Au cours des dernières années, les organisations qui ont été victimes de cyberattaques ont souvent été désignées comme défendeurs dans le cadre d’actions collectives en matière de protection de la vie privée. Dans bon nombre de ces cas, les demandeurs ont tenté d’éviter d’avoir à établir qu’eux-mêmes et d’autres membres putatifs du groupe avaient subi une perte ou un préjudice réel par suite de l’incident en présentant des allégations fondées sur l’atteinte à la vie privée ou sur le « délit d’intrusion dans l’intimité » reconnu en common law, une faute intentionnelle qui donne ouverture à une action à la suite d’intrusions délibérées dans les affaires privées et qui peut entraîner une indemnisation sans preuve de perte. Les demandeurs ont fait valoir que la faute s’applique non seulement aux auteurs de la cyberattaque, mais aussi à l’organisation ciblée (souvent appelée le « défendeur exploitant des bases de données » (Database Defendant)), au motif que l’organisation a omis de prendre des mesures adéquates pour protéger les renseignements qu’elle avait recueillis et stockés contre un accès non autorisé.
Le 25 novembre 2022, la Cour d’appel de l’Ontario a rendu sa décision phare dans l’arrêt Owsianik v. Equifax Canada Co. [1], ainsi que deux décisions connexes [2]. Dans ces trois arrêts, la Cour d’appel a confirmé la décision de la Cour divisionnaire dans l’affaire Owsianik [3], selon laquelle l’atteinte à la vie privée ne peut donner ouverture à une action fondée sur le défaut allégué d’empêcher une intrusion par un tiers indépendant et que, par conséquent, cette cause d’action ne pourra généralement pas être menée contre les défendeurs exploitants des bases de données. Il s’agit de la première fois qu’une cour d’appel canadienne examine la portée de l’atteinte à la vie privée depuis que cette cause d’action a été reconnue pour la première fois par la Cour d’appel de l’Ontario en 2012, et ces trois décisions auront des répercussions importantes sur les actions collectives en matière de protection de la vie privée à l’échelle du Canada.
Survol historique du droit d’action fondé sur l’atteinte à la vie privée
Le droit d’action fondé sur l’atteinte à la vie privée a été reconnu par la Cour d’appel de l’Ontario dans l’arrêt Jones c. Tsige [4]. Les faits de l’arrêt Jones étaient simples. La partie défenderesse et la partie demanderesse travaillaient toutes les deux dans différentes succursales de la même banque et y détenaient des comptes bancaires. Après avoir entamé une relation amoureuse avec l’ex-époux de la partie demanderesse, la partie défenderesse s’est délibérément servie de son poste à la banque pour obtenir un accès non autorisé aux renseignements du compte bancaire de la partie demanderesse au moins 174 fois sur une période de quatre ans. Malgré la nature délibérée et prolongée de la conduite fautive de la partie défenderesse, la partie demanderesse ne disposait d’aucun recours en vertu des lois de l’Ontario à l’époque.
C’est dans ce contexte que la Cour d’appel a reconnu le droit d’action fondé sur l’atteinte à la vie privée : une faute intentionnelle restreinte et limitée visant à fournir un recours aux particuliers dans les cas où un défendeur s’est immiscé délibérément et de façon importante dans les affaires privées d’un demandeur. Plus précisément, l’atteinte à la vie privée reconnue dans l’affaire Jones exige que chacun des éléments constitutifs suivants soit plaidé et prouvé :
1. Exigence relative à la conduite : le défendeur doit s’être ingéré ou immiscé dans les questions ou les affaires privées du demandeur sans motif légitime;
2. Exigence relative à l’état d’esprit : la conduite qui constitue l’intrusion ou l’ingérence doit avoir été commise intentionnellement ou de façon téméraire;
3. Exigence relative à la conséquence : une personne raisonnable considérerait l’ingérence comme étant particulièrement offensante et causant de la souffrance, de l’humiliation ou de l’angoisse [5].
Il n’est pas nécessaire de prouver qu’il y a eu une perte pour que des dommages-intérêts soient accordés sur la base de l’atteinte à la vie privée. Lorsque la responsabilité peut être établie, un demandeur se verra accorder des dommages‐intérêts « moraux » sans qu’il soit nécessaire de prouver la perte afin de faire valoir les droits lésés de celui-ci en matière de vie privée et afin de reconnaître le préjudice intentionnel causé par le défendeur [6].
