Les Cyberrisques : Portrait Actuel de la Responsabilité Civile Liée Aux Renseignements Personnels et à la Vie Privée au

Mai 2016 | Par Jill M. Shore, Sinziana M. Gutiu et Dolden Wallace Folick LLP

RÉSUMÉ : Au cours des cinq dernières années, le nombre de litiges entourant la violation de données a augmenté au Canada. Les renseignements personnels et commerciaux confidentiels sont exposés à diverses menaces, notamment l’exploitation des mégadonnées, les erreurs administratives, l’inconduite d’employés et le piratage informatique. Les victimes de violation de données peuvent recourir à de nombreux moyens de défense reconnus par la loi ou par la common law pour demander réparation devant les tribunaux. Afin de minimiser les risques éventuels, les organisations doivent en savoir davantage en matière de cyberresponsabilité, adopter des mesures de prévention et, en cas de violation de données, savoir en atténuer les conséquences de façon appropriée par l’identification, l’endiguement, la notification et la documentation de l’incident.

La nécessité croissante de protéger les données des clients

Le nombre de violations de données rapportées par les médias augmente de façon remarquable, tout comme les risques juridiques et financiers auxquels s’exposent les organisations qui recueillent, stockent et utilisent des données personnelles. Au Canada, les cas de violation de données font de plus en plus souvent l’objet de poursuites judiciaires. De nouvelles stratégies de traitement des litiges y sont d’ailleurs mises à l’essai, et des modifications visant les lois relatives à la vie privée sont en cours d’élaboration.

D’après une étude réalisée en 2015 par l’Institut Ponemon et IBM, les pertes ou les vols de documents pourraient coûter en moyenne 5,32 millions de dollars aux organisations canadiennes, le coût moyen par document s’élevant à 250 dollars1. Lors d’une allocution prononcée le 28 mai 2015 devant l’AAMGA (American Association of Managing General Agents), John Nelson, président de la Lloyd’s, a indiqué que les primes mondiales de cyberassurance étaient passées de 850 millions de dollars en 2012, à la somme estimée de 2,5 milliards de dollars en 2015, une grande partie de cette hausse étant attribuable aux États Unis. Selon un rapport publié par PwC, le marché de la cyberassurance pourrait atteindre 5 milliards de dollars en primes annuelles d’ici 2018, et au moins 7,5 milliards d’ici 2020 2.

Selon un rapport publié par Intel’s McAfee Labs et le Center for Strategic International Studies, cité dans le rapport de l’Institut d’assurance du Canada intitulé Les cyberrisques : conséquences pour l’industrie de l’assurance au Canada, le coût estimatif de la cybercriminalité à l’échelle mondiale se situait entre 375 et 575 milliards de dollars en 2013. Il est intéressant de noter que les dommages causés dans le monde par les collisions de véhicules s’élèvent à 518 milliards de dollars et que les primes mondiales d’assurance automobile dépassent ces coûts.

La souscription d’une garantie complète pour protéger les renseignements personnels est devenue essentielle. En effet, la possibilité de subir une violation de données menant à des pertes financières et à des poursuites judiciaires est désormais une réalité pour l’entreprise canadienne moyenne.

Les types d’atteintes aux données des clients au Canada

Au cours des cinq dernières années, les violations de données au Canada ont principalement découlé des causes suivantes : l’exploitation des mégadonnées et le mercantilisme abusif, les erreurs administratives, l’inconduite d’employés et le piratage informatique.

L’exploitation des mégadonnées et le mercantilisme abusif font référence aux sociétés qui recueillent de grandes quantités de renseignements personnels auprès de leurs clients ou d’autres personnes pour ensuite les utiliser ou les divulguer dans le but de réaliser un profit, sans avoir obtenu le consentement préalable des personnes concernées. Les poursuites engagées dans de telles circonstances font généralement l’objet d’actions collectives.

