Écrit par Nina Butz et Miranda Cooper
Au cours de la dernière année, les défendeurs institutionnels visés par des recours collectifs pour atteinte à la vie privée au Canada se sont retrouvés devant une certaine incertitude. Bien que l’approche de la Cour d’appel de l’Ontario ait été la même à l’égard des recours collectifs contre les « défendeurs exploitant des bases de données », deux décisions de la Cour d’appel de la Colombie-Britannique laissent entendre que les demandeurs pourraient davantage réussir à obtenir une indemnisation de la part de ces défendeurs dans les ressorts qui ont codifié une cause d’action pour atteinte à la vie privée, comme la Colombie-Britannique, qu’où le délit d’intrusion dans l’intimité est reconnu, comme en Ontario.
L’expression « défendeurs exploitant des bases de données » désigne les organisations qui recueillent et stockent des renseignements personnels à des fins commerciales et dont les bases de données sont consultées par des tiers non autorisés. Les recours collectifs intentés contre les défendeurs exploitant des bases de données sont de plus en plus fréquents. Les premiers exemples de ceux-ci, qui ont été intentés en Ontario, invoquaient le délit d’intrusion dans l’intimité.
En matière d’atteinte à la vie privée, l’intrusion dans l’intimité est une cause d’action de common law qui vise à réparer le préjudice moral et émotionnel subi par les demandeurs victimes d’atteinte intentionnelle à la vie privée. Cette cause d’action a été adoptée par la Cour d’appel de l’Ontario dans sa décision de 2012 dans l’affaire Jones c. Tsige. Le délit d’intrusion dans l’intimité comporte les trois éléments suivants :
- le défendeur doit s’être immiscé dans les affaires privées ou les préoccupations personnelles du demandeur, sans excuse légitime;
- la conduite qui constitue l’intrusion ou l’atteinte doit avoir été commise intentionnellement ou de façon inconsidérée;
- une personne raisonnable considérerait l’atteinte à la vie privée comme étant très choquante et causant de la détresse, de l’humiliation ou de l’angoisse.
Contrairement à la plupart des causes d’action de common law, le délit d’intrusion dans l’intimité n’exige pas la preuve d’une perte pécuniaire pour justifier l’octroi de dommages‐intérêts. Cette caractéristique du délit civil en fait une cause d’action attrayante pour les demandeurs qui intentent des poursuites pour atteinte à la vie privée.
La possibilité pour les défendeurs d’avoir recours au délit civil dans ce contexte a été mise à l’épreuve dans a) Owsianik v. Equifax Canada Co., b) Obodo v. Trans Union of Canada Inc., et c) Winder v. Marriott International Inc. (collectivement, la Trilogie), trois recours collectifs proposés en matière de protection de la vie privée qui ont finalement été présentées à la Cour d’appel de l’Ontario.
Comme il est examiné dans la publication Recours collectifs : Regard vers l’avenir 2024 de Bennett Jones, la Trilogie concernait des tentatives de tenir les défendeurs exploitant des bases de données responsables de violations par des tiers pirates informatiques non autorisés. Le rejet par la Cour d’appel de l’Ontario des trois appels de la Trilogie s’explique essentiellement par le fait qu’elle a conclu qu’aucun comportement des défendeurs exploitant des bases de données (par opposition aux pirates informatiques) ne pouvait être considéré comme une intrusion ou une atteinte à la vie privée des demandeurs. La Cour a estimé que le fait de tenir les défendeurs exploitant des bases de données responsables du comportement délictuel de pirates informatiques inconnus [traduction] « créerait un nouveau fondement très large pour la conclusion de la responsabilité pour délit intentionnel ».
La Cour suprême du Canada a refusé l’autorisation d’interjeter appel de chacune des décisions de la Trilogie. La Cour d’appel de l’Ontario a confirmé la Trilogie dans sa décision de 2024 dans l’affaire Del Giudice v. Thompson, une procédure parallèle à l’affaire Campbell v. Capital One Financial Corporation, 2024 BCCA 253 (Capital One), examinée ci-dessous.
En revanche, les défendeurs exploitant des bases de données sont confrontés à un contexte différent en Colombie-Britannique en raison de la loi sur la protection de la vie privée (Privacy Act) de la province. Le paragraphe 1(1) de la Privacy Act de la Colombie-Britannique prévoit que [traduction] « constitue un délit civil ouvrant droit à une poursuite, sans qu’il soit nécessaire de prouver l’existence de dommages-intérêts, le fait, pour une personne, de porter intentionnellement atteinte à la vie privée d’autrui, sans revendication d’un droit à cet égard ». De façon générale, cette cause d’action peut être invoquée seulement par les résidents de la province.
Dans deux décisions de 2024 relatives à la certification, la Cour d’appel de la Colombie-Britannique s’est penchée sur la question de savoir si un manquement prétendument « inconsidéré » de la part de défendeurs exploitant des bases de données à protéger les données de leurs clients pouvait constituer une violation de la vie privée en vertu de la législation de la Colombie-Britannique. Bien qu’elle n’ait pas conclu de manière décisive à une cause d’action contre les défendeurs exploitant des bases de données, la Cour d’appel de la Colombie-Britannique a conclu dans les deux cas que les allégations du demandeur en vertu de la Privacy Act n’étaient pas évidentes et manifestement vouées à l’échec à l’étape des plaidoiries du test de la certification.
Dans l’affaire G. D. v. South Coast British Columbia Transportation Authority, 2024 BCCA 252 (South Coast), la Cour d’appel de la Colombie-Britannique a conclu qu’il était au moins possible de soutenir que le défendeur exploitant une base de données pouvait être considéré comme ayant intentionnellement porté atteinte à la vie privée des personnes dont les informations personnelles sont stockées en vertu de la Privacy Act de la Colombie-Britannique. Dans l’affaire Capital One, la Cour d’appel de la Colombie‐Britannique a également conclu que les demandes fondées sur la Privacy Act n’étaient pas vouées à l’échec (y compris les demandes présentées en vertu des lois équivalentes de la Saskatchewan et de Terre‐Neuve‐et‐Labrador).
