La Cour d’appel du Québec confirme le rejet d’une action collective au mérite en matière de perte de renseignements personnels

Dans sa récente décision sur l’affaire Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2022 QCCA 685, la Cour d’appel confirme le rejet de l’action collective intentée par les membres du groupe pour la perte de leurs renseignements personnels. Avec ce nouveau jugement sur le fond, les conditions pour établir la responsabilité d’une organisation dans le cadre d’un tel recours se précisent. Cette décision récente confirme que même lorsqu’une action collective est autorisée, encore faut-il démontrer l’existence des critères en matière de responsabilité civile générale, et notamment l’existence d’un préjudice suffisamment sérieux pour donner droit à indemnisation.

Points saillants des jugements au mérite de la Cour supérieure et de la Cour d’appel

Le jugement de première instance rendu en mars 2021 dans l’affaire Lamoureux c.  Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093, constituait le premier jugement au pays sur le fond dans une action collective relative à la perte de renseignements personnels. L’honorable Florence Lucas, j.c.s., avait alors rejeté l’action collective intentée par le demandeur Danny Lamoureux (Lamoureux) contre l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) suivant la perte par l’un des inspecteurs de l’OCRCVM d’un ordinateur portable contenant les renseignements personnels de plus de 50 000 investisseurs. L’OCRCVM avait alors pris diverses mesures en réponse à cet incident. Il a, entre autres, notifié les investisseurs de la perte de l’ordinateur, retenu les services d'un centre d'appels pour répondre à leurs questions et leur a offert gratuitement des services d'alerte de crédit pour une période de six ans. Malgré ces mesures, l’OCRCVM a admis avoir commis une faute relativement à la perte de l’ordinateur et en ne s’assurant pas de la protection maximale des renseignements personnels, n’ayant pas crypté l’ordinateur égaré comme le prévoyait ses politiques. Le litige portait donc sur l’existence d’un préjudice indemnisable dont auraient  souffert les membres du groupe.

Caractère non indemnisable des dommages réclamés

Devant la Cour supérieure, Lamoureux réclamait au nom des investisseurs des dommages-intérêts compensatoires que le tribunal a divisé en quatre catégories : (1) l'anxiété, la colère et le stress liés à la perte de renseignements personnels; (2) l'obligation pour les investisseurs de surveiller leurs comptes; (3) les inconvénients et la perte de temps dans les démarches auprès des agences de crédit que l'OCRCVM a mises à leur disposition; et (4) la honte et les retards occasionnés par la vérification d’identité  dans leurs demandes de crédit.  Après avoir analysé la preuve, la juge conclut que le seuil de dommage indemnisable n’est pas atteint dans ce cas-ci. S’appuyant sur les principes établis par la Cour suprême du Canada dans l’arrêt Mustapha c. Culligan du Canada Ltée, 2008 CSC 27, puis appliqué par la Cour supérieure dans Li c. Equifax inc., 2019 QCCS 4340, elle souligne que les craintes ressenties et les inconvénients subis par les membres du groupe en lien avec la perte de leurs renseignements personnels constituent des inconvénients normaux que toute personne vivant en société devrait être tenue d’accepter.

Absence de lien de causalité

En outre, certains membres du groupe réclamaient des dommages-intérêts pour des utilisations illicites des renseignements personnels, comme des vols d’identité, qui seraient survenus à la suite de la perte de l’ordinateur. L’OCRCVM avait cependant présenté une preuve d’expert démontrant que les utilisations illicites alléguées n’auraient pas pu être effectuées à partir des informations limitées qui se trouvaient sur l’ordinateur perdu. En l’absence d’une autre expertise ou preuve s’opposant aux conclusions de l’expert de l’OCRCVM, la Cour supérieure conclut qu’il n’existe aucun lien de causalité entre la perte de l’ordinateur et les utilisations illicites alléguées par les membres du groupe.

Absence d’attribution de dommages punitifs

Le tribunal conclut également que les critères d’attribution des dommages punitifs ne sont pas remplis. Il considère notamment que l’OCRCVM a respecté les meilleures pratiques dans sa réponse à l’incident.

En appel, les juges soulignent d’emblée que le rôle d’une Cour d’appel n’est pas de réévaluer la preuve et d’arriver à une conclusion différente de celle tirée en première instance. La Cour d’appel revoit ensuite les conclusions et les motifs principaux de la Cour supérieure et conclut que l’appel doit échouer, n’y voyant aucune erreur manifeste et déterminante pouvant faire l’objet d’une révision.

Conclusion

En analysant les dommages réclamés ainsi que le lien de causalité entre ceux-ci et la faute de l’OCRCVM, ces deux décisions donnent un certain nombre d’indications sur les conditions d’existence de la responsabilité en matière de perte des renseignements personnels. On comprend notamment que la preuve d’une réponse conforme aux bonnes pratiques en cas d’incident du genre peut limiter la responsabilité de l’organisation. En cas de litige, on voit également qu’une preuve d’expert solide sera généralement requise pour établir ou rompre le lien de causalité entre la faute de l’organisation et l’utilisation frauduleuse de renseignements personnels qui surviendrait par la suite.

Les mesures qui seront prises par une organisation suite à un incident de confidentialité impliquant des renseignements personnels sont donc cruciales pour mitiger les risques découlant d’une action collective éventuelle, soit notamment :

• Retenir les services d’un expert en cybersécurité dès la découverte d’un incident de sécurité pour identifier la source et l’impact de l’incident;
• Corriger les vulnérabilités pour bloquer et/ou éviter la propagation de l’incident de sécurité;
• Notifier les individus touchés par un incident de confidentialité en cas de risque de « préjudice sérieux » et leur offrir des services de surveillance de crédit et de protection contre le vol d’identité;
• Signaler l’incident de confidentialité aux autorités en cas de risque de « préjudice sérieux ».

Il ne s’agit toutefois pas des seuls risques avec lesquels une organisation devra composer. En effet, avec l’entrée en vigueur prochaine des dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), une organisation qui manque à ses obligations en matière de protection des renseignements personnels pourrait également faire l’objet de sanctions administratives pécuniaires allant jusqu’à 10 000 000 $ ou à un montant correspondant à 2 % de son chiffre d’affaires mondial à l’exercice financier précédent, dans le cas où ce dernier montant serait plus élevé (articles 90.1 et 90.12). La Commission d’accès à l’information élaborera un cadre général d’application clarifiant les objectifs poursuivis par ces sanctions administratives pécuniaires, ainsi que les critères devant guider la décision d’en imposer et le montant de la sanction. On sait tout de même que le défaut de déclarer un incident de confidentialité à la Commission ou aux personnes concernées, de même que le défaut de prendre les mesures de sécurité propres à assurer la protection de renseignements personnels conformément à la loi, font partie des circonstances qui pourront donner lieu à l’imposition de telles sanctions (article 90.1).

Certains manquements pourront également constituer des infractions pénales pour lesquelles les amendes se situeront désormais entre 15 000 $ et 25 000 000 $ ou du montant correspondant à 4 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé (article 91). Enfin, la Loi 25 prévoit la possibilité de réclamer des dommages-intérêts punitifs d’au moins 1 000 $ lorsqu’une atteinte illicite à un droit conféré par la loi ou par les articles 35 à 40 du Code civil du Québec cause un préjudice (article 93.1) et que cette atteinte est intentionnelle ou résulte d’une faute lourde.