La Cour d’appel de l’Ontario a récemment publié une trilogie de décisions (Winder v. Marriott International, Inc., 2022 ONCA 815; Obodo c. Trans Union of Canada, Inc., 2022 ONCA 814; Owsianik c. Equifax Canada Co., 2022 ONCA 813) statuant que les organisations qui recueillent et stockent des renseignements personnels (défendeurs de base de données) ne sont pas responsables des atteintes à la vie privée perpétrées par des pirates tiers. Bien que ces décisions limitent la capacité des demandeurs de poursuivre une réclamation pour atteinte à la vie privée en Ontario contre les défendeurs de bases de données pour des violations de données commises par des étrangers non autorisés, les organisations devraient toujours être conscientes de la responsabilité potentiellement étendue pour les atteintes à la protection des données commises par leurs propres employés en vertu de la doctrine de la responsabilité du fait d’autrui.
Un récent recours collectif en Colombie-Britannique impliquant une atteinte à la protection des données met en évidence l’exposition potentielle des employeurs à des atteintes à la protection des données commises par leurs propres employés. Dans l’affaire Ari v. Insurance Corporation of British Columbia (Ari) 2022 BCSC 1475, la Cour a jugé l’organisation responsable du fait d’autrui de l’atteinte à la vie privée de son employé en vertu de la Privacy Act, RSBC 1996, c 373 (Loi sur la protection des renseignements personnels) même en l’absence de tout acte répréhensible de la part de l’organisation en lien avec l’atteinte.
En vertu de la Loi sur la protection des renseignements personnels, une personne a une cause d’action contre une autre personne qui, volontairement et sans revendication de droit, viole la vie privée de cette personne. La décision rendue dans l’affaire Ari pourrait avoir des répercussions sur la responsabilité en vertu des lois sur la protection des renseignements personnels des provinces du Manitoba, de la Saskatchewan et de Terre-Neuve-et-Labrador, qui énoncent des causes d’action semblables. De même, elle peut avoir des répercussions sur l’application de l’atteinte au délit d’isolement reconnue en Ontario, qui est principalement la même que l’atteinte légale au délit de la vie privée. L’intrusion dans l’isolement peut être avancée lorsqu’une partie envahit intentionnellement les affaires privées du demandeur et qu’une personne raisonnable considérerait cette invasion comme très offensante, causant de la détresse, de l’humiliation ou de l’angoisse.
Insurance Corporation of British Columbia (ICBC) est une société d’État provinciale qui stocke dans sa base de données les renseignements personnels de toute personne dans la province qui détient un permis de conduire ou qui est propriétaire d’un véhicule à moteur enregistré. En 2011, un expert en sinistres employé par l’ICBC a accédé, obtenu et vendu de façon inappropriée des renseignements personnels sur les clients à des tiers criminels, qui les ont utilisés pour commettre des incendies criminels et des fusillades contre les maisons et les biens personnels des clients. Un recours collectif a été intenté contre ICBC pour tous les clients dont les renseignements personnels ont été consultés de façon inappropriée par l’expert en sinistres.
L’article 1 de la Loi sur la protection des renseignements personnels crée un délit légal si une personne viole volontairement et sans revendication de droit la vie privée d’une autre personne. Dans l’affaire Ari, la Cour s’est penchée sur la question de savoir si les clients avaient un droit à la vie privée à l’égard des simples coordonnées obtenues à partir de la base de données d’ICBC, comme les noms et les adresses. En concluant que les clients avaient un droit à la vie privée à l’égard des renseignements, la Cour a examiné les politiques internes de l’ICBC qui traitaient les renseignements comme hautement privés et cherchaient à les protéger contre une utilisation inappropriée. De plus, la Cour a statué qu’une personne raisonnable s’attendrait à ce que l’ICBC n’utilise ces renseignements qu’à des fins commerciales pertinentes.
La Cour a statué que l’accès de l’employé et sa distribution des renseignements à des fins inappropriées constituaient une atteinte à la vie privée. Le délit légal exige que la conduite soit délibérée et sans prétention de droit. Lorsque l’experte en sinistre a commencé son emploi, et tout au long de son séjour à l’ICBC, elle a signé un code d’éthique qui interdisait l’accès et la communication inappropriés de renseignements personnels. La Cour a conclu que l’employée savait que ses actions violaient la vie privée des clients.
