November 11, 2019

Equifax: nouvelle décision d’intérêt sur l’atteinte à la protection des renseignements personnels

La Cour supérieure a récemment rendu une décision d’intérêt dans l’affaire Li c. Equifax inc., 2019 QCCS 4340 (« Li »), précisant davantage l’état du droit québécois en matière de préjudice indemnisable suite à une atteinte à la protection des renseignements personnels collectés par une entreprise.

La décision Li renforce l’idée que, au Québec, un demandeur ne peut pas obtenir de dommages-intérêts pour la seule souffrance psychologique découlant de l’accès non autorisé à ses renseignements personnels

Le contexte                                            

Equifax offre divers services et produits en lien avec l’évaluation de la cote de crédit de consommateurs et la prévention contre la fraude et le vol d’identité. Au printemps 2017, des pirates se sont introduits dans ses systèmes informatiques. Ils ont ainsi pu accéder à des renseignements personnels, incluant des numéros d’assurance sociale, de près de 143 millions d’Américains et de Canadiens. Le Commissariat à la protection de la vie privée du Canada a d’ailleurs publié son rapport d’enquête en avril 2019 concluant que Equifax Inc. et Equifax Canada avaient contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques [1], en ce que les mesures de protection d'Equifax Inc. étaient insuffisantes en matière de gestion des vulnérabilités, de séparation des composantes du réseau, de mise en œuvre des pratiques de base en matière de sécurité de l'information, et de surveillance.

En septembre 2017, Daniel Li a signifié une demande pour être autorisé à intenter une action collective au nom de tous les résidents du Québec dont les renseignements personnels avaient été, à la date de la demande, recueillis et entreposés de façon électronique par Equifax et étaient à risque de perte à la suite de l’incident. Son action reposait sur le Code civil du Québec et la Charte des droits et libertés de la personne, invoquant notamment la violation de ses droits à la vie privée et à la réputation. M. Li n’avait pas été victime d’un quelconque vol d’identité suite à la cyberattaque et n’avait pas encore dépensé quelque somme que ce soit pour protéger ses renseignements personnels. Néanmoins, il réclamait notamment les dommages compensatoires suivants afférents à : (i) la perte économique résultant entre autres de l’achat de services de monitoring continuel de crédit, (ii) troubles et inconvénients associés entre autres à l’annulation de cartes de crédit et à la mise en place de services de surveillance de crédit, et à (iii) la souffrance morale.

La décision

La Cour supérieure, sous la plume de l’honorable Donald Bisson, j.c.s., a rejeté la demande d’autorisation d’intenter l’action collective projetée par M. Li, jugeant que les risques et inconvénients allégués par M. Li ne sont pas suffisants pour soulever une apparence de droit contre Equifax. En effet, au stade de l’autorisation de l’action collective, le tribunal rappelle qu’il ne s’agit pas de juger du mérite de la réclamation du demandeur mais plutôt d’évaluer s’il a une « cause défendable » ou encore si son recours démontre une « apparence sérieuse de droit ». Gardant à l’esprit ce principe, le juge rappelle que le simple risque qu’un préjudice se manifeste dans le futur ne constitue pas un dommage qui peut être compensé en droit québécois [2].

Ce jugement s’inscrit dans la récente tendance des tribunaux québécois d’exiger que les demandeurs recherchant la responsabilité d'entreprises qui collectent leurs renseignements personnels, démontrent davantage que du stress, de l'angoisse ou de menus inconvénients après une cyberattaque de grande envergure. En effet, la Cour supérieure a déjà jugé que les incommodités comme la surveillance d’un compte bancaire [3] ou le changement d’un mot de passe [4] n'étaient pas des raisons suffisantes pour justifier une action collective.

Ainsi, la décision Li renforce l’idée que, au Québec, un demandeur ne peut pas obtenir de dommages-intérêts pour la seule souffrance psychologique découlant de l’accès non autorisé à ses renseignements personnels. Il doit y avoir une preuve de dommages réels subis au moment de l’institution de son action.

Nous savons néanmoins que la Cour supérieure a auparavant retenu qu’il n’était pas nécessaire que les données d’un demandeur aient fait l’objet d’un vol pour qu’une action collective puisse être autorisée [5]. En effet, dans la décision Zuckerman, il a été reconnu que des inconvénients comme l’annulation de cartes de crédit ou la nécessité d’obtenir des rapports d’enquêtes de crédit dépassaient le seuil minimal de préjudice requis pour autoriser une action collective [6]. Dans cette affaire, le demandeur avait déboursé 19,95 $ pour des services de monitoring de son niveau de crédit avant l’introduction de sa demande [7].

 


[1] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5.

[2] Li, 2019 QCCS 4340, par. 29.

[3] Zuckerman c. Target Corporation, 2017 QCCS 110 (« Zuckerman »), par. 73.

[4] Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624, par. 44.

[5] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, par. 25; Zuckerman, supra, note 3, par. 69.

[6] Zuckerman, supra, note 3, par. 73.

[7] Pour une situation similaire, voir : Lévy c. Nissan Canada inc., 2019 QCCS 3957, par. 104-108.