le niveau d'un préjudice grave ou prolongé. C’est sur ce raisonnement que la première action collective fondée sur l’atteinte à la vie privée a été entendue au fond. Céline vous en parlera de façon plus détaillée.

Par conséquent, veuillez vous assurer de soulever cet argument privilégié en défense à une action collective fondée sur l’atteinte à la vie privée. Les tribunaux démontrent maintenant qu'ils exigent une preuve d’un préjudice réel découlant de la divulgation. Ils veulent des preuves réelles et admissibles du préjudice subi et ne sont pas disposés à accepter l’allégation générale selon laquelle quelqu'un, quelque part, a pu subir un préjudice à la suite d'une violation de données.

ADAM KARDASH : Chris a mentionné le délit d'intrusion comme élément commun invoqué dans les actions collectives en matière de protection des renseignements personnels. Nous en avons bien sûr traité au fil des ans dans plusieurs contextes, lors de nos conférences téléphoniques. En quoi la jurisprudence récente a-t-elle rendu ce délit beaucoup moins utile aux demandeurs ?

LAUREN TOMASICH : Excellente question. Comme Chris l'a mentionné, les demandes invoquant l’intrusion dans la vie privée sont très populaires auprès des avocats des demandeurs. D’après notre suivi des données, le délit d’intrusion dans la vie privée est invoqué dans la majorité des causes. C’est parce que le tribunal n'exige même pas de prouver l’existence d’un préjudice. C'est donc un délit très intéressant à invoquer pour les demandeurs.

Mais, initialement, ce délit est issu d'une décision de la Cour d'appel dans Jones v Tsige et n'était vraiment pas destinée à capturer tout type d’atteinte à la vie privée, comme le démontrent les décisions récentes des tribunaux. Les éléments de ce délit exigent 1) que le défendeur ait agi intentionnellement ou de façon imprudente, 2) que le défendeur ait porté atteinte à la vie privée du demandeur et 3) qu'une personne raisonnable considérerait l'invasion comme hautement offensante, menaçante, humiliante ou angoissante.

Les tribunaux se posent maintenant la question de savoir si ce délit peut être invoqué au soutien d’une demande fondée sur l’atteinte à une base de données. Ce sont les demandes alléguant que les défendeurs ont mal sécurisé les données, permettant ainsi à des tiers d’y accéder. Il s’agit de déterminer si le défendeur, dont les données ont été touchées, a intentionnellement porté atteinte à la vie privée des demandeurs d’une manière qui leur a causé un préjudice.

Les tribunaux ont récemment répondu par la négative. Ceux de l'Ontario en particulier. Une décision de la Cour divisionnaire concernant Equifax, ainsi qu’une récente décision d’autorisation à l’encontre de Capital One. Il s'agissait de deux causes de violation de données relativement publiques alléguant le piratage informatique des systèmes des défenderesses. Dans ces deux causes, le délit d'intrusion dans la vie privée a été jugé non applicable aux motifs que lorsqu'une base de données est piratée, le défendeur ne peut pas avoir agi intentionnellement ou par imprudence et ne peut pas avoir porté atteinte à la vie privée du demandeur de manière défensive parce que ce sont les bases de données du défendeur qui ont subi l'intrusion.

ADAM KARDASH : Merci, Lauren. Allons maintenant en Colombie-Britannique. Emily, je te laisse la parole. Tu peux peut-être commencer par nous expliquer brièvement pourquoi la Colombie-Britannique est devenue un endroit si populaire pour les demandeurs et les actions collectives en matière de protection des renseignements personnels.

EMILY MACKINNON : Merci, Adam. Nous avons certainement constaté une augmentation de telles actions collectives en Colombie-Britannique. Bien que l'Ontario soit historiquement le territoire le plus populaire pour l’introduction de ces actions collectives, vu le nombre de ses citoyens, selon notre base de données, jusqu'à présent en 2021, un plus grand nombre d’actions collectives en matière de protection des renseignements personnels a été intenté en Colombie-Britannique.

