English | French Canada
Une décision rendue récemment en Ontario illustre la difficulté d’obtenir une certification des recours collectifs pour atteinte à la vie privée
Perspectives Aon

Une décision rendue récemment en Ontario illustre la difficulté d’obtenir une certification des recours collectifs pour atteinte à la vie privée

 

La décision rendue en mai 2019 par la Cour supérieure de justice de l’Ontario dans l’affaire Kaplan c. Casino Rama a abouti au refus de certifier un recours collectif lié à une poursuite découlant d’une cyberattaque menée en novembre 2016 et de l’atteinte à la vie privée qui en a résulté, dont a été victime Casino Rama. Les renseignements identificatoires d’environ 11 000 clients, employés et fournisseurs de Casino Rama ont été volés et, par la suite, publiés en ligne publiquement. Toutefois, les renseignements identificatoires volés étaient de natures variées : dans certains cas, il s’agissait simplement de coordonnées, alors que d’autres renseignements identificatoires étaient personnels et confidentiels. L’un des critères à respecter pour qu’un recours collectif soit certifié consiste à ce que les allégations des demandeurs soulèvent des questions communes qui peuvent être tranchées pour tous les membres du recours collectif. La grande diversité des renseignements identificatoires compromis dans cette affaire a donné lieu au refus de certifier le recours collectif pour certaines causes d’action plaidées sur cette base.

En ce qui concerne la réclamation pour cause de négligence des demandeurs, le tribunal a conclu que la portée et le contenu de l’obligation et des normes de diligence applicables sont déterminés par la sensibilité des renseignements identificatoires qui sont détenus. Ainsi, l’analyse visant à déterminer si les mécanismes de cybersécurité du défendeur étaient adéquats, et ainsi, si la norme de diligence avait été respectée, serait fonction du type et de la quantité de renseignements identificatoires compromis. En raison de la grande diversité des renseignements identificatoires en cause dans cette affaire, le tribunal a jugé qu’il n’était possible d’évaluer la négligence qu’au cas par cas et que le seuil lié aux questions communes n’avait pas été respecté. Le délit d’ingérence dans la sphère privée, une autre des allégations des demandeurs, s’inscrivait dans le cadre d’une analyse analogue. Cette cause d’action n’exige pas que les demandeurs aient subi une perte économique réelle; elle est basée sur une atteinte à la vie privée délibérée ou inconsidérée qu’une personne raisonnable jugerait très offensante. L’évaluation de cette réclamation, ici encore, serait subordonnée à la sensibilité des renseignements identificatoires divulgués. Puisque le type de renseignements identificatoires variait entre les différents membres du recours collectif, il n’existait aucun mécanisme pour déterminer 1) s’il y avait eu atteinte à la vie privée de tous les membres du recours collectif et 2) si une telle atteinte serait très offensante pour chacun des demandeurs. La réclamation pour cause de violation de la confidentialité a été rejetée pour différents motifs – cette cause d’action exige que les renseignements identificatoires aient fait l’objet d’un usage abusif par les défendeurs. Comme c’est le pirate informatique, et non les défendeurs, qui ont fait un usage abusif des renseignements identificatoires des membres du recours collectif, cette allégation a également été rejetée.

Il arrive souvent que le principal champ de bataille des recours collectifs se présente à l’étape de la certification, les défendeurs misant alors sur d’importantes ressources en vue de faire obstacle à la réclamation. Même si le recours collectif n’a finalement pas été certifié dans la présente affaire, les défendeurs ont engagé des frais de défense juridique considérables. Une police d’assurance cyberresponsabilité peut contribuer à transférer certains des risques financiers liés aux atteintes à la vie privée, notamment les frais associés aux recours collectifs éventuels qui pourraient en découler. La police d’assurance cyberresponsabilité peut procurer une couverture contre les frais de défense juridique et les frais liés au règlement et au jugement dans le cas où une réclamation de tiers découle d’une atteinte à la vie privée qui compromet les renseignements identificatoires de tiers qui sont confiés à l’organisation assurée ou placés sous ses soins ou sous sa surveillance. Si l’assuré fait également l’objet d’une enquête réglementaire par suite de cette atteinte, les frais de défense juridique et les amendes assurables pourraient également être couverts. De plus, la police d’assurance cyberresponsabilité pourrait procurer une couverture pour divers coûts engagés par l’assuré en vue de gérer les répercussions d’une atteinte, notamment les frais d’expertise judiciaire en informatique, les frais de notification et de centre d’appel, ainsi que ceux liés à la surveillance du vol de crédit et de l’identité, de même que les dépenses engagées pour embaucher une société de relations publiques afin d’atténuer les répercussions négatives de l’atteinte sur la réputation de l’assuré.