Auteur(s) :
Adam Kardash, Christopher Naudie, Lauren Tomasich, Emily MacKinnon et Mark Gelowitz
Le 1er septembre 2021
Au cours de la dernière décennie, le nombre d’actions collectives canadiennes déposées à la suite d’atteinte à la sécurité des données a considérablement augmenté. À travers le pays, on a pu observer diverses approches des tribunaux relativement aux exigences provinciales en matière de litige et aux mesures de réparation qu’ils ont ordonnées. Les litiges en matière d’actions collectives ont fait l’objet d’une conférence téléphonique AccessPrivacy d’Osler animée par Adam Kardash, associé, Respect de la vie privée et gestion de l’information, à laquelle ont participé Chris Naudie, Lauren Tomasich, Emily MacKinnon, Céline Legendre et Mark Gelowitz, associés en litige chez Osler.
Dans quelques affaires en Ontario, on s’est penché sur la question de savoir si un défendeur victime d’une atteinte à la sécurité des données avait intentionnellement porté atteinte à la vie privée des demandeurs de manière malfaisante. Les affaires concernaient des violations publiques où des pirates informatiques avaient infiltré les systèmes des défendeurs. Dans les deux cas, il a été jugé que, lorsqu’une base de données d’un défendeur est piratée, le défendeur ne peut pas avoir agi de manière intentionnelle ou imprudente. Le défendeur ne peut pas avoir porté atteinte à la vie privée du demandeur de manière malfaisante parce que la base de données elle-même était l’objet de l’intrusion.
La règle « sans dépens » de la Colombie-Britannique a popularisé les actions collectives en matière de protection de la vie privée au sein de cette province. La législation de la Colombie-Britannique relative aux actions collectives interdit au tribunal d’accorder des dépens à la suite d’une requête en certification, quel que soit le résultat. Si l’action est certifiée, aucuns dépens ne peuvent être accordés par la suite. Pour les avocats des demandeurs, cela signifie que les risques sont très faibles.
Au Québec, les tribunaux ont confirmé que la preuve d’une faute de la part du défendeur pour avoir perdu ou omis de protéger les renseignements personnels de ses clients ne justifie pas automatiquement qu’il y a un préjudice indemnisable. Les tribunaux ont généralement indiqué que les demandeurs doivent prouver un préjudice grave et prolongé. Un inconvénient minime ne constitue pas un préjudice indemnisable.
Regardez le webinaire à la demande (disponible uniquement en anglais)