De plus, cette tendance s'accentue. En effet, le nombre d’actions collectives à ce jour en 2021 est supérieur à celui de toute l’année dans cette province. Il y a quelques facteurs expliquant la popularité de la Colombie-Britannique en la matière. Le premier facteur est l’absence de frais. En Colombie-Britannique, la législation sur l’action collective interdit au tribunal de condamner une partie aux frais à l’égard d’une demande d’autorisation. Et ce, quel que soit le résultat.

Ensuite, après l’autorisation de l'action, le cas échéant, il lui est également interdit d’accorder des frais à une partie. Ce qui signifie que le risque associé aux frais est très faible pour les avocats de la partie demanderesse. S'ils peuvent faire entendre une demande d’autorisation, même s'ils perdent, ils n'auront pas à payer les frais de la partie défenderesse. En revanche, en Ontario, un demandeur qui n'obtient pas gain de cause peut être condamné à payer des frais importants au défendeur, de sorte qu’il est beaucoup plus risqué d’intenter une action en Colombie-Britannique que l’inverse. Pardon, je voulais dire, qu’il est beaucoup plus risqué d’intenter une action collective en Ontario qu'en Colombie-Britannique.

Le deuxième facteur est que la Loi de 1992 sur les recours collectifs de l'Ontario a été modifiée. Les modifications sont entrées en vigueur au mois d’octobre 2020. Par la suite, l’Ontario est devenu beaucoup moins attrayante pour les demandeurs. Cela contraste avec la tendance inverse en Colombie-Britannique, où les modifications apportées à la législation au cours des cinq dernières années environ l'ont en fait rendue plus attrayante pour les demandeurs.

Ainsi, l'incidence de toutes ces modifications est encore en évolution, et nous avons remarqué que des cabinets ontariens ont commencé à intenter leurs actions collectives en Colombie-Britannique. Parfois, ils ouvrent des bureaux satellites en Colombie-Britannique ou s'associent à des cabinets de cette province, mais quoi qu’il en soit, nous voyons beaucoup plus d'avocats ontariens devant les tribunaux de la Colombie-Britannique.

Le troisième facteur est, à l'instar du Manitoba, de la Saskatchewan et de Terre-Neuve-et-Labrador, que le droit d'action accordé par la Privacy Act de la Colombie-Britannique permet expressément au demandeur d’intenter une action collective en matière de protection des renseignements personnels en Colombie-Britannique. Tout comme c’est le cas pour le délit d'intrusion dans la vie privée, dont Lauren vient de parler, le délit d’atteinte à la vie privée peut faire l’objet d’une demande de certification sans nécessité de prouver l’existence d’un préjudice. C’est donc très attrayant pour les demandeurs. Si ce type de délits n’était pas prévu par la loi, il serait difficile pour un demandeur dans le cadre d’une action collective d’établir les dommages pour l'ensemble du groupe, car le préjudice subi par chacun des membres du groupe peut varier. C’est pourquoi, en Colombie-Britannique, l’obligation de prouver l’existence d’un préjudice est supprimée pour ce type de délits.

Et enfin, du point de vue de la pratique, nous savons que les avocats des demandeurs sont la force motrice derrière les actions collectives. Aussi, le gouvernement provincial de la Colombie-Britannique a récemment introduit un régime d'assurance automobile sans égard à la responsabilité. Les victimes d’accidents de voiture ne sont donc pas autorisées à intenter une action et sont automatiquement indemnisées, peu importe le responsable.

Cela a une incidence importante sur le volume de travail et l'avenir des cabinets d’avocats spécialisés en litige impliquant l’assurance automobile. Par conséquent, plusieurs cabinets qui étaient spécialisés en responsabilité civile automobile ont maintenant commencé à migrer vers l’action collective. Cela a donné lieu à des tactiques vraiment intéressantes. Toutefois, ces cabinets repositionnés ne se contentent pas toujours de faire les choses de façon traditionnelle. En effet, ils prennent des mesures procédurales inhabituelles et essaient de nouvelles stratégies, qui n'ont pas toutes été couronnées de succès.

