Le 13 juillet 2023, la Cour suprême du Canada a rejeté des demandes d’autorisation d’en appeler de trois décisions de la Cour d’appel de l’Ontario ayant refusé d’appliquer le délit d’intrusion dans l’intimité à des défendeurs exploitant des bases de données (des organisations qui recueillent et stockent des renseignements personnels dans le cadre d’activités commerciales et se font « pirater » par des tiers). La nouvelle est intéressante pour ce type de défendeurs : les victimes doivent maintenant prouver une perte indemnisable pour présenter contre eux une demande en lien avec une atteinte aux données commise par un tiers non autorisé. La tâche peut être complexe, surtout dans le contexte de recours collectifs où les demandeurs n’ont pas subi de pertes suffisamment graves ou indemnisables qui dépassent les dépenses ou désagréments raisonnables du quotidien.
Le délit d’intrusion dans l’intimité est une cause d’action pour atteinte à la vie privée reconnue en common law qui a été acceptée par la Cour d’appel de l’Ontario en 2012 dans l’affaire Jones c. Tsige pour reconnaître le préjudice moral découlant d’une invasion intentionnelle. Trois éléments composent ce délit :
Comme ce délit reconnaît le préjudice moral, la preuve d’une perte pécuniaire n’est pas nécessaire à l’octroi de dommages-intérêts. Il s’agit donc d’une cause d’action très attrayante pour les personnes qui veulent exercer un recours collectif en atteinte à la vie privée contre des défendeurs exploitant des bases de données.
Depuis l’affaire Jones c. Tsige, un certain flou planait dans la jurisprudence ontarienne à savoir si l’intrusion dans l’intimité pouvait être invoquée contre des exploitants de bases de données. C’est dans ce contexte que trois recours collectifs pour atteinte à la vie privée ont été intentés à la Cour supérieure de justice de l’Ontario, puis entendus par la Cour d’appel de l’Ontario en 2022 : Owsianik v Equifax Canada Co. (Equifax), Obodo v Trans Union of Canada Inc. (Trans Union) et Winder v Marriott International Inc. (Marriott) (collectivement, la trilogie). Bennett Jones a représenté Marriott.
Les défenderesses dans les affaires de la trilogie exploitaient toutes des bases de données recueillant et stockant des renseignements personnels de clients canadiens, dont leurs nom, date de naissance, adresse et information de carte de crédit ou de paiement. Dans chaque cas, la base de données a été piratée par des tiers. Dans l’affaire Equifax, la demanderesse reprochait à Equifax d’avoir commis une intrusion dans l’intimité en raison de son insouciance dans le stockage des renseignements recueillis. Dans l’affaire Trans Union, le demandeur reprochait le même délit à Trans Union, l’accusant cette fois d’avoir permis le piratage par des tiers. Et dans l’affaire Marriott, le demandeur reprochait à Marriott de l’avoir commis en manquant à ses déclarations et à ses obligations légales en matière de protection des renseignements sur sa base.
Dans l’affaire Equifax (la principale de la trilogie), la Cour d’appel de l’Ontario a conclu que l’intrusion dans l’intimité ne s’appliquait pas aux défendeurs exploitant des bases de données, car ils ne sont pas ceux qui commettent l’« intrusion », ce qui fait échec au critère du comportement exigé dans Jones c. Tsige. Quel que soit l’éclairage que chaque demandeur tentait de donner à l’inconduite alléguée des défenderesses, la Cour a conclu qu’aucun fait ne démontrait qu’elles avaient directement commis une « intrusion ». Le caractère intentionnel ou insouciant des actes du défendeur à qui l’on reproche le délit doit se rapporter au comportement interdit, soit la véritable intrusion dans les affaires privées du demandeur. Dans chaque cas, la Cour a conclu que l’intrusion avait été commise par les pirates (des tiers inconnus et non autorisés) et non par les défenderesses exploitant les bases de données. La Cour a refusé d’élargir l’application du délit au comportement présumé de ces dernières.
En concluant que le délit d’intrusion dans l’intimité ne s’applique pas aux exploitants de bases de données, la Cour d’appel de l’Ontario a réaffirmé des principes énoncés par la Cour suprême du Canada en 2020 dans l’arrêt Société des loteries de l’Atlantique c. Babstock (Babstock) : il doit être « évident et manifeste » que les actes de procédure présentent une cause d’action soutenable, et il est important de statuer sur des demandes tôt, lorsque cela est approprié. Dans l’arrêt Babstock, la cause d’action était la renonciation à un recours délictuel. Selon la Cour suprême du Canada, une action ne peut pas survivre à une demande de radiation du simple fait qu’elle est inédite : si un tribunal ne la reconnaît pas même en tenant pour avérés les faits allégués, elle est manifestement vouée à l’échec et doit être radiée.
Dans l’affaire Equifax, la Cour d’appel de l’Ontario a renchéri sur les principes de l’arrêt Babstock en concluant qu’une cour peut trancher la validité d’une demande dans le cadre d’une requête portant sur un acte de procédure même lorsque la question juridique est complexe, de nature politique et susceptible d’être débattue. La détermination prompte de la viabilité des demandes, surtout de celles qui sont vouées à l’échec, contribue à l’efficacité du système judiciaire, améliore l’accès à la justice et favorise la certitude du droit. Selon la Cour, cette approche permet aussi d’atténuer le plus possible l’injustice découlant de l’incertitude juridique qui pourrait exacerber la responsabilité potentielle des défendeurs et donner une longueur d’avance aux demandeurs dans le processus de certification.
Le délit d’intrusion dans l’intimité, comme la renonciation à un recours délictuel avant lui, a été utile aux demandeurs pour la certification. Ils se servaient du caractère inédit des causes d’action avancées et de la réticence des tribunaux à rejeter des demandes au terme de motions de radiation pour intenter des recours collectifs sans faire les évaluations au cas par cas, qui compliquent parfois la preuve du critère des questions communes. Les demandeurs auront maintenant beaucoup plus de difficulté à se prévaloir de cette stratégie.
Les entreprises qui recueillent et stockent les renseignements personnels de leurs clients demeurent assujetties à des obligations légales, contractuelles et autres (par exemple dans le contexte du délit de négligence), mais en refusant d’entendre les décisions de la trilogie, la Cour suprême du Canada a offert davantage de prévisibilité à celles qui seront visées par des demandes pour préjudice moral dans le contexte du délit d’intrusion dans l’intimité. Ce refus confirme aussi le principe de droit, réitéré et employé par la Cour d’appel de l’Ontario, selon lequel les tribunaux peuvent (et devraient) résoudre les questions en apparence complexes tôt dans le processus lorsque l’action est manifestement vouée à l’échec, car cela permet de réduire les coûts et d’atténuer l’incertitude pour les prochains litiges.