Date : 20180522

Dossier : T-1424-16

Référence : 2018 CF 525

[TRADUCTION FRANÇAISE]

Ottawa (Ontario), le 22 mai 2018

En présence de monsieur le juge Roy

ENTRE :

ANGELA MIGLIALO

demanderesse

et

BANQUE ROYALE DU CANADA

défenderesse

JUGEMENT ET MOTIFS

I. Introduction

[1] M^me Angela Miglialo, la demanderesse, présente une demande en application de l’article 14 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (la « LPRPDE »).

[2] La demanderesse réclame des dommages-intérêts de 100 000 $ à 250 000 $ (selon qu’il s’agit de l’avis de demande ou du mémoire des faits et du droit) pour l’accès non autorisé à des comptes détenus à la Banque Royale du Canada [RBC] et pour la divulgation de renseignements financiers. Il n’est pas contesté qu’une employée de RBC a accédé sans autorisation au compte de la demanderesse. RBC a reconnu ces faits après avoir découvert l’infraction, en avril 2013. C’est également la conclusion tirée par le Commissaire à la protection de la vie privée [le « Commissaire »] dans le rapport de conclusions [le « rapport »] daté du 21 octobre 2015.

[3] La demanderesse laisse entendre que la personne ayant accédé à son compte sans autorisation a ensuite divulgué ces renseignements. Le Commissaire à la protection de la vie privée a conclu qu’il n’y avait pas suffisamment d’éléments de preuve pour tirer ces conclusions.

[4] Il semble que la principale question en litige dans la présente demande consiste à déterminer si RBC doit verser des dommages-intérêts pour l’utilisation non autorisée ou l’utilisation et la divulgation de renseignements privés et, le cas échéant, quel serait le montant approprié dans ces circonstances.

II. Faits

A. Résumé des faits

[5] La demanderesse, qui vit à Calgary et est cliente de RBC, soupçonnait depuis un certain temps (en 2011, en 2012 et au début de 2013) que des renseignements sur ses comptes détenus à RBC étaient consultés sans son autorisation. Les préoccupations initiales qui ont mené la demanderesse à soupçonner une divulgation des renseignements sur ses comptes de placement détenus à RBC ont été soulevées en 2011 et ont continué en 2012. La mère de la demanderesse habite Montréal, et les deux femmes demeuraient en contact en se téléphonant régulièrement. La mère de la demanderesse a apparemment commencé à interroger la demanderesse au sujet des bénéficiaires de ses comptes de placement. Plus précisément, la mère de la demanderesse aurait discuté de ses plans financiers après son décès et aurait demandé à la demanderesse si elles conserveraient leur argent ensemble. Comme les conversations devenaient de plus en plus pénibles, la demanderesse a décidé de suspendre temporairement les appels à la fin de 2012.

[6] Le 4 septembre 2012, la demanderesse a décidé de communiquera avec le directeur de sa succursale de RBC à Calgary pour lui faire part de ses soupçons concernant le bris de confidentialité des renseignements sur ses comptes de placement. À l’audience de cette cause, la demanderesse a affirmé dans son témoignage qu’elle était particulièrement inquiète de la possibilité que les bénéficiaires de ses comptes soient révélés à sa famille. La demanderesse a expliqué au directeur qu’elle soupçonnait la petite amie de son frère, qui travaillait pour RBC à Montréal [l’employée de RBC], d’avoir commis l’infraction. Toutefois, l’information au sujet de l’employée de RBC étant plutôt incomplète, aucune enquête n’a pu être menée.

[7] Le 25 janvier 2013, la demanderesse a rencontré des représentants de RBC et signé un consentement pour faire supprimer les noms des bénéficiaires de ses comptes. Selon le mémoire des faits et du droit de la demanderesse, celle-ci a repris ses appels téléphoniques et a [TRADUCTION] « remarqué que [sa] mère avait cessé de poser des questions sur les bénéficiaires des comptes ». Le fait que la mère de M^me Miglialo ne lui posait plus de questions gênantes sur ses comptes l’a menée à conclure qu’elle disposait de renseignements sur ses comptes. Comme il n’y a aucune indication quant au contenu de ces comptes, la Cour ne peut évaluer la sensibilité et la valeur des renseignements confidentiels. Il semble qu’après le 25 janvier, bien que l’identité des bénéficiaires ait été effacée, il restait au moins des renseignements sur les sommes contenues dans les comptes.

[8] Le 18 mars 2013, M^me Miglialo a pu fournir des renseignements plus précis sur la personne qu’elle soupçonnait d’avoir eu accès aux renseignements sur ses comptes, si bien que le service des enquêtes internes de RBC a pu effectuer des vérifications de sécurité pour les années 2010, 2011 et 2012. Le 12 avril 2013, un enquêteur de RBC a communiqué avec la demanderesse pour discuter de sa plainte. À ce stade, l’enquête n’avait révélé aucun accès non autorisé par la personne soupçonnée par la demanderesse ni aucune autre personne au cours des années 2010, 2011 et 2012. À cette occasion, et à la lumière des résultats négatifs de l’enquête jusqu’à ce jour, l’enquêteur a interrogé la demanderesse afin de connaître sa situation personnelle. Je souligne que la demanderesse a également été interrogée, le 18 mars 2013, sur les motifs de ses soupçons à l’endroit de cette employée de RBC. La demanderesse soutient que l’enquêteur lui a affirmé que l’enquête se poursuivrait.

[9] RBC a élargi son enquête afin d’inclure une vérification de sécurité qui couvrirait les premiers mois de 2013 après que la demanderesse a soulevé la question, peu de temps après la conversation du 12 avril. Le 29 avril 2013, l’enquêteur a communiqué avec la demanderesse pour l’aviser que l’enquête avait révélé que l’employée de RBC qu’elle soupçonnait avait accédé à ses comptes de placement à une occasion en février 2013, sans raison professionnelle apparente, mais que les mesures appropriées avaient été prises. Nous savons maintenant que la violation signalée s’est produite le 24 février 2013. Cela signifie que la violation a eu lieu après la période au cours de laquelle la mère de la demanderesse lui posait des questions trop inquisitrices sur sa planification successorale et après que la demanderesse a décidé de supprimer les noms des bénéficiaires de ses comptes. Rien n’indique, dans le dossier présenté à la Cour., qu’il y a eu un accès non autorisé permettant d’identifier les bénéficiaires.

[10] Avant le 29 avril, lorsqu’un enquêteur de RBC a communiqué avec la demanderesse (le 25 avril 2013), un autre enquêteur de RBC a interrogé l’employée de RBC qui, selon les éléments de preuve présentés, a avoué avoir consulté les comptes de M^me Miglialo, mais a nié avoir divulgué les renseignements à d’autres personnes.

[11] Selon le mémoire des faits et du droit de la demanderesse, l’enquêteur de RBC lui a conseillé de ne pas parler à sa famille de l’accès non autorisé lorsqu’il l’a avisée, le 29 avril. À l’évidence, la demanderesse n’a pas suivi ce conseil. Après son retour de Chine, en juin 2013, M^me Miglialo a appelé sa mère en vue de l’affronter, selon le premier d’une série de rapports préparés par un consultant en matière de santé comportementale des services de santé de l’Alberta. Selon les rapports, qui ont été déposés en preuve par la demanderesse et adoptés par elle, elles ne se sont pas parlé pendant le reste de l’année après la conversation tenue en juin. À l’audience de la demande, la demanderesse a témoigné que sa mère était très contrariée et émotive. Il est difficile d’accepter les éléments de preuve de la demanderesse selon lesquels, bien qu’elle ne conteste pas l’utilisation du mot « affronter », elle a annoncé la nouvelle de l’accès à son compte de manière plutôt informelle. La réaction de sa mère et le fait qu’elles ne se sont pas parlé pendant des mois indiquent que l’échange a été énergique.

[12] Les quinze rapports produits par le consultant en matière de santé comportementale entre février 2014 et novembre 2015 tendant à montrer que la demanderesse a été affectée par les relations tendues avec sa famille, qu’elle attribue à l’atteinte à sa vie privée. Par exemple, dans le rapport daté du 17 juillet 2014, on peut lire ceci : [traduction] « Angela estime que l’atteinte à sa vie privée a nui à ses relations avec sa famille ». Elle croit que les renseignements ont été consultés et divulgués aux membres de sa famille. Les rapports indiquent également que M^me Miglialo désire poursuivre l’affaire, d’abord devant le Commissaire à la protection de la vie privée, puis devant la Cour.

B. Rapport du Commissariat à la protection de la vie privée

[13] Insatisfaite de l’issue de l’enquête menée par RBC, qui lui a été communiquée le 29 avril 2013, la demanderesse a porté sa plainte auprès de diverses autorités, notamment au sein de RBC. Ainsi, le 24 septembre 2013, le vice-président régional de RBC a écrit à M^me Miglialo pour lui présenter des excuses. Ses communications avec le Bureau de l’ombudsman de RBC, dans le but d’obtenir une compensation, et avec le chef de la protection des renseignements personnels de RBC n’ont donné lieu à aucune autre réparation (13 janvier 2014 et 11 mars 2014). Elle n’a jamais reçu la réparation pécuniaire qu’elle demandait. Elle a ensuite déposé une plainte auprès du Commissaire à la protection de la vie privée, qui a enquêté sur la question.

[14] Le 21 octobre 2015, le Commissariat à la protection de la vie privée a rédigé un rapport de conclusions concernant la plainte de la demanderesse. Le Commissariat à la protection de la vie privée a présenté les conclusions suivantes :

[traduction]

30. Dans l’ensemble, nous sommes satisfaits de la réponse de RBC à la plainte et nous estimons qu’elle a enquêté de manière efficace et efficiente dans le but de protéger ses renseignements personnels.

31. Les éléments de preuve démontrent que dès le début, RBC a généralement assuré un suivi rapide des préoccupations et des demandes de la plaignante. On pourrait affirmer qu’un délai notable de plusieurs mois s’est écoulé avant que RBC amorce cette enquête interne, en 2013. Toutefois, les éléments de preuve démontrent que ce délai peut être attribué à la plaignante, à qui il incombait, à ce moment, de fournir à RBC des renseignements élémentaires (et, à notre avis, grandement nécessaires et pertinents) afin que le service des enquêtes internes de RBC puisse correctement identifier et localiser l’employée soupçonnée et justifier raisonnablement une recherche subreptice par l’employeur dans les dossiers d’accès aux comptes d’un employé.

32. Il n’est pas contesté qu’une employée de RBC a accédé aux renseignements financiers personnels de la plaignante sans raison professionnelle en février 2013. RBC a toujours reconnu l’incident auprès de la plaignante depuis la conclusion de son enquête interne portant sur les préoccupations soulevées. Le Commissariat considère que cet accès constitue une utilisation au sens de la LPRPDE. Par conséquent, il s’agit d’une infraction au principe 4.5.

33. Aucun élément de preuve n’indique que l’employée en question a accédé (ou cherché à accéder) aux renseignements à un moment autre que la date indiquée par RBC dans son rapport d’enquête interne.

34. Quant à savoir s’il y a eu une divulgation subséquente des renseignements financiers personnels de la plaignante à des tiers non autorisés (p. ex., les membres de la famille de la plaignante), la plaignante fonde cette allégation sur la seule perception d’un changement dans le comportement de sa mère au cours de leurs conversations téléphoniques. Toutefois, notre enquête a révélé qu’en 2013, la plaignante a confirmé au représentant du service des enquêtes internes de RBC que sa mère ne lui avait jamais vraiment communiqué de renseignements précis sur ses placements bancaires et qu’elle n’avait jamais interrogé précisément la plaignante quant aux bénéficiaires choisis. Ainsi, en l’absence d’éléments de preuve plus substantiels, nous sommes d’avis qu’il n’existe pas suffisamment de preuves pour confirmer l’allégation de divulgation.

35. L’aspect de la plainte qui concerne les protections se rapporte à plusieurs principes de la LPRPDE.

36. Peu d’éléments de preuve indiquent que la banque n’assurait pas la protection des renseignements personnels de ses clients de manière appropriée et, plus précisément, qu’elle ne tenait pas compte de la nature plus sensible de certains renseignements.

37. RBC semble s’être acquittée de ses obligations de sensibiliser ses employés à l’importance d’assurer la confidentialité des renseignements personnels. L’employée de RBC au cœur de la plainte était consciente de son obligation d’assurer la confidentialité des renseignements personnels de la plaignante; elle a simplement omis de se conformer aux règles. Nous estimons que ces actions constituent une exception plutôt qu’une indication d’un problème systémique plus général.

38. Enfin, nous sommes satisfaits des mesures correctives prises par RBC à l’égard de l’employée qui était visée par la plainte. Les mesures disciplinaires nécessaires en cas de violation du code de déontologie de RBC ont été appliquées.

39. Ainsi, l’allégation d’utilisation non autorisée en application du principe 4.5 est fondée, alors que la question des protections ne l’est pas.

[Non souligné dans l’original.]

[15] Le 26 août 2016, la demanderesse a déposé un avis de demande aux termes du paragraphe 14(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 [la Loi], intentant ainsi des procédures judiciaires visant à obtenir des dommages-intérêts de RBC. La demanderesse demande à la Cour d’accueillir sa demande et d’ordonner à la défenderesse de lui verser des dommages-intérêts de 250 000 $ (selon l’avis de demande de la demanderesse) ou de 100 000 $ (selon le mémoire de la demanderesse) pour atteinte à la santé et au bien-être de la demanderesse, ainsi que pour préjudice moral et dommages exemplaires. La demande ne fournit aucun détail sur les dommages-intérêts autres que quelques renseignements tirés des rapports du consultant en matière de santé comportementale.

III. Questions en litige

[16] Il ne fait aucun doute qu’il y a eu utilisation inappropriée des renseignements personnels de la demanderesse par la défenderesse, et les parties en conviennent. Les questions soumises à la Cour sont donc les suivantes :

• (1)La défenderesse a-t-elle divulgué des renseignements personnels concernant la demanderesse?

• (2)Quel devrait être le montant des dommages-intérêts accordés par la Cour, le cas échéant?

IV. Analyse

[17] La demanderesse cherche à obtenir des dommages-intérêts importants pour cette atteinte à la vie privée qui, selon l’avis de demande, a été une source de souffrance, d’humiliation, de tourment et d’anxiété. Des dommages-intérêts majorés doivent être versés en raison [traduction] « de la souffrance et de la perte découlant de la destruction des relations avec sa mère, sa sœur, ses frères, ses nièces, ses neveux, ses tantes, ses oncles et ses cousins » (avis de demande, p. 3).

[18] M^me Miglialo porte cette affaire devant la Cour conformément à l’article 14 de la LPRPDE, après que le Commissaire a publié son rapport, le 21 octobre 2015. La LPRPDE prévoit expressément que la Cour a compétence concernant la nature du pouvoir discrétionnaire pour « accorder au plaignant des dommages-intérêts, notamment en réparation de l’humiliation subie » (alinéa 16(c)), une compétence que le Commissaire n’a pas. Le Commissaire à la protection de la vie privée n’a pas compétence pour accorder des dommages-intérêts.

LPRPDE

[19] La LPRPDE est une loi plutôt particulière. Quoi qu’il en soit, son objectif est clair. Elle a pour but de concilier le droit à la protection des renseignements personnels et la nécessité pour les organisations de recueillir, d’utiliser et de divulguer des renseignements personnels à une époque où la technologie facilite l’accès à l’information. L’article 3 se lit comme suit :

Ce qui rend cette loi particulière est le fait qu’elle intègre (article 5), dans son Annexe 1, les Principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels. Ces principes constituent des obligations de se conformer. Il n’est pas contesté que la défenderesse doit se conformer à ces principes. Quant aux principes eux-mêmes, ils ne sont pas formulés comme des lois habituelles au moyen d’un libellé législatif, mais constituent plutôt des politiques ou des lignes directrices ayant force de loi, où l’utilisation du mot « devrait » indique une recommandation plutôt qu’une obligation (paragraphe 5(2) de la LPRPDE). La LPRPDE n’est pas une loi facilement accessible, ce qui rend la tâche encore plus ardue pour le demandeur, qui est plaideur en personne.

[20] Dans la décision Englander c. Telus Communications Inc., 2004 CAF 387; [2005] 2 RCF 572, la Cour d’appel fédérale a formulé les observations suivantes :

[43] La LPRPDE est aussi un compromis quant à sa forme, comme le montre à l’évidence le récit de sa genèse. L’annexe 1 reproduit textuellement la partie 4 de la norme adoptée par l’ACN en 1995, norme qui était elle-même fondée sur les Lignes directrices adoptées par l’OCDE en 1980 et auxquelles le Canada a signifié son adhésion en 1984. La norme de l’ACN aussi bien que les Lignes directrices de l’OCDE sont des textes issus d’intenses négociations entre les défenseurs d’intérêts concurrents, qu’on a élaborés suivant le principe de l’autoréglementation et auxquels on n’a pas donné, ni voulu donner, un libellé législatif.

[…]

[45] L’annexe 1 laisse parfois la Cour dans le brouillard, ou même dans le noir le plus complet. L’article 4.3, par exemple, dispose que l’intéressé doit être informé et donner son consentement, « à moins qu’il ne soit pas approprié de le faire ». Le paragraphe 4.3.4 formule le critère de « la sensibilité des renseignements », mais on apprend plus loin que « tous les renseignements peuvent devenir sensibles suivant le contexte ». Puis le paragraphe 4.3.5 pose que « [d]ans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes ».

[46] Tout cela pour dire que, même si la partie 1 et l’annexe 1 de la Loi ont pour but de protéger le droit à la vie privée, elles visent aussi à faciliter la collecte, l’utilisation et la communication des renseignements personnels par le secteur privé. La Cour doit interpréter cette législation en trouvant le juste milieu entre deux intérêts concurrents. Qui plus est, étant donné le caractère non législatif de sa rédaction, l’annexe 1 ne se prête pas à l’interprétation rigoureuse habituellement possible. Ainsi, la meilleure solution pour la Cour est de se fier aux critères de la souplesse, du bon sens et du pragmatisme.

[21] Une demande aux termes de l’article 14 de la LPRPDE ne constitue pas un contrôle judiciaire du rapport du Commissaire, mais le rapport peut être déposé comme élément de preuve, comme ce fût le cas en l’espèce. La portée de la demande est prescrite par la loi. La Cour est limitée aux questions ayant fait l’objet de la plainte pour violation des principes ou auxquelles le rapport du Commissaire fait référence. Bien que la demande soit considérée comme une nouvelle action, elle doit être traitée sommairement. La Cour est engagée dans un processus de recherche des faits pour déterminer si la défenderesse a enfreint un ou plusieurs des principes (Randall c. Nubody’s Fitness Centres, 2010 CF 681 [Randall]). Une fois qu’une violation a été établie, la Cour a le pouvoir discrétionnaire, en vertu de l’article 16 de la LPRPDE, d’accorder des dommages-intérêts en se fondant sur certains principes considérés comme justes et appropriés dans les circonstances (Nammo c. TransUnion of Canada Inc., 2010 CF 1284 [Nammo]). Le fardeau de la preuve incombe à la demanderesse.

[22] Cela signifie que dans les circonstances de l’espèce, la demanderesse doit établir les dommages subis et démontrer qu’ils découlent de la violation (Biron c. RBC Banque Royale, 2012 CF 1095 [Biron], au paragraphe 38). En l’espèce, la demanderesse affirme qu’il y a eu utilisation non autorisée de ses renseignements financiers et que ces renseignements ont été divulgués. RBC reconnaît qu’il y a eu une utilisation non autorisée le 24 février 2013. Par conséquent, la demanderesse doit démontrer qu’il y a eu divulgation des renseignements si elle veut l’emporter sur ce point. Il incombe également à la défenderesse de satisfaire la Cour relativement aux préjudices qu’elle prétend avoir subis en raison de la violation.

[23] La demanderesse doit non seulement s’acquitter du fardeau de la preuve, mais également satisfaire à la norme de preuve, qui est, en droit civil, la prépondérance des probabilités (F.H. c. McDougall, 2008 CSC 53; [2008] 3 RCS 41, au paragraphe 40). Dans McDougall et dans Canada (Procureur général) c. Hôtels Fairmont Inc., 2016 CSC 56; [2016] 2 RCS 720, au paragraphe 36, la Cour suprême a conclu que « la preuve doit toujours être claire et convaincante »; en l’espèce, je crains que les éléments de preuve n’aient pas ces qualités.

Allégations

[24] Les plaintes soumises au Commissaire à la protection de la vie privée étaient clairement axées sur la divulgation de renseignements financiers à des membres de la famille de la demanderesse. Ainsi, M^me Maglialo alléguait non seulement qu’il y avait eu un accès non autorisé à ses renseignements financiers, ce qui n’a jamais été contesté, mais également que des renseignements avaient été divulgués aux membres de sa famille. Selon la demanderesse, cela a eu pour conséquence une [traduction] « dégradation irrémédiable des relations avec les membres de [sa] famille », ce qui lui a « fait subir une humiliation et une gêne considérables ». Elle laisse entendre que les préjudices subis découlent de la divulgation de ses renseignements par RBC ou un de ses agents aux membres de sa famille. En fait, les rapports du consultant en matière de santé comportementale, qui datent d’après la confrontation avec la mère de la demanderesse et les périodes de plusieurs mois où elles ne se parlaient pas, montrent clairement que c’est la relation familiale qui préoccupe la demanderesse. La demanderesse s’est également plainte de la façon dont les agents de RBC ont traité son cas.

