Actions collectives et incidents de sécurité informatique – Les critères d’analyse de la faute et des dommages au Québec

Considérant l’augmentation importante des actions collectives en matière de vie privée et des incidents de sécurité informatique, cet article donne une analyse des éléments générateurs de responsabilité civile dans les recours de ce type.

L’augmentation des incidents liés à la protection des renseignements personnels a entraîné une hausse considérable du nombre d’actions collectives intentées au Canada contre des acteurs économiques majeurs, tels que MGM Resorts, Uber Canada, Nissan Canada, Audi Canada et Target Corporation. 

Analysons les éléments générateurs de responsabilité civile dans les recours de ce type en droit civil.

1.    La faute
Les tribunaux ne déterminent pas au stade de l’autorisation si une organisation a commis une faute. Le fardeau de la démontrer est généralement rencontré dès lors qu’un incident lié à la protection des données survient. Il reviendra au juge du fond de décider si les bonnes pratiques en matière de gestion, de collecte, de distribution et de conservation des renseignements personnels ont été respectées au regard de la sensibilité de l’information¹. 

Par ailleurs, la survenance d’un incident lié à la protection des données n’indique pas, en soi, la présence d’une faute². Cependant, l’inaction après l’incident constitue une faute reconnue par les tribunaux comme aggravant la violation du droit à la protection de la vie privée. La violation se poursuit tant que l’organisation ne prend pas de mesures pour protéger les données concernées³.

1.1.    La notification : un facteur déterminant
Selon la loi fédérale⁴, les entreprises doivent aviser les personnes touchées le plus tôt possible après avoir conclu qu’il y a eu atteinte aux renseignements personnels. La loi provinciale prévoit que l’organisation doit aviser les personnes concernées « avec diligence » en cas de risque de préjudice sérieux.

Actuellement, il est impossible de définir précisément le délai raisonnable qui varie notamment en fonction de l’ampleur de l’incident et du nombre de personnes touchées. 

Un délai d’inaction entre l’incident et la notification peut être justifié par des raisons valables⁵. Le juge du fond devra analyser les circonstances mettant en balance le droit des personnes visées d’être informées rapidement et la nécessité pour une organisation d’effectuer certaines vérifications avant de le faire.

1.2.    La négligence et l’expertise
Les tribunaux analyseront les actions posées par l’organisation en vue de protéger les données qu’elle détient ainsi que la suffisance de ces actions au regard de la sensibilité de l’information, sauf lorsque la négligence dans la gestion des données est manifeste. 

Quant à l’expertise, elle pourrait s’avérer utile pour l’établissement d’une faute, mais elle ne sera pas requise si la négligence de l’entreprise concernée est évidente, ou encore si la faute réside dans le délai de notification des personnes touchées. Toutefois, l’expertise pourrait éclairer le tribunal en ce qui a trait à la conformité aux règles de l’art des systèmes informatiques, des pratiques et des politiques internes de conservation des données. 

Par ailleurs, une faute grave n’ayant pas entraîné de dommages ne pourra fonder aucun recours en dommages-intérêts compensatoires⁶. 

2.    L’analyse des dommages
L’argument d’existence d’un préjudice doit être appuyé par des allégations factuelles suffisantes et précises. Au stade de l’autorisation, les allégations seront considérées comme vraies si elles sont claires et minimalement détaillées. Au contraire, celles qui sont vagues, hypothétiques ou spéculatives seront écartées et ne pourront représenter à première vue une base suffisante pour établir l’existence d’un préjudice. La simple crainte qu’un vol d’identité ou qu’une fraude ait lieu, ou encore que des frais soient engendrés éventuellement, ne suffisent pas⁷.

2.1.    Les dommages compensatoires
En premier lieu, les frais encourus pour la souscription à un service de surveillance de crédit peuvent fonder un préjudice donnant ouverture à une réclamation en dommages-intérêts compensatoires⁸. Évidemment, les tribunaux seront attentifs aux demanderesses se procurant de tels services dans l’unique but de justifier une réclamation pécuniaire, particulièrement si l’organisation offre gratuitement des mesures de protection.

En second lieu, un préjudice indemnisable peut être fondé uniquement sur des dommages moraux, sans qu’il soit nécessaire d’alléguer l’usurpation de l’identité⁹.

