Les actions collectives liées aux incidents de confidentialité – Principaux développements et risques émergents: Perspectives 2026 sur les incidents de confidentialité– Partie 2

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. Découvrez la série complète.

Introduction

Un tournant s’est opéré dans les actions collectives (expression employée au Québec pour recours collectifs ailleurs au Canada) liées aux incidents de confidentialité au Canada. Et de nouvelles tendances ont émergé.

Initialement, les tribunaux canadiens adoptaient une approche large et libérale à l’égard de la certification des actions collectives envisagées portant sur des incidents de confidentialité. Un large éventail d’incidents de confidentialité, tels que le piratage par des tiers, a donné lieu à des actions collectives. Mais au fur et à mesure que les incidents sont devenus plus courants, les tribunaux ont commencé à suivre une approche plus restrictive. Ainsi, les demandeurs sont maintenant confrontés à des difficultés importantes à l’étape de la certification, en particulier en Ontario et en Alberta, tandis qu’en Colombie-Britannique, les tribunaux ont indiqué qu’ils pourraient ne pas suivre cette tendance – ou du moins pas dans la même mesure.

En réaction, les avocats du côté de la demande se sont tournés vers des recours plus novateurs contre les entreprises. En particulier, on observe un plus grand nombre de dossiers alléguant que les entreprises elles-mêmes (et non des pirates informatiques tiers) recueillent et utilisent les renseignements personnels de leurs clients de manière à porter atteinte à leurs droits à la protection de la vie privée.

Ce changement d’orientation, soit d’affaires portant sur des incidents de confidentialité vers des affaires portant sur une utilisation abusive des données, combiné à un environnement réglementaire en matière de protection de la vie privée en constante évolution, pourrait influencer les types d’actions collectives auxquels on peut s’attendre à l’avenir. Comme les tendances et cadres juridiques continuent d’évoluer, il est essentiel pour les entreprises de rester informées et de se protéger de manière proactive contre les risques de litige potentiels.

L’approche historique en matière d’actions collectives pour incidents de confidentialité au Canada

L’une des raisons pour lesquelles les actions collectives pour incidents de confidentialité étaient si courantes, provient en partie du fait que, dans certaines provinces, les demandeurs pouvaient s’appuyer sur le délit civil d’« intrusion dans l’intimité » connu en anglais sous le nom d’intrusion upon seclusion. Le recours alléguant l’intrusion dans l’intimité était un outil précieux pour les demandeurs puisqu’il ne nécessite pas de prouver l’existence d’un préjudice pour établir la responsabilité et obtenir des dommages-intérêts.^[1] Cela facilitait grandement la certification des actions collectives : les tribunaux pouvaient certifier des actions collectives même en l’absence de preuve de préjudice financier généralisé (ou pas) subi par les membres du groupe.

Cependant, la situation a changé en 2022 lorsque la Cour d’appel de l’Ontario a rendu une trilogie de décisions confirmant que le délit d’intrusion dans l’intimité ne s’applique pas dans les cas où un tiers a accédé illégalement à la base de données d’une entreprise contenant les renseignements de ses clients.^[2] La Cour a conclu que les entreprises défenderesses n’étaient pas celles qui « [traduction] avaient envahi l’intimité ou s’étaient introduites dans l’intimité » de leurs clients, mais que c’était plutôt les pirates informatiques tiers qui l’avaient fait. La Cour d’appel de l’Alberta a suivi cette position.^[3]

Ces décisions ayant éliminé l’argument de l’intrusion dans l’intimité comme cause d’action viable, les demandeurs dans le cadre d’actions collectives en Ontario et en Alberta doivent désormais se tourner vers la négligence, laquelle exige la démonstration de « [traduction] dommages pécuniaires réels » (real pecuniary damages) subis par les membres du groupe envisagé.^[4] Une détresse émotionnelle alléguée en raison d’un cybercrime ne suffit pas, en soi, à fonder une action.^[5] Cela a considérablement réduit le nombre d’actions collectives en matière d’incidents de confidentialité et, par conséquent, a freiné l’intérêt des avocats du côté de la demande d’actions collectives à l’égard de ce genre de dossiers.