[25] Les parties s’entendent sur le fait qu’une employée de RBC, qui était conseillère financière à Montréal, a accédé aux renseignements financiers de la demanderesse sans motif professionnel. La demanderesse a porté l’affaire devant la Cour au motif que l’employée était la petite amie de son frère. Pour des raisons de confidentialité, ni RBC ni le Commissaire à la protection de la vie privée n’ont identifié l’employée. Selon les éléments de preuve non contredits, l’accès non autorisé ne s’est produit qu’une seule fois, le 24 février 2013.

[26] La demanderesse prétend avoir soupçonné qu’une employée de RBC accédait aux renseignements sur ses comptes après que sa mère a posé des questions persistantes au sujet des bénéficiaires, en 2011 et en 2012. Il semble que ces événements l’ont amenée à soupçonner la petite amie de son frère, qu’elle ne pouvait identifier. En 2012, les questions posées ont amené la demanderesse à suspendre ses appels téléphoniques avec sa mère. Lorsque les conversations ont repris, au début de 2012, la mère de la demanderesse n’a plus posé de questions sur les bénéficiaires, ce qui, une fois de plus, a amené la demanderesse à croire que sa mère connaissait l’identité de ces bénéficiaires. Les éléments de preuve établissent que le seul accès aux renseignements financiers est survenu après que les noms des bénéficiaires ont été effacés (voir le mémoire des faits et du droit, p. 141, où on peut lire : [traduction] « J’ai répondu qu’après la rencontre du 25 janvier 2013, j’ai repris mes conversations téléphoniques avec ma mère et j’ai remarqué que celle-ci ne me posait plus de questions sur les bénéficiaires »). Ainsi, qu’il y ait eu des questions sur les bénéficiaires ou non, cela constituait, aux yeux de la demanderesse, une confirmation de l’accès non autorisé aux renseignements financiers et de leur divulgation. Toutefois, les éléments de preuve démontrent que le seul accès a eu lieu après que les renseignements sur les bénéficiaires ont été supprimés des comptes. De même, la demanderesse considère que la réaction de sa mère lorsqu’elle l’a « affrontée » en juin 2013 constitue une confirmation supplémentaire de la divulgation des renseignements, et non simplement une forte réaction à une accusation formulée au cours d’une « confrontation ». Il semble que peu importe ce qui est arrivé, la demanderesse y a vu une confirmation de ses soupçons quant à la divulgation de ses renseignements financiers personnels à des membres de sa famille.

[27] Je partage l’avis exprimé dans le rapport du Commissaire à la protection de la vie privée, daté du 21 octobre 2015, selon lequel il n’y a pas d’éléments de preuve permettant de confirmer une allégation de divulgation. Les éléments de preuve en l’espèce démontrent que le seul accès aux renseignements financiers de la demanderesse a eu lieu le 24 février 2013, soit bien après le 25 janvier. Les renseignements sur les bénéficiaires étaient accessibles avant le 25 janvier 2013, mais l’information n’a pas été consultée par l’employée de RBC. En revanche, ces renseignements n’étaient pas accessibles lorsque les conversations entre la demanderesse et sa mère ont repris après cette date, après quoi la demanderesse soutient que l’absence de questions de la part de sa mère confirme qu’elle était au courant des comptes. Ce n’est qu’un mois plus tard, le 24 février, que les renseignements ont été consultés. En effet, la demanderesse semble avoir eu des soupçons quant au fait que sa mère ait pu accéder aux comptes. Le Commissaire note également que les allégations sont fondées uniquement sur le changement perçu dans le comportement de sa mère. De l’avis du Commissaire, il n’y a pas suffisamment d’éléments de preuve pour confirmer la divulgation, compte tenu du fait que [traduction] « la plaignante a confirmé au représentant du service des enquêtes internes de RBC que sa mère ne lui avait jamais vraiment communiqué de renseignements précis sur ses placements bancaires et qu’elle n’avait jamais interrogé précisément la plaignante quant aux bénéficiaires choisis ». La demanderesse est convaincue que l’employée de RBC a divulgué ses renseignements financiers. Malheureusement pour elle, le fait d’être convaincue ne constitue pas un élément de preuve et cela n’est certainement pas un élément de preuve clair et convaincant qui satisfait la norme de preuve de la « prépondérance des probabilités ». Au cours de l’audience, la demanderesse a soutenu qu’il n’existait pas non plus d’élément de preuve démontrant clairement que l’employée de RBC n’avait pas divulgué les renseignements. Cette observation ne tient pas compte du fait que c’est à la demanderesse que revient le fardeau de la preuve, dont elle s’acquitte en présentant des éléments de preuve qui établissent la divulgation en se fondant sur la prépondérance des probabilités. En l’espèce, l’employée de RBC a affirmé, le 25 avril 2013, qu’elle n’avait pas divulgué les renseignements financiers qui, de toute façon, ne pouvaient concerner les bénéficiaires. Cet élément de preuve n’a pas été contesté. De même, la forte réaction de sa mère à la confrontation est, selon la demanderesse, une autre preuve qu’elle était au courant. Il est difficile de comprendre pourquoi. Cette réaction ne peut constituer une preuve claire et évidente de divulgation.

[28] Il s’ensuit que seule l’infraction au principe 4.5, qui concerne l’utilisation de renseignements personnels, est pertinente dans le cadre de l’instance dont est saisie la Cour. Aucune divulgation non autorisée n’a été démontrée en l’espèce. La partie pertinente du principe 4.5 se lit comme suit :

Dommages

[29] Dans les faits, les procédures intentées en application de l’article 14 de la LPRPDE constituent une tentative d’obtenir des dommages-intérêts en raison d’un manquement à l’obligation d’utiliser les renseignements personnels pour les fins auxquelles ils ont été recueillis et de leur divulgation. En l’espèce, l’utilisation des renseignements personnels est l’accès non autorisé par une employée de RBC. Rien ne prouve que cela s’est produit plus d’une fois. En fait, au paragraphe 36 du rapport du Commissaire, on note que [traduction] « dès que RBC a eu connaissance de l’accès non autorisé par l’employée, des mesures ont été prises pour surveiller tout accès futur de l’employée aux renseignements financiers de la plaignante ». La divulgation alléguée n’est étayée par aucun élément de preuve. Par conséquent, la question consiste à déterminer si une compensation doit être versée ou non par la défenderesse si l’atteinte à la vie privée est limitée à une occurrence, sans autre divulgation.

