Le 9 juin 2021, dans l’affaire Owsianik v. Equifax Canada Co., 2021 ONSC 4112 (l’« affaire Equifax »), la majorité des juges de la Cour divisionnaire de l’Ontario a rejeté le délit d’intrusion dans l’intimité comme question commune dans le cadre d’une demande d’autorisation d’une action collective (« motion en certification d’un recours collectif » en Ontario) concernant une cyberattaque. Il s’agit de la première fois qu’une cour d’appel se penche sur le champ d’application du délit d’intrusion dans l’intimité depuis que ce dernier a été reconnu initialement par la Cour d’appel de l’Ontario en tant que cause d’action dans l’affaire Jones v. Tsige, 2012 ONCA 32 (l’« affaire Jones »).
CONTEXTE
En 2017, des cyberpirates ont accédé sans autorisation au réseau informatique d’Equifax. Lors de cet incident, les renseignements personnels et financiers de consommateurs de partout en Amérique du Nord auraient été exposés aux cyberpirates.
Les demandeurs ont intenté une action collective, en alléguant diverses causes d’action, dont le délit d’intrusion dans l’intimité. Dans les actes de procédure, les demandeurs ont allégué qu’Equifax savait que son réseau informatique était vulnérable aux cyberattaques et a choisi de ne rien faire, et que ces omissions constituaient une intrusion intentionnelle ou téméraire dans l’intimité. Cette demande constituait une application inédite de ce délit à l’égard d’un défendeur qui était la victime d’une cyberattaque commise par un tiers.
Le délit d’intrusion dans l’intimité a été reconnu pour la première fois en 2012 dans le cadre de l’affaire Jones. Pour établir un tel délit, le demandeur doit prouver que :
-
le défendeur a commis une intrusion intentionnelle (ou téméraire) et illégale dans les affaires du demandeur;
-
les affaires ayant fait l’objet de cette intrusion sont privées;
-
l’intrusion serait considérée par une personne raisonnable comme étant très choquante;
-
l’intrusion a causé chez le demandeur de la détresse, de l’humiliation ou de l’angoisse.
Depuis l’affaire Jones, l’intrusion dans l’intimité a été autorisée en tant que question commune dans plusieurs actions collectives en matière de protection de la vie privée, bien que certains tribunaux aient exprimé des doutes quant au succès d’une telle demande contre un défendeur qui ne s’est pas lui-même introduit dans l’intimité du demandeur. L’une des questions clés dans l’affaire Equifax était de savoir s’il était évident et manifeste que l’allégation faite par le demandeur de l’intrusion dans l’intimité était vouée à l’échec, étant donné que le défendeur était la victime de la cyberattaque et non l’auteur de cette dernière.
En première instance, le juge saisi de la requête a autorisé la demande fondée sur le délit d’intrusion dans l’intimité, car elle représentait une application inédite d’un tel délit. Il a déterminé que la question de savoir si un défendeur ayant permis de façon téméraire la survenance d’une cyberattaque peut être tenu responsable d’un délit d’intrusion dans l’intimité n’avait pas encore été réglée. Pour cette raison, il a conclu qu’il n’était pas évident et manifeste que la demande était vouée à l’échec.
DÉCISION DE LA COUR DIVISIONNAIRE DE L’ONTARIO
Les juges majoritaires de la Cour divisionnaire de l’Ontario ont conclu que la demande fondée sur le délit d’intrusion dans l’intimité du demandeur ne révélait aucune cause d’action raisonnable et n’aurait pas dû être autorisée. En tenant les faits allégués pour avérés, les juges majoritaires ont conclu qu’Equifax ne s’était pas introduite dans l’intimité du demandeur puisque ce sont les cyberpirates qui avaient commis la cyberattaque. Étant donné que la décision rendue dans l’affaire Jones prévoit que le défendeur doit avoir commis l’intrusion, la demande des demandeurs équivalait à plus qu’une évolution graduelle du droit et était vouée à l’échec. Les juges majoritaires ont également souligné que le délit de négligence correspondait adéquatement à la conduite alléguée par le demandeur, pourvu que les membres du groupe puissent prouver qu’ils ont subi des préjudices indemnisables.
Les juges majoritaires se sont appuyés sur les indications de la Cour suprême du Canada dans l’affaire Société des loteries de l’Atlantique c. Babstock, 2020 CSC 19 (l’« arrêt Babstock ») (voir notre Bulletin Blakes intitulé La CSC dit adieu à la renonciation au recours délictuel), selon lesquelles les demandes, y compris les demandes inédites, qui sont vouées à l’échec soient tranchées tôt dans l’instance. Il est d’ailleurs souligné dans l’arrêt Babstock que de telles demandes ne doivent pas présenter « matière à un procès long et coûteux ». Les juges majoritaires dans l’affaire Equifax ont statué que la demande pour intrusion dans l’intimité du demandeur devait être analysée à l’étape des actes de procédure.
Or, selon la juge dissidente, l’arrêt Babstock ne s’appliquait en l’espèce étant donné que le demandeur alléguait une application inédite d’un délit reconnu plutôt qu’une cause d’action entièrement nouvelle. Elle aurait conclu qu’une telle demande constituait une évolution graduelle du droit qui devrait pouvoir être instruite pour que la question soit jugée sur le fond.
DISCUSSION
Bien que l’affaire Equifax puisse faire l’objet d’autres appels, elle constitue toutefois un développement important du droit canadien en matière de protection de la vie privée, les juges majoritaires ayant confirmé le statut de l’intrusion dans l’intimité comme délit intentionnel qui ne doit pas être confondu avec le délit de négligence. En outre, le défendeur doit être partie à l’intrusion : l’intrusion dans l’intimité n’est pas une cause d’action viable si le demandeur allègue uniquement que le défendeur n’a pas agi pour empêcher la survenance d’une cyberattaque.
Cette décision rendue par les juges majoritaires confirme également que le critère d’autorisation d’une cause d’action constitue un mécanisme de filtrage valable. L’affaire Equifax confirme que les demandes inédites, y compris les demandes inédites fondées sur des causes d’action reconnues, devraient être entièrement analysées à l’étape des actes de procédure dans la mesure du possible.
Pour en savoir davantage, communiquez avec :
Claude Marseille 514-982-5089
Nicole Henderson 416-863-2399
ou un autre membre de nos groupes Actions collectives ou Cybersécurité.
Plus de ressources
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse communications@blakes.com.
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.