2022 a continué d’être positif pour les clients institutionnels impliqués dans des recours collectifs en violation de la vie privée, la Cour d’appel de l’Ontario refusant d’étendre le délit d’intrusion lors de l’isolement pour imposer une responsabilité aux institutions dont les bases de données ont été piratées par des tiers non autorisés.
Plaintiffs réclamant des dommages-intérêts dans des recours collectifs pour violation de la vie privée ont eu du mal à obtenir la certification en raison de l’absence de pertes au-delà des inconvénients quotidiens.
Accordingly, les demandeurs se sont souvent appuyés sur le délit d’intrusion dans l’isolement, qui n’exige pas la preuve d’une perte indemnisable. Cependant, certains plaignants ont demandé au tribunal d’étendre le délit pour qu’il s’applique non seulement aux pirates tiers, mais aussi aux défendeurs de la base de données qui ont recueilli et stocké les données en premier lieu.
À la fin de 2021, la Cour divisionnaire a refusé de prolonger le délit, concluant qu’il ne pouvait pas s’appliquer aux défendeurs de la base de données parce qu’ils n’avaient pas commis l'«élément central » du délit civil - l’intrusion.
En novembre 2022, la Cour d’appel de l’Ontario a approuvé l’approche de la Cour divisionnaire dans trois appels entendus en tandem: Owsianik c. Equifax Canada Co. [Owsianik] , Obodo c. Trans Union of Canada Inc. [Obodo] , et Winder c. Marriott International Inc. [Winder]. Bennett Jones a représenté Marriott et des entités affiliées à Winder.
Dans chacune des trois affaires, les défendeurs avaient recueilli et stocké des renseignements personnels de leurs clients à des fins commerciales. Les demandeurs alléguaient que le défaut des défendeurs de prendre des mesures adéquates pour protéger les renseignements personnels avait permis à des tiers pirates d’accéder à ces renseignements ou de les utiliser. Il n’y avait aucune allégation selon laquelle les défendeurs eux-mêmes avaient utilisé ou communiqué les renseignements personnels de façon inappropriée.
In Owsianik, les demandeurs ont fait valoir qu’ils avaient allégué à juste titre le délit d’intrusion dans l’isolement parce qu’ils soutenaient que les défendeurs avaient agi imprudemment en stockant les renseignements. Toutefois, la Cour d’appel a conclu qu’à moins que la conduite des défendeurs ne constitue une intrusion illégale dans la vie privée des demandeurs, l’exigence de l'«état d’esprit » du délit ne pouvait être satisfaite et le délit ne pouvait s’appliquer.
Similarly, in Winder, the Court rejected the plaintiffs' argument that Marriott became an intruder when it allegedly failed in its duty to protect the privacy of its customers. Dans l’affaire Winder, les demandeurs avaient volontairement divulgué des renseignements à Marriott à des fins liées à l’exploitation des installations de Marriott. Aucun fait n’a été plaidé qui pourrait appuyer l’allégation selon laquelle Marriott avait divulgué des renseignements personnels à des personnes non autorisées, ou avait causé la divulgation de ces renseignements. Les demandeurs ont plutôt affirmé que leur consentement avait été fourni en se fondant sur l’affirmation de Marriott selon laquelle les renseignements seraient gardés confidentiels et, parce que Marriott aurait sciemment ou imprudemment omis de répondre à ces déclarations, le consentement a été vicié. Cette affirmation a été jugée sans fondement.
In Obodo, les demandeurs ont fait valoir que le défendeur était un « facilitateur » et ont exhorté la Cour à imposer l’équivalent de la doctrine de la responsabilité du fait d’autrui à Trans Union pour la tenir responsable des actions du pirate informatique. Mais, pour que la doctrine de la responsabilité du fait d’autrui s’applique, il fallait qu’il existe une relation employeur-employé entre le pirate informatique et Trans Union. En l’absence d’une telle relation, Trans Union n’était pas responsable du délit d’intrusion dans l’isolement.
En bref, les faits de cette trilogie d’affaires se distinguaient des faits de la décision historique de la Cour d’appel de 2012 dans l’affaire Jones c. Tsige [Jones],, où la Cour a établi le délit d’intrusion dans l’isolement parce que, entre autres choses, la défenderesse avait continuellement accédé aux dossiers de banque privée de la demanderesse sans son consentement. Dans cette affaire, le défendeur s’est immiscé, sans justification légitime, dans les affaires privées ou les préoccupations du demandeur, de sorte qu’une personne raisonnable considérerait l’invasion comme hautement offensante, causant détresse, humiliation ou angoisse.
Dans la trilogie d’appels en matière de protection de la vie privée, cependant, le stockage prétendument négligent de renseignements par les défendeurs ne constituait pas une atteinte au droit à la vie privée des demandeurs.
La Cour d’appel a statué que l’élargissement du délit d’intrusion lors de l’isolement pour s’appliquer aux défendeurs de bases de données créerait un fondement large et indésirable pour la responsabilité dans les délits intentionnels, en imposant la responsabilité aux défendeurs de base de données pour la conduite de tiers inconnus. Cela ne constituerait pas un « développement progressif » admissible en common law, mais serait plutôt un « pas gigantesque dans une direction très différente ». La Cour a noté que les faits de la base de données des affaires défenderesses ne « réclamaient tout simplement pas un recours » de la même manière que les faits de Jones, y compris parce que les demandeurs dans les affaires de défendeurs de base de données avaient un recours en vertu de causes d’action existantes fondées à la fois sur la loi et sur la common law.
Bien que l’autorisation de la Cour d’appel de la Cour d’appel de la Cour suprême du Canada reste en suspens, dans l’état actuel du droit en Ontario, les demandeurs qui demandent des dommages-intérêts contre les défendeurs de la base de données ont un recours limité au délit d’intrusion lors de l’isolement en l’absence d’un lien entre le défendeur de la base de données et le pirate informatique.
Cela dit, les entreprises qui recueillent des renseignements personnels d’autrui doivent continuer de tenir des bases de données sécurisées et d’éviter d’autres motifs de responsabilité qui découlent d’une violation de ces bases de données d’information, car le délit d’intrusion lors de l’isolement n’est qu’une pièce du casse-tête de la responsabilité potentielle. Par exemple, la Cour d’appel a fait remarquer que les défendeurs de la base de données pourraient toujours être tenus responsables des dommages découlant de la négligence ou de la violation d’obligations contractuelles ou légales, lorsque les demandeurs ont subi un préjudice indemnisable.