2.1.1.    Les désagréments ordinaires n’ouvrent pas la porte à une réclamation
Rendu en Ontario mais fréquemment cité par les tribunaux québécois, l’arrêt Mustapha souligne l’importante distinction entre les simples désagréments, contrariétés, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter¹⁰ ainsi que le préjudice indemnisable qui doit être sérieux et de longue durée. 

On s’attend à ce que toute personne raisonnable détenant un compte bancaire prenne certaines mesures pour protéger ses actifs – dont la surveillance des courriels, la non-divulgation de renseignements à des tiers et le changement de mots de passe –, tout au plus de mesures de vérification habituelles qui ne peuvent fonder une réclamation¹¹.

2.1.2.    Les dommages moraux : anxiété, inquiétudes et craintes
Les tribunaux indiquent déjà que les allégations ou les témoignages selon lesquels un incident aurait causé du stress, de la colère, de l’inquiétude ou des craintes – sans l’offre de plus de détails relativement aux manifestations concrètes de cet état et aux difficultés vécues – ne suffisent pas pour convaincre les tribunaux de l’existence de dommages¹². 

2.2.    Les dommages punitifs 
Une réclamation pour dommages punitifs peut être intentée s’il y a une atteinte illégale et intentionnelle au droit à la protection de la vie privée. Actuellement, les tribunaux considèrent que la négligence et la faute lourde ne donnent pas droit à des dommages-intérêts punitifs, si l’intention de nuire n’était pas présente ou si les conséquences de l’acte n’étaient pas prévisibles et directes. Or, à compter du 22 septembre 2023, le nouvel article 93.1 de la loi provinciale (LPRPSP) introduira la possibilité pour les personnes touchées par un incident de sécurité informatique de réclamer des dommages-intérêts punitifs à la hauteur d’au moins 1 000 $, lorsque l’atteinte à un droit protégé par la LPRPSP ou par les articles 35 à 40 du Code civil du Québec (dont le droit à la vie privée) est intentionnelle ou résulte d’une faute lourde. 

Par ailleurs, le comportement d’une organisation à la suite d’un incident sera déterminant dans la décision du tribunal d’octroyer des dommages punitifs. Nous vous référons à l’arrêt Lamoureux, seul exemple sur le fond permettant de déterminer ce qui constitue une réponse diligente et conforme aux meilleures pratiques. Les mesures ayant été mises en place étaient dans ce cas nombreuses.

3.    L’analyse du lien de causalité
Dans Lamoureux, le tribunal s’était appuyé sur une preuve d’expert pour conclure qu’il n’y avait pas de causalité entre la faute de l’organisation et l’utilisation potentielle des données à des fins frauduleuses. Un demandeur devra donc vraisemblablement s’assurer de présenter une preuve suffisante – par présomption¹³ ou par expertise – indiquant que la fraude ou le vol d’identité allégué est une conséquence directe du vol de données. 

En outre, il importe que le représentant des membres de l’action collective établisse le lien entre l’incident de sécurité informatique et l’atteinte à ses renseignements personnels. 

^{Pour toute question concernant cet article ou la conformité générale à la législation québécoise en matière d’atteinte à la protection des renseignements personnels, nous vous invitons à communiquer avec notre groupe de Protection des données et de la vie privée.}

[1] Article 4.7.2 de l’Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. L.C. 2000, ch. 5.

[2] Sciscente c. Audi Canada inc., 2022 QCCS 2911, par. 33.

[3] Levy c. Nissan Canada, 2021 QCCA 682, par. 35.

[4] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.

[5] Zuckerman c. MGM Resorts, 2022 QCCS 2914, par. 70.

[6] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, par. 21-22.

[7] Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093; Holcman c. Restaurant Brands International Inc., 2022 QCCS 3428, par. 37.

[8] Zuckerman c. Target Corporation, 2017 QCCS 110.

[9] Zuckerman c. Target Corporation, 2017 QCCS 110, par. 69; Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, par. 25.

[10] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820; Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624; Mazzonna c. DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958.

[11] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, par. 19; Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093, par. 72-73 et 93; Zuckerman c. Target Corporation, 2017 QCCS 110, par. 73.

[12] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.

[13] Homsy c. Google, 2022 QCCS 722, par. 22.