La Cour d'appel de la Colombie-Britannique conclut que les dépositaires de bases de données prétendument imprudents peuvent être tenus responsables des « violations délibérées » de la vie privée en vertu de la Loi sur la protection des renseignements personnels

Dans deux décisions rendues le 5 juillet 2024, la Cour d’appel de la Colombie-Britannique a conclu qu’un prétendu défaut téméraire de protéger les renseignements personnels peut être suffisant pour faire valoir les allégations de « violation volontaire » de la vie privée en vertu de la Loi sur la protection des renseignements personnels contre les défendeurs de bases de données qui sont victimes de piratages de données. Ce faisant, la BCCA a interprété la Loi sur la protection des renseignements personnels par la loi comme pouvant être plus large que le délit d’intrusion dans l’isolement en common law, que la Cour d’appel de l’Ontario a interprété dans sa « trilogie » de décisions de 2022 dans Owsianik, Obodo and Winder limité aux réclamations contre le pirate qui a commis l'"intrusion », pas le défendeur de la base de données qui aurait omis de l’empêcher.

Dans G.D. v South Coast British Columbia Transportation Authority, 2024 BCCA 252 [South Coast], la BCCA a infirmé la conclusion du juge siégeant en cabinet selon laquelle les réclamations du demandeur en vertu de la Privacy Act de la Colombie-Britannique étaient vouées à l’échec à l’étape des actes de procédure. In Campbell v Capital One Financial Corporation, 2024 BCCA 253 [Capital One], la même division de la BCCA a confirmé la conclusion du juge siégeant en cabinet selon laquelle les réclamations en vertu des lois sur la protection des renseignements personnels de la Colombie-Britannique, de la Saskatchewan et de Terre-Neuve n’étaient pas vouées à l’échec.

Dans les deux décisions, la BCCA a conclu qu’on pouvait au moins soutenir qu’un prétendu défaut « téméraire » de la part d’un défendeur de base de données de protéger les renseignements personnels des membres présumés du groupe pourrait constituer une « violation délibérée » de la vie privée en vertu de la Loi sur la protection des renseignements personnels. La Cour a fait remarquer que, bien que la jurisprudence interprétant l'« intrusion » de la common law dans l’isolement puisse en fin de compte être utile pour interpréter la portée d’une « violation délibérée » de la vie privée en vertu de la Loi sur la protection des renseignements personnels, les réclamations prévues par la Loi sur la protection des renseignements personnels et les réclamations en common law n’étaient pas identiques, et la jurisprudence de common law n’a pas fait en sorte que les réclamations en vertu de la Loi sur la protection des renseignements personnels soient vouées à l’échec à l’étape des actes de procédure.

La BCCA a également fait des déclarations générales exprimant des points de vue sur les objectifs stratégiques des allégations de confidentialité et sur la façon dont ils devraient évoluer. Dans l’affaire Capital One, la BCCA a fait remarquer qu'« [une] interprétation télénégative des Lois sur la protection des renseignements personnels pourrait militer en faveur de l’inclusion des dépositaires de données dans le délit légal à mesure que la société et la technologie évoluent ». Sur la côte sud, la BCCA a fait le commentaire suivant : « ... Je vois l’argument des vannes différemment, et c’est comme un flot de renseignements personnels non protégés qui sortent du contrôle des personnes dont les renseignements sont, et entre les mains de mauvais acteurs, à moins que la loi ne réagisse adéquatement.

Avez-vous le temps d’en savoir plus ?

• Dans l’affaire Capital One, le demandeur n’a pas allégué qu’un stockage imprudent de renseignements personnels par un dépositaire de données, qui est ensuite piraté par un tiers, peut fonder une réclamation fondée sur le délit délictuel de common law d’intrusion dans l’isolement. La BCCA a refusé d’aborder la question de savoir si le délit d’intrusion dans l’isolement en common law était disponible en Colombie-Britannique à la lumière de l’existence du délit légal pour violation volontaire de la vie privée en vertu de la Privacy Act.
• Dans l’affaire Capital One, la BCCA a fait quelques autres constatations importantes. Premièrement, la BCCA a confirmé qu’un défendeur ne sera pas solidairement responsable en vertu de la Negligence Act pour la conduite d’un autre présumé auteur d’un délit lorsque la conduite alléguée des deux auteurs d’actes délictuels donne lieu à des types de dommages différents. En l’espèce, l’intrusion du pirate informatique dans l’isolement aurait causé un préjudice moral (en l’absence de préjudice réel), alors que la seule réclamation contre Capital One portait sur la négligence en common law (qui n’est faite que si la négligence alléguée cause un préjudice réel). Deuxièmement, la BCCA a confirmé que Capital One ne pouvait être tenue responsable d’abus de confiance, parce que la réclamation de la demanderesse alléguait que le préjudice (le « préjudice ») subi par les membres présumés du groupe avait été causé par les actions du pirate informatique, et non par celles de Capital One. Troisièmement, la BCCA a confirmé que la Cour suprême de la Colombie-Britannique avait compétence pour statuer sur les réclamations en vertu des lois sur la protection des renseignements personnels du Manitoba et de Terre-Neuve.
• Des recours collectifs parallèles ont été déposés contre Capital One en Ontario et au Québec. La demande a été radiée dans l’affaire de l’Ontario au motif que les réclamations, y compris l’intrusion de la common law dans l’isolement et les délits en vertu des lois sur la protection des renseignements personnels, étaient vouées à l’échec (Del Giudice v Thompson, 2021 ONSC 5379, confirmée en appel dans 2024 ONCA 70). À la Cour d’appel, l’ONCA a fait remarquer, en ce qui concerne les allégations de la Loi sur la protection des renseignements personnels de la Colombie-Britannique, de Terre-Neuve et de la Saskatchewan, que, bien qu’il ait été plaidé que les intimés avaient fait preuve de négligence ou d’insouciance en omettant de protéger les données, il n’y avait aucun plaidoyer selon lequel la violation était délibérée. L’action au Québec a été autorisée à titre de recours collectif (Royer v. Capital One Bank (Succursale du Canada), 2023 QCCS 2993).