Décision d’intérêt de la Cour d’appel de l’Ontario en matière d’incident de confidentialité

Le 25 novembre 2022, la Cour d’appel de l’Ontario (la « Cour ») a rendu une décision intéressante en matière d’incident de confidentialité et de cybersécurité. Il s’agit de la décision Owsianik v. Equifax Canada Co.1,qui est un appel découlant d’un recours collectif dans lequel le demandeur cherchait à faire reconnaître une atteinte à la vie privée de la part du défendeur qui a collecté et conservé des renseignements personnels sans mettre en place des mesures de sécurité adéquates, permettant ainsi à des pirates informatiques d’accéder aux renseignements personnels, voir même de les utiliser à des fins malveillantes.

Pour sa part, le défendeur prétend que l’atteinte à la vie privée ne devrait pas être retenue pour l’autorisation de l’action collective. En effet, il fait valoir que ce sont les actions malveillantes de pirates informatiques tiers qui ont causé l’intrusion dans la base de données contenant les renseignements personnels et non le fait que cette base de données ne soit pas protégée adéquatement.

Cette décision nous donne des orientations intéressantes en matière d’attribution de la responsabilité en matière d’incident de confidentialité survenu à la suite d’une attaque visant une organisation n’ayant pas en place des mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle détient.

Voici quelques éléments soulignés par la Cour qui sont à retenir de cette décision :

  • Une organisation attaquée par une tierce partie malveillante n’est pas responsable de l’intrusion ni de l’atteinte à la vie privée des personnes dont les renseignements personnels sont impliqués dans l’incident.
  • La faute de l’organisation réside plutôt dans son manquement à la mise en place de mesures de sécurité appropriées afin de protéger les renseignements personnels contenus dans la base de données piratée, ce qui peut constituer de la négligence.
  • Le fait de ne pas avoir mis en place les mesures de sécurité appropriées afin de protéger la base de données contenant des renseignements personnels combiné à l’attaque de pirates informatiques n’a pas pour effet de rendre l’organisation responsable de l’atteinte à la vie privée des personnes concernées. Cette atteinte à la vie privée est donc attribuable aux pirates informatiques, dont l’identité demeure inconnue dans ce dossier.
  • L’impossibilité de poursuivre les pirates informatiques ne constitue pas une raison valable pour rendre l’organisation possédant la base de données attaquée responsable de l’atteinte à la vie privée qui résulte des actions des pirates.

L’appel a donc été rejeté puisque la preuve n’a pas été suffisante pour démontrer la responsabilité du défendeur en ce qui a trait à l’atteinte à la vie privée des personnes concernées. Cependant, la Cour reconnaît le risque pour la vie privée découlant de l’accumulation de renseignements personnels par le défendeur dans une base de données qui n’est pas protégée par des mesures de sécurité suffisantes. Elle émet également l’hypothèse que les recours qu’offre actuellement la common law n’encouragent pas suffisamment les organisations qui collectent des renseignements personnels à mettre en place les mesures de sécurité adéquates pour les protéger de manière appropriée. La Cour s’en remet donc au Parlement ainsi qu’aux législatures provinciales pour étendre les protections prévues aux lois sur la protection des renseignements personnels en vigueur afin de mettre en œuvre des recours plus efficaces envers les organisations qui ne protègent pas les renseignements personnels qu’elles détiennent de manière suffisante.

Enfin, il sera intéressant de voir de quelle manière des situations similaires seront traitées par les tribunaux du Québec avec l’entrée en vigueur de la Loi 252. En effet, il est possible de penser que la situation sera différente en raison des sanctions qui pourront notamment être octroyées aux organisations qui n’ont pas mis en place les mesures de sécurité adéquates pour protéger les renseignements personnels qu’elles détiennent.


1 2022 ONCA 813.

2 Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ, c. 25.


Cet article a originalement été publié sur le site du Jeune Barreau de Montréal.