Cependant, même si les tribunaux ont restreint la portée des causes d’action recevables dans le cadre des actions collectives portant sur des incidents de confidentialité, les demandeurs continuent d’intenter des poursuites pour négligence, s’appuyant parfois sur des obligations nouvelles. Par exemple, dans Litvin v. Mackenzie Financial Corporation, la Cour supérieure de l’Ontario a reconnu que l’obligation de protéger les données confidentielles confiées à un défendeur, même à des fins limitées, peut être considérée comme un devoir. Bien que ce devoir puisse être nouveau, l’invoquer n’est pas une opération vouée à l’échec et il est donc susceptible de fonder une certification.^[6] De plus, conformément à la trilogie de la Cour d’appel, dans Litvin, la Cour a également refusé de certifier les demandes fondées sur l’intrusion dans l’intimité.^[7]

La Colombie-Britannique fait de la place aux actions collectives pour incidents de confidentialité

La Cour d’appel de la Colombie-Britannique semble avoir adopté une position quelque peu différente de celle des tribunaux de l’Ontario et de l’Alberta. Même si la Cour d’appel de la Colombie-Britannique a reconnu que le principe de l’intrusion dans l’intimité ne peut pas être invoqué à l’encontre d’entreprises défenderesses qui ont été illégalement piratées (voire du tout en Colombie-Britannique), elle a conclu que les entreprises dont les bases de données ont été compromises par des tiers pourraient néanmoins être tenues responsables sur le fondement des délits en matière de confidentialité prévus par la Privacy Act de la Colombie-Britannique.^[8]

La Cour d’appel de la Colombie-Britannique a conclu que, tout comme pour le principe d’intrusion dans l’intimité, la Privacy Act ne semble pas exiger de preuve de préjudice pour établir la responsabilité et accorder des dommages-intérêts. Ainsi, les tribunaux de la Colombie-Britannique pourraient vouloir continuer à certifier des actions collectives pour incidents de confidentialité contre ces entreprises défenderesses, même en l’absence de toute preuve de préjudice pour les membres du groupe envisagé.

Affaires alléguant une utilisation abusive des données

Alors que la porte se ferme à bon nombre d’actions collectives pour incidents de confidentialité, des avocats du côté de la demande se tournent vers d’autres types de recours contre les entreprises qui détiennent un volume important de données d’utilisateurs. Dans certaines provinces, les actions collectives alléguant une utilisation abusive des données sont de plus en plus fréquentes. Dans ces affaires, il est généralement reproché aux entreprises défenderesses d’avoir recueilli et utilisé des renseignements personnels d’une manière incompatible avec le consentement (voire sans aucun consentement) de la part de l’utilisateur.

La jurisprudence sur les actions collectives alléguant une utilisation abusive des données n’est pas encore établie. Certains tribunaux ont affirmé leur rôle de filtrage à l’étape de la certification, écartant certaines demandes dénuées de fondement. Par exemple, certains tribunaux ont refusé de certifier des actions fondées sur l’utilisation abusive des données en l’absence de preuve d’atteinte à des droits ou de préjudice indemnisable subi par les membres du groupe.^[9] Et certains tribunaux ont refusé de certifier les réclamations fondées sur une utilisation abusive des données lorsque les actes de procédure ne révélaient pas une réclamation raisonnable pour rupture de contrat en lien avec la prétendue utilisation abusive.^[10]

À l’inverse, d’autres tribunaux semblent adopter une approche plus permissive à l’étape de la certification pour ces types d’affaires. Par exemple, dans une action collective envisagée récemment contre Google en Colombie-Britannique, le demandeur alléguait que Google avait utilisé sa technologie de reconnaissance faciale pour recueillir et stocker les renseignements personnels d’utilisateurs, et les avait rendus accessibles à des tiers.^[11] Le tribunal de première instance a refusé de certifier l’affaire, concluant (entre autres) que les allégations en matière de protection de la vie privée n’étaient pas fondées en l’absence de faits importants soutenant l’allégation que Google avait effectivement communiqué les données de ses clients à des tiers. Toutefois, la Cour d’appel a infirmé cette décision. Elle a jugé que l’argument du demandeur selon lequel Google utilisait les données pour son propre avantage concurrentiel et que Google pouvait partager les données de ses clients avec des tiers à sa discrétion, était suffisante pour fonder un recours en matière de protection de la vie privée de la part des membres du groupe en vertu de la Privacy Act et des principes de la responsabilité civile délictuelle.