Dans les affaires South Coast et Capital One, la Cour d’appel de la Colombie‐Britannique a établi une distinction entre l’analyse de l’intrusion dans l’intimité dans la Trilogie et l’« atteinte intentionnelle » au sens de la Privacy Act de la Colombie‐Britannique. Dans l’affaire Capital One, la Cour a reconnu que la Trilogie pouvait être utile pour interpréter la portée d’une « atteinte intentionnelle » à la vie privée en vertu de la Privacy Act de la Colombie-Britannique. Toutefois, elle a également souligné que les causes d’action délictuelles et statutaires de la common law [traduction] « ne sont pas toutes deux identiques ». Par ailleurs, la Cour a refusé de déterminer si le délit d’intrusion dans l’intimité existe également en Colombie‐Britannique, question que les tribunaux de la province n’ont pas encore tranchée.
Les courants décisionnels de l’Ontario et de la Colombie-Britannique divergent également du point de vue des politiques. Dans la Trilogie, la Cour d’appel de l’Ontario s’est montrée très préoccupée par les conséquences potentielles d’une portée large du champ d’application des délits intentionnels. Par contre, la Cour d’appel de la Colombie-Britannique [traduction] « voit l’argument de l’avalanche différemment, c’est-à-dire comme une avalanche de renseignements personnels non protégés qui échappent au contrôle des personnes dont ils relèvent et se retrouvent entre les mains d’acteurs malveillants, à moins que la loi ne réagisse adéquatement ». Néanmoins, il convient de noter que la différence d’orientation découle probablement de la différence entre les régimes législatifs de la Colombie‐Britannique et de l’Ontario.
La Saskatchewan, le Manitoba et Terre-Neuve-et-Labrador disposent également de lois qui prévoient l’atteinte à la vie privée en tant que cause d’action comme celle de la Colombie-Britannique. Cependant, les lois de la Saskatchewan, du Manitoba et de Terre-Neuve-et-Labrador prévoient expressément qu’elles ne portent pas atteinte à d’autres droits comme ceux prévus par la common law. Cela peut avoir une incidence sur la question de savoir si ou comment l’intrusion dans l’intimité sera adoptée et appelée à coexister avec les délits civils de ces provinces comparativement à la Colombie‐Britannique. Par exemple, dans l’affaire Welshman v. Central Regional Health Authority, la Cour suprême de Terre-Neuve-et-Labrador s’est fondée sur cette même distinction pour conclure que la réclamation des demandeurs fondée sur le délit d’intrusion dans l’intimité pouvait être certifiée.
D’autres provinces, dont la Nouvelle-Écosse et le Manitoba, semblent également avoir reconnu ce délit civil de common law. En l’absence d’une cause d’action pour atteinte à la vie privée prévue par la loi, les tribunaux de l’Alberta ont hésité à reconnaître le délit d’intrusion dans l’intimité.
Regard vers l’avenir
Comme l’a récemment noté la Cour d’appel de la Colombie-Britannique dans l’affaire InvestorCOM Inc. v. L’Anton, [traduction] « il est désormais reconnu que l’approche relative à l’atteinte aux données au Canada peut varier d’une province à l’autre, y compris entre celles dont les lois prévoient le délit pour atteinte à la vie privée et celles qui ne le prévoient pas », ce qui risque d’avoir une incidence à l’avenir pour les causes d’action alléguées contre les défendeurs exploitant des bases de données et les ressorts dans lesquels de tels recours collectifs sont intentés au Canada.
Les tribunaux de l’Ontario ont précisé clairement que le délit d’intrusion dans l’intimité n’est pas une cause d’action valable dans ces circonstances, tandis que ceux de la Colombie-Britannique considèrent que les défendeurs exploitant des bases de données peuvent être potentiellement responsables d’« atteintes intentionnelles » à la vie privée en vertu de la Privacy Act. Cette divergence est susceptible d’exacerber la tendance actuelle à intenter des recours collectifs en Colombie-Britannique, du moins celles qui portent sur la protection de la vie privée, en attendant qu’une décision sur le fond de la question soit prise dans la province.
Il reste à voir comment ces ressorts qui disposent à la fois du délit civil d’origine législative et du délit en matière de vie privée de la common law concilieront ces deux causes d’action et quelle sera leur approche à l’égard des défendeurs exploitant des bases de données à la lumière de ces décisions d’appel.
Autres articles de cette série
- Les modifications apportées à la Loi sur la concurrence ouvrent la voie à des quasi-recours collectifs
- La Cour suprême du Canada se prononce sur la portée de la notion de « changement important », ce qui aura des conséquences majeures dans le traitement des recours collectifs en valeurs mobilières
- La Cour suprême reconnaît la constitutionnalité d’un recours collectif intenté au nom de plusieurs gouvernements
- Relever la barre : Les demandeurs en quête de nouvelles stratégies pour prouver l’existence de questions communes aux fins de certification
- La Cour d’appel de l’Ontario a précisé les conditions permettant le rejet de recours collectifs pour cause de retard
- La Cour d’appel met fin aux actions spéculatives en responsabilité du fait des produits
- Contrôle par le juge saisi de la demande d’autorisation : la Cour d’appel du Québec confirme le principe de l’irrecevabilité partielle dans l’affaire Salko c. Financière Banque Nationale inc.
- La Colombie-Britannique aux prises avec des questions de preuve et la nécessité d’appliquer une méthodologie viable
Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones