En l’espace de 1 mois, la Cour supérieure a rendu 2 jugements sur des demandes d’autorisation d’exercer une action collective en matière de protection des renseignements personnels.

La première, Lévy c. Nissan Canada inc. (portée en appel), a été accueillie. La seconde, Li c. Equifax inc., a subi le sort contraire.

Comment expliquer ce résultat mitigé, alors que, dans les 2 cas, la fuite mettait en cause des renseignements de milliers de personnes et avait été causée par une cyberattaque?

Les dommages…

La question de la faute ne posait pas de problème. Les actions proposées faisaient valoir de multiples moyens fondés sur le Code civil du Québec, la Charte des droits et libertés de la personne, la Loi sur la protection des renseignements personnels et les documents électroniques, la Loi sur la protection des renseignements personnels dans le secteur privé, etc.

Il n’en allait pas de même quant aux dommages.

En effet, s’il est établi en jurisprudence qu’un demandeur n’a pas besoin de démontrer avoir été personnellement victime d’un vol d’identité pour intenter une action, il faut tout de même que celle-ci vise un dommage indemnisable.

Or, la possession non autorisée de renseignements personnels par des tiers ne constitue pas en soi un tel préjudice, non plus que des dommages futurs, hypothétiques ou de peu de gravité.

Equifax

Dans Equifax inc., la Cour a justement estimé que le dommage allégué par le demandeur ne franchissait pas le seuil requis :

[27]      Selon les allégations de la Demande modifiée, le demandeur n’a pas été victime de vol d’identité ni n’a encore dépensé d’argent pour de l’achat de services de monitoring continuel de crédit ni n’a encore subi de troubles et inconvénients associés entre autres à l’annulation de cartes de crédit et à l’organisation de services de monitoring de crédit.  Le demandeur fait état de risque futur et de dépenses à venir.  Il ajoute avoir subi un « mental distress ».  Est-ce suffisant?  Le Tribunal est d’avis que non. […].

Dans un tel contexte, l’action proposée ne remplissait ni le critère de l’apparence de droit ni celui portant sur la qualité du représentant.

Cette approche rejoint celle adoptée dans Mazzonna c. DaimlerChrysler, où la Cour a jugé que les dommages allégués n’allaient pas au-delà d’inconvénients mineurs.

Les affaires Sofio c. OCRCVM, Condon c. R. et Bourbonnière c. Yahoo! Inc. sont au même effet. La question des dommages a également été l’un des facteurs à la source du récent désistement survenu dans Mei c. Apple inc.

Bref, à la lumière de la jurisprudence et des chefs de dommages réclamés, la lacune que présentait le demandeur dans Equifax inc. était relativement apparente, d’autant plus que la Cour supérieure, dans Zuckerman c. Target, avait été plutôt précise dans sa description de ce qui, dans des circonstances similaires, pourrait potentiellement constituer un préjudice indemnisable :

[73]      The Court concludes that the monitoring of bank accounts and credit cards constitute normal activities and not inconveniences for which the account or card holder can recover damages. However, other matters such as setting up credit monitoring and security alerts, obtaining credit reports, and cancelling cards or closing accounts and replacing them are not “ordinary annoyances, anxieties and fears that people living in society routinely, if sometimes reluctantly, accept” but may amount to something more. These are potentially matters for which class members would be entitled to compensation.

Ce résultat est particulièrement décevant, quand on sait que le Commissariat à la protection de la vie privée du Canada a rendu un rapport accablant à l’endroit d’Equifax, faisant notamment mention de problèmes systémiques existant depuis 2015. Sans parler des actions collectives en cours ailleurs au Canada ni de l’action collective américaine qui s’est soldée par un règlement...

Nissan et mesures volontaires de redressement

Au contraire, dans l’affaire Nissan Canada inc., la demanderesse s’est collée à la jurisprudence et a évité l’écueil en question en engageant des frais pour un service de surveillance du crédit.

La défenderesse lui a d’ailleurs reproché d’avoir donné à son action un fondement artificiel en engageant intentionnellement ces frais, alors qu’elle savait que la défenderesse offrait un tel programme gratuitement.

Cependant, la trame factuelle n’était pas suffisamment limpide pour permettre à la Cour de trancher ce moyen à cette étape. Elle a donc préféré donner le bénéfice du doute à la demanderesse.

Lien de causalité

Une situation similaire s’est également présentée dans Zuckerman, où la défenderesse attaquait le lien de causalité en se disant sur le point d’envoyer à ses clients une offre portant sur le remboursement de frais afférents à un service de surveillance du crédit.

La Cour a rejeté l’argument, rappelant à cet égard la grande prudence dont elle doit faire preuve avant de se prononcer, à la lumière d’une preuve incomplète, sur le caractère direct et immédiat d’un dommage.

Bref, à l’heure actuelle, il semble difficile pour les sociétés victimes de fuites de données de tuer dans l’œuf des actions collectives en offrant dès le départ des mesures propres à réparer les pots cassés… 

Dommages punitifs et droit à la vie privée

Si les conclusions dans Equifax inc. et Nissan Canada inc. diffèrent sur la question des dommages compensatoires, elles se rejoignent quant à celle des dommages punitifs.

Dans les 2 cas, la Cour a estimé que cet aspect de la réclamation, fondé notamment sur le droit à la vie privée, ne passait pas le test de l’apparence de droit, faute d’allégations factuelles suffisantes (tout comme dans MazzonnaI, d’ailleurs).

À titre informatif, la Cour est arrivée à la conclusion contraire dans Zuckerman et Belley c. TD.

La fin de l’histoire?

Le fait qu’une action collective ne soit pas autorisée en raison de lacunes présentées par le recours personnel du représentant ne signifie pas nécessairement la fin de l’histoire.

Il n’est pas impossible qu’une deuxième demande d’autorisation soit déposée par un représentant dont la réclamation personnelle saura, elle, franchir le seuil applicable (Gaudette c. Whirlpool Canada).

En matière de fuites de renseignements personnels, cela s’est d’ailleurs produit dans Belley.

Il reste donc à voir si Equifax s’en tirera à si bon compte au Québec !

Dans tous les cas, le sujet fera encore jurisprudence, la Cour supérieure devant éventuellement se prononcer sur les demandes d’autorisation formulées contre Desjardins à la suite de la mégafuite de renseignements personnels dont elle a été victime, laquelle s’étend maintenant à tous ses membres particuliers…