Le 9 août 2023
Table des matières
Lire l'édition complète : Revue de la jurisprudence sur la protection de la vie privée
Dans le cadre d’une trilogie d’appels en certification de recours collectifs en matière de protection des renseignements personnels, la Cour d’appel de l’Ontario (CAO) a refusé de certifier trois recours collectifs fondés sur le délit d’intrusion dans l’intimité reconnu pour la première fois dans l’affaire Jones c. Tsige. En juin 2022, la Cour a entendu les trois appels de manière consécutive et a rendu ses décisions conjointement en novembre 2022. La Cour a conclu que les défendeurs qui recueillent et conservent des renseignements personnels (les Défendeurs exploitant des bases de données) ne peuvent être tenus responsables d’un délit intentionnel d’intrusion dans l’intimité dans le cas d’une atteinte à la protection des données commise par un pirate informatique tiers.
Dans chacune de ces affaires, les demandeurs ont cherché à faire certifier des recours collectifs contre les Défendeurs exploitant des bases de données ayant été victimes d’une atteinte à la protection des données commise par des auteurs de menaces ayant piraté les réseaux informatiques des défendeurs et compromis leurs données, y compris les renseignements personnels des membres proposés du recours collectif. En plus des allégations de négligence et de rupture de contrat, les demandeurs ont allégué que les Défendeurs exploitant des bases de données étaient également responsables d’une intrusion dans l’intimité des demandeurs.
En ce qui concerne les réclamations avancées, la CAO a conclu que les Défendeurs exploitant des bases des données n’avaient commis aucune action susceptible de constituer une intrusion dans la vie privée des demandeurs ou une atteinte à la vie privée de ces derniers. Les intrusions présumées ont été commises par des pirates informatiques tiers non identifiés, agissant indépendamment des Défendeurs exploitant des bases de données et au détriment des intérêts de ceux-ci. Aucun des faits allégués ne pouvait, en droit, constituer un fondement au titre duquel les actes des pirates informatiques auraient pu être attribués aux Défendeurs exploitant des bases de données. De plus, aucun des faits importants allégués n’indiquait que les Défendeurs exploitant des bases de données avaient agi de concert avec les pirates informatiques ou étaient responsables du fait d’autrui au titre de leurs agissements.
Au cours des dernières années, plusieurs demandeurs ont tenté d’étendre l’application du délit intentionnel d’intrusion dans l’intimité à la cybersécurité et cherché à faire certifier des recours collectifs sur ce fondement. Ces trois décisions en matière de protection de la vie privée rendues par la CAO clarifient la portée du délit et indiquent clairement que la responsabilité ne peut être attribuée qu’à une partie qui cherche activement à accéder de manière abusive à des renseignements personnels d’une autre personne. Bien que la Cour d’appel ait effectivement restreint la portée des futurs recours collectifs en matière de protection des renseignements personnels contre les Défendeurs exploitant des bases de données, la protection imprudente des renseignements ou l’ignorance volontaire de mesures de cybersécurité inadéquates pourraient entraîner la responsabilité des sociétés au titre d’autres délits, comme la négligence.
Owsianik c. Equifax Canada Co., 2022 ONCA 813
En savoir plus sur la décision : Owsianik c. Equifax Canada Co., 2022 ONCA 813
L’affaire Owsianik a été la première à être entendue par les tribunaux de première instance. La demanderesse représentant les autres membres du recours soutenait que les pratiques de gestion des données « imprudentes » d’Equifax constituaient une intrusion extrêmement offensante pour une personne raisonnable. Des pirates informatiques avaient commis une atteinte à la protection des données en accédant de manière non autorisée aux renseignements personnels conservés par Equifax, y compris les numéros d’assurance sociale, les noms, les dates de naissance, les adresses, les numéros de permis de conduire, les numéros de carte de crédit, les adresses de courriel et les mots de passe des personnes.
En première instance, le tribunal a certifié la plainte pour délit d’intrusion dans l’intimité en concluant qu’il n’était pas évident que les demandeurs n’obtiennent pas gain de cause relativement au délit. Cette décision a toutefois été infirmée à la majorité par la Cour divisionnaire, qui a conclu qu’il n’y avait aucune possibilité de constituer le délit si les Défendeurs exploitant des bases de données n’étaient pas accusés d’avoir commis l’intrusion eux-mêmes.