Souvent, des cas de violations de données découlent d’une erreur de nature administrative. Par exemple, une entreprise pourrait divulguer des renseignements personnels ou délicats par accident, soit en les envoyant à la mauvaise adresse, en les égarant ou en les perdant. Selon le type d’erreur en cause, les poursuites peuvent prendre la forme d’actions individuelles ou collectives.

Il peut arriver qu’un employé, un ancien employé ou un entrepreneur commette une inconduite en accédant sans autorisation aux données personnelles ou délicates de collègues, de clients ou d’autres tiers, dans le but d’en tirer profit, avec une intention criminelle ou non. Les litiges découlant de ce type de violation donnent habituellement lieu à des poursuites contre l’employé, mais également contre l’employeur concerné qui, en vertu de la responsabilité du fait d’autrui, peut être tenu responsable des actes de ses employés.

Les violations électroniques liées au piratage informatique (hameçonnage, rançongiciels, etc.) se produisent lorsque des tiers accèdent aux ordinateurs ou au réseau d’une entreprise pour obtenir illégalement des renseignements, et ce, en vue de réaliser un profit, d’envoyer un message d’ordre moral à l’entreprise ou au public ou de perturber de façon générale l’entreprise ou les personnes visées. Ces violations sont souvent le fruit d’actes criminels et augmentent la probabilité de fraude, de vol d’identité et de dommages aux biens, ce qui peut donner lieu à des dommages-intérêts encore plus importants.

Les initiateurs d’actions collectives qui souhaitent obtenir davantage que des dommages-intérêts symboliques doivent prouver que des dommages pécuniaires ou quantifiables ont été occasionnés, lorsqu’aucune fraude ou aucun vol d’identité n’a été commis. Afin de surmonter cet obstacle, les plaignants pourraient fonder leur action sur la renonciation de délit civil ou invoquer l’enrichissement sans cause, dans le but d’obtenir des dommages-intérêts fondés non pas sur la perte qu’ils ont subie, mais plutôt sur le produit brut ou le bénéfice net enregistré ou épargné par l’entreprise par suite des actes fautifs3. Les dommages-intérêts punitifs jouent également un rôle important, du fait qu’ils permettent de mettre l’accent sur la mauvaise conduite de l’entreprise, plutôt que sur le préjudice subi par les plaignants.

Les causes d’action reconnues par la loi

Au Canada, trois types de lois sont susceptibles d’offrir un recours judiciaire aux victimes de violations de données :

    1. Les lois sur la protection des renseignements personnels (et médicaux), notamment, au fédéral, la Loi sur la 
    protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5   (« LPRPDE ») et les 
    lois provinciales déclarées essentiellement similaires à cette loi. 
    
    2. Les lois provinciales relatives à la protection de la vie privée qui reconnaissent le droit d’engager une action en 
    justice pour atteinte à la vie privée, dans certaines provinces. 
    
    3. La Loi canadienne anti-pourriel4, L.C. 2010, ch. 23 (« LCAP »), en vertu de laquelle il sera possible d’intenter une 
    action en dommages-intérêts à partir du 1er juillet 2017.

La LPRPDE réglemente la façon dont les organisations du secteur privé recueillent, utilisent et communiquent les renseignements personnels sans consentement. À la suite d’une enquête réalisée par le Commissariat à la protection de la vie privée du Canada, les victimes peuvent intenter des poursuites en dommages-intérêts devant une cour fédérale. En général, la LPRPDE s’applique partout au Canada, sauf dans les provinces où une loi déclarée essentiellement similaire à cette loi est en vigueur. Jusqu’à présent, seules les provinces de la Colombie Britannique, de l’Alberta et du Québec disposent de lois applicables à l’ensemble du secteur privé et considérées comme essentiellement similaires à la LPRPDE; l’Ontario, Terre Neuve et Labrador et le Nouveau Brunswick ont adopté des lois essentiellement similaires applicables aux renseignements médicaux. Des lois distinctes s’appliquent à la protection des renseignements personnels (et médicaux) détenus par le fédéral, les provinces et les autres organismes publics.

