Les récents développements dans le domaine des recours collectifs en matière de protection de la vie privée favorisent les entreprises qui font face à des risques continus dans le maintien de la confidentialité des renseignements personnels recueillis à des fins professionnelles. Bien que les entreprises doivent continuer d’adhérer aux lois et aux politiques sur la protection de la vie privée prévues par la loi et la common law, les décisions de recours collectifs en matière d’atteinte à la vie privée en 2021 montrent que les défendeurs institutionnels ont le dessus si les membres du groupe ne peuvent pas prouver les pertes indemnisables. À moins de nouveaux développements dans les cours d’appel qui permettent l’application prolongée du délit d’intrusion dans l’isolement, qui n’exige pas de preuve de perte, les atteintes à la vie privée doivent entraîner une perte ou un préjudice quantifiable au-delà des inconvénients quotidiens pour que les demandeurs réussissent.
Dans l’affaire Setoguchi v Uber, le juge Rooke de la Cour du Banc de la Reine de l’Alberta a exercé la fonction de contrôle de la Cour pour refuser la certification dans une action alléguant une atteinte à la vie privée causée par des « pirates informatiques » tiers obtenant un accès non autorisé aux bases de données d’Uber. Bien que les pirates aient accédé aux renseignements personnels (noms, adresses et données de localisation) des utilisateurs d’Uber, il n’y avait aucune preuve d’un préjudice réel et indemnisable subi par les membres du groupe qui serait « au moins discutable » plus tard. Le juge Rooke a clairement indiqué qu’une simple atteinte à la vie privée n’est pas suffisante pour la certification; il doit y avoir « des éléments de preuve » ou des « fondements factuels » pour les préjudices indemnisables subis par des personnes dont la vie privée a été violée.
Dans sa décision d’approbation de règlement de 2021 dans l’affaire Karasik v Yahoo! Inc, le juge Perell de la Cour supérieure de justice de l’Ontario a également reconnu l’importance de la preuve de la perte indemnisable dans les poursuites pour atteinte à la vie privée. Après avoir examiné la jurisprudence en matière de recours collectifs en matière de protection de la vie privée, le juge Perell a noté que les sociétés défenderesses comme Yahoo jouissent de positions plus solides, compte tenu de l’incapacité des demandeurs à prouver un préjudice réel. Comme dans le cas de Setoguchi, Karasik impliquait un « défendeur de base de données », c’est-à-dire un défendeur en recours collectif en matière de protection de la vie privée dont les bases de données ont été piratées par des tiers non autorisés. En approuvant l’entente de règlement dans l’affaire Karasik avec peu de modifications, le juge Perell a fait remarquer que, bien que la probabilité d’accréditation soit élevée dans ce genre de cas, il n’y avait eu aucune indication de succès sur le fond.
L’observation du juge Perell a rapidement été renforcée par le jugement sur le bien-fondé du juge Lucas dans l’affaire Lamoureux c Organisme canadien de réglementation du commerce des placements, une décision de la Cour supérieure du Québec rendue en 2021, peu après la libération de Karasik. À Lamoureux, un employé de l’Organisme canadien de réglementation du commerce des valeurs industrielles (OCRCVM) a perdu un ordinateur portatif délivré par le travail contenant des renseignements personnels et financiers sensibles et non cryptés appartenant à des milliers de Canadiens. L’OCRCVM a admis qu’elle n’avait pas protégé les données adéquatement, mais le juge Lucas a tout de même refusé le recouvrement aux membres du groupe parce que, entre autres raisons, les avocats du groupe ne pouvaient pas démontrer des pertes suffisamment graves ou indemnisables s’élevant au-delà des dépenses ou des inconvénients raisonnables quotidiens.
Étant donné que le succès des demandeurs repose sur la preuve de la perte indemnisable, il n’est pas surprenant que les avocats du groupe aient depuis cherché refuge en vertu du délit d’intrusion dans l’isolement, un délit de protection de la vie privée pour lequel la preuve de la perte n’est pas requise. Cette cause d’action est reconnue en Ontario et, comme l’a établi la Cour d’appel de l’Ontario dans l’arrêt Jones c. Tsige, est établie lorsque le défendeur s’est immiscé intentionnellement ou imprudemment, sans justification légale, dans les affaires privées ou les préoccupations du demandeur, de sorte qu’une personne raisonnable considérerait l’invasion comme hautement offensante, causer de la détresse, de l’humiliation ou de l’angoisse.
Étant donné que la preuve de la perte n’est pas requise en vertu du délit civil, les avocats du groupe ont poursuivi les défendeurs de la base de données pour intrusion dans l’isolement, faisant valoir que le délit devrait s’appliquer, non seulement aux pirates informatiques, mais aussi aux défendeurs institutionnels dont les bases de données sont consultées sans autorisation ni justification légale. Cet argument est ressorti plus particulièrement dans l’affaire Owsianik v Equifax Canada Co, dans laquelle une majorité de la Cour divisionnaire de l’Ontario a rejeté l’extension du délit à ce contexte parce qu’un défendeur de base de données ne commet pas l’intrusion qui est l'« élément central » du délit.
À la suite de la décision de la Cour divisionnaire dans l’affaire Equifax, les avocats du groupe ont subi une série de pertes plaidant pour l’application étendue de l’intrusion dans l’isolement - plus récemment, dans une décision rendue au début de 2022 dans l’affaire Winder v Marriott International Inc., dans laquelle Bennett Jones a agi pour le compte des défendeurs. La Cour d’appel de l’Ontario se penchera sur la question de l’extension de la responsabilité délictuelle aux défendeurs de la base de données plus tard cette année, avec un appel de Marriott et de la décision de la Cour divisionnaire dans Equifax qui doit être entendu en 2022.