En rejetant l’appel de cette décision, la CAO a examiné les trois éléments caractérisant un délit d’intrusion dans l’intimité : 1) la conduite ; 2) l’état d’esprit ; et 3) la conséquence. La CAO a déterminé que la revendication des demandeurs n’avait pas satisfait à l’exigence de la « conduite » lors de l’analyse. La CAO a conclu que les défendeurs n’étaient coupables d’aucune conduite ayant mené à une intrusion dans l’intimité des demandeurs. La faute imputable aux défendeurs, le cas échéant, était de ne pas avoir empêché les pirates informatiques de commettre un délit d’intrusion dans l’intimité. La Cour a estimé que pour intenter une action en responsabilité, il aurait été approprié de le faire au titre du délit de négligence, d’une rupture de contrat ou d’une autre obligation prévue par la loi. Puisque ni Equifax, ni aucune personne agissant au nom d’Equifax, ni conjointement avec elle, n’avait accédé illégalement à des renseignements, faire porter à Equifax la responsabilité de la conduite délictueuse de pirates informatiques non identifiés créerait un nouveau fondement potentiellement très large pour conclure à une responsabilité au titre de délits intentionnels.
Obodo c. Trans Union of Canada, Inc., 2022 ONCA 814
En savoir plus sur la décision : Obodo c. Trans Union of Canada, Inc., 2022 ONCA 814
Comme Equifax, TransUnion a recueilli et conservé les renseignements personnels de ses clients dans sa base de données afin de proposer des services liés au crédit. Comme dans l’affaire Owsianik, des pirates informatiques non identifiés se sont introduits dans la base de données. En première instance, le juge saisi de la requête a certifié le recours collectif proposé relativement aux allégations de négligence, ainsi qu’à certaines revendications au titre de la loi, mais a rejeté la certification des allégations d’intrusion dans l’intimité en se fondant sur le raisonnement de la Cour divisionnaire dans l’affaire Owsianik. Le demandeur a directement fait appel auprès de la Cour d’appel au sujet de ce dernier aspect de la décision. Finalement, la CAO a confirmé le rejet de la certification proposée des allégations d’intrusion dans l’intimité au motif que le délit n’était pas imputable à un Défendeur exploitant des bases de données (avec renvoi aux motifs fournis dans l’appel de l’affaire Owsianik). Dans les motifs de l’affaire Obodo, la CAO a également tenu compte des arguments supplémentaires du demandeur concernant la responsabilité du fait d’autrui et a conclu que TransUnion n’était pas responsable du fait d’autrui pour les agissements des pirates informatiques, car cette responsabilité repose principalement sur des considérations de principe qui sont, quant à elles, conditionnées à l’existence d’une relation employeur-employé et d’un lien entre cette relation et la conduite délictuelle de l’employé. Cette relation est une condition préalable à l’attribution de la responsabilité du fait d’autrui et, si cette relation n’existe pas, la demande doit être rejetée.
Winder c. Marriott International, Inc., 2022 ONCA 815
En savoir plus sur la décision : Winder c. Marriott International, Inc., 2022 ONCA 815
Dans l’affaire Winder, des pirates informatiques tiers avaient accédé à la base de données de réservation de Marriott qui contenait les renseignements personnels des clients, comme leurs numéros de passeport et leurs informations de paiement. Contrairement aux allégations avancées dans les affaires Owsianik et Obodo, cette demande alléguait que la société Marriott avait porté atteinte à la vie privée de ses clients, car elle avait recueilli et conservé leurs renseignements personnels d’une manière qui (i) n’était pas conforme aux déclarations que Marriott leur avait faites et (ii) ne respectait pas les obligations juridiques de Marriott concernant la préservation de la sécurité des renseignements. Les demandeurs soutenaient que ces obligations juridiques comprenaient des obligations contractuelles et légales, ainsi que des obligations imposées par les normes et les pratiques de l’industrie. Les demandeurs tentaient de faire valoir que le fait d’obtenir les renseignements personnels des clients de façon trompeuse, sur la base de fausses prémisses, rendait la société coupable d’une intrusion « imprudente », qu’un tiers ait ou non réellement eu accès aux renseignements des clients conservés dans la base de données.
La CAO a conclu qu’il n’existait aucune allégation selon laquelle Marriott avait recueilli, conservé ou utilisé les renseignements personnels fournis par ses clients à des fins autres que celles pouvant être raisonnablement envisagées par les clients. La faute commise par Marriott n’était pas le non-respect des droits de ses clients en matière de protection des renseignements personnels, mais plutôt le manquement à son devoir de protection de ces droits contre l’intrusion de tiers. Le seul moment où les clients n’avaient pas pu contrôler l’accès à leurs renseignements personnels et l’utilisation de ces derniers avait eu lieu lorsque des pirates informatiques tiers non identifiés s’étaient introduits dans la base de données de Marriott. Avant les agissements des pirates informatiques, aucune atteinte aux droits des clients en matière de protection des renseignements personnels ni aucune intrusion n’avait eu lieu.