En revanche, dans une action collective similaire intentée contre Cadilac Fairview Corporation, les demandeurs ont allégué que les défenderesses avaient secrètement recueilli des images faciales des visiteurs de centres commerciaux et les avaient converties en données numériques en violation des droits au respect de la vie privée des visiteurs de centres commerciaux. Les demandeurs ont intenté des actions fondées sur le principe de l’intrusion dans l’intimité, la violation des lois provinciales sur la protection de la vie privée, la négligence et la violation du droit québécois. Au premier stade de la certification, la Cour a rejeté la demande fondée sur l’intrusion dans l’intimité présentée en Colombie-Britannique, mais pas celle présentée en Ontario et au Manitoba, et a rejeté la demande fondée sur la négligence au motif que les demandeurs n’avaient allégué que des troubles psychologiques qui ne constituaient pas une blessure personnelle indemnisable.^[12] Bien que les demandes fondées sur la législation en matière de protection de la vie privée de la Colombie-Britannique et du Manitoba aient été correctement formulées, la Cour a finalement refusé la certification, estimant qu’il n’y avait pas de groupe identifiable, que les questions communes proposées ne pouvaient pas être tranchées à l’échelle du groupe, et qu’une action collective n’était pas la procédure à privilégier.^[13]

De plus, le principe de l’intrusion dans l’intimité peut rester applicable en Ontario, mais uniquement dans des cas d’usage abusif des données qui n’impliquent pas de pirates informatiques tiers. Cela inclurait les cas où un défendeur est accusé d’avoir intentionnellement accédé à des renseignements d’ordre privé et où l’atteinte à la vie privée est considérée comme hautement offensante, causant détresse, humiliation ou angoisse à une personne raisonnable. Par exemple, dans Trueman v. Rogers Communications Canada Inc., la Cour a refusé de rejeter une action collective envisagée pour incident de confidentialité fondée sur le principe d’intrusion dans l’intimité. Contrairement aux affaires portant sur un accès non autorisé par des pirates informatiques tiers, le demandeur a allégué que les défendeurs eux-mêmes avaient accédé illégalement aux renseignements confidentiels des clients à des fins de marketing, et que ce comportement avait causé du tort au demandeur.^[14]

Il est encore trop tôt pour avoir une idée de l’évolution de ces tendances. Nous continuons de suivre attentivement la manière dont les tribunaux appliqueront le critère de certification à ce genre de réclamations.

Les dommages-intérêts en cas d’atteinte à la vie privée

Une décision d’appel récente a également précisé l’étendue des dommages-intérêts qui pourraient être accordés pour des atteintes à la vie privée prévues par une loi lorsqu’il n’y a aucune preuve de perte indirecte. Dans l’affaire Insurance Corporation of British Columbia v. Ari, la Cour d’appel de la Colombie-Britannique a confirmé que l’attribution d’une somme globale de dommages-intérêts pour atteinte à la vie privée en vertu de la Privacy Act peut, même en l’absence de preuve de perte indirecte, être plus que symbolique. Des dommages-intérêts généraux (et non des dommages-intérêts symboliques) peuvent être accordés sans preuve de perte indirecte lorsque la gravité de la violation du droit lui-même exige une confirmation, une dissuasion et une réparation s’agissant de l’atteinte subie aux droits immatériels du demandeur.^[15] Les dommages-intérêts pour atteinte à la vie privée lorsque le demandeur n’a subi aucune perte pécuniaire visent à faire valoir les droits ou à consacrer la reconnaissance de leur atteinte.^[16]

L’approche distinctive du Québec en matière d’actions collectives pour incidents de confidentialité

Le Québec présente un environnement unique s’agissant des actions collectives pour incidents de confidentialité. Le seuil requis pour la certification – ou, comme on l’appelle au Québec, l’autorisation – est plus facile à franchir que dans les autres provinces canadiennes.