La LPRPDE a récemment été modifiée aux termes de la Loi sur la protection des renseignements personnels numériques, L.C. 2015, ch. 32 (« LPRPN »), laquelle a reçu la sanction royale le 18 juin 2015. La LPRPN oblige les organisations à signaler les violations de données dès que possible au commissaire fédéral à la protection de la vie privée, à toutes les personnes touchées et à tout tiers qui pourrait contribuer à atténuer le préjudice. Le signalement d’une violation de données devient obligatoire lorsqu’il est raisonnable de croire qu’une « atteinte aux mesures de sécurité » présente un « risque réel de préjudice grave » à l’endroit d’un individu. D’autres modifications importantes sont l’obligation pour les organisations de tenir et de conserver un registre de toutes les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels, ainsi que l’imposition de nouvelles amendes et pénalités pouvant aller jusqu’à 100 000 $ lorsqu’une organisation omet sciemment de signaler une violation de données ou de tenir un registre des atteintes aux mesures de sécurité.

La Colombie Britannique, la Saskatchewan, le Manitoba et Terre Neuve et Labrador ont adopté des lois sur la protection de la vie privée qui offrent aux plaignants d’autres recours légaux pour obtenir réparation. Ces lois créent une cause d’action distincte fondée sur une atteinte au droit à la vie privée, lequel ne se limite pas à la protection des renseignements personnels. Des poursuites pour atteinte à la vie privée peuvent être intentées en vertu des lois provinciales, à condition que la violation en question ait été intentionnelle. Il n’est pas nécessaire de prouver que des pertes financières ou d’autres préjudices spécifiques ont été subis pour obtenir gain de cause.

La LCAP a pour but de réglementer les communications électroniques de nature commerciale (messages textes, courriels ou photos). Elle interdit un large éventail d’activités commerciales électroniques dont la modification des données de transmission dans un message électronique, l’installation non consentie de programmes informatiques, l’utilisation en ligne d’indications fausses ou trompeuses visant à faire la promotion d’une entreprise ou d’un produit, l’obtention d’une adresse électronique par l’exploration informatique de données ou la collecte de renseignements personnels effectuée en accédant à un système informatique d’une manière qui contrevient aux lois fédérales, à moins que des exceptions biens précises ne s’appliquent. Toute personne contrevenant à cette loi s’expose à une enquête réglementaire et à d’importantes « sanctions administratives pécuniaires ». À partir du 1er juillet 2017, de nouveaux articles seront ajoutés à la LCAP, en vertu desquels les personnes touchées par une violation de cette loi pourront recourir aux tribunaux pour obtenir réparation.

Les causes d’action reconnues en common law

Les causes d’action reconnues en common law constituent un autre moyen par lequel les victimes de violation de données peuvent chercher à obtenir réparation. En dehors de la Colombie Britannique5, le délit d’intrusion dans l’intimité pourrait être invoqué. Ce délit, reconnu pour la première fois par la Cour d’appel de l’Ontario dans l’affaire Jones c. Tsige, en 2012, constitue une cause d’action reconnue en common law, en vertu de laquelle un plaignant pourrait obtenir des dommages-intérêts pouvant aller jusqu’à 20 000 $, sans avoir à démontrer que des pertes pécuniaires ont été subies. L’intrusion dans l’intimité doit être intentionnelle et téméraire, sans justification légitime et considérée comme étant offensante par toute personne raisonnable.

