Auteur(s) :
Mark Gelowitz, Robert Carson, W. David Rankin, Emily MacKinnon, Lauren Harper
Le 13 décembre 2021
Pour les entreprises exerçant des activités au Canada, l’année 2021 a apporté des éclaircissements utiles : les tribunaux de tout le pays ont exercé à plusieurs reprises leur rôle de contrôleur pour mettre un terme aux actions collectives en matière de protection des renseignements personnels non fondées sur des preuves de préjudice pour les membres du groupe visé par l’action collective projetée. En d’autres termes, une violation ou un incident touchant des données ne devraient pas automatiquement déboucher sur une action collective. Même lorsqu’une action collective s’ensuit, les défendeurs disposent de toute une gamme d’outils pour se défendre contre ces actions relatives à la protection des renseignements personnels ou pour les résoudre rapidement.
L’exigence de preuve d’un « certain fondement factuel » constitue un mécanisme de filtrage efficace
Plusieurs décisions ont souligné le fait que la certification est censée être un mécanisme de filtrage efficace dans les actions collectives en matière de protection des renseignements personnels :
- Dans l’affaire Simpson v. Facebook, Inc., le demandeur alléguait qu’un tiers nommé Cambridge Analytica avait obtenu des renseignements sur les utilisateurs de Facebook auprès d’un concepteur d’applications indépendant. La Cour supérieure de justice de l’Ontario a rejeté la requête de certification du demandeur au motif qu’il n’y avait aucune preuve que les données d’un utilisateur canadien avaient été partagées avec Cambridge Analytica (et donc aucune justification pour une action collective). Le juge Belobaba a tenu à rappeler le rôle de la Cour à titre de contrôleur, et a déclaré que [TRADUCTION] « Le rejet de cette requête en certification est simplement un rappel aux avocats des demandeurs de l’action collective que si la certification reste un faible obstacle, elle n’en est pas moins un obstacle. » De même, dans l’affaire Kish v. Facebook, Inc., la Cour du Banc de la Reine de la Saskatchewan a rejeté une autre demande de certification d’une action collective qui était fondée sur des allégations concernant Cambridge Analytica. Le juge Keene s’est appuyé sur le nombre croissant d’affaires soulignant le rôle de la Cour à titre de contrôleur à l’étape de la certification, y compris les affaires Simpson v. Facebook et Setoguchi v. Uber (dont il est question ci-dessous). Osler a représenté Facebook dans ces deux affaires. Vous trouverez plus d’information sur ces deux décisions de certification dans nos bulletins d’actualités Osler intitulés La Cour supérieure de justice de l’Ontario rejette la certification de l’action collective de Cambridge Analytica et Un autre tribunal canadien rejette la certification de l’action collective de Cambridge Analytica.
- Dans un même ordre d’idées, dans l’affaire Beaulieu c. Facebook inc., la Cour supérieure du Québec a statué que la demanderesse ne s’était pas acquittée de son fardeau à l’étape de l’autorisation (l’équivalent québécois de l’étape de la certification) pour établir une « cause défendable ». La juge Courchesne a estimé que les allégations de la demanderesse, selon lesquelles les outils de Facebook permettaient aux employeurs et aux entreprises d’exclure illégalement certains utilisateurs de possibilités d’emploi et de logement, étaient « hypothétiques et spéculatives ». Osler a également représenté Facebook dans cette affaire.
Dans les trois affaires, les demandeurs ont interjeté appel ou ont cherché à le faire. Dans l’affaire Kish, toutefois, la Cour d’appel de la Saskatchewan a récemment rejeté la requête du demandeur visant à obtenir l’autorisation d’interjeter appel, estimant que l’appel envisagé par le demandeur n’offrait pas le bien-fondé nécessaire pour être entendu par une formation de la Cour d’appel. Les décisions des cours d’appel dans les deux affaires seront probablement publiées en 2022.
Les demandeurs doivent établir la preuve d’un préjudice
D’autres décisions ont confirmé que les demandeurs doivent établir la preuve d’un préjudice réel afin d’obtenir la certification et avoir gain de cause sur le fond dans le cas d’une procédure alléguant des violations de la protection des renseignements personnels. Cette exigence représentait un obstacle sérieux pour les demandeurs dans les actions collectives en matière de violation de données :
- Dans l’affaire Setoguchi v. Uber, la Cour du Banc de la Reine de l’Alberta a refusé la certification d’une action collective envisagée découlant d’une prétendue violation de données impliquant Uber. Rien ne prouvait que le pirate avait utilisé les données personnelles obtenues dans le cadre de la violation au détriment de quiconque. Le juge Rooke n’a trouvé aucune preuve de préjudice réel (non de minimis) ; il n’y avait que des [TRADUCTION] « spéculations sur une possibilité future de perte ou de préjudice » (souligné dans l’original). La Cour a également établi une distinction entre une [TRADUCTION] « perturbation mineure et passagère » et un « préjudice indemnisable ». Le juge Rooke a fait remarquer que sans la preuve d’un préjudice indemnisable, [TRADUCTION] « une action collective pourrait n’être qu’une simple “partie de pêche” fondée sur des spéculations, sans aucune preuve de la présence de poissons ».