La responsabilité du fait d’autrui rend l’employeur responsable de la conduite délictuelle d’un employé. La responsabilité du fait d’autrui est stricte – un employeur peut être tenu responsable même s’il a fait preuve de diligence et n’a manqué à aucune obligation. Comme l’a établi la Cour suprême du Canada dans l’arrêt Bazley c. Curry 1999 2 R.C.S. 534, la question centrale de la responsabilité du fait d’autrui est de savoir si la conduite d’un employé relève d’un domaine de risque créé par l’employeur. Toute question de prévisibilité de la part de l’employeur ne vise pas à déterminer si l’acte spécifique était prévisible, mais s’il y avait « prévisibilité des risques généraux associés à l’ensemble d’une entreprise ». Ainsi, un employeur peut être responsable du fait d’autrui lorsqu’il existe un lien entre la création ou l’augmentation d’un risque et le tort dont on se plaint, même si la conduite n’était pas liée aux objectifs de l’employeur.
En appliquant les principes ci-dessus dans l’arrêt Ari, la Cour a conclu que l’entreprise d’ICBC créait le risque d’un accès inapproprié des employés aux données. Les experts en sinistres de l’ICBC vérifiaient fréquemment les renseignements sur le permis de conduire et effectuaient des recherches dans les bases de données liées aux rapports de fraude, aux incidents impliquant plusieurs parties et aux problèmes de police et de couverture. À partir de là, la Cour a conclu que l’atteinte était directement liée à l’emploi de l’employé, concluant que l’accès des employés aux données personnelles était une partie essentielle du travail. Étant donné que la responsabilité du fait d’autrui est stricte, la Cour a conclu que toute diligence de la part de l’ICBC en ce qui a trait à ses politiques ou procédures n’avait pas d’incidence sur la décision qu’elle était responsable du fait d’autrui, et que ces politiques ou procédures peuvent être pertinentes pour la détermination des dommages-intérêts punitifs.
L’ICBC a fait valoir qu’elle n’était pas responsable des dommages matériels subis à la suite de l’incendie criminel et des coups de feu parce que les attaques étaient des actes intermédiaires imprévisibles. La Cour a rejeté cet argument, soulignant que l’atteinte à la vie privée est un délit intentionnel, de sorte que le défendeur est responsable de tout préjudice causé par ses actions, qu’elles soient prévisibles ou non. La Cour a également conclu que l’utilisation des renseignements à des fins illégales était une conséquence prévisible de la diffusion des renseignements. Par conséquent, l’ICBC a été jugée responsable non seulement des dommages simples causés par la violation de données, mais aussi des dommages matériels résultant des attaques.
Ari fournit un rappel de mise en garde contre le risque d’une responsabilité étendue basée sur l’inconduite des employés, en particulier dans les circonstances où une organisation collecte des quantités substantielles de données, y compris des informations sensibles. Bien que l’ICBC ait mis en place des règles et des politiques interdisant l’utilisation inappropriée de ses bases de données (ce qui peut être pertinent pour une réclamation pour négligence), elle était toujours tenue responsable du fait d’autrui (c.-à-d. que même si l’ICBC avait toutes les règles et politiques appropriées en place, elle était néanmoins responsable des délits de son employé). Il n’y a donc pas de moyen simple pour une organisation d’éviter la responsabilité du fait d’autrui lorsqu’un employé abuse de son autorité.
Afin de réduire au minimum la possibilité d’être tenus responsables du fait d’autrui pour l’inconduite des employés, il est conseillé aux organisations d’élaborer de façon proactive des systèmes et des méthodes pour limiter ou éliminer les risques prévisibles que les employés abusent de leur autorité avant que de tels abus ne se produisent. Plus précisément, les organisations peuvent prendre les mesures suivantes :
Pour gérer l’exposition potentielle à la responsabilité du fait d’autrui impliquant une compromission de renseignements personnels, les organisations devraient cerner les risques qui sont propres à leur organisation et adapter le plan de gestion des risques en conséquence. Pour obtenir de plus amples renseignements sur ces questions, veuillez communiquer avec le groupe Bennett Jones Privacy and Data Protection group.