Dans ces trois affaires, les demandeurs ont demandé l’autorisation d’interjeter appel devant la Cour suprême du Canada. Ces demandes ont été rejetées en juillet 2023.
Danny Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2023 CanLII 24495 (CSC)
En savoir plus sur la décision : Danny Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2023 CanLII 24495 (CSC)
Faits
L’action collective de l’appelant concernait la perte d’un ordinateur portable oublié par erreur dans un train par un inspecteur de l’OCRCVM. L’ordinateur n’a jamais été retrouvé. L’information figurant sur l’ordinateur était protégée par mot de passe, mais, malgré les politiques internes mises en place par l’intimée pour assurer une meilleure protection des données, il n’était pas protégé par chiffrement. L’ordinateur contenait les renseignements personnels de milliers d’investisseurs canadiens. Les membres de l’action collective alléguaient que le fait que l’intimé n’ait pas mis en place de mesures de sécurité pour protéger leurs renseignements personnels constituait une atteinte à leur droit au respect de la vie privée, droit protégé par l’article 5 de la Charte des droits et libertés de la personne du Québec.
Décision
La Cour suprême du Canada a rejeté la demande d’autorisation d’appel d’un arrêt de la Cour d’appel du Québec ayant rejeté l’appel d’un arrêt de la Cour supérieure. La juridiction inférieure avait rejeté l’action collective après un procès portant entièrement sur le fond. La Cour suprême n’a pas justifié son rejet de la demande d’autorisation. Toutefois, les décisions de la Cour supérieure et de la Cour d’appel ont été maintenues.
Les juridictions inférieures avaient conclu que la peur et le malaise ressentis par les membres de l’action collective en raison de la perte de leurs renseignements personnels ne constituaient pas un préjudice indemnisable. Ces sentiments sont plutôt des désagréments normaux que toute personne qui vit en société ressent et doit accepter. Les preuves n’étayaient pas l’hypothèse selon laquelle l’ordinateur ou les renseignements des membres de l’action collective étaient tombés entre les mains d’une personne malveillante, et aucun lien convaincant n’avait été établi entre la perte de l’ordinateur et les utilisations illicites alléguées par les membres de l’action collective. Le défendeur (puis intimé) avait réagi avec diligence, selon les normes attendues dans de telles circonstances.
Point principal à retenir
En l’absence d’un préjudice indemnisable démontré, une société peut se défendre avec succès contre des réclamations faites à la suite d’un incident lié aux données en réagissant avec diligence à l’incident.
Sciscente c. Audi Canada inc., 2022 QCCS 2911
En savoir plus sur la décision : Sciscente c. Audi Canada inc., 2022 QCCS 2911
Faits
La demanderesse recherchait l’autorisation d’intenter une action collective pancanadienne au nom des personnes au Canada dont les renseignements personnels détenus par les défenderesses Audi Canada Inc. et Volkswagen Group Canada Inc. avaient été compromis à la suite d’une atteinte à la protection des données survenue en mars 2021. L’atteinte à la protection des données avait compromis les renseignements personnels de 3,3 millions de clients en Amérique du Nord.
Décision
La Cour supérieure a autorisé l’action collective contre Audi seulement, et seulement pour les résidents du Québec. Aucun des faits allégués ne pouvait appuyer une conclusion selon laquelle l’atteinte touchait les clients de VW au Canada, puisque la preuve fournie ne concernait que des clients situés aux États-Unis. La Cour a conclu que les preuves d’une possible faute de la part d’Audi étaient suffisantes, notamment en raison du temps écoulé avant que l’atteinte ne soit constatée et du fait que les clients ont été avertis tardivement.
Point principal à retenir
Les tribunaux du Québec exigent des éléments de preuve démontrant que des clients québécois ou canadiens ont été concernés par un incident lié aux données. Le demandeur ne peut s’appuyer uniquement sur la preuve que des clients américains ont été concernés.
Rester informé
Recevez une notification par courriel vous informant de la disponibilité de la prochaine édition de la Revue de la jurisprudence sur la protection de la vie privée.
Abonnez-vous maintenant