Être victime d’un incident de sécurité informatique n’est pas suffisant pour réclamer des dommages-intérêts

Dans l’affaire Bourbonnière c. Yahoo! Inc.1, la Cour supérieure du Québec applique les principes énoncés par la Cour d’appel dans l’arrêt Sofio2 et confirme que le simple fait d’être victime d’un incident de sécurité électronique ne donne pas ouverture à une réclamation pour dommages-intérêts. 

1. Survol des faits

À la suite de l’annonce de Yahoo! en 2016 selon laquelle l’information personnelle et financière issue des comptes utilisateurs de 500 millions de membres a été dérobée par des fraudeurs informatiques, Mme Bourbonnière sollicite une autorisation pour action collective au nom de toutes les personnes au Québec susceptibles d’avoir été victimes du vol de leurs informations en raison de cette cyberattaque réussie sur les plateformes de Yahoo! 

La demande en justice allègue notamment la détresse psychologique, les pertes financières éventuelles découlant de l’accès non autorisé aux comptes des utilisateurs de Yahoo!, ainsi que les inconvénients liés à l’envoi de pourriels en leur nom à leurs connaissances. 

2. Analyse et décision de la Cour supérieure

Le jugement rendu par l’honorable Chantal Tremblay vient confirmer le principe énoncé dans l’arrêt Sofio de la Cour d’appel du Québec, selon lequel le fait d’être victime d’un incident en matière de sécurité électronique n’est pas suffisant pour représenter un dommage. 

Procédant à l’analyse du second critère de l’article 575 du Code de procédure civile3, soit que les faits allégués paraissent justifier les conclusions recherchées, la Juge souligne que la faute reprochée à Yahoo! en l’instance est son comportement négligent dans la protection des renseignements personnels et financiers de ses membres. Or, selon les enseignements de la Cour d’appel dans l’affaire Sofio, la démonstration d’une faute alléguée ne présuppose pas d’un préjudice, de sorte que la partie demanderesse n’est pas pour autant dispensée de faire la démonstration d’un préjudice compensable, exercice qu’elle échoue en l’espèce. 

En effet, la Cour supérieure note que les préjudices allégués par la demanderesse reviennent à devoir changer son mot de passe ainsi que la gêne occasionnée par les pourriels envoyés à ses connaissances. Citant l’arrêt Mustapha de la Cour suprême du Canada, la juge Tremblay conclut que les dommages allégués ne sont que de simples inconvénients ordinaires et passagers, insuffisants pour constituer un « préjudice indemnisable »4

3. Commentaires

L’affaire Bourbonnière c. Yahoo! Inc. nous rappelle que l’autorisation d’exercer une action collective est tributaire de la démonstration de l’existence d’un préjudice indemnisable, lequel doit, sur une base prima facie, paraître « grave et de longue durée » afin de donner ouverture à une potentielle indemnisation. Il ne peut donc pas s’agir « simplement des désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût‑ce à contrecœur »5

Ainsi, les victimes d’un incident de sécurité informatique ne subiront pas forcément un préjudice indemnisable découlant du vol ou de la perte de leurs données personnelles et/ou financières. 

La décision de la Cour supérieure dans l’affaire Bourbonnière c. Yahoo! Inc. est donc pertinente non seulement pour les entreprises du domaine des technologies de l’information, mais pour toute entreprise détenant des données personnelles et financières sur support technologique, puisqu’il s’agit d’un excellent cas d’illustration et d’application des principes dégagés par la Cour d’appel du Québec dans l’arrêt Sofio. Ce faisant, cette jurisprudence s’inscrit dans un courant jurisprudentiel important en regard de la potentielle responsabilité juridique pouvant découler d’un incident de sécurité informatique. 

Il y a lieu de noter que les critères donnant ouverture à l’autorisation d’une action collective, et plus particulièrement la difficulté de faire la démonstration d’un préjudice économique commun à un groupe et du quantum des préjudices individuels, sont parmi les éléments invoqués au soutien des demandes de modifications législatives visant à accorder des pouvoirs de sanctions financières aux organismes de régulation tels que le Commissaire à la vie privée du Canada ou, au Québec, la Commission d’accès à l’information. 

Au-delà des risques financiers découlant de l’introduction d’actions collectives par des personnes dont les renseignements personnels font l’objet d’une faille de sécurité, les organisations doivent déployer les mesures et procédures appropriées afin de se prémunir contre les risques liés à la réputation et à l’interruption des affaires pouvant découler d’un incident de sécurité. Il faut notamment s’attarder aux conséquences d’une attaque destinée à déployer un rançongiciel (ransomware) visant à interrompre les activités des entreprises en chiffrant les données de façon à les rendre inaccessibles et à contraindre les organisations à verser une rançon. 

Les auteurs souhaitent remercier Guillaume Larouche, stagiaire en droit, pour sa contribution à la rédaction de cet article.


1 2019 QCCS 2624.
2 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.
3 Code de procédure civile, (chapitre C-25.01), article 575.
4 Mustapha c. Culligan du Canada Ltée, [2008] 2 RCS 114, 2008 CSC 27, paragr. 9.
5 Ibid.

Flèche vers le haut Montez