Ainsi, la tendance des cabinets à se lancer dans les actions collectives a fait en sorte qu’ils ont déposé une tonne de nouvelles actions collectives, tout en découvrant ce qui fonctionne et ce qui ne fonctionne pas. Ils explorent vraiment le domaine. Et un grand nombre de ces actions collectives fondées sur l’atteinte à la vie privée reposent simplement sur des articles de journaux ou même parfois sur des messages publiés dans les médias sociaux à propos d’incidents liés aux données ou à des défaillances technologiques. Voilà donc, Adam, les principales raisons de l’augmentation du nombre d’actions collectives en matière de protection des renseignements personnels en Colombie-Britannique.

ADAM KARDASH : Merci beaucoup. Et, étant donné l'intérêt croissant de la Colombie-Britannique pour de telles actions collectives, quelles tendances observes-tu dans ce domaine ?

EMILY MACKINNON : Oui, donc l'un des plus grands changements a été cette volonté croissante des tribunaux de la Colombie-Britannique d'autoriser les requêtes visant à faire rejeter ces actions collectives avant ou au moment de l’audition de la demande d’autorisation, comme mes collègues l'ont mentionné plus tôt. Et notre expérience nous a démontré que plus tôt l’on agit, le mieux c’est pour les défendeurs. En effet, c’est beaucoup moins onéreux, en temps et en honoraires, d’agir au plus tôt.

Nous avons également pu constater que des cabinets ont abandonné leur action collective lorsque confrontés à une stratégie défensive musclée. Les cabinets sont des acteurs économiques rationnels. S'ils sont persuadés qu'une demande est non fondée, ils s’en désisteront. Lorsque nous disposons de faits ou d'une argumentation solides en défense, nous en profitons pour informer le tribunal, tôt et souvent, sur les faiblesses de la cause du demandeur.

Lors que nous soulevons de telles lacunes au plus tôt, nous avons l'occasion d'évaluer la réaction du juge et pouvons également adapter notre stratégie en conséquence. Et enfin, comme la règle d’absence de fais ne s’applique qu’après l’autorisation de la demande d’autorisation, le fait de présenter une requête préalable à l’audition de la demande met une réelle pression sur les demandeurs de l’autorisation, car ils peuvent être tenus au paiement des frais liés à la requête. Par conséquent, les demandeurs doivent alors analyser le risque financier que cela représente.

Cet aspect posait, jusqu'à très récemment, certaines difficultés en Colombie-Britannique, car les tribunaux de cette province avaient l'habitude de présumer que la demande d’autorisation constituait la première étape de l’action collective. Il était très difficile d'obtenir une dispense de cette règle. C'était très rare, et nous devions obtenir une ordonnance autorisant une procédure préalable à l’audition de la demande d’autorisation. Et les juges étaient réticents à l’accorder.

Ainsi, il arrivait souvent qu’une requête habituelle, comme celle en rejet d’action, au motif que la demande était entachée d’irrégularités à sa face même, devait être entendue en même temps que la demande d’autorisation. Et cela avait un effet pervers, soit de réduire les chances de succès d'une telle requête.

Et, alors qu'un juge aurait pu être disposé à rejeter une demande d’autorisation à un stade précoce, au stade de l’audition d’une demande entachée d’irrégularités, il était plus réticent à la rejeter qu'il ne l'aurait été à un stade antérieur.

Mais tout cela a changé récemment. En avril, la Cour d'appel de la Colombie-Britannique a infirmé toute cette jurisprudence et déclaré que la demande d’autorisation n'est plus la première étape de l’action collective. Cette décision de la Cour d’appel de la Colombie-Britannique a une incidence très importante sur toutes les actions collectives, y compris, bien sûr, celles en matière de protection des renseignements personnels. Elle a été rendue alors que nous constations une ouverture des juges de la Colombie-Britannique à entendre des requêtes préalables à l’audition de la demande d’autorisation. Elle vient donc confirmer cette tendance en évolution.