Le délit de divulgation publique de faits privés6 a été invoqué dans le contexte de la protection de la vie privée dans l’affaire Jane Doe 464533 c. D, un cas de « porno-vengeance » porté devant les tribunaux ontariens en 2016. Ce délit pourrait être invoqué en cas de divulgation publique d’un fait privé, lorsque la nature de la publication est susceptible d’être considérée comme étant hautement offensante par toute personne raisonnable et que les faits ne concernent le public d’aucune façon légitime. Dans l’affaire Jane Doe, la cour a accordé des dommages-intérêts non pécuniaires beaucoup plus élevés que le plafond établi à l’égard des préjudices non pécuniaires dans l’affaire Jones c. Tsige, en raison de la nature délicate de l’affaire et des répercussions psychologiques subies par la plaignante.

En plus de ces délits précisément liés à la vie privée, la victime d’une violation de données pourrait intenter un recours judiciaire valide contre le détenteur des données en question en invoquant la violation de contrat, la négligence, la violation du secret professionnel, le manquement à une obligation fiduciaire ou l’abus de confiance. Des poursuites ont également été intentées au Canada pour appropriation illicite et violation d’une loi relative aux dépôts. Par ailleurs, dans le contexte de ces diverses causes d’action, si la violation de données découle d’une inconduite d’un employé, l’employeur pourrait être tenu responsable, en vertu de la responsabilité du fait d’autrui7.

Études de cas

Dans l’affaire Tucci c. La Compagnie de Fiducie Peoples, des cybercriminels originaires de la République populaire de Chine ont compromis la base de données des clients de la Compagnie de Fiducie Peoples (la « CFP »). Ce cas nous permet d’illustrer l’évolution d’une réclamation à partir de l’enquête menée par le Commissariat à la protection de la vie privée jusqu’à l’action collective intentée devant les tribunaux. L’autorisation de cette action collective devait être prononcée en Colombie Britannique, en avril 2016.

Dans cette affaire, des clients de la CFP et des personnes ayant rempli des demandes en ligne pour obtenir les services de l’entreprise se sont plaints d’avoir reçu des messages d’hameçonnage dans lesquels on leur demandait de fournir des renseignements personnels tels que leur nom, adresse, numéro de téléphone, adresse courriel, date de naissance, numéro d’assurance sociale et autres renseignements de nature financière. La CFP a retenu les services d’un enquêteur judiciaire qui a identifié la nature du problème et l’étendue de la violation de données. L’entreprise en a immédiatement informé le Commissariat à la protection de la vie privée, mais elle a attendu environ 14 jours avant de signaler la situation aux personnes touchées. En avril 2015, le Commissariat à la protection de la vie privée a statué que la CFP n’avait pas mis en place des mesures de sécurité technologiques et organisationnelles adéquates pour protéger les renseignements personnels recueillis auprès de ses clients.

L’action collective intentée contre la CFP, qui s’appuie sur les conclusions du commissaire à la protection de la vie privée, invoque la violation des conditions générales d’utilisation et de la politique de confidentialité de la CFP, ainsi que la négligence en matière de sauvegarde des renseignements des clients, l’abus de confiance et l’intrusion dans l’intimité. Les dommages-intérêts réclamés visent à réparer le préjudice subi du fait du temps perdu, des inconvénients occasionnés, de l’atteinte à la réputation en matière de solvabilité, de la souffrance morale et des dépenses préventives. Les plaignants invoquent la renonciation de délit civil et l’enrichissement sans cause, et souhaitent obtenir des dommages-intérêts dont le montant serait égal au produit brut de la CFP, ou encore au bénéfice net de l’entreprise provenant des commissions, intérêts et frais de service générés par la vente de produits ou la prestation de services aux plaignants.

Un exemple de cause reposant sur la perte de biens électroniques est l’affaire Belley c. Services de financement auto TD, une action collective ayant reçu l’autorisation de la cour en 2015, au Québec. Dans cette affaire, le service de messagerie UPS a perdu une bande magnétique non cryptée envoyée par une société affiliée des Services de financement auto TD, qui contenait les renseignements personnels d’environ 240 000 clients. Certains de ces renseignements ont ensuite été utilisés de manière frauduleuse par des tiers dont l’identité demeure inconnue, dans le but de se procurer des véhicules, causant ainsi un préjudice pécuniaire aux personnes touchées. La cour a autorisé les allégations fondées sur la négligence contre les Services de financement auto TD, relativement aux gestes ayant mené à la violation des données et aux mesures prises à la suite de ladite violation. Les plaignants soutiennent que dans l’avis envoyé aux clients touchés, les Services de financement auto TD admettent qu’ils ont perdu la bande, qu’ils étaient conscients que des préjudices pourraient découler de cette perte et qu’ils n’ont pas su protéger adéquatement les données en question.