Le rôle d’un juge à l’étape de l’autorisation consiste en grande partie à « écarter » les demandes non fondées et frivoles qui ne répondent manifestement pas aux exigences d’une action collective.^[17] Le demandeur n’est pas tenu de démontrer que sa réclamation repose sur une base factuelle suffisante. Le principal fardeau du demandeur en est un « de logique » et non de preuve, dans le cadre duquel le demandeur doit établir que les faits qu’il allègue, s’ils sont vrais, justifieraient les conclusions recherchées.^[18] Tout au plus, le demandeur doit présenter une « certaine preuve » dans les cas où ses allégations factuelles à l’appui de sa demande d’autorisation sont vagues ou imprécises.^[19]

L’approche relativement permissive du Québec en matière d’autorisations d’actions collectives doit être combinée aux nouvelles dispositions strictes de sa loi sur la protection de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRP du Québec »), qui a été modernisée par la Loi 25 pour faciliter les réclamations en matière de protection de la vie privée. La Loi 25, adoptée par l’Assemblée nationale du Québec en 2021, a introduit une série de nouvelles exigences pour les entreprises, relatives aux incidents de confidentialité, telles que la nomination d’un responsable de la protection des renseignements personnels, l’obligation de notification d’un avis à la suite d’un incident de confidentialité et de tenue de registres, ainsi que des droits individuels accrus, notamment le droit à la portabilité des données et le droit à l’oubli. Ainsi, l’article 93.1 de la LPRP du Québec, entré en vigueur en septembre 2023, permet aux demandeurs de réclamer des dommages-intérêts punitifs pour les atteintes illicites à un droit conféré par cette loi ou à certaines protections en matière d’atteinte à la vie privée prévues dans le Code civil du Québec, qui sont intentionnelles ou résultent d’une faute lourde.

Plusieurs décisions récentes montrent que les tribunaux québécois continuent d’utiliser un cadre libéral pour l’autorisation des actions collectives portant sur des incidents de confidentialité, et se montrent réticents à exclure l’étendue des dommages-intérêts pouvant être réclamés à l’étape de l’autorisation. Dans Harguindeguy c. Suncor Énergie inc. (Petro-Canada), 2025 QCCS 3072, la Cour supérieure du Québec a autorisé une action collective au nom de tous les résidents du Québec dont les renseignements personnels ou financiers détenus par Petro-Canada ont été compromis lors d’un incident de cybersécurité le 21 juin 2023. Même si la Cour a refusé d’accorder une injonction ordonnant à Petro-Canada de fournir des services de suivi de crédit aux membres du groupe en attendant l’issue du procès, elle a autorisé l’action collective, y compris une demande de dommages-intérêts punitifs fondée sur l’article 93.1 de la LPRP du Québec, malgré le fait qu’elle ait constaté que les allégations à leur appui n’étaient pas suffisamment précises.

Dans l’affaire Royer c. Capital One Bank (Canada Branch), 2025 QCCA 217, la Cour d’appel du Québec a infirmé plusieurs conclusions du juge de première instance saisi de la demande d’autorisation, s’agissant de l’autorisation d’une action collective pour les résidents du Québec touchés par un incident de confidentialité visant des renseignements personnels causé par un pirate informatique qui a affecté plus de 100 millions d’Américains et six millions de Canadiens. La Cour d’appel a annulé la décision du juge saisi de l’autorisation de limiter les dommages-intérêts autorisés à l’indemnisation des coûts de surveillance de crédit, estimant que les membres du groupe de l’action collective pouvaient réclamer tous les coûts liés à l’incident de confidentialité qu’ils pourraient établir lors du procès, y compris les pertes non pécuniaires liées au stress et à l’anxiété.

Comme aucun tribunal du Québec n’a encore accordé de dommages-intérêts punitifs en vertu de l’article 93.1 de la LPRP du Québec contre un défendeur dans une action collective depuis l’entrée en vigueur de cet article, la décision Harguindeguy constituera un précédent important si l’affaire débouche sur un procès sur le fond. La décision de la Cour d’appel dans Royer confirme que la jurisprudence du Québec privilégie généralement une approche large et libérale pour autoriser les actions collectives découlant d’incidents de confidentialité.