Ainsi, les défendeurs ont réussi dans un certain nombre de causes récentes à se faire entendre avant l’audition de la demande d’autorisation ou au moment de celle-ci. Dans deux décisions récentes concernant un site de réseau social, un tribunal de la Colombie-Britannique a autorisé un procès sommaire, dans un cas, avant l’autorisation et dans l'autre cas, dans le cadre de l’audition de la demande d’autorisation. Et reflétant tous les avantages de la stratégie susmentionnée, l'une de ces actions a été rejetée de consentement entre les parties.

Il y a également eu une autre décision récente en matière d’action collective qui a fait l’objet d’une requête en suspension des procédures en vertu de la loi sur l'arbitrage (Arbitration Act) de la Colombie-Britannique devant être entendue avant l’autorisation, et puis de requêtes relatives à la compétence du tribunal et pour procès sommaire qui devaient être entendues à l’audition de la demande d’autorisation. Tout cela aurait été très inhabituel selon la jurisprudence antérieure, mais nous constatons que le tribunal de la Colombie-Britannique est de plus en plus disposé à traiter les requêtes à un stade précoce.

Je souhaite aussi mentionner une autre tendance, Adam. Toute cette activité croissante dans les actions collectives en matière de protection des renseignements personnels en Colombie-Britannique a une influence correspondante sur le droit à la protection de la vie privée dans cette province. La jurisprudence de la Colombie-Britannique en matière de protection de la vie privée n'est pas aussi développée que celle de l'Ontario. C’est normal. L'Ontario est trois fois plus peuplé que la Colombie-Britannique, de sorte que, logiquement, il y a trois fois plus de causes, donc trois fois plus de jurisprudence.

Mais, au fur et à mesure que les actions collectives soulèvent des revendications de plus en plus nouvelles et inhabituelles, nous constatons qu’elles contribuent à l’évolution de la jurisprudence en Colombie-Britannique. Et cela sera d'autant plus vrai au fur et à mesure qu’un nombre croissant d’actions collectives feront l’objet de décisions au fond avant l’audition de la demande d’autorisation. Comme dans le cadre d’auditions de procédures sommaires et de requêtes pour rejet d’action, où le juge est appelé à examiner les arguments sur le fond du litige.

Ainsi, certaines de ces questions nouvelles seront examinées et analysées par les tribunaux de la Colombie-Britannique, et nous assisterons alors à l’évolution du droit dans la province, ce qui permettra aux défendeurs d’avoir une certaine certitude quant à l’issue de leurs moyens de défense. Qu’il suffise de retenir que nous surveillerons cette évolution.

ADAM KARDASH : Nous le ferons. Et nous allons maintenant poursuivre avec Céline sur la situation au Québec. Quels sont les développements récents les plus importants dans la province de Québec en ce qui concerne les actions collectives en matière de protection des renseignements personnels ?

CÉLINE LEGENDRE : Eh bien, merci, Adam. Peut-être, juste pour poursuivre sur le dernier point abordé par Emily, le Québec est aussi un territoire où la jurisprudence est en évolution. Comme la Colombie-Britannique, notre population n’atteint pas encore celle de l'Ontario.

Et, en ce qui concerne les développements récents, la plus grande tendance pour le moment est toujours le fait qu'au Québec, le préjudice indemnisable en matière de protection des renseignements personnels est toujours le plus grand obstacle pour les demandeurs qui ne sont pas autorisés à invoquer le délit d'intrusion dans la vie privée avec succès ou un certain succès. Ainsi, au Québec, le débat et les demandes de certification fondées sur la violation des données sont souvent centrés sur la question de savoir si la demande d’autorisation fait état d’un préjudice susceptible d’être compensé par des dommages-intérêts.

