Les fuites de données et les cyberattaques continuent de faire les manchettes alors que tant les particuliers que les entreprises sont devenus de plus en plus dépendants des services numériques, et ce, particulièrement durant la pandémie de COVID-19. En juin 2020, nous avons écrit à propos de deux problèmes fondamentaux concernant la responsabilité dans les actions collectives liées à la protection des données, à savoir : (i) s'il existe une base de responsabilité civile pour une atteinte à la protection des données lorsqu'aucun dommage n'a été prouvé, et (ii) si les entreprises sont responsables des actes criminels commis par des tiers qui volent leurs données1.
Au cours de la dernière année, les tribunaux ont commencé à répondre à ces questions. La Cour divisionnaire de l'Ontario a récemment eu à déterminer si le délit d'intrusion dans l'intimité s'applique lorsque des données sont volées par un tiers plutôt que par la partie défenderesse, et une première décision sur le fond a été rendue dans une action collective liée à la protection des données.
Il faut prouver le préjudice
Les tribunaux canadiens élaborent une théorie de la responsabilité dans les actions collectives liées à la protection des données fondée sur la preuve du préjudice. Pour définir le seuil de préjudice qui doit être prouvé, les tribunaux s'intéressent au type de renseignement qui a fait l'objet de la violation de données et aux conséquences réelles de la violation, plutôt que ses conséquences potentielles. Par conséquent, les demandeurs dans de telles actions collectives doivent démontrer non seulement que les défendeurs ont fait preuve de négligence dans la protection des renseignements, mais aussi que des dommages reconnaissables du point de vue juridique ont été subis.
Ces obstacles limitent l'étendue des personnes qui seront tenues responsables dans un cas de violation de données. Dans le cadre de la première décision sur le fond qui a été rendue dans une action collective liée à la protection des données au Canada, Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), la Cour supérieure du Québec a rejeté l'action collective au motif qu'il n'y avait aucune preuve de préjudice indemnisable. Ce jugement concorde avec les décisions rendues dans d'autres actions collectives au Canada, qui ont refusé la certification au motif d'une preuve de préjudice insuffisante.
Dans l'affaire Lamoureux, le défendeur (l'OCRCVM) a admis qu'il était responsable de la perte d'un ordinateur portable contenant les renseignements personnels des membres du groupe, et qu'il n'a pas assuré la protection maximale des renseignements personnels de ces derniers, puisque l'ordinateur portable n'était pas doté des deux niveaux de protection exigés par les politiques de l'OCRCVM. La question était de savoir si le préjudice allégué par les membres du groupe était indemnisable.
Bien que la Cour ait admis qu'une perte de renseignements par négligence peut mener à une conclusion de préjudice, elle a jugé qu'en l'espèce, les inquiétudes causées par la perte des renseignements ne constituaient pas un préjudice indemnisable. Les allégations des demandeurs selon lesquelles la colère et le stress qu'ils ont ressentis constituaient un préjudice n'étaient pas appuyées par des preuves suffisantes et aucun préjudice psychologique de longue durée n'avait été prouvé. La Cour a également rejeté les allégations selon lesquelles le fait que les membres du groupe ont commencé à surveiller davantage leurs comptes financiers constituait un préjudice indemnisable. Elle a plutôt jugé qu'il s'agissait d'activités normales d'une personne raisonnable qui protège ses actifs. Cette décision respecte la jurisprudence québécoise qui considère qu'une simple contrariété ne peut fonder un recours en dommages-intérêts.
Alors que la décision dans l'affaire Lamoureux semble mettre l'accent sur le degré de préjudice requis, lequel doit dépasser l'inconvénient mineur, d'autres décisions se sont plutôt penchées sur le type de renseignements ayant été compromis pour déterminer si les membres du groupe ont subi un préjudice.
