Les actions collectives en cas de fuites de données – Évolutions clés et risques émergents : Perspectives 2025 Les incidents de confidentialité – Partie 2

Cet article fait partie de notre série Perspectives 2025 : Les incidents de confidentialité, conçue pour aider les entreprises à naviguer le cadre en évolution des incidents de confidentialité. À mesure que les menaces liées aux atteintes à la vie privée deviennent plus sophistiquées et que la surveillance réglementaire s'intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin d’anticiper ces défis, chaque article dans cette série fournit des informations concrètes pour se préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et pour atténuer les risques. Découvrez la série complète ici.

Introduction

Un tournant s'est opéré dans les actions collectives liées aux fuites de données au Canada. Et de ce changement, de nouvelles tendances ont émergé.

Initialement, les tribunaux canadiens adoptaient une approche large et libérale à l’égard de la certification des actions collectives en cas de fuites de données (c.-à-d. des incidents où un cybercriminel pirate la base de données d’une entreprise pour y obtenir les renseignements personnels de ses clients). Presque tout incident de fuites de données (un « incident ») donnait lieu à une action collective. Mais au fur et à mesure que les incidents se sont multipliés, les tribunaux ont commencé à appliquer une rigueur accrue aux demandes de certification d’actions collectives en matière de fuites de données. Il en résulte que les demandeurs font désormais face à des obstacles importants pour obtenir la certification de telles actions – particulièrement en Ontario et en Alberta. (Les tribunaux de la Colombie-Britannique ont toutefois indiqué qu’ils pourraient ne pas suivre cette tendance – ou du moins pas dans la même mesure).

En réaction aux tribunaux qui ont fermé la porte à plusieurs actions collectives pour fuites de données, des avocats du côté de la demande se sont tournés vers des recours plus novateurs contre les entreprises. En particulier, on observe un plus grand nombre de dossiers alléguant que les entreprises elles-mêmes (et non des pirates informatiques tiers) recueillent et utilisent les renseignements personnels de leurs clients de manière à porter atteinte à leurs droits à la vie privée.

Ce recentrage les affaires de « mauvaise utilisation des données », combiné à un environnement réglementaire en matière de vie privée en constante évolution, pourrait influencer les types d’actions collectives en matière de vie privée auxquels on peut s'attendre à l'avenir.. Alors que les tendances juridiques et les cadres continuent d’évoluer, il est essentiel pour les entreprises de rester informées et de se protéger de manière proactive contre les risques de litige potentiels.

Historique des actions collectives pour fuites de données

L’une des raisons pour lesquelles les actions collectives en matière de fuites de données étaient si courantes provient du fait que les demandeurs pouvaient s’appuyer sur le délit civil relatif à l’« atteinte à la vie privée » connu sous le nom d’« intrusion upon seclusion ». Ce recours représentait un outil précieux pour les demandeurs puisqu’il ne nécessite pas de prouver l’existence d’un préjudice pour établir la responsabilité et obtenir des dommages-intérêts.[1] Cela facilitait grandement la certification des actions collectives pour fuites de données : les tribunaux pouvaient certifier des recours même en l’absence de preuve de préjudice financier généralisé – ou de tout préjudice financier – subi par les membres du groupe.

Cependant, la situation a changé en 2022 lorsque la Cour d’appel de l’Ontario a rendu une trilogie de décisions confirmant que le délit de intrusion upon seclusion ne s’applique pas dans les cas où un tiers a accédé illégalement à la base de données d’une entreprise contenant les renseignements de ses clients.[2] La Cour a conclu que les entreprises défenderesses n’étaient pas celles qui avaient « envahi ou violé » la vie privée de leurs clients – c’était plutôt les pirates tiers. La Cour d’appel de l’Alberta a suivi cette position.[3]

En éliminant le intrusion upon seclusion comme cause d’action viable, les demandeurs en actions collectives en Ontario et en Alberta doivent désormais se tourner vers la négligence, laquelle exige la démonstration de « dommages pécuniaires réels » subis par les membres du groupe proposé.[4] Une détresse émotionnelle alléguée en raison d’un cybercrime ne suffit pas, en soi, à fonder un recours.[5] Cela a considérablement réduit le nombre d’actions collectives en matière de fuites de données et, par conséquent, a freiné l’intérêt des avocats en demande d’actions collectives pour ces dossiers.