Selon la jurisprudence récente en la matière, les tribunaux confirment la règle applicable au Québec, selon laquelle la faute du défendeur, soit d’avoir perdu les renseignements personnels de ses clients ou omis de les protéger, ne démontre pas automatiquement l’existence d’un préjudice indemnisable. Ce qui signifie, dans le contexte de l’action collective en matière de violation des données, que les tribunaux québécois renvoient souvent à l’arrêt de la Cour suprême, Mustapha c. Culligan du Canada Ltée, qui ne porte pas sur la violation de données, mais sur la découverte de mouches mortes dans une bouteille d'eau.

Essentiellement, dans l'affaire Mustapha, la Cour suprême a établi un test et des lignes directrices pour faire la distinction entre ce qu'elle considère comme des contrariétés mineures et passagères et un préjudice indemnisable. Selon elle, le préjudice indemnisable doit être grave et de durée prolongée et non simplement des désagréments, des angoisses ou des craintes ordinaires qu'une personne vivant en société peut éprouver.

Par conséquent, bien qu’il ne soit pas nécessaire d’établir que le demandeur a été victime d’un vol d'identité ou d’une fraude à la suite de la perte de ses renseignements personnels afin d’établir la preuve qu’il a subi un préjudice indemnisable, les tribunaux québécois sont généralement d’avis que le demandeur doit démontrer qu’il a subi un préjudice grave et prolongé. Les inconvénients mineurs n’équivalent pas à un préjudice personnel indemnisable. Les deux arrêts clés dans ce domaine demeurent Yahoo et Equifax rendus en 2019.

Et, essentiellement, la cour supérieure reprend la terminologie du test de Mustapha et réitère le fait que, par exemple, les contrariétés mineures et passagères découlant de la perte de renseignements personnels ne sont pas suffisantes pour constituer un préjudice indemnisable. Dans l'affaire Equifax, le tribunal nous rappelle que les allégations de souffrances morales et d'inconvénients de nature générale ont été considérées comme n'atteignant pas le seuil du préjudice indemnisable étant donné que le demandeur n'avait pas été victime d'un vol d'identité et qu'il n'avait pas non plus engagé de dépenses ou subi d’inconvénients liés à la surveillance de sa solvabilité et à l'annulation de ses cartes de crédit, par exemple.

Enfin, la crainte d’être exposé à un vol d’identité, un préjudice potentiel, n'a pas été reconnue comme suffisante pour justifier l’autorisation.

ADAM KARDASH : Merci beaucoup, Céline. Récemment, comme vous et moi en avons discuté, un tribunal québécois a rendu la première décision judiciaire sur le fond d’une demande d’autorisation d’action collective en matière de protection des renseignements personnels au Canada. Qu’est-ce que les participants à la conférence téléphonique devraient savoir à propos de cette cause ?

CÉLINE LEGENDRE : D’accord. Merci, Adam. Ils devraient savoir qu’il s’agit d’une décision très importante. L'une des rares causes jugées sur le fond et la première action collective jugée sur le fond en matière de protection des renseignements personnels. Je pense qu'au Canada c’est l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM). En anglais c’est I’Investment Industry Regulatory Organization of Canada (IIROC).

Essentiellement, dans cette affaire, les faits concernaient un enquêteur qui avait laissé son ordinateur portable dans un train. L'ordinateur portable était protégé par mot de passe, mais son contenu n'était pas crypté. C’est la première action collective en matière de protection des renseignements personnels à être jugée et rejetée sur le fond. Ce qu’il faut en retenir, Adam, c’est que cette décision clarifie les circonstances susceptibles de donner lieu à des dommages-intérêts dans le cadre de telles actions en justice. Selon cette décision, on doit établir que le préjudice subi va au-delà du simple inconvénient dont il a été question un peu plus tôt.

Encore une fois, on applique ici le test de l’affaire Mustapha. Le préjudice allégué dans cette cause était la crainte et les inconvénients découlant de la violation des données. Le tribunal a décidé que ce n’était pas un préjudice indemnisable. Dans cette affaire, les renseignements personnels des investisseurs risquaient d’être exposés.