Ainsi, dans l'affaire Setoguchi c. Uber B.V., la Cour du Banc de la Reine de l'Alberta a refusé de certifier l'action en soulignant que ce ne sont pas tous les renseignements personnels qui constituent des renseignements privés2. Les informations ayant fait l'objet d'une violation dans cette affaire comprenaient les noms, numéros de téléphone et adresses courriel de conducteurs Uber. Dans le cadre de l'exercice de sa fonction de gardien, le tribunal a indiqué que les informations ayant fait l'objet d'une atteinte n'étaient pas plus privées que celles qui figuraient dans un annuaire téléphonique typique du passé. Selon le tribunal, il n'y avait aucune preuve que les membres du groupe avaient une attente raisonnable de protection de la vie privée relativement à ces informations. Cette affaire illustre la différence entre les renseignements personnels et les renseignements privés ou confidentiels. Le simple fait que des renseignements personnels aient été divulgués ne constitue probablement pas un motif de responsabilité civile en dommages-intérêts en common law. La décision dans l'affaire Setoguchi indique plutôt que le demandeur doit prouver que ses renseignements étaient privés et qu'il a subi un préjudice.
Les dommages-intérêts punitifs pourraient être évités grâce à une réponse proactive
La façon dont les entreprises réagissent à une atteinte à la protection des données est importante pour limiter les dommages-intérêts tant compensatoires que punitifs. C'est particulièrement le cas au Québec, où le droit au respect de la vie privée est explicitement protégé par la Charte des droits et libertés de la personne3. Au Québec, les défendeurs peuvent être condamnés à des dommages-intérêts punitifs en cas « d'atteinte intentionnelle » à ce droit4, même si aucun dommage compensatoire n'est accordé.
Dans l'affaire Lamoureux, la Cour a jugé que le défendeur avait fait preuve de diligence en suivant les meilleures pratiques et en réagissant rapidement à la fuite de données. Le défendeur avait notamment mené plusieurs enquêtes internes pour déterminer la cause et l'ampleur de la fuite et avait pris des mesures pour réduire l'incidence de celle-ci sur les membres du groupe. Ces mesures ont mené la Cour à conclure que des dommages-intérêts punitifs n'étaient pas justifiés. La juge Lucas a accordé beaucoup d'importance à la réaction prudente du défendeur, laquelle réfutait d'elle-même toute suggestion que celui-ci avait intentionnellement porté atteinte au droit à la vie privée des membres du groupe. Une telle approche pourrait servir de modèle de défense pour les entreprises qui se retrouvent dans une situation semblable.
L'affaire Lamoureux suit la tendance croissante des tribunaux à donner leur approbation aux ententes de règlement conclues dans le cadre d'actions collectives liées à la protection de la vie privée5, ce qui confirme l'importance de prendre des mesures proactives pour déterminer l'ampleur de la perte des renseignements personnels ou des renseignements potentiellement compromis, d'aviser les parties prenantes appropriées, d'offrir une plateforme où ces dernières peuvent poser des questions et recevoir de l'information et de réduire les dommages potentiels (p. ex. en offrant des services de surveillance du crédit ou du web invisible ou une protection contre le vol d'identité). En faisant preuve de proactivité et en prenant rapidement des mesures, les entreprises peuvent limiter le préjudice qui pourra être prouvé, ce qui peut les mettre à l'abri d'une responsabilité dans le cadre d'actions collectives, notamment en ce qui concerne les dommages-intérêts punitifs.
D'autre part, la Cour d'appel du Québec a récemment illustré la façon dont une réaction moins diligente peut exposer le défendeur à des dommages-intérêts punitifs. Dans l'affaire Lévy c. Nissan6, la Cour d'appel a accueilli un appel en partie et a rétabli la réclamation en dommages punitifs du demandeur. Elle a expliqué que bien qu'une « atteinte intentionnelle » à un droit protégé par la Charte exige plus que de la simple négligence, il n'est pas nécessaire qu'il s'agisse d'une intention spécifique; le fait qu'une personne connaisse les conséquences probables de ses actes peut être suffisant. Cette décision devrait servir de mise en garde et inciter les entreprises fréquemment touchées par des violations de données à prendre des actions correctives rapidement : le fait qu'une entreprise n'ait pas mis en place des mesures de sécurité appropriées après une atteinte à la sécurité des données, ait tardé à agir et n'ait pas communiqué toute l'information aux gens touchés sont autant de facteurs que les tribunaux pourraient examiner pour décider si l'octroi de dommages-intérêts punitifs s'avère approprié. Cependant, compte tenu de la structure législative particulière du Québec, il reste à voir si cette jurisprudence sera adoptée dans les autres provinces.
