Le droit à la vie privée à la frontière du fardeau de prouver un préjudice

  • 29 juillet 2021
  • Caroline Deschênes, Cynthia Chassigneux, Justine Brien et Marie-Laurence Goyette

Contexte

Le 26 mars 2021, la Cour supĂ©rieure rendait la dĂ©cision Lamoureux c. Organisme canadien de rĂ©glementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093[1], un jugement d’envergure en matière de perte de renseignements personnels dans lequel la Cour rejette l’action collective intentĂ©e par le demandeur Danny Lamoureux. Cette dĂ©cision est le premier jugement au fond en matière de perte de renseignements personnels au Canada dans le cadre d’une action collective. Le recours porte essentiellement sur le droit Ă  la vie privĂ©e et l’obligation des entreprises et organismes publics de prendre les mesures de sĂ©curitĂ© appropriĂ©es pour assurer la protection des renseignements personnels.

Le fait gĂ©nĂ©rateur survient en 2013, lorsqu’un inspecteur de l’Organisme canadien de rĂ©glementation du commerce des valeurs mobilières (« OCRCVM »)[2] oublie dans le train son ordinateur non cryptĂ©, lequel renferme les informations personnelles d’un grand nombre d’investisseurs. MalgrĂ© les efforts de l’OCRCVM, l’ordinateur n’est jamais retrouvĂ©.

Une première action collective est d’abord intentĂ©e en 2015 par Paul Sofio, un des professionnels dont les clients sont touchĂ©s par l’incident. Son recours est rejetĂ© au stade de l’autorisation[3]. La Cour supĂ©rieure estime que le recours envisagĂ© ne dĂ©montre aucun rĂ©el prĂ©judice. La Cour d'appel confirme le jugement[4].

Peu de temps après, Lamoureux intente une autre action collective, qui est autorisĂ©e. Contrairement Ă  Sofio, Lamoureux plaide l’utilisation illicite de ses renseignements personnels en plus des dommages pour stress et inconvĂ©nients Ă  la suite de la notification de la perte. Au surplus, les membres du groupe rĂ©clament des dommages punitifs.

La perte fautive de l’ordinateur et l’omission d’avoir cryptĂ© cet ordinateur conformĂ©ment aux politiques internes ne sont pas contestĂ©es. C’est plutĂ´t au niveau de la preuve du prĂ©judice que le recours est dĂ©boutĂ©. En somme, la Cour est d’avis que le seuil minimal du prĂ©judice indemnisable n’est pas satisfait.

DĂ©cision

La gravité des inconvénients liés à la perte de renseignements personnels

Dans un premier temps, la Cour conclut que l’allĂ©gation selon laquelle le stress liĂ© Ă  la perte de donnĂ©es personnelles, Ă  elle seule et sans preuve d’un dommage prĂ©pondĂ©rant ou d’un vol d’identitĂ© quelconque, n’est pas en soi susceptible de justifier une action en dommages-intĂ©rĂŞts[5].

Bien qu’il ne soit pas nĂ©cessaire que les membres du groupe aient Ă©tĂ© victimes d’un vol d’identitĂ© pour soutenir leur rĂ©clamation, la Cour raisonne qu’il est nĂ©anmoins nĂ©cessaire de faire la preuve que le dommage va au-delĂ  des inconvĂ©nients ordinaires de la vie courante[6].

En l’espèce, la preuve testimoniale n’a pas prĂ©sentĂ© suffisamment « de dĂ©tails, de faits concrets ou de manifestations significatives de l’Ă©tat psychologique » des personnes concernĂ©es pour convaincre le tribunal de souffrances qui mĂ©riteraient d’ĂŞtre compensĂ©es.

La Cour supĂ©rieure rappelle que pour ĂŞtre indemnisable, le prĂ©judice moral « doit ĂŞtre grave et de longue durĂ©e » et doit aller au-delĂ  des simples « dĂ©sagrĂ©ments, angoisses et craintes ordinaires que toute personne vivant en sociĂ©tĂ© doit rĂ©gulièrement accepter »[7].

La Cour enseigne qu’en l’absence de preuve documentaire mĂ©dicale ou autre, la tâche de la convaincre de l’importance de ces souffrances peut s’avĂ©rer ardue.