En rejetant la demande de dommages-intérêts punitifs, le tribunal a formulé des commentaires qui permettent aussi d’orienter les défendeurs québécois sur la façon de réagir de façon satisfaisante et diligente à une perte de données ou à une atteinte à celles-ci, ce que vous, Adam, rappelez tout le temps lorsqu’il s’agit de violation de données. Les dommages-intérêts punitifs ne sont pas justifiés. Le tribunal a tenu compte, dans cette cause, des mesures suivantes prises par le défendeur, en Irak : il a mené une enquête interne, a mandaté, comme il se doit, une entreprise spécialisée en analyse judiciaire afin de cerner l’information perdue, a offert gratuitement des services de surveillance de la solvabilité et a informé en temps utile les commissariats à la protection de la vie privée, les particuliers concernés et les parties prenantes.

Cela étant dit, l’affaire n’est pas terminée, car elle a été portée en appel.

ADAM KARDASH : Il est donc justifié de mettre en place des protocoles robustes pour chaque étape du processus d’intervention en cas d’incident. Y a-t-il d'autres tendances à surveiller au Québec ?

CÉLINE LEGENDRE : Absolument. Et, parlant d’interventions robustes, juste une dernière tendance en ce qui concerne les dommages-intérêts punitifs. Je dirais, Adam, que la façon dont les tribunaux québécois traitent les demandes de dommages-intérêts punitifs dans ce contexte est malheureusement moins prévisible que dans le cas des demandes de dommages-intérêts liés à un préjudice indemnisable. C’est donc une tendance en évolution que l’on doit surveiller.

Rappelons seulement, pour l’assistance, que si un demandeur veut obtenir des dommages-intérêts punitifs en vertu de la Charte québécoise, il doit démontrer que la violation alléguée de ses droits est à la fois intentionnelle et illicite. Et qu’au Québec, il est bien établi que des dommages-intérêts punitifs peuvent être obtenus même si aucuns dommages-intérêts compensatoires ne sont accordés.

Ainsi, une action collective peut être autorisée même si on demande uniquement des dommages-intérêts punitifs. Et Adam, il est également important de mentionner que pour l'instant, en règle générale, les tribunaux semblent réticents à rejeter une demande de dommages-intérêts punitifs au stade de l’autorisation, à moins que les allégations de faits ou l’apparence de droit soient manifestement insuffisants. Et ce, en faisant référence, par exemple, aux arrêts Equifax et Yahoo.

Voici un exemple récent, soit la décision de la Cour d'appel du Québec, rendue en 2021, qui concerne une action contre Nissan pour violation de données, selon laquelle le jugement de première instance certifiant l’action collective en partie, c’est-à-dire à l’exclusion de la demande de dommages-intérêts punitifs, a été infirmé quant à cette exclusion. Bien que la Cour d’appel a considéré que les allégations présentées au soutien de la demande de dommages-intérêts punitifs étaient imprécises, elle les a jugées suffisantes au stade de la demande d’autorisation.

Il est important de noter ceci. Cet arrêt nous rappelle que l’intrusion intentionnelle existe non seulement lorsque l’auteur de la négligence souhaite l’intrusion fautive, mais aussi – et, Adam, c'est important dans ce domaine – lorsque l’auteur connaît très bien les conséquences immédiates et naturelles, ou du moins extrêmement probables, de sa négligence.

La Cour d'appel a considéré, dans l’affaire Nissan, que le délai d'environ un mois qui s’est écoulé entre l’atteinte aux données et l’avis que le défendeur a donné aux clients à cet égard pourrait être un fait jugé suffisant comme fondement à une demande de dommages-intérêts punitifs. Et ce, même le défendeur a invoqué que, pendant cette période, il enquêtait l’incident. C’est donc dire que le seuil pour faire rejeter une demande de dommages-intérêts punitifs au stade de l’autorisation est élevé. Il s'agit d'un élément important à surveiller, car il peut servir d’indication sur la manière dont les entreprises doivent réagir lors d’une atteinte aux données. Encore une fois, les tribunaux examineront de près les mesures que prennent les défendeurs lorsque survient une violation de données. Les tribunaux du Québec le feront certainement.

