Passer au contenu directement.

2021/2022 Bilan et perspectives en Cyber/Données: Actions collectives et litiges en matière d’atteinte à la protection des données au Canada

LE NOUVEAU RÉGIME APPLICABLE AUX ACTIONS COLLECTIVES REND L’ONTARIO MOINS INTÉRESSANT POUR LES DEMANDEURS

En octobre 2020, les modifications apportées à la Loi de 1992 sur les recours collectifs de l’Ontario sont entrées en vigueur, mettant en œuvre plusieurs changements quant à la procédure et au fond qui rendent plus difficile la tâche d’intenter un recours collectif fondé sur une atteinte à la protection des données dans cette province.

Le changement de fond le plus important apporté au texte de loi est le durcissement des conditions devant être réunies à l’étape de la certification. Influencée par le modèle en vigueur aux États-Unis, l’analyse du meilleur moyen exige maintenant des demandeurs d’établir que les questions communes prédominent sur les questions individuelles, et qu’un recours collectif est supérieur à tous les autres moyens raisonnablement disponibles pour établir le droit des membres du groupe à une mesure de redressement ou examiner la conduite reprochée au défendeur. Ces exigences contrastent fortement avec les anciens critères (et avec ceux qui demeurent en vigueur dans bon nombre d’autres provinces) aux termes desquels il suffisait d’établir qu’il existait certaines questions communes dont la résolution ferait progresser le règlement du litige. Les modifications imposent également des changements d’ordre procédural susceptibles de compliquer la tâche des demandeurs qui veulent faire valoir leurs réclamations en Ontario, notamment une nouvelle présomption selon laquelle toute motion présentée par le défendeur en vue de régler l’instance doit être entendue et réglée avant la motion en certification des demandeurs.

Dans l’ensemble, ces modifications font de l’Ontario un endroit moins intéressant pour les demandeurs qui souhaitent y intenter un recours collectif fondé sur une atteinte à la protection des données. Comme le prédisaient bon nombre d’observateurs, l’année suivant l’entrée en vigueur de ces modifications en Ontario a été marquée par une augmentation notable du nombre de demandes de recours collectifs déposées dans les autres provinces de common law, notamment la Colombie-Britannique et l’Alberta.

LES TRIBUNAUX SONT DE PLUS EN PLUS SCEPTIQUES À L’ÉGARD DES ACTIONS COLLECTIVES FONDÉES SUR UNE ATTEINTE À LA PROTECTION DES DONNÉES; NÉCESSITÉ DE RENFORCER L’IMPORTANCE DE L’ATTÉNUATION DES INCIDENTS APRÈS L’ATTEINTE

Pendant que les demandeurs continuent d’intenter des actions — qui sont souvent des actions collectives — à la suite d’une atteinte à la sécurité des données, la vraie question est de savoir si la communication réelle ou potentielle des renseignements personnels a bel et bien causé un préjudice aux individus visés. Au cours de la dernière année, les tribunaux ont commencé à porter un regard plus critique sur les allégations de dommages minimes ou hypothétiques.

Les demandeurs réclament réparation en alléguant des dommages comme l’anxiété, les désagréments et le risque d’une utilisation future inappropriée de leurs renseignements personnels découlant de l’atteinte à la protection des données, par exemple le vol d’identité. Toutefois, de plus en plus souvent, de telles réclamations peuvent apparaître comme opportunistes et non fondées. Les cyberattaques et les pertes de données qu’elles peuvent entraîner sont à présent généralement considérées comme des événements courants, et non pas exceptionnels. De plus, bon nombre d’entreprises répondent aux atteintes à la sécurité des données en offrant des services comme la surveillance du crédit pour réduire le risque de préjudice futur. Une fois qu’un recours collectif a franchi toutes les étapes jusqu’au tribunal, il est rare que les pertes subies alléguées par les personnes inscrites au recours collectif proposé soient corroborées par une preuve quelconque.

En 2021, les tribunaux canadiens ont scruté à la loupe les recours fondés sur une atteinte à la protection des données et, dans de nombreux cas, les ont rejetés ou ont refusé de les certifier au motif de l’inexistence d’une preuve établissant que les personnes inscrites au recours collectif avaient réellement subi un dommage indemnisable. Par exemple :