La cour a également autorisé une demande en dommages-intérêts punitifs formulée par les plaignants, d’une part parce que les Services de financement auto TD ont omis de crypter les données et d’informer UPS du contenu de la bande, lui attribuant une valeur de 5 $, et d’autre part, parce que l’entreprise a averti ses clients de façon tardive et incomplète et n’a offert aucun dédommagement aux personnes touchées.

Des mesures pour minimiser le coût des violations de données

Bien que les violations de données puissent coûter extrêmement cher aux organisations de toutes tailles, il est possible d’en minimiser les conséquences grâce à des stratégies d’atténuation adoptées en amont. L’étude sur les violations de données menée par l’Institut Ponemon, en 2015, suggère certaines mesures qui peuvent réduire le coût par individu d’une atteinte à la protection des données. Parmi ces mesures, mentionnons notamment la souscription d’une cyberassurance, la mise en place d’un plan et d’une équipe d’intervention en cas de violation, le recours répandu au cryptage, la mise sur pied de programmes de formation des employés, l’engagement du conseil d’administration, la désignation de responsables de la protection des données personnelles et la gestion de la continuité des activités8.

À la suite d’une violation, une organisation doit prendre des mesures immédiates pour identifier, endiguer et documenter l’atteinte en question, ainsi que pour en informer les parties concernées, ce qui peut comprendre les forces de l’ordre, les commissaires à la protection de la vie privée et les victimes. Les priorités absolues sont l’identification de la nature et de la portée de la perte de données, ainsi que l’endiguement de la perte et la sécurisation des réseaux de l’organisation visant à prévenir toute perte supplémentaire ou tout accès non autorisé aux données. Dans la plupart des cas, les organisations devraient contacter sans attendre un fournisseur de services de soutien technologique judiciaire pour identifier la cause et l’étendue de l’incident (notamment la nature des données touchées), protéger les réseaux et les données de l’organisation contre d’autres pertes ou intrusions (ce qui aura pour effet de réduire la perte de réputation et les réclamations pour pertes d’exploitation) et préserver les preuves électroniques qui permettront de déterminer ce qui est arrivé et de quelle façon.

Le fait d’identifier promptement la cause de l’incident et d’endiguer celui-ci rapidement peut également avoir une incidence sur les obligations légales et la défense de l’assuré. La diligence raisonnable est un moyen de défense dont on peut se prévaloir devant un commissaire à la protection de la vie privée, ainsi qu’en cas de poursuites subséquentes. Dans certains cas, la cause de la violation pourrait conférer un droit de recours contre d’autres parties, telles qu’un fournisseur de services Internet ou une firme de services informatiques qui n’aurait pas su mettre en œuvre ou maintenir des mesures de sécurité appropriées. Les organisations peuvent avoir besoin de conseils juridiques lorsqu’il s’agit de déterminer les lois de quel territoire de compétence s’appliquent et comment s’y conformer, ainsi que pour veiller à protéger leurs intérêts si elles doivent se défendre en cas de litige ou d’enquête réglementaire.

Étant donné le risque de litige pouvant découler d’une violation de données et la possibilité qu’une enquête réglementaire soit ouverte, les services d’un avocat devraient être retenus immédiatement. Ce dernier pourra appuyer l’organisation en ce qui a trait aux enquêtes, à la préservation des preuves et à la documentation de la violation. Il pourra également représenter l’organisation devant le commissaire à la protection de la vie privée et les tribunaux (le cas échéant) et veiller à ce qu’elle se conforme à tous les échéanciers applicables en vertu de la loi.

