Risque accru de poursuites : 3 tendances en matière d’actions collectives en cybersécurité au Canada

Le nombre de poursuites dans le domaine de la cybersécurité est en hausse au Canada. Rien d’étonnant à cela, compte tenu de l’augmentation exponentielle du nombre d’atteintes à la protection des données au Canada au cours des dernières années. Cette augmentation, combinée à des modifications apportées à la législation en matière de protection de la vie privée, s’est traduite par davantage de déclarations d’atteintes aux commissaires à la protection de la vie privée, de demandes d’actions collectives et de règlements de poursuites.

ENQUÊTES DES COMMISSAIRES ET LITIGES CIVILS

Une organisation qui est victime d’une atteinte à la vie privée ou d’un cyberincident peut être tenue de produire une déclaration et faire l’objet d’une enquête par un commissaire à la protection de la vie privée fédéral ou provincial. La protection procédurale dont peut bénéficier l’organisation au cours d’une telle enquête est souvent limitée et, dans certains cas, il n’existe pas de recours juridiques (ou ceux-ci sont très limités) pour contester des conclusions injustes ou erronées dans le rapport d’un commissaire à la protection de la vie privée.

Dans le cadre d’actions collectives en matière de protection de la vie privée, les demandeurs s’appuient souvent sur les rapports des commissaires dans la mesure où ces derniers critiquent les mesures de sécurité qui étaient en place au sein de l’organisation au moment de l’atteinte. Or, dans deux décisions récentes rendues en Ontario, les juges saisis des demandes d’autorisation ont déclaré que ces rapports ne sont pas déterminants quant à la question d’établir la responsabilité civile ou d’autoriser ou non la demande d’action collective.

Dans l’affaire Broutzas v. Rouge Valley Health System, les demandeurs cherchaient à obtenir un jugement qui aurait empêché l’hôpital défendeur de contester les conclusions du Commissaire à l’information et à la protection de la vie privée de l’Ontario (le « CIPVP »), à la suite de son enquête sur les atteintes à la vie privée en cause dans l’affaire, et qui aurait établi que ces conclusions étaient un élément probant démontrant la responsabilité de l’hôpital. La cour a refusé de rendre une telle décision, statuant que le fait de juger une action collective en fonction de la décision d’un tribunal administratif dans le cadre d’une procédure informelle constituerait un exemple flagrant d’iniquité.

De même, dans l’affaire Kaplan v. Casino Rama Services Inc., le juge saisi de la demande d’autorisation a confirmé que le rapport d’enquête du CIPVP concernant la cyberattaque qu’avait subie Casino Rama n’était pas déterminant quant à la responsabilité civile de Casino Rama. Le juge a ensuite effectué sa propre analyse en se fondant sur les éléments de preuve qui lui ont été présentés dans le cadre de la demande.

REFUS RÉCENTS D’AUTORISER DES ACTIONS COLLECTIVES

Un nombre croissant d’actions collectives en matière de protection de la vie privée ont été intentées au Canada depuis 2012, soit depuis que la Cour d’appel de l’Ontario a reconnu pour la première fois le nouveau délit d’intrusion dans l’intimité. De nombreuses demandes d’actions collectives ont été autorisées par la suite, mais, l’année dernière, les tribunaux en ont refusé plusieurs, notamment :

  • Broutzas Rouge Valley Health System : la Cour supérieure de justice de l’Ontario a refusé d’autoriser cette action collective en matière de protection de la vie privée. Dans cette affaire, des employés malhonnêtes de deux hôpitaux avaient supposément accédé aux dossiers de patientes afin de vendre les coordonnées de ces nouvelles mères à des représentants de vente de régimes enregistrés d’épargne-études. Entre autres choses, la cour a statué que les coordonnées d’une personne ne sont pas intrinsèquement privées et que le délit d’intrusion dans l’intimité requiert une intrusion intentionnelle par les défendeurs. Ainsi, les défendeurs ne pouvaient pas être reconnus coupables par association.
  • Kaplan Casino Rama Services Inc. : la Cour supérieure de justice de l’Ontario a refusé d’autoriser cette action collective intentée à la suite d’une cyberattaque criminelle visant les réseaux de Casino Rama. Le juge saisi de la demande d’autorisation a conclu que même si certaines des allégations des demandeurs pouvaient résister à une demande en radiation, l’action collective envisagée ne pouvait être autorisée dans son ensemble en raison de l’absence de questions communes parmi les membres du groupe. La cour a également souligné que les défendeurs avaient agi rapidement et de manière exhaustive après la découverte de la cyberattaque. Pour en savoir davantage sur cette décision, consultez notre Bulletin Blakes de mai 2019 intitulé Proposed Privacy Class Action “Collapses in its Entirety” on Commonality (en anglais seulement).
  • Bourbonnière Yahoo! Inc. : la Cour supérieure du Québec a refusé d’accorder une autorisation dans cette affaire qui découlait de cyberattaques contre Yahoo! et du vol connexe des données des comptes d’utilisateurs. La cour a statué que les critères d’autorisation n’avaient pas été remplis puisqu’aucune preuve ne démontrait qu’une personne, y compris la représentante proposée des demandeurs, avait subi une perte indemnisable résultant des cyberattaques. Par conséquent, la cour a jugé que les allégations des demandeurs ne constituaient pas une « cause défendable ».
  • Li Equifax Inc. : la Cour supérieure du Québec a refusé d’autoriser cette demande d’action collective découlant de l’atteinte à la protection des données chez Equifax, qui a été annoncée en septembre 2017. Comme dans l’affaire Bourbonnière, la cour a statué que le représentant proposé du groupe n’avait pas une cause défendable, car il n’a pas démontré avoir subi un préjudice indemnisable en raison de l’atteinte.

Nous nous attendons à ce que les actions collectives en matière de vie privée demeurent fréquentes au Canada dans un avenir rapproché. Les affaires dont il est question ci‑dessus indiquent toutefois que les tribunaux sont de plus en plus enclins à examiner sous toutes les coutures les réclamations des demandeurs afin de déterminer si celles-ci sont viables et si l’action collective est le moyen approprié pour les régler.

TENDANCES FAVORABLES AU RÈGLEMENT DES ACTIONS COLLECTIVES

À ce jour, aucune action collective en matière de protection de la vie privée au Canada ne s’est rendue à l’étape de la détermination du bien-fondé, mais plusieurs règlements ont été conclus. Il reste à voir si les affaires traitées dans le présent bulletin auront des répercussions sur cette tendance.

Dans la plupart des règlements d’actions collectives en matière de protection de la vie privée, les montants accordés à chaque membre des groupes étaient relativement faibles, mais quelques règlements visant des renseignements très sensibles et une intrusion intentionnelle des défendeurs ont donné lieu à des paiements considérables.

Lorsqu’il s’agit d’actions collectives fondées sur la protection de la vie privée, les structures des règlements reflètent à quel point les poursuites civiles diffèrent les unes des autres de même que la difficulté d’évaluer les pertes (le cas échéant) des membres potentiels du groupe. Dans les règlements, on retrouve notamment les caractéristiques communes suivantes :

  • Dédommagements pour des pertes dans le cas de fraudes ou de vols d’identité résultant de l’atteinte
  • Paiements en espèces pour d’autres pertes prouvées (par exemple, les mesures prises pour mitiger le risque de fraude ou les pertes de temps)
  • Montants accordés pour la surveillance continue du crédit
  • Frais d’administration et de signification des avis
  • Honoraires des représentants des demandeurs
  • Honoraires des conseillers juridiques

CONCLUSION

Les cyberincidents, et les litiges en matière de protection de la vie privée qui en découlent, représentent une menace croissante pour les organisations de toute taille. Ce domaine des actions collectives continue d’évoluer et, fort heureusement, les tribunaux canadiens font preuve d’une grande prudence lorsqu’ils étudient ce type de réclamations et évaluent la viabilité de celles-ci.

Pour en savoir davantage, communiquez avec :

Claude Marseille                       514-982-5089
Darren Reed                             403-260-9640
Nicole Henderson                     416-863-2399

ou un autre membre de nos groupes Cybersécurité, Protection de la vie privée ou Actions collectives.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.