Fixer la norme dans les recours collectifs en cas d’atteinte à la sécurité des données

 
Toutefois, la Cour divisionnaire de l’Ontario est maintenant intervenue dans le débat en affirmant qu’il est approprié de rejeter les recours collectifs en cas d’atteinte à la sécurité des données non fondées à l’étape de la certification. La décertification prononcée dans l’affaire Stewart v Demme, 2022 ONSC 1790, spécifie qu’il est approprié de rejeter ces demandes dès le stade initial si la preuve démontre que l’atteinte à la sécurité des données a eu peu ou pas de répercussions. Cette décision impose des critères stricts aux demandeurs dans les recours collectifs qui allèguent le délit d’intrusion dans l’intimité, alors que l’atteinte à la sécurité des données n’a pas causé de préjudice démontrable.

Dans le présent article, nous analysons la façon dont la simple existence d’une atteinte à la sécurité des données (même si elle touche des renseignements généralement considérés comme sensibles) n’est pas, en soi, suffisante pour justifier un recours collectif et la façon dont seules les réclamations concernant des atteintes à la sécurité des données « très graves » peuvent passer l’étape de la certification.

Pas de préjudice, pas de recours

L’affaire Stewart v Demme concernait un recours collectif proposé contre un hôpital après l’utilisation par une infirmière des dossiers de patients pour voler des antidouleurs en raison de sa dépendance. Les dossiers des patients étaient importants, car les antidouleurs étaient délivrés automatiquement par une machine en réponse aux renseignements sur le patient – les dossiers des patients étaient la « clé » qui donnait accès aux médicaments. La quantité des médicaments volés était considérable. Durant les 10 ans pendant lesquels l’infirmière a agi à l’insu de l’hôpital, elle a utilisé les dossiers de plus de 11 000 patients pour se procurer des antidouleurs de façon inappropriée. Bien qu’il s’agissait d’une affaire de vol de stupéfiants à grande échelle, la preuve a démontré que l’infirmière ne passait que quelques secondes à consulter chaque dossier, qu’elle n’avait aucun intérêt pour les dossiers comme tels (ce sont les antidouleurs qui l’intéressaient), les renseignements sur les patients n’ont jamais quitté l’hôpital et le traitement des patients n’a pas été perturbé.

Puisqu’il n’y avait pas eu de conséquences pratiques pour les patients, le tribunal de première instance a refusé de certifier la réclamation en négligence contre l’hôpital, étant donné qu’il n’y avait pas eu de préjudice démontrable. Quant à la réclamation fondée sur le délit d’intrusion dans l’intimité, le tribunal de première instance l’a certifié parce qu’il était question de renseignements médicaux, tout en remarquant que [traduction] « les faits ne justifient pas nécessairement l’octroi d’une mesure de réparation ».

La Cour divisionnaire a infirmé la décision en certification et a déclaré que les tribunaux devraient examiner l’atteinte comme telle et non pas seulement le type de renseignements visés par celle-ci. Selon le tribunal, le délit d’intrusion dans l’intimité est [traduction] « conçu pour offrir un recours dans les situations où l’atteinte à la vie privée est très grave, et non pas dans tous les cas d’atteinte à la vie privée ».

Conformément à notre analyse précédente (en anglais seulement) de la décision rendue par le tribunal de première instance, la Cour divisionnaire a jugé que les vrais problèmes derrière l’incident avaient été résolus de manière appropriée par le congédiement de l’infirmière, la révocation de son permis et sa condamnation au criminel. Après les procédures réglementaires et criminelles, il ne restait aucune réparation à chercher via un recours collectif.

Voie ouverte aux contestations du délit d’intrusion dans l’intimité

Cette affaire est l’une des nombreuses décisions récentes qui devraient réduire les chances des demandeurs à réussir à faire certifier les recours collectifs fondés sur des atteintes à la sécurité des données qui ont eu peu ou pas de répercussions importantes sur les membres du groupe proposé.

Même si les fuites de données importantes, particulièrement celles qui se retrouvent dans la mire des organismes de réglementation, donnent souvent lieu à des recours collectifs, la décision de la Cour divisionnaire illustre la différence entre les obligations réglementaires d’une organisation et sa responsabilité civile pour dommages.

Les organismes de réglementation en protection de la vie privée tirent leur compétence des types de renseignements traités par une organisation et portent leur attention sur ceux-ci. Ainsi, les organisations considérées comme des « dépositaires de renseignements sur la santé » aux termes de la Loi sur la protection des renseignements personnels sur la santé doivent se conformer aux exigences propres à cette législation. Cependant, les tribunaux ne doivent pas se contenter d’examiner le type de renseignements visés et évaluer – une fois que toutes les mesures de protection réglementaires existantes ont été prises – si l’incidence sur les personnes touchées est suffisamment grave pour justifier une responsabilité civile en dommages.

La décision de la Cour divisionnaire confirme que la certification des recours collectifs fondés sur le délit d’intrusion dans l’intimité est soumise à des critères stricts. À l’avenir, les tribunaux de certification devraient être plus réceptifs aux contestations des réclamations fondées sur le délit d’intrusion dans l’intimité, même si les renseignements visés peuvent être considérés comme sensibles.