Insights Header image
Insights Header image
Insights Header image

Raviver l’intérêt envers les actions collectives en cas d’atteinte aux données : la Cour d’appel de la C.-B. donne un second souffle aux litiges canadiens en matière de protection de la vie privée et de cybersécurité

18 juillet 2024 Bulletin sur la protection de la vie privée et des données Lecture de 6 min

Deux décisions récentes de la Cour d’appel de la C.-B. ravivent l’intérêt envers les actions collectives en cas d’atteinte aux données au Canada, après que la viabilité de telles procédures a récemment été remise en question par un trio de décisions de la Cour d’appel de l’Ontario.

L’importance de la question

La question qui se pose est de savoir si, dans les actions collectives qui découlent d’une atteinte à la vie privée, les particuliers peuvent réclamer des dommages-intérêts pour atteinte à la vie privée contre les entreprises qui ont été victimes d’une attaque à la cybersécurité, en raison de leur incapacité alléguée à protéger adéquatement les renseignements personnels dont ils ont la garde ou le contrôle.

La Cour d’appel de la C.-B. a récemment répondu à cette question par un « oui » sans équivoque dans deux décisions : Campbell v. Capital One Financial Corporation[1] et G.D. v. South Coast British Columbia Transportation Authority[2]. Les décisions susmentionnées s’écartent largement du trio de décisions de la Cour d’appel de l’Ontario (article en français seulement). Ledit trio avait établi que les organisations qui recueillent et stockent des renseignements personnels au sujet de particuliers (communément appelés « défendeurs exploitant des bases de données ») ne peuvent être tenues responsables du délit d’intrusion dans l’intimité de common law appelé en anglais « intrusion upon seclusion », si l’atteinte aux données a été causée par un tiers inconnu animé par de mauvaises intentions.

La trilogie ontarienne a eu d’importantes répercussions sur la viabilité des recours collectifs au Canada. En effet, malgré le fait que les demandeurs pouvaient intenter, par exemple, des poursuites en négligence ou rupture de contrat contre les défendeurs exploitant des bases de données, de telles causes d’action exigent souvent la preuve d’une perte pécuniaire réelle, ce qui est difficile à établir à l’échelle d’un groupe.

La trilogie ontarienne éliminait la possibilité pour les demandeurs d’alléguer le délit d’intrusion dans la vie privée, qui permettait d’intenter une action en dommages-intérêts sans avoir à faire la preuve d’une perte. Elle affaiblissait ainsi l’argument selon lequel une action collective est préférable à une action en dommages-intérêts dans les circonstances.

La Cour d’appel de la C.-B. souscrivait à l’opinion de la trilogie ontarienne selon laquelle le délit de common law n’est pas opposable aux défendeurs exploitant des bases de données. Par ailleurs, elle a conclu que lesdits défendeurs pouvaient être responsables des délits civils en matière de vie privée prévus par la Privacy Act de la C.-B. et par des lois similaires d’autres provinces qui permettent les poursuites sans preuve de perte.

Contexte de la jurisprudence devant la Cour d’appel de la C.-B.

L’affaire Campbell est liée à une importante cyberattaque qui a entraîné une atteinte aux données touchant des millions de particuliers au Canada et aux États-Unis. Dans cette affaire, un pirate informatique avait accédé à la base de données d’une grande société de cartes de crédit et téléchargé les renseignements financiers personnels de millions de titulaires et demandeurs de carte, anciens et actuels. Le demandeur cherchait à faire autoriser une action collective fondée sur diverses causes d’action, y compris des atteintes à la vie privée prévues par la loi et par la common law. Le juge a autorisé la demande fondée sur la loi (entre autres causes d’action), mais il a conclu que de toute évidence, la demande fondée sur la common law était vouée à l’échec.

L’affaire G.D. porte sur une atteinte à la sécurité des données chez TransLink à la suite d’une tentative d’hameçonnage réussie par des pirates informatiques tiers qui a touché environ 39 000 employés et particuliers leur étant liés. Des renseignements bancaires, des dates de naissance, des adresses et des numéros d’assurance sociale comptaient parmi les renseignements touchés. Tout comme dans l’affaire Campbell, le demandeur cherchait à faire autoriser une action collective fondée sur diverses causes d’action, y compris des atteintes à la vie privée prévues par la loi et par la common law. Le juge a refusé d’autoriser les réclamations d’atteinte à la vie privée fondées sur la loi et la common law, au motif qu’elles étaient vouées à l’échec puisqu’elles ne pouvaient viser que le pirate informatique et non l’organisation victime de l’attaque.

Dans les deux décisions, la Cour d’appel de la C.-B. a conclu que les défendeurs exploitant des bases de données pouvaient être tenus responsables des délits prévus par la loi en matière de protection de la vie privée pour avoir omis de protéger adéquatement les renseignements personnels contre une atteinte aux données.

Faire concorder les décisions de la C.-B. et de l’Ontario

La Cour d’appel de la C.-B. a reconnu que pour en arriver à sa conclusion, elle devait s’écarter de la trilogie ontarienne susmentionnée. Ce faisant, la Cour a toutefois souligné que les délits prévus par la loi et ceux prévus par la common law ne sont pas identiques et que, par conséquent, ils ne s’appliquent pas nécessairement aux mêmes conduites.

Le délit civil établi en vertu de la Privacy Act de la C.-B. prévoit que [traduction] « Constitue un délit civil donnant ouverture à une action sans preuve de dommages, le fait pour une personne, volontairement et sans revendiquer un droit, de porter atteinte à la vie privée d’une autre personne ».

