Le 4 juillet 2024, la Cour d’appel de la Colombie-Britannique (la « CACB ») a rendu deux jugements d’appel en matière d’actions collectives dans des contextes de fuite de données. Ce faisant, la CACB a clarifié la portée potentielle des recours fondés sur le droit à la vie privée à l’encontre des consignataires de données qui subissent des cyberattaques, et ce, que ces recours soient prévus par la loi ou en vertu de la common law. Dans chacune des affaires G.D. v. South Coast British Columbia Transportation Authority (l’« affaire G.D. ») et Campbell v. Capital One Financial Corporation (l’« affaire Campbell »), la CACB a confirmé la possibilité de faire valoir diverses causes d’action à l’encontre de consignataires de données qui n’ont pas commis d’acte répréhensible intentionnel, y compris le délit civil d’atteinte à la vie privée en vertu de la Privacy Act de la Colombie-Britannique (la « Loi »). Ces jugements font suite à celui rendu par la CACB plus tôt cette année dans l’affaire Situmorang v. Google, LLC, dans laquelle elle a laissé en suspens la question de savoir si, en plus du délit civil d’atteinte à la vie privée, le délit civil d’intrusion dans l’intimité existe en Colombie-Britannique.
L’affaire G.D.
Dans l’affaire G.D., la Cour suprême de la Colombie-Britannique (la « Cour suprême ») avait refusé d’accueillir une demande pour exercer une action collective à l’encontre de la South Coast British Columbia Transportation Authority (« Translink ») découlant d’une cyberattaque à la suite de laquelle les renseignements personnels des employés de Translink et de tiers auraient été compromis. La Cour suprême avait notamment statué que les réclamations pour atteinte à la vie privée en vertu de la Loi des membres du groupe proposé à l’encontre de Translink n’étaient pas fondées en droit, étant donné que l’atteinte à la vie privée des demandeurs avait été commise « volontairement » par des cyberattaquants tiers et non par Translink. Selon la Cour suprême, il était « évident » que, dans pareille affaire, seul le cyberattaquant lui-même peut avoir commis un tel délit civil en vertu de la législation en vigueur. Le consignataire de données ne peut pas faire l’objet d’une condamnation à cet égard.
En appel, la CACB a cassé le jugement de première instance quant à l’existence d’une cause d’action viable en vertu de la Loi. La CACB a noté qu’il était à tout le moins possible d’alléguer que le consignataire de données, qui avait recueilli les renseignements personnels des demandeurs et qui n’avait pas protégé ces renseignements contre une cyberattaque effectuée par un tiers, avait volontairement porté atteinte à la protection de la vie privée des demandeurs et ainsi commis un délit civil d’atteinte à la vie privée. Sans tenter de définir les limites théoriques de ce délit civil, la CACB a déclaré qu’il était à tout le moins possible de prétendre que l’exigence selon laquelle le délit avait été commis volontairement pouvait comprendre l’« état d’esprit » donnant lieu à l’omission téméraire de protéger les renseignements personnels d’une personne qui sont en la possession du défendeur, laquelle omission permettrait la divulgation de ces renseignements à d’autres personnes. Pour rendre ces conclusions, la CACB s’est fondée en partie sur le caractère quasi constitutionnel des droits à la vie privée, l’objet de la Loi visant à protéger ces droits reconnus par la Constitution, la croissance rapide des activités de collecte de renseignements, ainsi que la possibilité d’une utilisation abusive de tels renseignements.
L’affaire Campbell
Dans l’affaire Campbell, la Cour suprême avait accueilli une demande pour autorisation d’exercer une action collective produite à l’encontre de Capital One. Cette action collective découlait également d’une cyberattaque à la suite de laquelle les renseignements personnels de demandeurs de cartes de crédit auraient été compromis. La Cour suprême avait notamment déterminé 1) qu’un consignataire de données négligent et un cyberattaquant pouvaient être tenus solidairement responsables du délit civil de l’intrusion dans l’intimité; 2) que l’abus de confiance n’avait pas été suffisamment mis en preuve en raison de l’absence d’allégations quant à l’utilisation abusive des renseignements visés; et 3) qu’elle était compétente pour rendre des jugements relativement à des réclamations fondées sur la législation en matière de protection de la vie privée d’autres provinces.
En appel, la CACB a confirmé le jugement de première instance autorisant l’action collective. Ce faisant, elle a infirmé la conclusion du tribunal de première instance selon laquelle un consignataire de données négligent et un cyberattaquant pouvaient être tenus solidairement responsables de dommages moraux, mais elle n’a pas déterminé si les membres de l’action collective étaient en droit de réclamer des dommages-intérêts compensatoires. De plus, la CACB a rejeté une cause d’action pour abus de confiance, car les demandeurs n’ont pas fait valoir de lien entre l’allégation d’utilisation abusive de données de la part du consignataire de données (soit la conservation continue de renseignements confidentiels) et le préjudice allégué des membres du groupe proposé (soit la conduite des cyberattaquants). Enfin, elle a également conclu que la Colombie-Britannique est compétente en ce qui a trait aux réclamations fondées sur la législation en matière de protection de la vie privée d’autres provinces.
Pour en savoir davantage, communiquez avec :
Plus de ressources
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.