- En mars 2021, la Cour supérieure du Québec a rendu sa décision dans la première action collective en matière de protection des renseignements personnels au Canada à être jugée (et rejetée) sur le fond. Dans l’affaire Lamoureux v. IIROC, le demandeur a allégué qu’un inspecteur travaillant à l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) avait perdu un ordinateur portable contenant des renseignements sur des milliers de Canadiens. L’ordinateur portable n’a jamais été retrouvé. Le juge Lucas a rejeté la poursuite en concluant que, même s’il n’est pas nécessaire que les membres du groupe visé par l’action collective aient été victimes d’un vol d’identité pour être indemnisés, il faut prouver que le préjudice dépasse les simples inconvénients de nature générale. Étant donné l’absence de preuves documentaires ou médicales prouvant l’étendue des dommages, la Cour a qualifié les craintes et les inquiétudes des membres du groupe d’inconvénients de nature générale. Le juge Lucas a également rejeté la demande de dommages-intérêts punitifs, estimant que l’OCRCVM avait agi avec diligence et mis en œuvre des mesures d’intervention appropriées lorsque la perte a été révélée. L’accent mis sur l’absence de préjudice indemnisable est conforme à la jurisprudence récente des provinces de common law, y compris dans l’affaire Setoguchi. Vous trouverez plus d’information dans notre blogue intitulé First merits decision dismissing privacy class action in Canada (en anglais seulement) concernant la décision Lamoureux.
Limites des recours pour intrusion dans la vie privée contre les défendeurs exploitant des bases de données
En 2021, la Cour divisionnaire de l’Ontario a statué qu’un élément nécessaire pour établir l’existence d’un délit d’intrusion dans la vie privée est que le défendeur ait lui-même commis l’intrusion. Le délit ne s’applique pas lorsqu’un défendeur a simplement omis d’empêcher une intrusion par un tiers. Dans l’affaire Owsianik v. Equifax Canada Co, le demandeur a allégué qu’un pirate informatique tiers avait infiltré la base de données d’Equifax, exposant ainsi les renseignements personnels de milliers de consommateurs. Une action collective a été initialement certifiée. Toutefois, en appel, les juges majoritaires de la Cour divisionnaire ont statué qu’un recours pour intrusion dans la vie privée ne pouvait être accueilli contre Equifax puisqu’une intrusion est « l’élément central du délit » et qu’Equifax n’a pas commis d’intrusion.
La décision de la Cour divisionnaire marque une évolution importante dans le droit canadien de la protection des renseignements personnels et vient confirmer que les juges saisis des demandes de certification doivent refuser de certifier des causes d’action qui sont vouées à l’échec. (Un autre appel a été interjeté par le demandeur devant la Cour d’appel et sera suivi avec intérêt).
Requêtes préalables à la certification dans les affaires relatives à la protection des renseignements personnels
Des décisions récentes ont également confirmé que les requêtes préalables à la certification peuvent être appropriées pour résoudre sur le fond les actions en matière de protection des renseignements personnels. Dans l’affaire Schmidt v. LinkedIn Corporation, la Cour suprême de la Colombie-Britannique a autorisé le défendeur à ce que sa demande de procès sommaire soit tranchée avant la certification. Le demandeur alléguait que l’application iOS de LinkedIn lisait et stockait subrepticement le contenu des presse-papiers des utilisateurs. Le demandeur n’avait toutefois présenté aucune preuve à l’appui de ces allégations. LinkedIn a demandé, et la Cour a accordé, la possibilité de réfuter ces allégations factuelles spéculatives lors d’un procès sommaire préalable à la certification. De même, dans l’affaire Cronk v. LinkedIn Corporation, la Cour suprême de la Colombie-Britannique a accepté l’argument de LinkedIn selon lequel la demande de procès sommaire du défendeur devrait être entendue en même temps que la certification. Le demandeur alléguait que LinkedIn avait violé la législation relative à la protection des renseignements personnels en montrant aux utilisateurs leurs propres noms et photos de profil dans des « annonces dynamiques » personnalisées. LinkedIn a cherché à se défendre sur le fond à un stade précoce, notamment sur la base du fait que montrer à quelqu’un son propre nom et sa propre photo ne constitue pas une violation des lois sur la protection des renseignements personnels. La Cour a convenu qu’un procès sommaire offrait la possibilité de statuer de manière concluante sur les questions centrales de l’affaire à un stade précoce. Osler a représenté LinkedIn dans les deux affaires.
Les affaires Schmidt et Cronk étaient toutes deux des affaires soumises aux tribunaux de la Colombie-Britannique et ne traitaient donc pas des récentes modifications apportées à la Loi de 1992 sur les recours collectifs en Ontario, modifications encourageant expressément les requêtes préalables à la certification qui pourraient résoudre rapidement, ou restreindre considérablement, les actions collectives putatives. Les deux affaires sont conformes à la décision ultérieure de la Cour d’appel de la Colombie-Britannique dans l’affaire British Columbia v. The Jean Coutu Group (PJC) Inc. La Cour d’appel a rejeté l’ancienne jurisprudence qui établissait une présomption selon laquelle la certification devait être la première question de procédure à être entendue. Le nouveau cadre défini par la Cour pour l’ordonnancement des demandes préalables à la certification élargira vraisemblablement les possibilités pour les défendeurs dans les affaires relatives à la protection des renseignements personnels de présenter des demandes de procès sommaire avant ou en même temps que la certification, offrant ainsi un moyen de statuer définitivement sur l’action à un stade précoce.
Conclusion
Il demeure essentiel pour les entreprises de réagir rapidement et efficacement lorsque des incidents touchant des données se produisent. Toutefois, les entreprises devraient être encouragées par les développements de cette année. Malgré la prolifération des introductions d’actions collectives en matière de protection des renseignements personnels au cours de la dernière décennie, les tribunaux du Canada indiquent clairement que la certification n’est pas une simple formalité. De plus, les tribunaux ont confirmé que les entreprises qui font face à des actions collectives en matière de protection des renseignements personnels disposent d’une gamme d’outils efficaces pour se défendre. Osler est à l’avant-garde de ces développements et continuera d’en rendre compte au fur et à mesure qu’évoluera le droit relatif aux actions collectives en matière de protection des renseignements personnels.