La Colombie-Britannique rouvre la porte aux actions collectives pour fuites de données

La Cour d’appel de la Colombie-Britannique semble avoir adopté une position quelque peu différente de celle de l’Ontario et de l’Alberta. Bien que la Cour d’appel ait reconnu que le intrusion upon seclusion ne peut s’appliquer aux entreprises qui ont été illégalement piratées, elle a conclu que les entreprises dont les bases de données ont été compromises par des tiers pourraient néanmoins être tenues responsables en vertu des délits prévus par la Privacy Act de la Colombie-Britannique.[6]

La Cour d’appel a conclu que, tout comme le intrusion upon seclusion, la Privacy Act ne semble pas exiger de preuve de préjudice pour établir la responsabilité et accorder des dommages-intérêts. Ainsi, les tribunaux de la Colombie-Britannique pourraient continuer à certifier des actions collectives pour fuites de données contre ces entreprises, même en l’absence de toute preuve de préjudice pour les membres du groupe.

Affaires alléguant une mauvaise utilisation des données

Alors que la porte se ferme à bon nombre d’actions collectives liées à des fuites de données, des avocats en demande se tournent vers d’autres types de recours contre les entreprises qui détiennent un volume important de données d’utilisateurs. Dans certaines provinces, les actions collectives alléguant une mauvaise utilisation des données deviennent plus fréquentes. Dans ces affaires, il est généralement reproché que les entreprises défenderesses recueillent et utilisent des renseignements personnels d’une manière incompatible avec le consentement de l'utilisateur (ou sans aucun consentement de l’utilisateur).

La manière dont les tribunaux traiteront ces affaires n’est pas encore claire. Certains tribunaux ont réaffirmé leur rôle de filtrage à l’étape de la certification, écartant certaines demandes dénuées de fondement. Par exemple, certains tribunaux ont refusé de certifier des recours en mauvaise utilisation des données en l’absence de preuve d’atteinte ou de préjudice indemnisable.[7]

À l’inverse, d’autres tribunaux semblent adopter une approche plus permissive à l’étape de la certification pour ces types de recours. Par exemple, dans une action collective proposée récemment contre Google en Colombie-Britannique, le demandeur alléguait que Google avait utilisé sa technologie de reconnaissance faciale pour recueillir et stocker les renseignements personnels d’utilisateurs, et les avait rendus accessibles à des tiers.[8] Le tribunal de première instance a refusé de certifier l’affaire, concluant (entre autres) que les allégations en matière de vie privée n’étaient pas viables en l’absence de faits matériaux appuyant l’idée que Google avait effectivement divulgué les données à des tiers. Toutefois, la Cour d’appel a infirmé cette décision. Elle a jugé que l’affirmation du demandeur selon laquelle Google utilisait les données pour son propre avantage concurrentiel, et que Google pouvait partager les données de ses clients avec des tiers à sa discrétion était suffisante pour fonder un recours en matière de vie privée pour les membres du groupe en vertu de la Privacy Act et de la responsabilité civile délictuelle.

Il est encore trop tôt pour déterminer comment ces tendances évolueront. Nous continuons de suivre attentivement la manière dont les tribunaux appliqueront le test de certification à ces réclamations.

L’approche distinctive du Québec en matière d’actions collectives pour fuites de données

Le Québec présente un environnement unique et permissif pour les actions collectives en matière de fuites de données. Le seuil requis pour la certification – ou, comme on l'appelle au Québec, l'autorisation – est plus facile à franchir pour les avocats en demande que dans les autres provinces canadiennes..

Suivant les tendances nationales, le Québec connaît une vague d’actions collectives axées sur la mauvaise utilisation et la gestion inadéquate des renseignements personnels. Ces recours portent généralement sur des allégations de collecte excessive de données, de fuites de données, de divulgation non autorisée à des tiers, ainsi que sur la gestion de renseignements sensibles en matière de santé ou de données biométriques. Toutefois, le rythme de ces dossiers ralentit souvent à l’approche de l’étape du mérite. Les tribunaux québécois, dans leur rôle de filtrage, ont démontré une forte tendance à autoriser des actions collectives pour fuites de données.