Il est probablement nécessaire de prouver que les données ont été compromises
Un autre enjeu important pour les demandeurs dans les actions collectives consiste à prouver que les renseignements ont bel et bien été compromis. Dans l'affaire Simpson c. Facebook, la Cour supérieure de l'Ontario a refusé de certifier une action collective proposée contre Facebook au motif que les demandeurs n'ont pas réussi à prouver que les renseignements avaient été partagés de façon inappropriée7.
L'affaire Simpson est l'une de deux actions collectives intentées contre Facebook à la suite du scandale Cambridge Analytica8. Cette action collective visait les résidents canadiens dont les données Facebook avaient été transmises à Cambridge Analytica9. L'autre action collective (Donegani) visait les utilisateurs de Facebook dont les renseignements personnels avaient été obtenus de façon inappropriée soit directement ou indirectement par des tiers (à l'exception des résidents canadiens dont les données Facebook avaient été transmises à Cambridge Analytica).
La Cour a refusé de certifier l'action collective Simpson car la demanderesse n'a pas réussi à démontrer que les renseignements des membres du groupe avaient été transmis à Cambridge Analytica. Ce faisant, la Cour a rejeté l'argument du « judas » (peephole argument) avancé par la demanderesse, selon lequel le seul fait que Facebook ait rendu les renseignements des utilisateurs accessibles justifiait un recours, même si cet accès n'a jamais été exploité10.
Bien que cet argument ait été rejeté pour des motifs procéduraux (soit puisqu'il traitait des mêmes questions soulevées par l'affaire Donegani), il reste à voir s'il pourrait être admis dans une décision sur le fond. S'il est retenu, l'argument du « judas » pourrait réduire le fardeau des demandeurs dans le cadre de la démonstration d'un préjudice prouvable.
Le piratage par des tiers ne peut pas fonder un recours délictuel contre des entreprises pour atteinte à la vie privée
Plusieurs actions collectives liées à la protection des données se fondent sur des allégations d'intrusion dans l'intimité. En common law, le délit d'intrusion dans l'intimité n'impose pas au demandeur le même fardeau de preuve que le délit de négligence. Même si cette réalité peut rendre un tel recours attrayant, les tribunaux continuent de remettre en question la possibilité que le délit d'intrusion dans l'intimité puisse s'appliquer aux cas où un pirate informatique, plutôt que le défendeur, porte atteinte à la vie privée des demandeurs.
La Cour divisionnaire de l'Ontario a récemment eu à décider de l'étendue du délit d'intrusion dans l'intimité dans le cadre d'un appel d'une ordonnance de certification11 dans l'affaire Owsianik c. Equifax Canada Co. L'action collective nationale proposée concernait une fuite de données qui s'est produite chez Equifax en 2017 et qui aurait touché près de 19 000 Canadiens12. Le juge de première instance avait certifié la réclamation fondée sur le délit d'intrusion dans l'intimité comme cause d'action et la Cour divisionnaire devait décider si ce délit peut être avancé à l'encontre de personnes qui recueillent et conservent des renseignements personnels dans un cas où un tiers a accédé à ces renseignements de façon inappropriée13.
Dans un jugement partagé (la juge Sachs est dissidente), la Cour a accueilli l'appel et a annulé la certification de la cause d'action fondée sur le délit d'intrusion dans l'intimité14. Le juge Ramsay (appuyé par la juge en chef adjointe McWatt) a jugé que ce délit avait été défini d'une manière définitive dans l'affaire Jones c. Tsige15 et ne se rapporte qu'à l'humiliation et au préjudice émotionnel pour lesquels il n'y a pas d'autre recours, car ce type de perte ne peut être quantifié en termes monétaires. Étant donné que la réclamation dans l'affaire Equifax concernait principalement des intérêts économiques, il était approprié d'exiger que la demanderesse prouve le préjudice. Puisque c'étaient des criminels qui avaient accédé aux données, la Cour a estimé que l'absence d'intrusion de la part d'Equifax, qui constitue l'élément central du délit, rendait inadmissible la réclamation fondée sur le délit d'intrusion dans l'intimité. Autrement dit, c'étaient les pirates informatiques, et non Equifax, qui avaient commis l'intrusion.
Bien que cette décision puisse faire l'objet d'un appel, l'attitude dominante concernant les réclamations fondées sur le délit d'intrusion dans l'intimité commis par des tiers est restrictive. Comme l'a récemment observé le juge Perell, la plupart des actions collectives pour les fuites de données sont réglées par l'octroi de dommages-intérêts généraux partiels ou symboliques, et cela continuera à être ainsi jusqu'à ce qu'un demandeur dans une action collective obtienne gain de cause sur le fond16. Toutefois, les décisions récentes suggèrent que si le groupe ne réussit pas à fournir une quelconque preuve de préjudice, il a peu de chances de gagner.
