Dans le monde d’aujourd’hui de la notification obligatoire des atteintes à la vie privée, les personnes reçoivent une notification rapide d’un incident qui pourrait compromettre leurs renseignements personnels. La notification obligatoire des atteintes à la vie privée fait partie de la loi sur la protection des renseignements personnels du secteur privé de l’Alberta depuis 2010 et fait partie de la loi fédérale sur la protection des renseignements personnels dans le secteur privé du Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le 1er novembre 2018.
Au Canada, nous avons vu que des recours collectifs sont rapidement intentés contre les entreprises qui sont victimes de piratage ou qui font l’objet d’un incident. La pression pour déposer peut être exacerbée par des rumeurs, des insinuations et des histoires qui circulent sur les médias sociaux. Il est difficile pour les organisations de répondre aux conversations sur les médias sociaux lorsqu’il est allégué qu’elles ont été piratées.
Une affaire qui a examiné le monde des litiges en matière d’atteinte à la protection des données et la difficulté d’une organisation à répondre aux commentaires des médias sociaux est
Le défendeur, NBEO, fournit des examens de certification du conseil pour les étudiants en optométrie pour lesquels ces étudiants partagent certains renseignements personnels, y compris les numéros de sécurité sociale, les noms, les dates de naissance, les adresses et les informations de carte de crédit.
L’histoire commence par une violation. Les optométristes à travers les États-Unis ont remarqué que les comptes de carte de crédit Chase Amazon Visa avaient été frauduleusement ouverts à leur nom. Compte tenu du type de renseignements nécessaires pour ouvrir de tels comptes de carte de crédit, certains optométristes croyaient que leurs renseignements personnels avaient été volés. Les victimes ont discuté des vols entre elles dans des groupes Facebook dédiés aux optométristes, et diverses sources possibles; en fin de compte, certaines victimes ont conclu que la source de l’atteinte devait être le NBEO.
Après avoir pris conscience de ces préoccupations, le NBEO a publié que « [d]ans une enquête approfondie et des discussions approfondies avec les parties concernées », le NBEO avait déterminé que ses « systèmes d’information [n’avaient] PAS été compromis ». Un poste révisé a rapidement suivi, au cours de laquelle le NBEO a indiqué qu’il poursuivait son enquête. Trois semaines plus tard, un autre message a suivi disant que l’enquête interne du NBEO se poursuivait et qu’il pourrait fallier des semaines pour se terminer.
Insatisfaites des messages, certaines victimes de la violation ont intenté plusieurs recours collectifs contre le NBEO, qui ont finalement été consolidés, alléguant la frustration et les efforts impliqués dans l’effacement de leurs crédits et le traitement des questions avec Chase.
Pour avoir gain de cause, les demandeurs devaient démontrer « (1) qu’ils avaient subi un préjudice de fait qui était concret et particularisé et réel ou imminent; (2) il y avait un lien de causalité entre le préjudice et la conduite du défendeur (c.-à-d. la traçabilité); et (3) le préjudice était susceptible d’être réparé par une décision judiciaire favorable ». Le tribunal de district a rejeté les actions parce que les plaignants n’avaient pas démontré non plus (a) de « préjudice de fait parce que, même si le NBEO avait confirmé une violation de données réelle, les demandeurs n’avaient « engagé aucun frais frauduleux » et « n’avaient pas été refusés de crédit ou n’avaient pas été tenus de payer un taux d’intérêt plus élevé pour le crédit qu’ils avaient reçu », et b) il n’y avait aucune preuve qui faisait remonter une violation au NBEO. Sur ce dernier point, le tribunal de district a noté que tous les plaignants avaient montré qu’il s’agissait de conversations sur Facebook que le tribunal a jugées purement spéculatives et qu’aucune base n’avait été fournie pour conclure que le déni de NBEO n’était pas crédible.
L’affaire a fait l’objet d’un appel devant la Cour d’appel de circuit qui a examiné de novo le rejet de la plainte par le tribunal de district pour défaut de qualité pour agir. La Cour a souligné que dans une analyse de la qualité pour poursuivre, il « est établi qu’une plainte doit contenir suffisamment de faits, acceptés comme vrais, pour énoncer une demande de réparation qui est plausible à première vue ».
La Cour a examiné le préjudice de fait et les éléments de traçabilité requis pour la poursuite. Ils ont fait remarquer qu'« une simple compromission de renseignements personnels, sans plus, ne satisfait pas à l’élément de préjudice de fait en l’absence d’un vol d’identité », mais en l’espèce, sans perte économique réelle, les demandeurs avaient démontré que les cartes de crédit avaient été ouvertes à leur nom, que les dépenses engagées pour demander une surveillance du crédit et, dans certains cas, les cotes de crédit avaient été affectées négativement. Par conséquent, la Cour de circuit a conclu que les demandeurs avaient démontré l’élément de préjudice de fait.
En ce qui concerne l’analyse de la traçabilité, la Cour de circuit a noté que des actes de procédure spécifiques avaient identifié des éléments de preuve plausibles, tels que des allégations de cartes de crédit ouvertes au nom de plusieurs noms de jeune fille du demandeur qui ont été donnés au NBEO de nombreuses années plus tôt, que le NBEO était une source plausible de renseignements personnels des demandeurs.
Ayant conclu que les éléments permanents du préjudice de fait et de la traçabilité étaient tous deux suffisamment allégués dans les plaintes, la Cour de circuit a conclu que le tribunal de district avait commis une erreur en rejetant les plaintes pour défaut de qualité pour agir. La Cour a donc conclu qu’une telle réclamation pour atteinte à la protection des données pouvait survivre et être évaluée au procès sans une réclamation pour perte économique réelle par les demandeurs et sans preuve directe qu’une violation de données s’était réellement produite.
Une leçon tirée des faits suggère que la manière dont le NBEO s’est engagé avec la communauté des optométristes de Facebook et les messages continus pourraient bien avoir été un facteur d’exacerber les plaignants - menant à la poursuite. Avec le temps, nous verrons s’il y a réellement eu une violation et si le compromis était lié de quelque manière que ce soit au NBEO. Les organisations qui sont la cible de rumeurs d’atteinte à la protection des données devraient examiner attentivement leur stratégie de communication si elles doivent éviter d’être entraînées dans une poursuite.