Cet article fait partie de notre série Perspectives 2026 : Les incidents de confidentialité, conçue pour aider les entreprises à comprendre le cadre évolutif des incidents de confidentialité. À mesure que les menaces gagnent en complexité et que la surveillance des autorités de réglementation s’intensifie, les entreprises sont confrontées à des risques juridiques, financiers et opérationnels de plus en plus importants. Afin de vous aider à anticiper ces défis, chaque article de cette série fournit de l’information concrète pour vous aider à vous préparer aux incidents de confidentialité, aux obligations de conformité règlementaire et à atténuer les risques. Découvrez la série complète ici.

Ce que nous entendons par « incident de confidentialité ».

Lorsque les gens entendent parler d’un « incident de confidentialité », ils pensent souvent uniquement aux incidents visant des renseignements personnels. Dans cette série, nous utilisons le terme de manière plus large. Nous examinons tout incident de sécurité dans le cadre duquel des données sensibles ou confidentielles sont consultées, exfiltrées, publiées, modifiées, effacées ou rendues indisponibles sans autorisation – que ces données appartiennent à des individus ou à l’entreprise elle-même. Cela inclut tout, de la propriété intellectuelle et des dossiers financiers aux systèmes d’exploitation mis hors ligne par un rançongiciel.

Pour en savoir plus sur la manière dont notre groupe Cyber/Données peut vous aider à vous orienter dans le paysage de la cybersécurité et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.

^[1] Jones c. Tsige, 2012 ONCA 32.

^[2] Owsianik c Equifax Canada Co, 2022 ONCA 813; Obodo v Trans Union of Canada, Inc., 2022 ONCA 814; et Winder v Marriot International, Inc, 2022 ONCA 815.

^[3] Setoguchi v. Uber B.V., 2023 ABQB 45.

^[4] Quantz v. Ontario, 2025 ONSC 90, au par. 67.

^[5] Quantz v. Ontario, 2025 ONSC 90, au par. 66.

^[6] Litvin v Mackenzie Financial Corporation, 2025 ONSC 6138, au par. 36.

^[7] Litvin v Mackenzie Financial Corporation, 2025 ONSC 6138, au par. 51, suivant Owsianik c. Equifax Canada Co, 2022 ONCA 813.

^[8] GD v. South Coast British Columbia Transportation Authority, 2024 BCCA 252; Campbell v Capital One Financial Corporation, 2024 BCCA 253.

^[9]Voir, p. ex., Kish v. Facebook Canada Ltd, 2021 SKQB 198; Chow v Facebook Inc, 2022 BCSC 137; Simpson v Facebook, 2021 ONSC 968.

^[10] Voir, p. ex., Hvitved v Home Depot of Canada Inc, 2026 BCCA 39, aux par. 46 à 62; Lam v Flo Health Inc, 2024 BCSC 391, au par. 100.

^[11] Situmorang v. Google, LLC, 2024 BCCA 9. La Cour d’appel a infirmé l’ordonnance rejetant l’action pour absence de cause d’action raisonnable et a renvoyé l’affaire à la Cour suprême de la Colombie-Britannique afin qu’elle se penche sur les autres questions liées à la certification.

^[12] Cleaver v The Cadillac Fairview Corporation Limited, 2025 BCSC 910, aux par. 121, 126 et 148.

^[13] Cleaver v The Cadillac Fairview Corporation Limited, au par. 230.

^[14] Trueman v Rogers Communications Canada Inc., 2025 ONSC 5972, au par. 99.

^[15] Insurance Corporation of British Columbia v Ari, 2025 BCCA 131, au par. 48.

^[16] Insurance Corporation of British Columbia v Ari, 2025 BCCA 131, au par. 15, citant Jones c. Tsige, 2012 ONCA 32.

^[17] Wang c. CST Consultants inc., 2021 QCCS 1104, au par. 47.

^[18] Allard c. Procureur général du Québec, 2022 QCCA 686, au par. 28.

^[19] Allard c. Procureur général du Québec, 2022 QCCA 686, au par. 28.