[30] Dès qu’une affaire est portée devant un tribunal, on considère qu’il y a confrontation. Dans le système accusatoire, ce sont les parties, et non le juge, qui ont la responsabilité première de déterminer les questions en litige et de soumettre le litige au système (voir The Judge and the Adversary System, by Neil Brooks, in The Canadian Judiciary, ed. by Allen M. Linden, York University [Toronto: Osgoode Hall Law School, 1976]). Cela signifie que le processus de recherche de la vérité repose principalement sur les parties (R. c. Bradshaw, [2017] 1 RCS 865, 2017 CSC 35, au paragraphe 19). C’est le cas des parties représentées par un avocat ou des plaideurs en personne. Le rôle du juge est limité. On peut s’attendre à ce qu’une explication du processus soit fournie, à ce qu’un plaideur en personne présente des demandes relatives à la compréhension du processus et de la procédure, à ce que les renseignements concernant la loi et les règles de preuve soient disponibles et même à ce que des questions soient posées à des témoins dans des circonstances appropriées aux fins de précision (Énoncé de principes concernant les plaideurs et les accusés non représentés par un avocat, adopté par le Conseil canadien de la magistrature en septembre 2003, et précisément entériné par la Cour suprême du Canada dans l’arrêt Pintea c. Johns, [2017] 1 RCS 470, 2017 CSC 23). Il s’agit du type d’aide qui a été offert en l’espèce à l’audience. Le juge ne peut toutefois pas être partie aux procédures. Comme Lord Sumption l’a mentionné récemment en faisant référence à un plaideur en personne qui avait négligé de signifier sa demande de manière appropriée, [traduction] « bien souvent, le fait que la partie ne soit pas représentée par un avocat justifiera que l’on fasse preuve d’une certaine indulgence dans la prise de décisions en matière de gestion des instances et du déroulement des audiences. Cependant, cela ne justifiera pas que les plaideurs en personne soient assujettis à une norme moins élevée de conformité aux règles ou aux ordonnances de la cour. » (Barton v Wright Hassall LLP, [2018] UKSC 12, au paragraphe 18). Je suis d’avis que cette certaine rigueur devrait être appliquée, peut-être davantage même, au fardeau de la preuve et à la norme prescrite par la loi pour prouver le bien-fondé de l’affaire. Il incombe à la demanderesse de faire valoir ses arguments.

[31] Par conséquent, l’arbitrage en l’espèce doit reposer sur la cause présentée par la demanderesse, et seulement en ce qui concerne « toute question qui a fait l’objet de la plainte, ou qui est mentionnée dans le rapport, et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l’annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels qu’ils sont modifiés ou clarifiés par les sections 1 ou 1.1, aux paragraphes 5(3) ou 8(6) ou (7), à l’article 10 ou à la section 1.1 » (paragraphe 14[1] de la LPRPDE). Ici, le commissaire à la protection de la vie privée a abordé les principes 4.5 et 4.7. Il est inapproprié de tenter d’élargir la portée des procédures aux termes de l’article 14 pour y inclure les questions non visées par une plainte ou non citées dans le rapport et qui ne sont pas citées dans les diverses clauses des principes. La Cour n’a pas compétence si les questions soulevées sortent du cadre de l’article 14 (Nammo, au paragraphe 25).

[32] La question ayant fait l’objet de la plainte et citée dans les principes à l’annexe 1 de la LPRPDE est celle qui est abordée au principe 4.5. Le commissaire a également examiné le principe 4.7. Les procédures sont limitées de cette façon. La demanderesse présente les préjudices causés par la divulgation de ses renseignements financiers à des membres de sa famille. Elle explique que [traduction] « la dégradation irrémédiable des relations avec les membres de [sa] famille lui a fait subir une humiliation et une gêne considérables ».

[33] En outre, la demanderesse affirme que les agents de RBC [traduction] « ont manqué d’éthique, de professionnalisme et de considération lorsqu’ils se sont occupés de cette situation ». Il est difficile de corroborer ces allégations avec l’information contenue dans le dossier présenté à la Cour. En effet, on ne voit pas très clairement en quoi elles se rapportent aux principes figurant à l’annexe 1 de la LPRPDE et pour lesquels une demande aux termes de l’article 14 s’avère pertinente. Il convient peut-être de répéter que les obligations aux termes de la LPRPDE sont celles énoncées dans les principes (paragraphe 5[1] de la LPRPDE), et une plainte au commissaire à la protection de la vie privée peut être formulée à l’endroit d’une organisation pour toute infraction à la section 1 de la LPRPDE (article 11). Une cause d’action différente devrait être envisagée dans une autre instance si l’on sort du champ d’application de l’article 14. Quoi qu’il en soit, aucun des éléments de preuve présentés ne laissait croire, ni ne démontrait, que RBC avait agi de manière inappropriée lors de son examen de la plainte. On a fourni certains détails concernant la personne soupçonnée par la demanderesse d’accès non autorisé le 18 mars 2013. Le 12 avril, RBC a affirmé qu’il n’y avait eu aucun accès de ce genre en 2010, en 2011 et en 2012. L’examen comprenait toujours les premiers mois de l’année 2013; un accès non autorisé a été relevé le 25 avril 2013 et l’employée de RBC a été interrogée. L’employée de RBC a confirmé l’accès en question, mais a nié la divulgation. Voilà l’ensemble des éléments de preuve présentés à la Cour.

[34] La demanderesse souhaitait manifestement obtenir une indemnisation pour ce qui était, selon elle, une divulgation de certains renseignements confidentiels à sa famille très tôt dans le processus; or, les éléments de preuve incontestés indiquent que la violation en question se limite à un accès non autorisé sans divulgation supplémentaire. La demanderesse a intenté une poursuite en vue d’obtenir une indemnisation, qui n’a pas été accordée, pour les difficultés rencontrées avec sa famille à la suite de la confrontation en juin 2013. Déjà, le 3 septembre 2013, elle a écrit au bureau de l’ombudsman en se plaignant que la divulgation lui avait causé [traduction] « un chagrin insurmontable et une dégradation irrémédiable des relations avec les membres de [sa] famille ». Elle exigeait réparation pour cette atteinte à sa vie privée [traduction] (« RBC doit réparer cette injustice »). En fait, il semble qu’elle ait été indignée par la réponse d’un vice-président régional de RBC datée du 24 septembre 2013. Dans cette réponse, le vice-président reconnaît que l’accès en question constituait en une violation, lui présente ses excuses, mais ne lui offre aucune indemnisation. Il a aussi refusé de divulguer, pour des raisons de confidentialité, quel sort avait été réservé à l’employée de RBC. Selon la Cour, cette lettre était courtoise et convenable.

[35] La demanderesse a poursuivi l’affaire en envoyant une lettre au bureau de l’ombudsman de RBC le 9 octobre 2013. La réponse est arrivée le 13 janvier 2014 sous la forme d’une lettre de deux pages qui présentait certains détails sur la question de l’indemnisation. La lettre indiquait ce qui suit : [traduction] « [a]près avoir examiné votre plainte, je n’ai trouvé aucun motif pour accorder une indemnisation ». La demanderesse a déposé une plainte identique au bureau du responsable de la protection de la vie privée de RBC le 11 mars 2014. La réponse est arrivée le 19 mars 2014. Le responsable reconnaît que l’affaire n’a pas été résolue à la satisfaction de la demanderesse, mais il précise que [traduction] « la Banque a effectué un examen approfondi et juge que l’affaire est close ».

[36] La demanderesse a prétendu qu’on l’a [traduction] « fait tourner en bourrique ». La Cour n’a trouvé aucun élément de preuve appuyant ses dires. Comme le démontre la chronologie des événements, la défenderesse a fait preuve de diligence dans le cadre de son enquête ainsi que dans sa réponse à la plainte déposée. En supposant que cette réponse, à différents degrés de la plainte, puisse constituer une violation d’un principe, ce qui est loin d’être clair, rien dans ce dossier ne permet d’appuyer l’allégation selon laquelle la situation a été traitée avec [traduction] « manque d’éthique, de professionnalisme et de considération ».

[37] Quant aux mesures de sécurité prises par la défenderesse (principe 4.7), elles sont abordées dans le rapport de conclusions du commissaire à la protection de la vie privée. Ces conclusions n’ont pas été contestées par la demanderesse, même lorsqu’elle y a été invitée par la Cour durant l’audience de cette cause. Compte tenu du caractère général de la plainte de la demanderesse et du manque d’éléments de preuve présentés, il n’y a aucune raison de contester la conclusion au paragraphe 37, selon laquelle [traduction] « l’employée a simplement omis de respecter les règles ». Le commissaire à la protection de la vie privée se déclare [traduction] « satisfait par les mesures correctives prises par RBC à l’égard de l’employée qui était visée par la plainte » (paragraphe 38), y compris les mesures disciplinaires requises. Cela n’a pas été contesté et je ne vois aucune raison de s’écarter de cette conclusion.

[38] Il ne reste donc que la question des dommages-intérêts pour cette violation du principe 4.5, qui consiste en un accès non autorisé à des renseignements financiers. À mon avis, la demanderesse n’a pas été en mesure de démontrer que la violation commise par la défenderesse justifie le montant réclamé de 100 000 $. Voici les motifs qui m’ont amené à tirer cette conclusion.

[39] L’atteinte à la vie privée démontrée en l’espèce est de moindre importance. Il va sans dire que la vie privée en matière d’information doit être protégée. Il y a trente ans, la Cour suprême du Canada abordait la notion de dignité et d’intégrité de la personne dans le jugement R. c. Dyment, [1988] 2 RCS 417 [Dyment] :

Enfin il y a le droit à la vie privée en matière d’information. Cet aspect aussi est fondé sur la notion de dignité et d’intégrité de la personne. Comme l’affirme le groupe d’étude (à la p. 13) : « Cette conception de la vie privée découle du postulat selon lequel l’information de caractère personnel est propre à l’intéressé, qui est libre de la communiquer ou de la taire comme il l’entend. » Dans la société contemporaine tout spécialement, la conservation de renseignements à notre sujet revêt une importance accrue. Il peut arriver, pour une raison ou pour une autre, que nous voulions divulguer ces renseignements ou que nous soyons forcés de le faire, mais les cas abondent où on se doit de protéger les attentes raisonnables de l’individu que ces renseignements seront gardés confidentiellement par ceux à qui ils sont divulgués, et qu’ils ne seront utilisés que pour les fins pour lesquelles ils ont été divulgués. Tous les paliers de gouvernement ont, ces dernières années, reconnu cela et ont conçu des règles et des règlements en vue de restreindre l’utilisation des données qu’ils recueillent à celle pour laquelle ils le font; voir, par exemple, la Loi sur la protection des renseignements personnels, S.C. 1980‑81‑82‑83, chap. 111.

(p. 429-430)

[Non souligné dans l’original.]

Même en 1988, ces préoccupations n’étaient pas nouvelles. Dans l’arrêt Dyment, la Cour fait référence à un groupe d’étude établi conjointement par le ministère des Communications et le ministère de la Justice, qui a publié un rapport de 184 pages intitulé L’ordinateur et la vie privée en 1972. Dans le jugement Commissaire à l’information du Canada c. Bureau canadien d’enquête sur les accidents de transport et de la sécurité des transports, [2007] 1 RCF 203, 2006 CAF 157, la Cour d’appel fédérale cite avec approbation le juge Brandeis qui, il y a 90 ans, a écrit dans l’arrêt Olmstead v. United States, 277 U.S. 438 (1928) que la vie privée était le [traduction] « droit le plus précieux de l’homme civilisé ». Il s’agit certainement d’une autorité éminente.

[40] En l’espèce, une employée de la défenderesse a eu accès à des renseignements personnels; cet accès n’était pas à des fins strictement professionnelles (il s’agit d’une violation du principe 4.5), mais il n’y a pas eu d’autre divulgation. Il n’y a tout simplement aucune preuve à cet égard. En effet, il semblerait que les soupçons de la demanderesse selon lesquels sa mère aurait accédé à ses renseignements financiers découlent de conversations ayant eu lieu avant la date de l’accès non autorisé. Si la mère de la demanderesse a changé de comportement, ce n’était pas, d’après les éléments de preuve en l’espèce, parce que certains renseignements concernant les comptes de la demanderesse avaient été communiqués à sa mère; en effet, la personne qui avait accès à ses renseignements a affirmé n’avoir divulgué aucune information supplémentaire, et l’accès non autorisé s’est produit le 24 février 2013, vraisemblablement après que la demanderesse a repris les discussions avec sa mère, lors desquelles elle a constaté un changement dans son comportement. Ainsi, la violation doit être considérée comme étant de faible importance : comme il a déjà été souligné, il s’agit d’une affaire où une employée a [traduction] « simplement omis de respecter les règles » (rapport de conclusions, paragraphe 37). En l’espèce, l’infraction en question est très limitée en raison de l’absence de preuves de divulgation. Bien que l’on en sache peu à propos des renseignements auxquels la personne a eu accès, nous savons qu’ils sont de nature financière et ne concernent pas la santé, le bien-être ni les choix personnels de la demanderesse. Il ne s’agit pas non plus de renseignements à propos de bénéficiaires. Ce sont des renseignements personnels relativement sensibles, mais pas profondément personnels ou intimes. Il s’agit de renseignements confidentiels qui sont « peu sensibles » (Stevens c. SNF Maritime Metal Inc., 2010 CF 1137, au paragraphe 20). Comme la Cour l’a mentionné dans l’arrêt Stevens, celle-ci « doit se pencher sur la nature véritable de la réparation demandée. Les demandes fondées sur l’humiliation, la perte du soutien de la communauté ainsi que la perte de prestige et la perte de revenu en découlant (pour ne nommer que ces motifs) par suite d’une violation de la Loi constituent des causes d’action créées par la Loi. » (paragraphe 27). Étant donné qu’il n’y a eu aucune divulgation, ces facteurs ne sont pas pertinents. En fait, la demande repose sur les préjudices causés aux relations familiales en raison de la divulgation de renseignements. Toutefois, rien ne prouve qu’une divulgation a eu lieu, et la détérioration des relations familiales pourrait très bien découler de la confrontation ayant eu lieu en juin 2013, lors de laquelle la demanderesse a affirmé qu’un membre de sa famille avait accédé à son compte.

[41] La décision faisant encore jurisprudence devant la Cour sur la question des dommages aux termes de l’article 16 est l’arrêt Randall :

[55] Les dommages‑intérêts prévus à l’article 16 de la LPRPDE ne peuvent pas être accordés à la légère. Ils ne doivent l’être que dans les cas les plus flagrants. Or, j’estime que la présente affaire ne constitue pas un cas flagrant.

[56] Les tribunaux accordent des dommages‑intérêts lorsque la violation est très grave et attentatoire comme dans le cas d’enregistrements vidéo ou d’espionnage téléphonique, qui ne se comparent en rien à la violation qui s’est produite en l’espèce (Malcolm c. Fleming [C.S.C.‑B.], greffe de Nanaimo n^o S17603, [2000] B.C.J. No. 2400; Srivastava c. Hindu Mission of Canada (Québec) Inc. [Q.C.A.], 2001 R.J.Q. 1111, [2001] J.Q. n^o 1913).

