Ogletree Deakins Ogletree Deakins
Ogletree Deakins > Publications > Les Pratiques de Gestion des Renseignements Personnels Déclenchent une Vague de Recours Collectifs au Canada

Les Pratiques de Gestion des Renseignements Personnels Déclenchent une Vague de Recours Collectifs au Canada

Par Erin Schachter
Download PDFPrintShare

Les récentes décisions rendues par la Cour supérieure du Québec et la Cour supérieure de l’Ontario visant à certifier des recours collectifs de consommateurs dans les affaires liées à la protection des renseignements personnels marquent une tendance au Canada vers une nouvelle ère en matière de confidentialité des données et de litiges concernant l’utilisation des renseignements personnels – une tendance qui a des implications pour les employeurs surveillant les lois fédérales et provinciales canadiennes sur la protection des renseignements.

En Bref

  • La Cour supérieure du Québec a récemment accepté un recours collectif malgré l’absence de pertes confirmées liées à un vol d’identité au moment de l’autorisation.
  • La Cour supérieure du Québec a jugé que les demandeurs peuvent réclamer des dommages-intérêts pour préjudice moral lorsque la détresse alléguée dépasse le cadre d’une surveillance « de routine ».
  • Les programmes de fidélité ou autres clauses contractuelles peuvent créer des obligations qui s’ajoutent aux obligations légales.
  • La responsabilité peut s’étendre à plusieurs régimes : la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la Charte des droits et libertés de la personne du Québec (la « Charte »), la Loi sur la protection du consommateur du Québec (LPC) et les lois sur les renseignements concernant les consommateurs en Ontario.

Les deux décisions mettent également en lumière les nouveaux arguments avancés par les demandeurs concernant l’application des obligations contractuelles, d’autres régimes législatifs en dehors des lois sur la protection des renseignements, tels que les lois sur la protection des consommateurs, les lois sur les droits de la personne, les lois sur les rapports de consommation et d’autres lois provinciales.

Décision de la Cour supérieure du Québec

Dans une décision qui pourrait s’avérer déterminante pour les litiges en matière de protection des renseignements personnels au Québec, le tribunal a statué que les allégations de négligence, telles que la publication d’avis trompeurs indiquant que seules des informations de base avaient été compromises lors d’un incident alors que des informations personnelles supplémentaires étaient disponibles sur le dark web, étaient suffisantes pour autoriser un recours collectif de consommateurs. Notamment, le tribunal a reconnu que d’autres cadres juridiques, tels que la LPC et la Charte, pouvaient s’appliquer, rendant ainsi viable la possibilité d’obtenir des dommages-intérêts en vertu de ces régimes et justifiant ainsi l’autorisation du recours collectif.

Ces décisions, bien qu’elles visent les consommateurs, constituent également un signal d’alarme crucial pour les employeurs. Elles soulignent qu’à la suite d’une violation de la protection des renseignements personnels, la manière dont un avis est rédigé peut être scrutée par les tribunaux. Les employeurs devraient donc identifier avec soin les personnes responsables de la rédaction de ces communications au sein de leur organisation et revoir leurs procédures internes afin d’éviter que des avis ne soient diffusés aux employés sans que les procédures internes appropriées aient été suivies. Des déclarations ou représentations inexactes sur la gestion des données pourraient potentiellement être utilisées par des individus pour étayer un recours collectif.

Superposition contractuelle

Les décisions rendues au Québec et en Ontario mettent toutes deux l’accent sur le langage contractuel. Bien que les lois sur les renseignements personnels constituent souvent le point de départ, les ententes, même celles qui portent sur les conditions des programmes de fidélité, avec des employés ou des clients, peuvent être considérées comme des contrats exécutoires.

Bien que ces décisions concernent les consommateurs, un parallèle peut être établi avec les informations fournies par les employeurs dans les avis ou politiques de confidentialité destinés aux employés. Les employeurs pourraient souhaiter vérifier si les déclarations concernant les informations personnelles des employés, telles que leur lieu de stockage et leur utilisation, sont exactes ou présentent un risque de poursuite pour violation de la vie privée.

Plusieurs points d’ancrage législatifs

La Cour supérieure du Québec a également reconnu que la responsabilité peut découler simultanément de plusieurs régimes. Outre les lois sur la vie privée du secteur privé et fédérales, diverses lois sur la protection des consommateurs et le Code civil du Québec peuvent fournir des motifs indépendants de responsabilité. Les dommages-intérêts punitifs peuvent être réclamés en vertu :

  1. des articles 5 et 49 de la Charte (pour atteinte à la vie privée);
  2. de l’article 272 LPC (pour pratiques commerciales trompeuses); et
  3. de l’article 93.1 de la LPRPSP, applicable aux violations résultant d’actes intentionnels ou de négligence grave.

L’article 93.1 de la LPRPSP prévoit que lorsqu’une organisation porte atteinte illégalement à un droit conféré par la loi, et que cette atteinte cause un préjudice, des dommages-intérêts punitifs peuvent être accordés si l’acte était intentionnel ou résulte d’une faute lourde. Le montant minimal de dommages-intérêts punitifs prévu par cet article est de 1 000 $. Pour les employeurs, cela souligne que certaines violations de la vie privée, en particulier celles qui impliquent des manquements graves ou une faute délibérée, peuvent entraîner non seulement des dommages-intérêts compensatoires, mais aussi des dommages-intérêts punitifs obligatoires, ce qui augmente le risque financier et réputationnel potentiel dans le cadre d’un recours collectif.

Ce cadre à plusieurs niveaux souligne que les employeurs peuvent être confrontés à des risques parallèles lorsqu’ils gèrent des données personnelles dans plusieurs juridictions.

Pièges de la communication et des lignes d’assistance

La décision québécoise illustre également comment les stratégies de communication peuvent engendrer des litiges. La faible présence du défendeur sur les réseaux sociaux et le manque de ressources de sa ligne d’assistance téléphonique ont attiré l’attention des magistrats. Selon le Tribunal, faire la publicité d’un centre d’appels mais laisser les appelants sans aide réelle pourrait constituer une pratique trompeuse. Bien que cette décision ne porte pas sur le fond de l’affaire, elle a néanmoins attiré l’attention du Tribunal sur le fait que la ligne d’assistance annoncée était, semble-t-il, injoignable. Les entreprises qui gèrent des lignes d’assistance pour les employés ou les clients pourraient vouloir évaluer si les ressources annoncées sont réellement dotées du personnel nécessaire et capables de fournir un soutien rapide.

Recours collectifs dans les contrats de consommation

Il convient également de noter que, en vertu de la LPC au Québec, les parties ne peuvent pas exclure contractuellement la possibilité d’un recours collectif. En vertu de l’article 11.1 de la LPC, les entreprises ne peuvent pas contraindre les consommateurs à résoudre les litiges par arbitrage ni les empêcher d’intenter des actions en justice, y compris des recours collectifs. Cependant, une fois qu’un litige survient, un consommateur peut choisir volontairement l’arbitrage. Même si les contrats destinés aux consommateurs, tels que les conditions du programme de fidélité ou les documents liés aux avantages sociaux, contiennent des dispositions visant à limiter les mécanismes de résolution des litiges, de telles clauses n’empêchent pas un recours collectif. Ceci souligne que la rédaction contractuelle à elle seule ne suffit pas à se prémunir contre le risque de recours collectif.

Prochaines étapes

À la lumière des décisions respectives des tribunaux du Québec et de l’Ontario autorisant les recours collectifs de consommateurs fondés sur des violations de données, les employeurs pourraient envisager les mesures suivantes :

Vérification des engagements contractuels

Les employeurs peuvent vouloir vérifier si les politiques d’emploi, les programmes d’avantages sociaux ou les ententes de fidélité incluent des promesses concernant la protection des données pouvant entraîner des obligations contractuelles.

Amélioration des plans de réponse aux incidents

Des protocoles d’escalade documentés et des communications multilingues peuvent aider les employeurs à réagir rapidement en cas de violation.

Évaluation des ressources de la ligne d’assistance et du soutien

Les employeurs qui proposent des lignes d’assistance peuvent se demander si ces services sont suffisamment dotés pour répondre à la demande.

Coordination des messages

Les déclarations publiques, les communications internes et les avis juridiques pourraient être harmonisés afin d’éviter tout langage qui pourrait être ultérieurement qualifié de trompeur.

Anticipation des risques multi-régime

Les employeurs peuvent envisager de modéliser les dommages potentiels selon la législation québécoise sur la vie privée, la loi fédérale sur la vie privée, la LPC et la Charte, et évaluer si les polices d’assurance cyber couvrent les dommages punitifs.

Les bureaux canadiens d’Ogletree Deakins, le groupe de pratique recours collectifs et  le groupe de pratique en cybersécurité et vie privée continueront de suivre les évolutions et publieront des mises à jour sur les blogs Canada, recours collectif, transfrontalier, cybersécurité et vie privée, et commerce de détail à mesure que des informations supplémentaires seront disponibles.

Suivez et abonnez-vous
LinkedIn | Instagram | Webinaires | Podcasts

Pour aller plus loin

Podcasts Seminars Webinars

Sign up to receive emails about new developments and upcoming programs.

Sign Up Now