Les types de services juridiques, comptables, techniques, de relations publiques ou autres auxquels une entreprise devra faire appel à la suite d’une violation de données dépendront des circonstances entourant l’incident et de la nature de l’entreprise. Les coûts engagés pour ces services peuvent être substantiels.

Conclusion

Au Canada, la responsabilité civile liée à la protection des renseignements personnels et à la vie privée est un domaine en plein essor, qui donne lieu à un nombre croissant de poursuites judiciaires importantes. Les organisations qui recueillent, utilisent ou divulguent des renseignements personnels devraient être conscientes des exigences et des risques entourant le traitement de ces données. Bien qu’il ne soit pas toujours possible de prévoir de tels incidents, les organisations qui traitent des données personnelles doivent prendre conscience de leur vulnérabilité et veiller à ce que des systèmes de prévention et de gestion post-incident adéquats soient en place afin de réduire les risques de nature financière et juridique. Les conséquences d’une violation seront amplifiées si l’organisation visée réagit de façon inappropriée. Peu importe la taille de l’entreprise, une violation de données peut occasionner des préjudices immédiats aux cadres supérieurs et aux clients, et avoir une incidence sur les résultats financiers et la réputation de l’entreprise. De plus, ces conséquences négatives pourraient se répercuter sur les activités de l’organisation et sur ses clients pendant de nombreuses années.

[1] Ponemon Institute et IBM, 2015 Cost of Data Breach Study: Canada, p.1. [En ligne] 2015
[2] PwC, Insurance 2020 & beyond: Reaping the dividends of cyber resilience. p. 10. [En ligne] 2015
[3] Pour voir un exemple d’action fondée sur la renonciation de délit civil, veuillez consulter le lien suivant : Tocco c. Bell Mobility (Cour supérieure de justice de l’Ontario, 2013).
[4] Bien que cette loi soit communément intitulée Loi canadienne anti-pourriel, elle porte officiellement le titre suivant : Loi visant à promouvoir l'efficacité et la capacité d'adaptation de l'économie canadienne par la réglementation de certaines pratiques qui découragent l'exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, L.C. 2010, ch. 23.
[5] En Colombie-Britannique, les tribunaux ne reconnaissent pas ce délit du fait que l’atteinte à la vie privée peut déjà donner lieu à des poursuites en vertu de la loi sur la protection des renseignements personnels de la Colombie-Britannique, RSBC 1996 c. 373. Voir Demcak v. Vo (Cour suprême de la Colombie-Britannique, 2012) et Ari v. ICBC, (Cour d’appel de la Colombie-Britannique, 2015).
[6] Ce délit est parfois appelé « publicité donnée à la vie privée ». Voir Shore v. Avid Dating Life Inc. and Avid Life Media Inc. (Tribunaux de l’Ontario et du Québec, 2015), et M. Untel c. Canada (Cour fédérale, 2015; Cour d’appel fédérale, en attente d’une décision).
[7] Voir à titre d’exemple : Evans v. Bank of Nova Scotia, (Cour supérieure de justice de l’Ontario, 2014).
[8] Ponemon Institute et IBM, 2015 Cost of Data Breach Study: Canada, p.2. [En ligne] 2015

DANS LA SÉRIE D’ÉTUDES SUR LES NOUVELLES RÉALITÉS : LES CYBERRISQUES

Informez-vous au sujet des cyberrisques au Canada!

Téléchargez l’étude de l’Institut intitulée Les cyberrisques : conséquences pour l’industrie de l’assurance au Canada, qui présente une évaluation des cyberrisques du point de vue de l’industrie canadienne de l’assurance. L’étude explore également un certain nombre de questions importantes entourant la sécurité et l’atténuation des risques,  ainsi que l’importance des garanties et du transfert des risques.