En revanche, les éléments du délit civil de common law sont les suivants :

  1. le défendeur doit s’être ingéré ou immiscé dans les questions ou les affaires privées du demandeur sans motif légitime [l’« exigence relative à la conduite »];
  2. la conduite qui constitue l’intrusion ou l’ingérence doit avoir été commise intentionnellement ou de façon téméraire [l’« exigence relative à l’état d’esprit »];
  3. une personne raisonnable considérerait l’ingérence dans la vie privée comme étant particulièrement offensante et causant de la souffrance, de l’humiliation ou de l’angoisse [l’« exigence de la conséquence »].

Tant les tribunaux de la Colombie‐Britannique que ceux de l’Ontario reconnaissent que le délit civil de common law ne s’applique pas aux défendeurs exploitant des bases de données, car le premier élément du délit exige que le défendeur commette une intrusion ou une ingérence dans les affaires ou les questions privées du demandeur. Les défendeurs exploitant des bases de données ne font, à cet égard, rien qui pourrait constituer un acte d’intrusion ou d’ingérence. En effet, ledit acte est plutôt commis par des tiers inconnus qui agissent contrairement aux intérêts des défendeurs exploitant des données qu’ils attaquent.

La Cour d’appel de la C.-B. a conclu que le délit civil de common law était centré sur une conduite d’« invasion » et d’« ingérence ». À ce sujet, toutefois, le délit civil prévu par la loi est plus large, car il peut également s’appliquer à l’omission de protéger les renseignements personnels d’une manière qui correspond aux attentes raisonnables d’un particulier en matière de vie privée. Ainsi, une partie peut délibérément violer la vie privée d’une autre personne en vertu de la Privacy Act en omettant d’agir alors qu’elle a l’obligation de le faire[3], ou en agissant avec une indifférence téméraire[4]. La Cour d’appel de la C.-B. a conclu que, selon les circonstances, il n’est pas déraisonnable d’affirmer que la partie chargée de protéger les renseignements personnels a commis le délit prévu par la loi lorsqu’elle omet de protéger les renseignements personnels contre une attaque.

Principaux enseignements

Les décisions rendues par la Cour d’appel de la C.-B. dans les affaires Campbell et G.D. indiquent un changement important au droit de la protection de la vie privée. Il est probable que ledit changement entraînera une augmentation importante des actions collectives proposées en matière d’atteinte aux données en Colombie-Britannique et dans les autres provinces qui ont mis en place des délits similaires en matière d’atteinte à la vie privée. La Colombie-Britannique sera perçue comme offrant un environnement plus favorable à l’avancement des actions collectives et cela continuera d’entraîner une augmentation des poursuites devant les tribunaux de ce ressort territorial plutôt qu’en Ontario.

Les parties déboutées dans les affaires Campbell ou G.D. pourraient demander l’autorisation d’interjeter appel devant la Cour suprême du Canada, car les questions juridiques posées semblent prêtes pour un examen par ladite Cour. En effet, compte tenu des différences importantes entre la jurisprudence de la Cour d’appel de l’Ontario et celle de la Cour d’appel de la Colombie‐Britannique, la Cour suprême pourrait juger nécessaire de clarifier le droit et de fournir une orientation dans ce domaine qui évolue rapidement.

Les décisions précitées réitèrent en outre qu’il est d’importance primordiale d’examiner et d’améliorer constamment les mesures de protection contre les menaces prévisibles à la cybersécurité. La cybersécurité est un processus continu qui nécessite une amélioration et une adaptation constantes. En conséquence, les organisations devraient s’efforcer d’évaluer régulièrement leur position en matière de sécurité, de cerner les points à améliorer et de mettre en œuvre des mesures pour faire face aux menaces et aux vulnérabilités émergentes. Négliger d’agir ainsi augmentera certainement le risque que des réclamations soient accueillies.

[1] Campbell v. Capital One Financial Corporation, 2024 BCCA 253 [«Campbell»].
[2] D. v. South Coast British Columbia Transportation Authority, 2024 BCCA 252 [« G.D.»].
[3] Succession Odhavji c. Woodhouse, 2003 CSC 69.
[4] Peracomo Inc. c. Société TELUS Communications, 2014 CSC 29.

par Joan M. Young, Mitch Koczerginski, Darlene Crimeni et Claire Wanhella

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Nouvelles exigences de conformité pour les institutions financières du Québec : survol du Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit

Dans ce bulletin, nous passons en revue les nouvelles obligations prévues par la loi imposées aux institutions financières relativement aux incidents de sécurité de l’information.

Lire plus
21 Jan, 2025
Featured Insight

Rappel : le nouveau taux d’intérêt criminel réduit est entré en vigueur

À compter du 1ᵉʳ janvier 2025, le taux d’intérêt criminel est réduit à un plafond de 35 % sur une base du taux annuel en pourcentage (TAP).

Lire plus
21 Jan, 2025
Featured Insight

Actions collectives au Québec : une augmentation des recours privés en droit de l’environnement exerce une pression additionnelle sur le secteur du commerce de détail

Le présent bulletin traite du raisonnement de récents jugements environnementaux québécois et leurs conséquences sur les entreprises et les consommateurs.

Lire plus
21 Jan, 2025
Featured Insight

Le Projet de loi 68 et le certificat médical : nouvelles dispositions importantes pour les employeurs

Certaines dipositions du Projet de loi 68 affecte les employeurs et les circonstances leur permettant de demander un certificat médical à leur employés.

Lire plus
21 Jan, 2025
Featured Insight

Le bureau de la concurrence publie une version préliminaire de lignes directrices sur l’écoblanchiment : une approche pragmatique

Le bulletin présente les principaux éléments de la version préliminaire de lignes directrices sur l’écoblanchiment du Bureau de la concurrence qui concerne les modifications apportées à la Loi sur la concurrence en juin 2024.

Lire plus
16 Jan, 2025