  • Dans l’affaire Lamoureux Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), la Cour supérieure du Québec a rejeté sur le fond une action collective autorisée au motif que le demandeur n’avait pas établi qu’il avait subi un préjudice dépassant le seuil des désagréments et des anxiétés de la vie courante, lesquels ne sont pas indemnisables.
  • Dans l’affaire SetoguchiUber B.V., la Cour du Banc de la Reine de l’Alberta a tenu compte de son rôle de gardien et de la tendance récente à ne plus certifier les actions reposant sur des conséquences de peu d’importance et a refusé d’autoriser une action découlant d’une atteinte à la sécurité des données. Aucun élément de preuve n’établissait que les personnes inscrites au recours collectif avaient subi des pertes ou des préjudices — au contraire, une preuve positive indiquait qu’aucune personne n’en avait subi. Et même si certaines personnes inscrites au recours collectif avaient subi une perte, il aurait fallu tenir une multitude d’auditions individuelles pour établir le lien de causalité et les dommages, ce qui faisait de l’action collective un moyen inapproprié en l’espèce.
  • Dans les affaires SimpsonFacebook et Kish c. Facebook, les tribunaux de l’Ontario et de la Saskatchewan ont refusé d’autoriser une action collective pour atteinte à la protection des données par Cambridge Analytica au motif qu’aucun élément de preuve n’indiquait que les renseignements personnels des utilisateurs canadiens de Facebook aient été partagés de façon inappropriée et que, par conséquent, il n’y avait pas de question commune en lien avec l’atteinte à la vie privée qui pouvait être autorisée.
  • Dans l’affaire KaplanCasino Rama Services Inc., la Cour supérieure de justice de l’Ontario a refusé de certifier un recours collectif au motif qu’aucune preuve n’établissait qu’un des membres du groupe avait subi quelque préjudice que ce soit, notamment parce que le défendeur avait réagi à l’incident de façon exemplaire. Il avait [Traduction] « communiqué avec toutes les autorités compétentes, pris des mesures pour fermer les deux sites Web qui contenaient les renseignements volés, avisé les milliers de clients, d’employés et de fournisseurs susceptibles d’être touchés par l’atteinte à la protection des données, et offert à bon nombre d’entre eux des services gratuits de surveillance du crédit ».

Dans l’avenir, les défendeurs qui sont victimes d’une cyberattaque peuvent s’attendre, en défense d’une action collective, à insister davantage sur l’absence de préjudice subi par les personnes inscrites à l’action collective et sur la robustesse de leur réaction à l’incident et des mesures prises pour réduire les risques de préjudice pour les demandeurs potentiels.

RENSEIGNEMENTS PRIVILÉGIÉS? LE DÉBAT SUR LES RAPPORTS D’ENQUÊTE D’EXPERTS EN CRIMINALISTIQUE NUMÉRIQUE

Les avocats qui conseillent des entreprises ayant subi une atteinte à la protection des données retiennent généralement les services d’experts en criminalistique numérique pour faire enquête sur l’incident et produire un rapport qui sera utilisé par les conseillers juridiques. Ces rapports jouent un rôle essentiel, car ils permettent à l’avocat de donner à ses clients un avis juridique honnête sur l’atteinte à la sécurité des données et le litige connexe et sont censés avoir un caractère privilégié et confidentiel. Toutefois, les demandeurs et les organisations peuvent tenter de forcer la production de ce rapport dans le cadre du litige ou d’une enquête réglementaire.

Plusieurs décisions récentes rendues aux États-Unis portent sur cette question et démontrent que dans certaines circonstances, les rapports d’enquête d’experts en criminalistique numérique peuvent être vulnérables à la contestation de leur caractère privilégié si les mesures protectrices appropriées ne sont pas prises. Par exemple, dans l’affaire In re Capital One Customer Data Security Breach Litigation, un tribunal de l’État de Virginie a statué qu’un rapport d’enquête d’un expert en criminalistique numérique n’avait pas un caractère privilégié parce qu’il n’avait pas été élaboré aux fins du litige : les services de l’enquêteur expert en criminalistique numérique qui l’avait préparé avaient été au préalable retenus par l’entreprise dans le cadre d’un engagement non couvert par le privilège du secret professionnel et, même si les avocats de l’entreprise avaient signé une nouvelle lettre d’engagement de l’enquêteur à la suite de l’incident, la portée du travail était demeurée la même. La Cour a de plus conclu que, même si le rapport avait été couvert par le privilège du secret professionnel, l’entreprise y avait renoncé en communiquant son contenu à son vérificateur, aux organismes de réglementation et à certains de ses employés. De même, dans l’affaire In re Rutter’s Data Security Breach Litigation, un tribunal de l’État de Pennsylvanie a statué qu’un rapport d’enquête n’était pas couvert par le privilège du secret professionnel parce que le rapport avait été établi pour déterminer si une atteinte à la protection des données avait eu lieu — et non pas pour étayer la défense de l’entreprise dans le cadre du litige.

Les décisions rendues par les tribunaux américains, même si elles reposent sur le droit américain sur les privilèges, sont annonciatrices d’enjeux dont seront vraisemblablement saisies de plus en plus souvent les cours canadiennes. Par exemple, dans l’affaire Kaplan c. Casino Rama Services Inc., la Cour supérieure de justice de l’Ontario a conclu que l’entreprise avait renoncé à un privilège sur certaines sections des rapports d’enquête de criminalistique numérique préparés à la suite d’une atteinte à la sécurité des données en divulguant le nombre de personnes touchées par cet incident.

À l’avenir, les organisations devront envisager la possibilité que les organismes de réglementation ou les avocats de la partie demanderesse demandent la divulgation des rapports d’enquête et contestent tout privilège allégué à leur égard. Les entreprises doivent agir en conséquence pour protéger ce privilège. Elles devront notamment élaborer, en concertation avec leurs conseillers juridiques, un plan d’intervention en cas d’incident et une stratégie de préservation du privilège, tant pour les rapports d’enquêtes de criminalistique numérique que de façon plus générale. Selon toute vraisemblance, il va devenir de plus en plus important de s’assurer de mettre à contribution les conseillers juridiques et de structurer les mandats des experts de façon appropriée pour prévenir la perte du privilège qui y est rattaché.