En ce sens, la surveillance des relevĂ©s de carte de crĂ©dit dans l’objectif de s’assurer qu’aucune activitĂ© frauduleuse n’a eu lieu ainsi que certains dĂ©lais de vĂ©rification de l’identitĂ© auprès des agences de crĂ©dit sont des inconvĂ©nients ordinaires, qui ne mĂ©ritent pas d’ĂŞtre indemnisĂ©s[8].

En outre, la Cour compare les inconvĂ©nients occasionnĂ©s par les mesures de protection mises en place Ă  la suite de la perte de renseignements personnels aux inconvĂ©nients allĂ©guĂ©s dans la dĂ©cision Fortin c. Mazda Canada inc., dans laquelle la Cour d’appel concluait que les dĂ©sagrĂ©ments liĂ©s aux dĂ©placements chez le concessionnaire des dĂ©tenteurs de voitures dĂ©fectueuses nĂ©cessitant des mesures correctives sont des inconvĂ©nients normaux de la vie courante[9].

La preuve d’utilisation illicite de renseignements personnels

Dans un deuxième temps, la Cour conclut Ă  l’absence du lien de causalitĂ© nĂ©cessaire pour engager la responsabilitĂ© civile de l’OCRCVM.

En effet, Lamoureux n’a pas rĂ©ussi Ă  convaincre la Cour de manière prĂ©pondĂ©rante que ses renseignements personnels contenus dans l’ordinateur perdu ont effectivement Ă©tĂ© utilisĂ©s de façon illicite. La preuve n’a pas non plus convaincu la Cour que l’ordinateur et les renseignements qu’il contient se sont trouvĂ©s entre de mauvaises mains[10]. Au contraire, la Cour souligne qu’il convient de faire une distinction entre la disparition et le vol prĂ©sumĂ© de l’ordinateur perdu[11].

La Cour retient plutĂ´t la preuve d’expert dĂ©posĂ©e par l’OCRCVM qui dĂ©montre l’absence de tout lien entre la perte de l’ordinateur et toute utilisation illicite des renseignements personnels de Lamoureux.

La faute non intentionnelle et une conduite diligente font obstacle aux dommages punitifs

Finalement, la Cour refuse d’octroyer des dommages punitifs, au motif que l’OCRCVM « a rĂ©agi diligemment, selon les standards attendus dans des circonstances semblables ».[12] De l’avis de la Cour, l’incident n’Ă©tait pas intentionnel et l’OCRCVM a pris les mesures requises en pareilles circonstances, comme il fut dĂ©montrĂ© par la preuve d’expert.

La Cour rejette l’argument des membres du groupe selon lequel la rĂ©action de l’OCRCVM Ă  la suite de la perte de donnĂ©es a Ă©tĂ© trop lente et que les services offerts par cette dernière pour protĂ©ger les renseignements des membres du groupe Ă©taient inadĂ©quats. Elle souligne plutĂ´t les initiatives de l’OCRCVM Ă  la suite de la perte de donnĂ©es, lesquelles incluaient l’identification de la perte, la prise de mesures pour Ă©valuer l’ampleur de la violation et la notification des parties concernĂ©es, y compris les investisseurs, les organismes de rĂ©glementation pertinents et toutes organisations touchĂ©es. Plus particulièrement, la Cour retient les initiatives suivantes comme correspondant Ă  un comportement adĂ©quat de la part d’un organisme selon les circonstances :

  • informer la Commission d’accès Ă  l’information;
  • la mise en place de mesures de sĂ©curitĂ© de TransUnion et d’Equifax pour les annĂ©es Ă  venir pour les personnes affectĂ©es;
  • informer les membres du groupe concernĂ©s de la perte de leurs informations personnelles le plus rapidement possible;
  • retenir dans les plus brefs dĂ©lais les services d’expert pour effectuer une analyse de la nature de l’information en cause; et
  • la mise en place d’une centrale tĂ©lĂ©phonique pour rĂ©pondre aux questions des personnes concernĂ©es.

Commentaire

Les points Ă  retenir de la dĂ©cision Lamoureux sont les suivants :

  1. En matière d’action collective en droit de la vie privĂ©e, la preuve d’un prĂ©judice rĂ©el indemnisable est nĂ©cessaire pour obtenir gain de cause; et
  2. Il est nĂ©cessaire pour les entreprises et organismes publics de faire preuve de diligence Ă  la suite d’un bris de confidentialitĂ© et de mettre en place des mesures qui permettent de minimiser les risques d’utilisation illicite pour les personnes touchĂ©es afin de rĂ©duire les consĂ©quences juridiques pouvant dĂ©couler de ce genre de situation.

