Les cyberattaques se sont multipliées au cours des dernières années et leur puissance destructrice a augmenté considérablement. Comme le nombre de cyberincidents visant des organisations de toutes tailles continue de s’accroître, il y a lieu de s’attendre à ce que la possibilité de litiges en matière de cybersécurité demeure une préoccupation de premier plan pour les dirigeants d’entreprises à l’échelle mondiale.
Cet article présente certaines des plus importantes tendances relatives aux litiges en matière de cybersécurité qui ont été observées en 2021. L’information provient de notre Étude sur les tendances en matière de cybersécurité au Canada 2022, publiée plus tôt cette année. Bien que les données de cette étude portent sur des développements survenus en 2021, les tendances qui en ont découlé se sont maintenues tout au long de 2022 et pourraient bien continuer l’an prochain.
1. Actions collectives en matière de protection de la vie privée au Canada
Il demeure difficile pour des demandeurs d’obtenir l’autorisation d’actions collectives en matière de protection de la vie privée. En 2021, cinq demandes d’autorisation contestées pour des actions collectives portant sur des questions de protection de la vie privée ont été rejetées au Canada. L’obstacle le plus fréquent à l’autorisation était l’absence de preuve démontrant une utilisation abusive des renseignements personnels atteints ou un préjudice indemnisable découlant de l’accès non autorisé aux renseignements concernés. Plusieurs tribunaux ont statué que l’anxiété ou la détresse générale découlant de l’accès non autorisé aux renseignements personnels ne suffisait pas à justifier l’autorisation d’une action collective.
En Ontario, deux actions collectives en matière de protection de la vie privée ont été autorisées à la suite de requêtes contestées, les tribunaux n’ayant accepté que certaines causes d’action en l’espèce. Une action collective en matière de protection de la vie privée en Colombie-Britannique a été autorisée par jugement par défaut, car le défendeur américain a omis de se présenter ou de participer aux procédures.
2. Plus de précisions sur les délits d’intrusion dans l’intimité
Dans l’affaire Owsianik v. Equifax Canada Co. (l’« affaire Owsianik »), la Cour d’appel de l’Ontario a conclu à l’unanimité que le délit d’intrusion dans l’intimité ne constituait pas une cause d’action viable contre un défendeur qui est la victime, et non l’auteur, d’une cyberattaque.
L’affaire Owsianik était le cas principal d’une trilogie de décisions qui ont précisé la portée du délit d’intrusion dans l’intimité. Ces décisions confirment que le défaut allégué d’un défendeur d’empêcher une atteinte à la vie privée par une tierce partie ne constitue pas une cause d’action aux termes de ce délit, même lorsque les pratiques en matière de sécurité des données du défendeur sont de toute évidence téméraires (pour en savoir plus, consulter notre Bulletin Blakes de novembre 2022).
3. Enquêtes des commissaires à la vie privée
Le commissaire à la protection de la vie privée du Canada et ses homologues provinciaux ont continué de jouer un rôle actif dans les enquêtes sur les cyberincidents. Le Commissariat à la protection de la vie privée (le « CPVP ») du Canada a publié un certain nombre de rapports d’enquête, dont plusieurs traitaient de la sécurité des renseignements personnels. L’une de ces enquêtes concernait une atteinte de grande envergure par suite de laquelle des tiers malveillants ont volé des renseignements personnels de nature délicate et les ont publiés en ligne. Une autre enquête portait sur les pratiques en matière de protection de la vie privée d’une plateforme d’apprentissage en ligne destinée aux enfants.
Le CPVP et ses homologues de l’Alberta, de la Colombie-Britannique et du Québec ont également publié un rapport d’enquête conjoint sur la collecte massive, l’utilisation et la divulgation de données de reconnaissance faciale en violation des lois fédérales et provinciales sur la protection de la vie privée dans le secteur privé.
4. Montants des règlements d’actions collectives en matière de protection de la vie privée
Les montants des règlements versés aux membres d’actions collectives demeurent relativement peu élevés, ce qui témoigne des risques importants auxquels s’exposent les demandeurs dans le cadre de litiges. En 2021, les montants des règlements ont varié de moins de 1 $ CA à 100 $ CA par personne prétendument touchée.
Nous observons également une autre tendance qui se maintient : la distribution des fonds de règlement selon le principe de l’aussi-près à des organismes sans but lucratif; habituellement, des fondations juridiques provinciales ou des organisations ayant des mandats liés à la protection de la vie privée qui s’emploient à faire renforcer la confidentialité des données. (Selon le principe de l’aussi-près, les fonds de règlements sont versés directement à des organismes d’intérêt public plutôt qu’aux membres du groupe.) Plusieurs décisions des tribunaux ont approuvé des ententes de règlement appliquant ce principe.
5. Risque accru de litige en raison du nombre croissant d’attaques par rançongiciel
Dans le passé, une attaque par rançongiciel reposait sur le chiffrement des données de la victime, de sorte qu’il était impossible pour cette dernière d’accéder à ses données ou ses réseaux. Le cyberattaquant demandait ensuite une rançon en échange des clés de déchiffrement. Les organisations disposant de bonnes pratiques de sauvegarde étaient souvent en mesure de rétablir d’elles-mêmes leurs systèmes et d’éviter de payer une rançon.
En réponse à ces stratégies d’atténuation, les cyberpirates sont passés à l’exfiltration de données (y compris des renseignements personnels d’employés ou de clients) pour ensuite menacer de les publier en ligne si une rançon n’est pas payée. Ces atteintes comportent un risque accru de litige, car la compromission ou la publication de renseignements personnels donne lieu à des exigences de notification.
6. Conséquences pénales du cyberpiratage au Canada
Au début de 2022, la Cour de justice de l’Ontario a condamné un cyberpirate à près de sept ans de prison pour avoir piloté des attaques par rançongiciel à grande échelle. L’accusé a plaidé coupable à cinq chefs d’accusation, dont le méfait à l’égard des données, l’utilisation non autorisée d’un ordinateur, deux chefs d’extorsion et la participation aux activités d’une organisation criminelle. Le tribunal a également rendu une ordonnance accessoire de dédommagement aux victimes totalisant plus de 2,8 M$ CA.
Les cyberattaques ont été menées dans plusieurs pays, et 17 victimes canadiennes ont perdu près de 3 M$ CA. La Gendarmerie royale du Canada a été en mesure de saisir environ 20 téraoctets de données volées et 30 M$ CA en cryptomonnaie.
Cette décision établit un précédent important pour la détermination de la peine en matière de cybercriminalité à l’avenir.
Pour en savoir davantage, communiquez avec un membre de notre groupe Litige et intervention en cas de cyberattaque et d’atteinte à la protection des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.