TENDANCES DANS LE SECTEUR DE LA CYBERASSURANCE

Les assureurs réduisent la couverture des cyberrisques

La souscription d’une assurance couvrant les coûts des litiges et des interventions en cas d’incident advenant une atteinte à la protection des données continue d’être un moyen important de gestion du risque. Toutefois, le passage au télétravail pendant la pandémie de COVID-19 et l’avalanche de cyberattaques qui s’en est suivie ont rendu les polices de cyberassurance fort coûteuses pour les assureurs. Sans surprise, au cours des 12 derniers mois, les assureurs ont rapidement ajusté leurs approches et leurs offres dans ce domaine.

Tout d’abord, il devient de plus en plus courant pour les assureurs d’offrir des polices expressément pour les cyberrisques et de refuser la couverture des cyberincidents au titre d’une assurance de responsabilité civile commerciale ou d’une police autre qu’une cyberassurance. Bon nombre d’assureurs, dans le but d’exclure la couverture soi-disant « silencieuse » des cyberrisques, ont inséré des clauses d’exclusion des « données » dans leurs polices de cyberassurance. Dans l’affaire Family and Children’s Services of Lanark, Leeds and Grenville c. Co-operators General Insurance Company, la Cour d’appel de l’Ontario a donné une interprétation large à l’une de ces clauses d’exclusion des « données » dans une assurance de responsabilité civile commerciale et a statué que celle-ci excluait bel et bien la couverture des litiges liés à une atteinte à la protection des données.

Il sera de plus en plus hasardeux pour les entreprises de s’appuyer sur des polices autres qu’une cyberassurance pour couvrir des cyberattaques et des atteintes à la protection des données. La décision rendue dans l’affaire Co‑operators est le signe d’un tournant dans l’interprétation que font les tribunaux des polices autres que les cyberassurances en faveur de l’exclusion de la couverture des atteintes à la protection des données. Si certaines polices d’assurance responsabilité civile générale, d’assurance responsabilité civile des dirigeants et des administrateurs et d’autres polices peuvent continuer à offrir une couverture des données selon leur libellé, la meilleure pratique est, et continuera d’être, de disposer d’une police adéquate propre aux cyberrisques.

Ensuite, les assureurs prêtent davantage attention aux questionnaires sur la sécurité des TI que doivent remplir les titulaires de polices au moment de souscrire ou de renouveler une police de cyberassurance. Désormais, les entreprises peuvent s’attendre à ce que les assureurs leur imposent de répondre à des questionnaires plus détaillés et exhaustifs, voire de mettre en oeuvre certaines mesures de sécurité des données avant de leur accorder une quelconque couverture. Ces questionnaires sont importants; les assureurs peuvent s’appuyer sur toute réponse erronée ou incomplète pour refuser ou limiter la couverture après un incident. Les entreprises devraient investir le temps nécessaire pour fournir des réponses exactes et complètes au questionnaire de l’assureur pour éviter de compromettre leur couverture.

Conserver la liberté de choix des prestataires de services

Avec l’essor des polices d’assurance couvrant expressément les cyberrisques, les assureurs sont de plus en plus susceptibles d’exiger des détenteurs de police qu’ils obtiennent une approbation pour tout tiers prestataire de services qui est embauché pour intervenir en cas d’atteinte à la protection des données, voire qu’ils choisissent ce prestataire de services à partir d’une liste de fournisseurs présélectionnés par l’assureur. Or, les tiers prestataires de services comme les conseillers juridiques externes et les experts en criminalistique numérique font partie intégrante de la réponse de l’entreprise à une atteinte à la protection des données. La faculté de choisir les prestataires de services avec lesquels l’entreprise souhaite travailler et de les faire intervenir immédiatement peut être un élément essentiel d’un plan d’intervention en cas d’incident. Les détenteurs de police doivent comprendre qu’il deviendra de plus en plus important de vérifier si leur police d’assurance impose des restrictions ou des exigences d’approbation préalable quant au choix des prestataires de services et de négocier l’approbation du prestataire de leur choix au moment de souscrire ou de faire renouveler une police (et non pas à la suite d’une atteinte à la sécurité des données).

En 2021, le domaine de la protection des renseignements personnels, de la cybersécurité et du traitement des données a connu des développements importants qui continueront d’avoir une incidence en 2022 et au-delà. Apprenez-en davantage sur les enjeux susceptibles d’influer sur votre entreprise et sur la façon de vous préparer pour l’année à venir. Lisez le rapport de notre groupe Cyber/Données pour connaître les dernières tendances et les principaux développements en matière de protection des renseignements personnels, de gestion des données et de cybersécurité qui peuvent influencer vos décisions commerciales. Téléchargez le rapport : https://bit.ly/3qWo8ay

 

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide