Le vol de données sur les clients donne lieu au premier recours collectif certifié en matière de protection de la vie privée en Ontario

Écrit par Michael J. Paris

Les entreprises qui recueillent des renseignements personnels ont un incitatif supplémentaire à surveiller les employés qui traitent les données des clients – le premier recours collectif de l’Ontario découlant du nouveau délit d'« intrusion dans l’isolement » a été certifié la semaine dernière. ¹

Dans Evans v Bank of Nova Scotia, les demandeurs ont cherché à certifier un recours collectif contre la banque et l’un de ses employés, Richard Wilson, qui a fourni des renseignements privés et confidentiels sur les clients de la banque à des tiers dans le cadre d’une escroquerie de vol d’identité déjouée par la police de Calgary.

L’infraction

Wilson était employée par la banque à titre d’agent d’administration des hypothèques et, dans ce rôle, elle avait accès à des renseignements hautement confidentiels sur les clients. La banque a été alertée d’une atteinte potentielle à la vie privée impliquant Wilson par la police de Calgary, qui avait récupéré plusieurs profils personnels des clients de la banque dans l’exécution d’un mandat de perquisition. Les profils identifiaient Wilson comme la personne qui avait accédé aux profils des clients et les avait imprimés, et Wilson a par la suite avoué avoir accédé et diffusé cette information de manière inappropriée.

La banque a finalement identifié 643 clients dont Wilson a accédé aux dossiers au cours de la période pertinente (le Groupe d’avis). À ce jour, 138 membres du Groupe d’avis ont informé la banque qu’ils avaient été victimes de vol d’identité ou de fraude. La banque a fourni une indemnisation individuelle à chaque client qui a identifié les pertes découlant de l’atteinte à la protection des données (cartes de crédit obtenues frauduleusement, achats non autorisés, prises de contrôle de compte, etc.) et a offert un abonnement gratuit à un service de surveillance du crédit et de protection contre le vol d’identité à tous les membres du Groupe d’avis.

L’action

Les demandeurs réclament des dommages-intérêts à la banque et à Wilson pour, entre autres, la rupture de contrat, la négligence, la renonciation à la responsabilité délictuelle et le délit d’intrusion dans l’isolement. Les demandeurs prétendent que la banque est responsable du fait d’autrui des actes de son employé, Wilson.

La certification par la Cour de la demande d’intrusion dans l’isolement est la première du genre, mais probablement un signe avant-coureur des choses à venir alors que les tribunaux sont confrontés aux retombées des atteintes à la vie privée à grande échelle et du vol de données.

Le délit lui-même a récemment été établi dans la décision de 2012 de la Cour d’appel de l’Ontario dans Jones v Tsige² et ses éléments ont été décrits dans cette affaire comme suit :

Les principales caractéristiques de cette cause d’action sont, premièrement, que la conduite du défendeur doit être intentionnelle, dans laquelle j’inclurais l’insouciance; deuxièmement, que le défendeur doit avoir envahi, sans justification légitime, les affaires ou les préoccupations privées du demandeur; et troisièmement, qu’une personne raisonnable considérerait l’invasion comme très offensante causant de la détresse, de l’humiliation ou de l’angoisse. Toutefois, la preuve du préjudice causé à un intérêt économique reconnu n’est pas un élément de la cause d’action.

Même si le juge n’a pas considéré que le délit civil faisait encore partie du droit établi de l’Ontario, la demande a été certifiée au motif qu’il n’était pas « évident et manifeste » qu’une telle réclamation ne pouvait être accueillie contre la banque en vertu d’une théorie de la responsabilité du fait d’autrui.³

L’importance de la surveillance exercée par les employés

Bien que la banque se soit empressé d’offrir des mesures préventives à tous les membres du Groupe d’avis et une indemnisation aux membres directement touchés, la banque a également reconnu un manque total de surveillance de ses employés, y compris Wilson, en ce qui concerne l’accès inapproprié aux renseignements personnels et financiers des clients. Bien que la banque n’ait pas été directement impliquée dans l’accès inapproprié aux renseignements sur les clients, la théorie de la responsabilité du fait d’autrui « est stricte et n’exige aucune inconduite de la part de la personne qui y est assujettie ». ⁴

La certification n’implique pas un examen du bien-fondé de l’affaire et nous attendons le résultat du procès (s’il y en a un) pour mieux comprendre la portée du délit. De plus, il n’est pas clair quels dommages-intérêts seront évalués s’il y a une conclusion de responsabilité à l’étape du fond de l’instance. Néanmoins, la décision incite davantage les employeurs à surveiller les activités de leurs employés dans l’utilisation de la technologie de l’employeur. As indiqué dans les mises à jour antérieures des clients, la surveillance proactive peut non seulement diminuer l’attente raisonnable de l’employé en matière de vie privée par rapport à l’utilisation personnelle « en temps d’horloge », mais peut également réduire la probabilité d’atteintes à la vie privée impliquant des informations sur les clients qui peuvent maintenant entraîner une exposition à un recours collectif. Les employeurs devraient continuer de surveiller l’évolution de la situation dans ce domaine.

Pour obtenir de l’aide dans l’examen ou l’élaboration de politiques et de procédures pour s’assurer que votre entreprise est en mesure d’examiner et de surveiller efficacement l’activité des employés sur vos systèmes électroniques, veuillez communiquer avec les membres de notre pratique des services d’emploi.

Notes

1. Evans c. Banque de Nouvelle-Écosse, 2014 ONSC 2135 [Evans].
2. Jones c. Tsige, 2012 ONCA 32
3. Précité, Evans, au para 30.
4. Précité, Evans, au para 23.