Les décisions rendues dans les affaires Option Consommateurs c. Google, 2022 QCCS 2308, et Option Consommateurs c. Flo Health Inc., 2022 QCCS 4442, révèlent un changement potentiel dans la manière dont les tribunaux québécois abordent les réclamations en matière de vie privée. Dans ces affaires, la Cour supérieure a autorisé les recours des demandeurs en dommages-intérêts fondés sur la valeur présumée des renseignements personnels utilisés ou divulgués. Cette position déroge à la jurisprudence établie au Québec et au Canada, qui exige traditionnellement la preuve d’un préjudice tangible pour justifier des dommages compensatoires à la suite d’une divulgation de renseignements. Dans l’affaire Homsy c. Google, 2023 QCCA 1220, la Cour d’appel du Québec a renvoyé l’affaire à la Cour supérieure après que celle-ci eut initialement refusé l’autorisation. La Cour d’appel en a profité pour rappeler les enseignements de la Cour suprême du Canada, qui qualifie l’étape de l’autorisation de mécanisme préliminaire de filtrage – les faits allégués étant tenus pour avérés – renforçant ainsi la difficulté pour les défendeurs de faire rejeter les réclamations en matière de vie privée à ce stade. En ce qui concerne l’analyse des dommages, la Cour d’appel a récemment confirmé, dans le contexte d’un incident de confidentialité, que l’indemnisation du préjudice dépend de la nature des renseignements divulgués, cette analyse étant fondamentalement contextuelle. La nature et l’étendue des informations compromises détermineront s’il existe, et dans quelle mesure, des pertes indemnisables.[9] Dans l’ensemble, ces développements illustrent la nature permissive des tribunaux québécois à l’étape de l’autorisation.

En outre, des avocats en demande d’actions collectives chercheront probablement à tirer parti des nouvelles dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé, introduites par la Loi 25, pour faire avancer des recours en matière de vie privée. La Loi 25 introduit une série de nouvelles exigences, telles que la nomination d’un responsable de la protection des renseignements personnels, l’obligation de notification suite à une fuite de données et de tenir des registres, ainsi que des droits individuels accrus, y compris la portabilité des données et le droit à l’oubli. La combinaison de la Loi 25 et de la position permissive du Québec en matière d’autorisation fait ressortir la nécessité d’une conformité rigoureuse aux lois et règlements sur la protection des renseignements personnels, renforçant ainsi l’importance pour les entreprises de garder une longueur d’avance en matière de pratiques de protection des données.

Pour en savoir plus sur la manière dont notre groupe Cyber/Data peut vous aider à naviguer dans le paysage de la cybersécurité et des données, veuillez contacter les co-chefs nationaux Charles Morgan et Daniel Glover.

[1] Jones v. Tsige, 2012 ONCA 32.

[2] Owsianik v. Equifax Canada Co, 2022 ONCA 813; Obodo v. Trans Union of Canada, Inc.; 2022 ONCA 814; and Winder v. Marriot International, Inc, 2022 ONCA 815.

[3] Setoguchi v. Uber B.V., 2021 ABQB 18

[4] Quantz v. Ontario, 2025 ONSC 90 at para. 67.

[5] Quantz v. Ontario, 2025 ONSC 90 at para. 66.

[6] GD v. South Coast British Columbia Transportation Authority, 2024 BCCA 252; Campbell v. Capital One Financial Corporation, 2024 BCCA 253. Dans l'affaire Hvitved c. Home Depot of Canada Inc., 2025 BCSC 18, la cour a récemment certifié uniquement les recours fondés sur la Privacy Act et a rejeté les recours fondés sur le intrusion upon seclusion en common law, la rupture de contrat et l’enrichissement injustifié.

[7] Voir, par exemple, Kish v. Facebook Canada Ltd, 2021 SKQB 198; Chow v. Facebook Inc, 2022 BCSC 137; Simpson v. Facebook, 2021 ONSC 968.

[8] Situmorang v. Google, LLC, 2024 BCCA 9. La Cour d’appel a infirmé l’ordonnance rejetant l’action pour absence de cause d’action raisonnable et a renvoyé l’affaire à la Cour suprême de la Colombie-Britannique afin qu’elle se penche sur les autres questions liées à la certification.

[9] Royer c. Capital One Bank (Canada Branch), 2025 QCCA 217.