VICTIME D'UNE CYBERATTAQUE ? LA COUR D'APPEL DE L'ONTARIO VIENT DE PRÉCISER LA PORTÉE DE LA RESPONSABILITÉ CIVILE D'UNE ENTREPRISE...
La Cour d'appel de l'Ontario a publié le 25 novembre 2022 une série de décisions rejetant les requêtes en action collective (y compris l’affaire Owsianik c. Equifax Canada Co. [en anglais]) fondée sur une intrusion dans la sphère privée. Les parties défenderesses étaient des entreprises qui avaient été piratées.
La responsabilité de votre société ne sera pas retenue s’il s’agit d’une atteinte à la confidentialité des renseignements personnels d’un client qui n’a pas causé de préjudice aux affaires personnelles du client. Les sociétés n’ont pas à payer de dommages‑intérêts à la place des pirates même si les pirates n’ont pas pu être identifiés. Se reporter à l’article intitulé La Cour d'appel de l'Ontario précise l’impact des cyberattaques sur la responsabilité civile (en anglais) publié par Torys S.E.N.C.R.L. :
« Le tribunal n’a pas retenu la responsabilité des parties défenderesses pour le fait d'autrui, en l’occurrence de tiers qui étaient des pirates informatiques. Le tribunal n’a cependant pas déclaré la non‑responsabilité du fait d’autrui dans d'autres circonstances. Nous nous attendons à ce que la responsabilité du fait d’autrui soit évoquée dans d’autres types de cyberattaques, notamment s’il s’agit d’un délit commis par un employé. »
C’est pourquoi nous recommandons comme d’habitude aux sociétés membres de l’ACCVM de rester aux aguets.