(Voir Townsend c. Financière Sun Life, 2012 CF 550 [Townsend].)

[42] Bien que la condamnation à des dommages, en tant que question discrétionnaire, ne puisse être prononcée à la légère et ne doive avoir lieu que dans les cas les plus flagrants, je suis tout sauf convaincu que la condamnation à des dommages ne doive être envisagée sérieusement que dans les situations où la violation est très grave, comme dans les cas d’enregistrements vidéo ou d’espionnage téléphonique. Les exemples donnés indiquent plutôt qu’il faut mesurer la gravité de la violation en question, que toute violation n’exige pas que des dommages-intérêts soient accordés et que la violation n’a pas à être aussi extrême que les cas d’enregistrements vidéo ou d’espionnage téléphonique. La jurisprudence de notre Cour tend à confirmer que les dommages-intérêts devraient être payables même si le degré de gravité du cas en question n’est pas extrême.

[43] En l’espèce, il n’y a pas eu de malveillance de la part de la défenderesse. La défenderesse n’a pas tiré profit de la violation des règles commise par son employée. Elle est intervenue rapidement. La divulgation alléguée n’est étayée par aucun élément de preuve. Elle a reconnu d’emblée la violation et a remédié à la situation avec diligence. En outre, la demanderesse n’a pas été en mesure de déterminer la nature ni le montant des dommages-intérêts (Soup c. Blood Tribe Board of Health, 2010 CF 955); elle n’a fait mention que de la gêne et de l’humiliation qu’elle a ressenties lorsqu’elle a rencontré ses frères et sœurs et, de manière plus générale, des préjudices à ses relations familiales découlant de la divulgation alléguée, comme l’a consigné le consultant en matière de santé comportementale. Or, les éléments de preuve présentés en l’espèce ne permettent pas d’établir qu’il y a effectivement eu divulgation ayant pu porter préjudice aux relations familiales de la demanderesse. Toute divulgation découle possiblement, voire probablement, de la confrontation qu’a eue la demanderesse avec sa mère en juin 2013, peu après avoir appris que quelqu’un avait accédé à ses renseignements financiers sans autorisation. Les éléments de preuve non contredits démontrent qu’il n’y a eu aucune divulgation par la défenderesse ni par aucun de ses agents : il s’agit de la conclusion tirée par le commissaire à la protection de la vie privée, que partage notre Cour. Il n’y a tout simplement aucune preuve du contraire.

[44] Il semblerait que la majorité des affaires dans lesquelles des dommages-intérêts ont été accordés fassent partie de la catégorie des affaires où des renseignements confidentiels ont été divulgués (Landry c. Banque Royale du Canada, 2011 CF 687; Nammo, loc. cit.; Girao c. Zarek Taylor Grossman Hanrahan LLP, 2011 CF 1070 [Girao]; Biron, loc. cit.; Chitrakar c. Bell TV, 2013 CF 1103; Henry c. Bell Mobilité, 2014 CF 555; A.T. c. Globe24h.com, 2017 CF 114; 407 DLR (4^e) 734 [Globe24h.com]). Dans l’arrêt Cote c. Day & Ross Inc., 2015 CF 1283, la question en litige était plutôt le refus de divulguer à la demanderesse des renseignements personnels pouvant avoir un rapport avec une question d’invalidité de longue durée que M^me Cote examinait avec un assureur externe.

[45] Les éléments de preuve sont insuffisants, ou plutôt inexistants, pour démontrer que les préjudices subis par la demanderesse, y compris l’humiliation et la gêne, ont été causés par la défenderesse. C’est la divulgation des renseignements qui a causé le déchirement au sein de la famille ainsi que le sentiment d’anxiété qui s’est ensuivi. Nous devrions néanmoins examiner l’affaire pour déterminer si des dommages-intérêts devraient être accordés ou non pour l’accès non autorisé.

[46] Deux questions sont soulevées. Tout d’abord, aucun argument n’a été présenté à l’appui des dommages‑intérêts demandés après qu’il a été établi que les renseignements auxquels avait eu accès l’employée n’avaient pas été divulgués (Kollar v. Rogers Communications Inc., 2011 CF 452). D’entrée de jeu, la demanderesse a basé son dossier sur l’allégation selon laquelle ses renseignements financiers avaient été communiqués à des membres de sa famille immédiate. Elle en est convaincue. Elle n’a malheureusement pas été en mesure de prouver qu’il y a eu divulgation, comme elle l’a admis durant l’audience. Les éléments de preuve présentés à l’égard des dommages par la demanderesse sont tirés des rapports d’un consultant en matière de santé comportementale. À la lecture des rapports, il ressort clairement que ce sont les relations familiales de la demanderesse qui la préoccupaient, et que c’est pour cette raison qu’elle a demandé de l’aide. Ces relations se sont détériorées en raison de la divulgation, et non de l’accès non autorisé. La demanderesse a plutôt fait valoir que la défenderesse n’avait pas prouvé qu’il n’y avait pas eu divulgation des renseignements. Cependant, la charge, ou le fardeau, repose sur la demanderesse. Cela signifie que « des dommages-intérêts ne devraient être accordés que dans les cas où ils sont suffisamment justifiés et où ils favoriseraient les objets de la LPRPDE, c’est-à-dire faire en sorte que les organisations veillent à préserver la confidentialité des renseignements personnels ». (Blum c. Mortgage Architects Inc., 2015 CF 323, au paragraphe 60) Les éléments de preuve quant aux dommages causés par la défenderesse aux relations familiales de la demanderesse ne tiennent pas la route sans divulgation par la défenderesse, et les éléments de preuve sont insuffisants si la seule violation est l’accès non autorisé à des renseignements personnels qui ne s’est produit qu’une seule fois, le 24 février 2013 (Bertucci c. Banque Royale du Canada, 2016 CF 332).

[47] Ensuite, une partie de la jurisprudence de notre Cour indique que l’octroi de dommages-intérêts pourrait être justifié aux fins de compensation, de dissuasion ou de justification (Nammo, précitée, Townsend, précitée, Girao, précitée, Globe24h.com, précitée). Comme je l’ai déjà mentionné, les éléments de preuve sont insuffisants pour offrir réparation au préjudice causé par un seul accès non autorisé. Compte tenu des circonstances de l’affaire, il est difficile de trouver où il y a un besoin de dissuasion. Il me semble que le rapport de conclusions est déterminant à cet égard (paragraphes 36 et 38, en particulier).

