Le 13 juillet 2023, la Cour suprême du Canada (CSC) a refusé l’autorisation d’interjeter appel de trois décisions de la Cour d’appel de l’Ontario (ONCA) refusant d’appliquer le délit d’intrusion lors de l’isolement aux défendeurs de la base de données , c’est-à-dire les organisations qui recueillent et stockent des renseignements personnels dans le cadre de l’exercice d’une activité commerciale et dont les bases de données sont piratées par des tiers non autorisés. Le refus d’autorisation de la CSC est un développement important pour les défendeurs de bases de données, car les demandeurs d’atteinte à la protection des données doivent maintenant prouver une perte indemnisable pour établir une réclamation contre ces défendeurs dans le cadre d’une violation par un tiers non autorisé. Cela peut constituer une contestation importante pour les demandeurs, en particulier dans les recours collectifs, lorsque le groupe de demandeurs n’a pas subi de pertes suffisamment graves ou indemnisables s’élevant au-delà des dépenses ou des inconvénients raisonnables quotidiens.
Le délit d’intrusion dans l’isolement est une cause d’action de violation de la vie privée en common law adoptée pour la première fois par l’ONCA dans Jones v Tsige (2012 ONCA 32) [Jones] pour reconnaître le préjudice moral découlant de l’atteinte intentionnelle à la vie privée d’un demandeur. Le délit comporte trois éléments :
Comme le délit civil reconnaît le tort moral, il n’a pas besoin d’une preuve de perte pécuniaire pour obtenir des dommages-intérêts. Cette possibilité d’accorder des dommages-intérêts sans preuve de perte pécuniaire a fait du délit une cause d’action d’appel pour les demandeurs dans les recours collectifs pour atteinte à la vie privée contre les défendeurs de bases de données.
À la suite de l’arrêt Jones c. Tsige, il y avait une incertitude dans la jurisprudence de l’Ontario concernant l’application de l’intrusion lors de l’isolement aux défendeurs de bases de données. Dans ce contexte, trois recours collectifs en matière de protection de la vie privée ont été intentés devant la Cour supérieure et ont finalement été portés devant la Cour d’appel de l’Ontario en 2022 : Owsianik c. Equifax Canada Co. (2022 ONCA 813) [Equifax], Obodo c. Trans Union of Canada Inc. (2022 ONCA 814) [Trans Union] et Winder c. Marriott International Inc. (2022 ONCA 815) [Marriott], (la trilogie). Bennett Jones a représenté Marriott. 1
Equifax, Trans Union et Marriott ont chacun impliqué des défendeurs de base de données qui ont recueilli et stocké une certaine forme de renseignements personnels appartenant à des clients canadiens, y compris les noms, les dates de naissance, les adresses et / ou les informations de carte de crédit ou de paiement. Dans chaque cas, ces bases de données ont été violées par des pirates informatiques tiers inconnus et non autorisés. Dans l’affaire Equifax, le demandeur a soutenu qu’Equifax avait commis l’intrusion alléguée lors de l’isolement en stockant imprudemment les renseignements personnels qu’elle avait recueillis. Dans l’affaire Trans Union, le demandeur a fait valoir que Trans Union avait commis l’intrusion alléguée lors de l’isolement en permettant au tiers de pirater. Dans l’affaire Marriott, la demanderesse a fait valoir que Marriott avait commis l’intrusion alléguée lors de l’isolement lorsqu’elle aurait omis de protéger les renseignements contenus dans sa base de données conformément à ses déclarations et à ses obligations légales.
Dans Equifax (la décision principale dans la trilogie), l’ONCA a statué que l’intrusion dans l’isolement ne s’applique pas aux défendeurs de base de données parce qu’ils ne commettent pas l'"intrusion » requise identifiée comme le premier élément de la responsabilité délictuelle dans l’arrêt Jones. Quelle que soit la façon dont chaque demandeur a tenté de cadrer l’inconduite alléguée des défendeurs dans la base de données, la Cour a statué qu’il n’y avait aucun fait démontrant qu’ils avaient directement commis une « intrusion ». L’intentionnalité ou l’insouciance des actions des défendeurs en vertu du délit doit se rapporter à la conduite prohibée, qui est l’intrusion réelle dans les affaires privées des demandeurs — dans chaque cas, la Cour a conclu que l’intrusion a été commise par des tiers pirates inconnus et non autorisés, et non par les défendeurs de la base de données. La Cour a également refusé d’élargir le délit afin qu’il s’applique à la conduite alléguée des défendeurs de la base de données dans la trilogie.
In concluant que le délit d’intrusion lors de l’isolement ne s’applique pas aux défendeurs de base de données, l’ONCA a également réaffirmé les principes énoncés par la CSC dans l’affaire Atlantic Lottery Corp Inc. c Babstock (2020 CSC 19) [Babstock] concernant la norme « simple et évidente » utilisée pour évaluer si les actes de procédure révèlent une cause d’action défendable et l’importance de disposer des réclamations à un stade précoce, le cas échéant. Dans l’affaire Babstock, la cause d’action en cause était la renonciation à la responsabilité délictuelle. La CSC a statué qu’une demande ne survivra pas à une demande de radiation simplement parce qu’elle est nouvelle; si un tribunal ne reconnaît pas une nouvelle revendication même lorsque les faits tels qu’ils sont plaidés sont jugés véridiques, alors la demande est clairement vouée à l’échec et devrait être radiée.
In Equifax, l’ONCA a ajouté aux principes de Babstock en statuant qu’un tribunal peut déterminer la validité d’une réclamation sur une motion de plaidoirie même lorsque la question juridique à laquelle il faut répondre est complexe, chargée de politiques et ouverte à un débat. Le règlement rapide de la viabilité juridique des revendications, en particulier celles qui sont clairement vouées à l’échec, sert l’efficacité judiciaire, améliore l’accès à la justice et favorise la certitude dans le droit. L’ONCA a statué que cette approche minimiserait également l’injustice découlant de toute incertitude juridique qui pourrait exacerber la responsabilité potentielle des défendeurs et donner aux demandeurs une « longueur d’avance » dans le processus de certification.
Le délit d’intrusion dans l’isolement, comme la doctrine de la renonciation à la responsabilité délictuelle qui lui a été soumise, a été utile pour les demandeurs qui cherchaient à obtenir une certification. Les demandeurs ont été en mesure d’utiliser la nouveauté des causes d’action alléguées et la réticence des tribunaux à rejeter les réclamations sur le fondement de requêtes en stike cause d’actions plaidée, afin de faire avancer les recours collectifs en éliminant le besoin d’enquêtes individualisées qui ont dégradé leur capacité à satisfaire à l’exigence de commonality. Cette stratégie n’est plus disponible pour les demandeurs.
Bien que les entreprises qui recueillent et stockent les renseignements personnels de leurs clients demeurent assujetties à des obligations légales, contractuelles et autres obligations légales (y compris le délit de négligence), le refus de la CSC d’autoriser l’autorisation d’interjeter appel de la trilogie apporte une clarté bienvenue pour les défendeurs de base de données qui font face à des réclamations pour dommages moraux en vertu du délit d’intrusion lors de l’isolement.
Pour plus d’informations, veuillez contacter les auteurs de ce blog ou un membre du Groupe de litige Bennett Jones Class Actions Litigation group ou Groupe de confidentialité et de protection des données.
1 Pour une analyse détaillée de la Trilogie, voir notre blog du 1er juin 2023,