Août 2021 : Autorité supplémentaire que le piratage commis par des tiers ne peut donner lieu à des réclamations fondées sur le délit d'atteinte à la vie privée
Une autre décision récente semble confirmer que les entreprises ne seront pas tenues responsables des actes de piratage informatique commis par des tiers qui compromettent les renseignements personnels des membres du groupe. Dans l'affaire Del Giudice c. Thompson17, le juge Perell a rejeté une action collective proposée concernant la fuite de données qui s'est produite chez Capital One en 2019 et qui a touché les renseignements personnels et de crédit de près de six millions Canadiens. Un pirate informatique avait accédé à la base de données contenant des renseignements personnels recueillis par Capital One, qui était hébergée sur les serveurs informatiques d'Amazon Web Services. Le scepticisme du tribunal à l'égard de l'action était fondé sur le fait que celle-ci transformait ce qui semblait être un simple cas d'atteinte à la protection des données dans un cas d'appropriation illicite et d'utilisation inappropriée de données. Le juge Perell a conséquemment rejeté les 19 causes d'action avancées par les demandeurs.
En rejetant l'action, le tribunal a rejeté la réclamation fondée sur le délit d'intrusion dans l'intimité faite par les demandeurs. Citant la décision de la Cour d'appel de l'Ontario dans l'affaire Equifax, le juge Perell a souligné que le fait de ne pas avoir empêché une intrusion ne constitue pas une intrusion; bien qu'une telle réclamation pourrait être avancée à l'égard du pirate informatique, cela n'est pas le cas pour les autres défendeurs. Le juge Perell a aussi rejeté plusieurs réclamations pour violation de lois sur la vie privée, après y avoir trouvé des obstacles de compétence et remarqué que de telles lois ne s'appliquent pas au secteur privé. Il a également rejeté la réclamation des demandeurs pour négligence et manquement à l'obligation de prévenir, compte tenu du fait qu'aucun préjudice indemnisable n'a été démontré et que toutes pertes seraient uniquement d'ordre économique. Il a jugé que la réclamation n'était pas fondée, car un risque de préjudice accru ne peut constituer un préjudice en soi. En refusant de certifier l'action, le juge Perell a levé la suspension des autres actions collectives proposées qu'il avait imposée en accordant une conduite d'instance aux avocats du groupe.
Footnotes
1. Société d'avocats Torys S.E.N.C.R.L., Data breach class actions-Two fundamental problems with liability (25 juin 2020 - en anglais seulement)
2. Setoguchi c. Uber B.V., 2021 ABQB 18
3. Charte des droits et libertés de la personne, RLRQ, c. C-12, art. 5
4. Voir p. ex. Lozanski c. The Home Depot, Inc., 2016 ONSC 5447
5. Voir p. ex. Lozanski c. The Home Depot, Inc., 2016 ONSC 5447.
7. Cette question a également été examinée dans l'affaire Lamoureux, dans laquelle le tribunal a jugé qu'il n'y avait aucune preuve que les renseignements avaient été utilisés par des tiers.
8. Trois actions collectives ont été intentées contre Facebook. Le tribunal a autorisé deux de celles-ci, en séparant les questions examinées dans chacune d'elles. Voir Simpson c. Facebook, 2021 ONSC 968, par. 7.
9. Simpson c. Facebook, 2021 ONSC 968, par. 8.
10. Donegani c. Facebook Inc., no du dossier du tribunal CV-18-596626-CP
11. Agnew-Americano c. Equifax Canada Co., 2019 ONSC 7110
12. Equifax a également fait l'objet d'une enquête par le Commissariat à la protection de la vie privée du Canada. Le rapport d'enquête a été publié le 9 avril 2019 et peut être consulté ici.
13. Owsianik c. Equifax Canada Co., 2020 ONSC 5761, par. 2
14. Owsianik c. Equifax Canada Co., 2021 ONSC 4112 [Equifax]
15. 2012 ONCA 32
16. Karasik c. Yahoo! Inc., 2021 ONSC 1063
17. 2021 ONSC 5379
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