[48] Je refuserais d’accorder des dommages-intérêts attendu qu’aucun préjudice n’a été démontré par la demanderesse comme ayant été causé par une violation aux termes de la LPRPDE. En fait, le montant des dommages-intérêts demandés est largement disproportionné par rapport à la jurisprudence de notre Cour. En outre, la violation n’était pas flagrante compte tenu de l’absence de divulgation sortant du champ d’application de l’institution ou de l’absence de répétition. À mon avis, nous devrions nous soucier d’empêcher que chaque violation aux termes de la LPRPDE représente une occasion de justification dans le but d’obtenir des dommages-intérêts, aussi minimes soient-ils. La justification peut se présenter sous plusieurs formes. La loi dispose que des dommages-intérêts pourraient être accordés, et pas qu’ils doivent être accordés, en cas de violation. Si des dommages-intérêts étaient accordés dans une affaire comme celle-ci, où il n’y a pas eu de divulgation supplémentaire et où l’entreprise a pris les mesures nécessaires pour protéger les renseignements personnels et imposé des mesures disciplinaires proportionnelles aux circonstances sans tirer profit de la situation, cela indiquerait que la gravité de la violation n’est pas un facteur à prendre en compte, car elle est devenue sans conséquence. Je crois plutôt que le pouvoir discrétionnaire d’accorder des dommages-intérêts devrait être exercé lorsque le degré de gravité de la violation est mesuré, ce qui est souvent, mais pas toujours, illustré par la divulgation de renseignements confidentiels. Tout accès non autorisé à une plus grande échelle pourrait satisfaire à cette exigence de « gravité ». Dans ce cas-ci, la défenderesse a immédiatement reconnu qu’il y avait eu un accès non autorisé à des renseignements financiers, et le commissaire à la protection de la vie privée a confirmé qu’il s’agissait d’une infraction au principe 4.5 (rapport de conclusions, paragraphe 32). Il s’agit d’un cas de justification.

[49] Pour en revenir à l’article 3 de la LPRPDE, le législateur a reconnu que la vie privée mérite d’être protégée lorsque la technologie permet la transmission et l’échange de renseignements. Cependant, cet article reconnaît également « la nécessité pour les organisations de recueillir, d’utiliser ou de communiquer ce type de renseignements à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ». Il faut encourager les organisations à prendre au sérieux les violations alléguées aux termes de la LPRPDE, à enquêter sur celles-ci, à reconnaître les violations avérées et à prendre les mesures appropriées. Dans ce cas-ci, la défenderesse a mis en place un solide système en vue de prévenir les violations : lorsque la violation a été constatée, des mesures ont été prises immédiatement, y compris la surveillance de l’employée responsable de l’accès non autorisé. La demanderesse n’a pas fourni de preuve du préjudice subi par l’unique violation démontrée et, à mon avis, l’exercice du pouvoir discrétionnaire n’est pas justifié en l’espèce pour accorder des dommages-intérêts.

[50] Il va sans dire que l’octroi de dommages-intérêts exemplaires ou punitifs n’est pas pertinent. Il n’y a pas d’« acte fautif délibéré si malveillant et inacceptable qu’il justifie une sanction indépendante » (Honda Canada Inc. c. Keays, [2008] 2 RCS 362, 2008 CSC 39, au paragraphe 62). Dans l’arrêt de Montigny c. Brossard (Succession), [2010] 3 RCS 64, 2010 CSC 51, on lit ce qui suit :

[47] Contrairement aux dommages compensatoires, dont la raison d’être est la réparation du préjudice résultant d’une faute, les dommages exemplaires existent, quant à eux, pour une autre fin. L’octroi de ces dommages a pour but de marquer la désapprobation particulière dont la conduite visée fait l’objet. Il est rattaché à l’appréciation judiciaire d’une conduite, non à la mesure des indemnités destinées à réparer un préjudice réel, pécuniaire ou non. Comme l’exprime le juge Cory :

On peut accorder des dommages-intérêts punitifs lorsque la mauvaise conduite du défendeur est si malveillante, opprimante et abusive qu’elle choque le sens de dignité de la cour. Les dommages-intérêts punitifs n’ont aucun lien avec ce que le demandeur est fondé à recevoir au titre d’une compensation. Ils visent non pas à indemniser le demandeur, mais à punir le défendeur. C’est le moyen par lequel le jury ou le juge exprime son outrage à l’égard du comportement inacceptable du défendeur.

(Hill c. Église de scientologie de Toronto, [1995] 2 R.C.S. 1130, par. 196)

V. Conclusion

[51] Dans le système de justice accusatoire, il incombe à la demanderesse de convaincre la Cour, selon la prépondérance des probabilités, que la défenderesse était responsable de la divulgation des renseignements auxquels la personne a eu accès. Il y a une absence totale de preuve à cet égard.

[52] Bien qu’il soit admis qu’il y a eu violation du principe 4.5, étant donné qu’il a eu un incident d’accès non autorisé à certains des renseignements financiers de M^me Miglialo qui étaient en la possession de la défenderesse, la demanderesse avait aussi le fardeau d’appuyer sa demande de dommages-intérêts par des éléments de preuve afin de démontrer que le préjudice découle des actions de la défenderesse. Cette affaire est caractérisée par un manque d’éléments de preuve. L’ensemble de l’affaire de la demanderesse reposait sur le préjudice causé à sa relation avec sa famille en raison de la divulgation à celle-ci de certains de ses renseignements financiers confidentiels, ce qui lui a causé des troubles d’anxiété pour lesquels elle a dû faire appel à un consultant en matière de santé comportementale. Aucun élément de preuve n’a permis d’établir qu’il y a effectivement eu divulgation par la défenderesse, réfutant ainsi le lien de causalité entre la violation et le préjudice allégué. Dans ce cas de violation avérée, mais de gravité moindre, le manque de preuves [traduction] « suffisantes » d’atteinte à la vie privée porte un coup fatal à la demande. Il ne s’agit pas non plus d’une affaire où les dommages-intérêts demandés visent à prévenir les cas de négligence, car les mesures prises par la défenderesse pour protéger et traiter les renseignements confidentiels ont été jugées adéquates par le commissaire à la protection de la vie privée : aucun élément présenté à la Cour n’a permis de changer la conclusion. Enfin, le pouvoir discrétionnaire de la Cour ne devrait pas être exercé en vue d’accorder des dommages-intérêts, aussi minimes soient-ils, car on entraverait alors le principe selon lequel les dommages-intérêts ne doivent pas être accordés à la légère et sont réservés aux situations flagrantes. On constate une certaine justification dans la reconnaissance de la violation par la défenderesse, qui a pris les mesures disciplinaires nécessaires, et il convient de souligner que le commissaire à la protection de la vie privée a conclu qu’une violation du principe 4.5 avait eu lieu.

[53] La défenderesse ne demande pas de dépens et, par conséquent, aucuns dépens ne sont adjugés.

JUGEMENT DANS LE DOSSIER T-1424-16

LA COUR REND LE JUGEMENT SUIVANT :

1. La demande est rejetée.

2. Il n’y aura aucune adjudication de dépens.

« Yvan Roy »

COUR FÉDÉRALE

AVOCATS INSCRITS AU DOSSIER

DOSSIER :	T-1424-16
INTITULÉ :	ANGELA MIGLIALO c. LA BANQUE ROYALE DU CANADA
LIEU DE L’AUDIENCE :	Calgary (Alberta)
DATE DE L’AUDIENCE :	Le 8 mai 2018
JUGEMENT ET MOTIFS :	LE JUGE ROY
DATE DES MOTIFS :	Le 22 mai 2018

COMPARUTIONS :

Angela Miglialo	Pour la demanderesse (POUR SON PROPRE COMPTE)
Jordan R.M. Deering	Pour la défenderesse

AVOCATS INSCRITS AU DOSSIER :

Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l. Avocats Calgary (Alberta)

Pour la défenderesse