
Fuite de renseignements personnels : pourquoi Equifax s’en tire-t-elle à bon compte?
En l’espace de 1 mois, la Cour supérieure a rendu 2 jugements sur des demandes d’autorisation d’exercer une action collective en matière de protection des renseignements personnels.
La première, Lévy c. Nissan Canada inc. (portée en appel), a été accueillie. La seconde, Li c. Equifax inc., a subi le sort contraire.
Comment expliquer ce résultat mitigé, alors que, dans les 2 cas, la fuite mettait en cause des renseignements de milliers de personnes et avait été causée par une cyberattaque?
Les dommages…
La question de la faute ne posait pas de problème. Les actions proposées faisaient valoir de multiples moyens fondés sur le Code civil du Québec, la Charte des droits et libertés de la personne, la Loi sur la protection des renseignements personnels et les documents électroniques, la Loi sur la protection des renseignements personnels dans le secteur privé, etc.
Il n’en allait pas de même quant aux dommages.
En effet, s’il est établi en jurisprudence qu’un demandeur n’a pas besoin de démontrer avoir été personnellement victime d’un vol d’identité pour intenter une action, il faut tout de même que celle-ci vise un dommage indemnisable.
Or, la possession non autorisée de renseignements personnels par des tiers ne constitue pas en soi un tel préjudice, non plus que des dommages futurs, hypothétiques ou de peu de gravité.
Equifax
Dans Equifax inc., la Cour a justement estimé que le dommage allégué par le demandeur ne franchissait pas le seuil requis :
[27] Selon les allégations de la Demande modifiée, le demandeur n’a pas été victime de vol d’identité ni n’a encore dépensé d’argent pour de l’achat de services de monitoring continuel de crédit ni n’a encore subi de troubles et inconvénients associés entre autres à l’annulation de cartes de crédit et à l’organisation de services de monitoring de crédit. Le demandeur fait état de risque futur et de dépenses à venir. Il ajoute avoir subi un « mental distress ». Est-ce suffisant? Le Tribunal est d’avis que non. […].
Dans un tel contexte, l’action proposée ne remplissait ni le critère de l’apparence de droit ni celui portant sur la qualité du représentant.
Cette approche rejoint celle adoptée dans Mazzonna c. DaimlerChrysler, où la Cour a jugé que les dommages allégués n’allaient pas au-delà d’inconvénients mineurs.
Les affaires Sofio c. OCRCVM, Condon c. R. et Bourbonnière c. Yahoo! Inc. sont au même effet. La question des dommages a également été l’un des facteurs à la source du récent désistement survenu dans Mei c. Apple inc.
Bref, à la lumière de la jurisprudence et des chefs de dommages réclamés, la lacune que présentait le demandeur dans Equifax inc. était relativement apparente, d’autant plus que la Cour supérieure, dans Zuckerman c. Target, avait été plutôt précise dans sa description de ce qui, dans des circonstances similaires, pourrait potentiellement constituer un préjudice indemnisable :
[73] The Court concludes that the monitoring of bank accounts and credit cards constitute normal activities and not inconveniences for which the account or card holder can recover damages. However, other matters such as setting up credit monitoring and security alerts, obtaining credit reports, and cancelling cards or closing accounts and replacing them are not “ordinary annoyances, anxieties and fears that people living in society routinely, if sometimes reluctantly, accept” but may amount to something more. These are potentially matters for which class members would be entitled to compensation.
Ce résultat est particulièrement décevant, quand on sait que le Commissariat à la protection de la vie privée du Canada a rendu un rapport accablant à l’endroit d’Equifax, faisant notamment mention de problèmes systémiques existant depuis 2015. Sans parler des actions collectives en cours ailleurs au Canada ni de l’action collective américaine qui s’est soldée par un règlement…
Nissan et mesures volontaires de redressement
Au contraire, dans l’affaire Nissan Canada inc., la demanderesse s’est collée à la jurisprudence et a évité l’écueil en question en engageant des frais pour un service de surveillance du crédit.
La défenderesse lui a d’ailleurs reproché d’avoir donné à son action un fondement artificiel en engageant intentionnellement ces frais, alors qu’elle savait que la défenderesse offrait un tel programme gratuitement.
Cependant, la trame factuelle n’était pas suffisamment limpide pour permettre à la Cour de trancher ce moyen à cette étape. Elle a donc préféré donner le bénéfice du doute à la demanderesse.
Lien de causalité
Une situation similaire s’est également présentée dans Zuckerman, où la défenderesse attaquait le lien de causalité en se disant sur le point d’envoyer à ses clients une offre portant sur le remboursement de frais afférents à un service de surveillance du crédit.
La Cour a rejeté l’argument, rappelant à cet égard la grande prudence dont elle doit faire preuve avant de se prononcer, à la lumière d’une preuve incomplète, sur le caractère direct et immédiat d’un dommage.
Bref, à l’heure actuelle, il semble difficile pour les sociétés victimes de fuites de données de tuer dans l’œuf des actions collectives en offrant dès le départ des mesures propres à réparer les pots cassés…
Dommages punitifs et droit à la vie privée
Si les conclusions dans Equifax inc. et Nissan Canada inc. diffèrent sur la question des dommages compensatoires, elles se rejoignent quant à celle des dommages punitifs.
Dans les 2 cas, la Cour a estimé que cet aspect de la réclamation, fondé notamment sur le droit à la vie privée, ne passait pas le test de l’apparence de droit, faute d’allégations factuelles suffisantes (tout comme dans MazzonnaI, d’ailleurs).
À titre informatif, la Cour est arrivée à la conclusion contraire dans Zuckerman et Belley c. TD.
La fin de l’histoire?
Le fait qu’une action collective ne soit pas autorisée en raison de lacunes présentées par le recours personnel du représentant ne signifie pas nécessairement la fin de l’histoire.
Il n’est pas impossible qu’une deuxième demande d’autorisation soit déposée par un représentant dont la réclamation personnelle saura, elle, franchir le seuil applicable (Gaudette c. Whirlpool Canada).
En matière de fuites de renseignements personnels, cela s’est d’ailleurs produit dans Belley.
Il reste donc à voir si Equifax s’en tirera à si bon compte au Québec !
Dans tous les cas, le sujet fera encore jurisprudence, la Cour supérieure devant éventuellement se prononcer sur les demandes d’autorisation formulées contre Desjardins à la suite de la mégafuite de renseignements personnels dont elle a été victime, laquelle s’étend maintenant à tous ses membres particuliers…
Références
- Lévy c. Nissan Canada inc. (C.S., 2019-09-19), 2019 QCCS 3957, SOQUIJ AZ-51630819, 2019EXP-2901. Une déclaration d’appel a été produite (2019-10-30 (C.A.), 500-09-028652-196).
- Li c. Equifax inc. (C.S., 2019-10-21), 2019 QCCS 4340, SOQUIJ AZ-51637884. À la date de diffusion, la décision n’avait pas été portée en appel.
- Mazzonna c. DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc. (C.S., 2012-03-15), 2012 QCCS 958, SOQUIJ AZ-50839712, 2012EXP-1407, J.E. 2012-763.
- Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (C.A., 2015-11-06), 2015 QCCA 1820, SOQUIJ AZ-51228586, 2015EXP-3257, J.E. 2015-1807.
- Condon c. R. (C.F., 2014-03-17), 2014 CF 250, SOQUIJ AZ-51058230.
- Bourbonnière c. Yahoo! Inc. (C.S., 2019-06-10), 2019 QCCS 2624, SOQUIJ AZ-51609456, 2019EXP-1960.
- Mei c. Apple inc. (C.S., 2019-10-09), 2019 QCCS 4539, SOQUIJ AZ-51640328. À la date de diffusion, la décision n’avait pas été portée en appel.
- Zuckerman c. Target Corporation (C.S., 2017-01-18), 2017 QCCS 110, SOQUIJ AZ-51358172, 2017EXP-885.
- Belley c. TD Auto Finance Services Inc./Services de financement auto TD inc. (C.S., 2015-01-19), 2015 QCCS 168, SOQUIJ AZ-51144458, 2015EXP-726, J.E. 2015-376. Requête pour permission d’appeler rejetée (C.A., 2015-07-27), 2015 QCCA 1255, SOQUIJ AZ-51200244, 2015EXP-2344, J.E. 2015-1314.
- Gaudette c. Whirlpool Canada (C.S., 2017-08-30), 2017 QCCS 4193, SOQUIJ AZ-51426561, 2017EXP-3027. Requête pour permission d’appeler accueillie (C.A, 2017-10-30), 2017 QCCA 1677, SOQUIJ AZ-51437675. Appel rejeté (C.A., 2018-07-17), 2018 QCCA 1206, SOQUIJ AZ-51514401, 2018EXP-2104. Requête pour autorisation de pourvoi à la Cour suprême rejetée (C.S. Can., 2019-08-08), 38341.