Photo by Ben White on Unsplash

Quand on se fait tromper à tromper : recours canadien contre Ashley Madison

L’un des exemples les plus flagrants d’intrusions informatiques de 2015 (et des effets qu’elles peuvent avoir sur les individus) a trait à l’attaque  contre le site Ashley Madison, rapporté l’été dernier dans les médias. Ce site (toujours actif) vise à aider des individus le souhaitant à tromper leur conjoint(e). Pas étonnant donc que l’information de ce site s’avère embarrassante pour ceux et celles dont les données ont été étalées au grand jour par des pirates informatiques en 2015.

Cet incident a d’ailleurs mené à toute une série de recours collectifs contre la société et ses sociétés liées (Avid Dating et Avid Life), alléguant des fautes liées à la sécurité déficiente du site et des pratiques inadéquates, particulièrement de la part d’un site qui se disait axé sur la discrétion.

Bien que la plupart des recours ainsi intentés l’aient été aux États-Unis, l’un de ces recours l’a été en Ontario. On y allègue notamment des violations contractuelles, de la négligence (c’est-à-dire une base de recours extracontractuelle) et des violations du droit à la vie privée des membres, sous divers libellés. Il s’agit d’un recours d’un type fréquent au sud de la frontière, mais qu’on voit encore peu au Canada, à savoir un recours judiciaire fondé essentiellement sur le droit des individus au respect (direct et indirect) de leur vie privée, incluant une discrétion appropriée quant à leurs renseignements.

Bien que ce recours ontarien demeure au stade initial, on peut d’ores et déjà voir poindre la série de questions qu’il soulève, qui s’avèrent pertinentes pour nous, notamment :

  • Dans quelle mesure peut-on dire qu’il existe (en common law) une véritable obligation juridique (un devoir) de protéger les renseignements personnels d’individus qui nous les ont confiés ?
  • Existe-t-il en common law un tort applicable en l’espèce, comme un nouveau tort à créer ou encore celui de « l’intrusion upon seclusion »  ?
  • Comment doit-on baliser ce devoir de protection, s’il existe, notamment en matière de sécurité informatique ?
  • S’il existe, ce devoir est-il écarté dès que le fait d’un tiers est impliqué ? À défaut, quand un geste de pirate informatique devient-il suffisant pour écarter la responsabilité de l’entreprise ? Par exemple, faut-il simplement prouver que l’attaque informatique constituait un cas de force majeure ?
  • Accessoirement, si l’entreprise a eu l’occasion d’éviter la divulgation (comme cela est survenu chez Ashley Madison), dans quelle mesure doit-elle le faire et à quel prix ?
  • Existe-t-il des obligations accessoires similaires à l’obligation de diligence et à l’obligation de renseignement lorsque survient un incident de sécurité ayant mené à des fuites et/ou à la publication de renseignements personnels ?

Nous noterons que, dans le contexte du Québec, on peut déjà voir que plusieurs de ces questions recevraient un traitement différent, notamment vu l’existence de notre Code civil et de lois différentes. Les conclusions éventuelles d’un jugement dans cette affaire s’avéreraient néanmoins d’intérêt, pas de doute. À voir si cela ira jusque-là et combien de temps cela mettra à s’y rendre.

Il sera donc intéressant de voir où le recours intenté contre Ashley Madison ira et si on parviendra à en tirer des leçons (au plan juridique) quant à ce que sont les obligations des entreprises en matière de sécurité informatique et de protection des renseignements des usagers.