L’affaire Owsianik et les trois décisions de la Cour d’appel
L’affaire Owsianik découle d’un incident lié à la protection de la vie privée survenu en 2017, au cours duquel des pirates informatiques ont obtenu un accès non autorisé à des renseignements personnels recueillis et stockés par Equifax. La partie demanderesse a allégué, entre autres, qu’Equifax avait commis une atteinte à la vie privée du fait qu’elle n’avait pas pu empêcher les pirates informatiques d’avoir accès à ces renseignements. Le juge de première instance a autorisé la demande fondée sur l’atteinte à la vie privée du demandeur au motif que la portée de cette faute n’avait pas encore été établie et que la question devait être instruite afin d’être tranchée sur la base d’un dossier complet d’éléments de preuve. Les juges majoritaires de la Cour divisionnaire ont infirmé cette décision, en concluant que cette cause d’action ne s’appliquait pas aux défendeurs exploitants des bases de données et que la reformulation de la faute que proposait le demandeur ne pouvait être considérée comme une évolution modeste et progressive par rapport aux principes juridiques existants. Le juge dissident aurait rejeté l’appel et accueilli la demande fondée sur l’atteinte à la vie privée du demandeur pour qu’elle soit instruite et jugée sur le fond.
La Cour d’appel a rejeté l’appel du demandeur et a déclaré que la nécessité d’établir que le défendeur a commis un acte de nature intrusive ou invasive est un élément fondamental et indispensable à l’atteinte à la vie privée qui ne peut être établie sur le fondement d’un défaut allégué d’empêcher un tiers de s’immiscer dans les affaires privées du demandeur [7]. La Cour a statué qu’accorder des « dommages-intérêts moraux » contre les défendeurs exploitants des bases de données pour ce qui, essentiellement, constitue une allégation de négligence ou de violation de contrat irait à l’encontre des objectifs mêmes qui sous-tendent ces dommages-intérêts, à savoir : faire valoir les droits lésés et reconnaître le préjudice intentionnel causé par le défendeur [8]. De plus, contrairement à l’affaire Jones, les personnes dont les renseignements sont compromis dans le cadre d’une atteinte à la sécurité des données ne sont pas laissées sans recours; d’autres causes d’action, comme la négligence et la violation de contrat, peuvent être invoquées par les personnes qui peuvent prouver qu’elles ont subi une perte pécuniaire réelle par suite d’une atteinte à la sécurité des données [9].
En rejetant la demande fondée sur le délit d’intrusion du demandeur, la Cour d’appel s’est fondée sur la décision de la Cour suprême du Canada dans l’affaire Société des loteries de l’Atlantique c. Babstock [10], laquelle a démontré de quelle façon le critère du caractère évident et manifeste devait être appliqué dans le contexte d’actions prétendument nouvelles. En appliquant la décision rendue dans l’affaire Babstock, la Cour a cerné quatre facteurs offrant une justification solide pour décider de la viabilité juridique de la demande fondée sur l’atteinte à la vie privée du demandeur à l’étape des procédures :
1. il y avait lieu de répondre à la question en fonction des faits présentés et il n’y avait aucune possibilité qu’une preuve soumise dans le cadre du procès ait une incidence sur la réponse à la question de droit posée;
2. aucune des parties n’a subi d’injustice en ce qui a trait à la décision sur le bien-fondé de la question juridique dans le cadre des plaidoiries;
3. la question a fait l’objet d’une argumentation et d’un exposé complets;
4. les considérations d’ordre institutionnel énoncées dans l’affaire Babstock militaient en faveur d’une décision sur le fond à l’égard de la question de droit [11].
Commentaires et répercussions
L’arrêt Owsianik et ses affaires connexes représentent une évolution importante du droit canadien en matière de protection de la vie privée et auront des répercussions immédiates sur les actions collectives en matière de protection de la vie privée à l’échelle du Canada. En confirmant les éléments d’atteinte à la vie privée reconnus dans l’arrêt Jones, la Cour d’appel a renforcé la portée étroite et limitée de ce délit intentionnel, principalement afin de punir les fautifs et de dissuader les autres de s’immiscer intentionnellement dans les affaires privées d’autrui.
La décision rendue dans l’affaire Owsianik s’appuie sur l’arrêt Babstock et fournit des indications utiles quant à l’application du critère du caractère évident et manifeste dans le contexte d’actions prétendument nouvelles.
[1] 2022 ONCA 813 [Owsianik].
[2] Obodo v. Trans Union of Canada, Inc., 2022 ONCA 814; Winder v. Marriott International, Inc., 2022 ONCA 815.
[3] 2021 ONSC 4112.
[4] 2012 ONCA 32 [Jones].
[5] Owsianik, au par. 54; Jones aux par. 70 et 71.
[6] Jones, au par. 87; voir également : Owsianik, au par. 77.
[7] Owsianik, au par. 57.
[8] Owsianik, au par. 77.
[9] Owsianik, aux par. 75 à 79.
[10] 2020 CSC 19 [Babstock].
[11] Owsianik, au par. 50.