D’une part, la dĂ©cision Lamoureux s’inscrit dans un courant jurisprudentiel en matière de protection de la vie privĂ©e qui exige la dĂ©monstration prĂ©pondĂ©rante d’un prĂ©judice suffisamment grave pour obtenir compensation.

Le droit Ă  des dommages rĂ©side dans la dĂ©monstration d’un prĂ©judice rĂ©el et indemnisable, souffert par les membres du groupe; il n’existe aucune prĂ©somption qu’un ordinateur perdu se retrouve dans de mauvaises mains. Cette analyse dĂ©pendra du contexte factuel de chaque affaire, nĂ©cessitant la preuve d’un prĂ©judice spĂ©cifique.

Dès lors, la perte de renseignement personnel et l’apprĂ©hension d’un prĂ©judice futur, mais non encore rĂ©alisĂ©, ne sont pas en soi suffisantes pour justifier compensation.

On distingue alors le principe de perte de vie privĂ©e, qui identifie le moment oĂą une personne perd sa vie privĂ©e, au principe d’atteinte Ă  la vie privĂ©e, qui identifie le moment oĂą une personne est effectivement lĂ©sĂ©e par cette perte. Dans Lamoureux, la Cour mise sur ce dernier principe pour dĂ©cider des questions en litige.

L’approche davantage subjective que prĂ©conise la Cour dans l’Ă©valuation du prĂ©judice Ă  la suite de la perte de renseignements personnels peut s’avĂ©rer problĂ©matique dans les cas oĂą les dommages ne se matĂ©rialisent que beaucoup plus tard, rendant ainsi le critère de la causalitĂ© difficile Ă  remplir.

D’autre part, les mesures proactives et rĂ©actives qu’entreprennent les entreprises et organismes publics peuvent considĂ©rablement rĂ©duire les risques juridiques et les consĂ©quences pouvant dĂ©couler d’atteintes Ă  la protection de renseignements personnels – voire mĂŞme Ă©liminer de possibles dĂ©faillances dans les mesures prĂ©ventives, telles que l’omission de crypter un ordinateur qui renferme les renseignements personnels de tiers.

Finalement, la dĂ©cision Lamoureux tĂ©moigne des limites du vĂ©hicule de l’action collective, qui nĂ©cessite la dĂ©monstration d’un prĂ©judice commun alors que l’analyse d’un prĂ©judice moral qui dĂ©coule d’une atteinte Ă  la vie privĂ©e requiert une Ă©tude des circonstances davantage individuelles des membres du groupe[13].


Caroline DeschĂŞnes, Cynthia Chassigneux, Justine Brien et Marie-Laurence Goyette – Langlois Avocats.

Notes de page

[1] Lamoureux c. Organisme canadien de rĂ©glementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093 [Lamoureux]. Notons que cette dĂ©cision vient d’ĂŞtre portĂ©e en appel le 26 avril 2021. NĂ©anmoins, il nous semble important de prĂ©senter les faits inhĂ©rents Ă  cette affaire et la position retenue par la Cour supĂ©rieure. Nous ne manquerons pas de faire un suivi des suites donnĂ©es Ă  ce jugement par la Cour d’appel.

[2] L’OCRCVM est l’organisme d’autorĂ©glementation national qui surveille l’ensemble des courtiers en placement et l’ensemble des opĂ©rations effectuĂ©es sur les marchĂ©s financiers.

[3] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061.

[4] Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.

[5] Lamoureux, paras. 46 et 47.

[6] Lamoureux, para. 72.

[7] Mustapha c. Culligan du Canada LtĂ©e, 2008 CSC 27, [2008] 2 R.C.S. 114, dans Lamoureux, para. 65.

[8] Lamoureux, paras. 62 et 75.

[9] Fortin c. Mazda Canada inc., 2016 QCCA 31, para. 169, dans Lamoureux, para. 78.

[10] Lamoureux, para. 7.

[11] Lamoureux, para. 98.

[12] Lamoureux, para. 133.

[13] Lamoureux, paras. 63 et 87.