ADAM KARDASH : Merci, Céline. Très utile. Nous suivrons cela de près. Et, s’il te plaît, tiens-nous au courant de l’évolution de la situation lors des prochaines conférences téléphoniques. Concluons maintenant la discussion. À cette fin, nous laissons la parole à Mark Gelowitz. Et, Mark, pourrais-tu d’abord nous donner un aperçu de ton expérience récente à l’égard des actions collectives en matière de protection des renseignements personnels, particulièrement en ce qui concerne les aspects qui ont été soulevés à quelques reprises aujourd’hui ?

MARK GELOWITZ : Oui, nous avons eu beaucoup de succès récemment dans ce domaine. Et je pense que deux des causes notables, ou peut-être les plus notables, sont celles de notre client, Facebook. En Ontario, nous avons l'affaire Simpson, soit l’action collective prise sur le fondement de la couverture médiatique de l'incident Cambridge Analytica, dont tout le monde ici a dû entendre parler. Comme nous l'avons tous appris par les médias, Cambridge Analytica a obtenu quantité de données d'utilisateurs de Facebook par l’intermédiaire d’un développeur d'applications tiers malhonnête, et ce, à l'insu de Facebook.

Et ces données ont ensuite été utilisées par Cambridge Analytica en lien avec l'élection présidentielle américaine de 2016. Cette cause a suivi un modèle qui, d'après mon expérience, est commun à bon nombre d’actions collectives en matière de protection des renseignements personnels. Elle comporte en fait deux caractéristiques - la première étant qu’elle reproduit une action collective américaine. Et la deuxième, les documents produits par le demandeur de l’autorisation sont essentiellement des rames et des rames de documents téléchargés depuis Internet - soit des reportages et des articles médiatiques et autre matériel semblable. C'est en effet ce qui s’est produit dans cette cause.

Et ce qui manquait dans tout ce matériel, c'était la moindre preuve que Cambridge America avait acquis les données personnelles d'un utilisateur de Facebook au Canada. Notre argument s’est résumé à dire que l’action était mal fondée. Aucun Canadien n’avait été touché par l’incident.

Le juge a donc examiné attentivement la preuve documentaire que nous avons déposée et les rapports médiatiques déposés par le demandeur et il a rendu une décision pragmatique, soit qu’en l’absence de preuve qu'un Canadien avait été lésé, l’action s’arrêtait là. En tant qu’action collective prise en Ontario, il lui manquait un élément fondamental. Le juge a donc rejeté la demande d’autorisation. Et, comme on pouvait s'y attendre, le demandeur a interjeté appel de cette décision et l’appel sera entendu plus tard cette année.

Une cause semblable, soit l’affaire Kish, en Saskatchewan, a été déposée à peu près au même moment. Elle reposait en grande partie sur les problèmes concernant Cambridge Analytica, mais y regroupait aussi d'autres enjeux, y compris à l’égard de partenariats relatifs aux données que Facebook avait conclus avec des fabricants d’appareils et d’autres partenaires semblables. Mais, encore une fois, l’effort du demandeur pour établir sa preuve se résumait – et je n'invente rien – à des milliers et des milliers de pages de matériel téléchargé depuis Internet.

Le juge dans cette affaire a également décidé que cette preuve n’était pas inadmissible. Le demandeur de la Saskatchewan, à l’instar de celui de l'Ontario, n'avait présenté aucune preuve selon laquelle quiconque au Canada avait été lésé par les problèmes qu’il avait allégués. Encore une fois, la demande d’autorisation a été rejetée et, sous peu, nous serons appelés à réagir à une demande pour permission d’en appeler de la décision. Donc, Adam, à l’heure actuelle, ce sont les genres de causes contre lesquelles la présentation d’une défense robuste peut donner de bons résultats.

ADAM KARDASH : Donc, en revenant un peu en arrière et à ce que nos collègues ont dit au cours des 35 dernières minutes environ, et en te fondant uniquement sur ton expérience d’avocat plaideur principal, comment vois-tu le cycle de vie de l’action collective en matière de protection des renseignements personnels au Canada ou comment les actions collectives évolueront-elles ?

MARK GELOWITZ : Oui, c'est une bonne question. Je pense que ce qui se dégage des décisions judiciaires canadiennes - comme l’ont illustré nos collègues aujourd'hui, ce que nous voyons dans tout le Canada, c'est que le vent est en train de tourner en ce qui concerne les actions collectives. Et pour une fois, il tourne en faveur des défendeurs.

Et ce, non seulement dans les deux causes que je viens d'évoquer, mais dans certaines de celles que Lauren a mentionnées pour l’ensemble du pays. Nous voyons que les juges sont très réalistes sur certaines questions. D'abord, les procureurs des demandeurs doivent présenter une preuve réelle au soutien de leurs allégations.

Ils ont beau faire ces allégations de manière moralisatrice et hyperbolique, présentant les atteintes à la vie privée comme des crimes contre l'humanité, mais lorsque vient le temps d'étayer ces affirmations au moyen d’éléments de preuve, ils sont tout simplement incapables de le faire. Et ils se rabattent donc sur les reportages médiatiques et autres – faute d'un meilleur mot – déchets qu'ils ont téléchargés d’Internet. Toutefois, les juges y regardent de près et ils considèrent que les documents de ce genre sont insuffisants.

L'autre chose que les juges examinent, et je pense que c'est un changement très positif, est la question de savoir si quelqu'un a réellement été lésé de quelque manière que ce soit par les faits allégués ou si la cause a été montée de toute pièce par les procureurs des demandeurs afin de tirer profit d’un gros règlement qui ne représente aucun bénéfice réel pour les membres du groupe. Je crois que les juges commencent à en avoir assez de ce genre de réclamations. C’est ce que nous constatons.

Donc, Adam, l’expérience nous démontre que face à de telles actions en justice il est nécessaire de les contester vigoureusement en mettant toutes les cartes sur table, de manière à ce que le demandeur doive en faire autant. Parce que dans les faits, en règle générale, ils n'ont rien. Et cela devient rapidement très évident.

ADAM KARDASH : Mark, merci beaucoup, et merci à tous mes collègues en litige d'avoir pris le temps de participer à cette conférence téléphonique et de nous avoir fait part de leurs commentaires et connaissances. Et merci d'avoir assisté à la conférence téléphonique. Nous espérons que vous l'avez trouvé utile. Cette séance s'inscrit dans le cadre d'une série de tables rondes d'experts en litiges relatifs aux données, et nous vous enverrons un rappel dans les mois à venir, à propos de notre prochaine séance.

Restez également à l'écoute pour plus de détails concernant notre prochaine séance d’AccessPrivacy, qui aura lieu le vendredi 17 septembre, et au cours de laquelle nous analyserons les récentes décisions de l'autorité de réglementation canadienne en matière de protection de la vie privée, la vague de directives, les articles de blog et les rapports annuels, et vous ferons part de nos conclusions à l’égard de ceux-ci. Nous aborderons également l’évolution de la réforme législative et même des plateformes électorales – comme vous l'avez peut-être vu dans notre récent publipostage – en faisant un résumé des engagements et des plateformes du Parti progressiste conservateur et du NPD – en ce qui concerne la législation sur la protection de la vie privée.

Cet événement sera bien sûr gratuit pour les abonnés au portail de connaissances AccessPrivacy. Nous espérons que vous vous joindrez à nous. D'ici là, profitez bien du week-end de la fête du Travail, et à bientôt. Merci beaucoup.