Le droit à la vie privée à la frontière du fardeau de prouver un préjudice

15 juin 2021

Contexte 

Le 26 mars 2021, la Cour supérieure rendait la décision Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 10931, un jugement d’envergure en matière de perte de renseignements personnels dans lequel la Cour rejette l’action collective intentée par le demandeur Danny Lamoureux. Cette décision est le premier jugement au fond en matière de perte de renseignements personnels au Canada dans le cadre d’une action collective. Le recours porte essentiellement sur le droit à la vie privée et l’obligation des entreprises et organismes publics de prendre les mesures de sécurité appropriées pour assurer la protection des renseignements personnels.

Le fait générateur survient en 2013, lorsqu’un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM »)2 oublie dans le train son ordinateur non crypté, lequel renferme les informations personnelles d’un grand nombre d’investisseurs. Malgré les efforts de l’OCRCVM, l’ordinateur n’est jamais retrouvé.

Une première action collective est d’abord intentée en 2015 par Paul Sofio, un des professionnels dont les clients sont touchés par l’incident. Son recours est rejeté au stade de l’autorisation3. La Cour supérieure estime que le recours envisagé ne démontre aucun réel préjudice. La Cour d’appel confirme le jugement4.

Peu de temps après, Lamoureux intente une autre action collective, qui est autorisée. Contrairement à Sofio, Lamoureux plaide l’utilisation illicite de ses renseignements personnels en plus des dommages pour stress et inconvénients à la suite de la notification de la perte. Au surplus, les membres du groupe réclament des dommages punitifs.

La perte fautive de l’ordinateur et l’omission d’avoir crypté cet ordinateur conformément aux politiques internes ne sont pas contestées. C’est plutôt au niveau de la preuve du préjudice que le recours est débouté. En somme, la Cour est d’avis que le seuil minimal du préjudice indemnisable n’est pas satisfait.

 

Décision 

La gravité des inconvénients liés à la perte de renseignements personnels

Dans un premier temps, la Cour conclut que l’allégation selon laquelle le stress lié à la perte de données personnelles, à elle seule et sans preuve d’un dommage prépondérant ou d’un vol d’identité quelconque, n’est pas en soi susceptible de justifier une action en dommages-intérêts5.

Bien qu’il ne soit pas nécessaire que les membres du groupe aient été victimes d’un vol d’identité pour soutenir leur réclamation, la Cour raisonne qu’il est néanmoins nécessaire de faire la preuve que le dommage va au-delà des inconvénients ordinaires de la vie courante6.

En l’espèce, la preuve testimoniale n’a pas présenté suffisamment « de détails, de faits concrets ou de manifestations significatives de l’état psychologique » des personnes concernées pour convaincre le tribunal de souffrances qui mériteraient d’être compensées.

La Cour supérieure rappelle que pour être indemnisable, le préjudice moral « doit être grave et de longue durée » et doit aller au-delà des simples « désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter »7.

La Cour enseigne qu’en l’absence de preuve documentaire médicale ou autre, la tâche de la convaincre de l’importance de ces souffrances peut s’avérer ardue.

En ce sens, la surveillance des relevés de carte de crédit dans l’objectif de s’assurer qu’aucune activité frauduleuse n’a eu lieu ainsi que certains délais de vérification de l’identité auprès des agences de crédit sont des inconvénients ordinaires, qui ne méritent pas d’être indemnisés8.

En outre, la Cour compare les inconvénients occasionnés par les mesures de protection mises en place à la suite de la perte de renseignements personnels aux inconvénients allégués dans la décision Fortin c. Mazda Canada inc., dans laquelle la Cour d’appel concluait que les désagréments liés aux déplacements chez le concessionnaire des détenteurs de voitures défectueuses nécessitant des mesures correctives sont des inconvénients normaux de la vie courante9.

La preuve d’utilisation illicite de renseignements personnels 

Dans un deuxième temps, la Cour conclut à l’absence du lien de causalité nécessaire pour engager la responsabilité civile de l’OCRCVM.

En effet, Lamoureux n’a pas réussi à convaincre la Cour de manière prépondérante que ses renseignements personnels contenus dans l’ordinateur perdu ont effectivement été utilisés de façon illicite. La preuve n’a pas non plus convaincu la Cour que l’ordinateur et les renseignements qu’il contient se sont trouvés entre de mauvaises mains10. Au contraire, la Cour souligne qu’il convient de faire une distinction entre la disparition et le vol présumé de l’ordinateur perdu11.

La Cour retient plutôt la preuve d’expert déposée par l’OCRCVM qui démontre l’absence de tout lien entre la perte de l’ordinateur et toute utilisation illicite des renseignements personnels de Lamoureux.

La faute non intentionnelle et une conduite diligente font obstacle aux dommages punitifs 

Finalement, la Cour refuse d’octroyer des dommages punitifs, au motif que l’OCRCVM « a réagi diligemment, selon les standards attendus dans des circonstances semblables »12. De l’avis de la Cour, l’incident n’était pas intentionnel et l’OCRCVM a pris les mesures requises en pareilles circonstances, comme il fut démontré par la preuve d’expert.

La Cour rejette l’argument des membres du groupe selon lequel la réaction de l’OCRCVM à la suite de la perte de données a été trop lente et que les services offerts par cette dernière pour protéger les renseignements des membres du groupe étaient inadéquats. Elle souligne plutôt les initiatives de l’OCRCVM à la suite de la perte de données, lesquelles incluaient l’identification de la perte, la prise de mesures pour évaluer l’ampleur de la violation et la notification des parties concernées, y compris les investisseurs, les organismes de réglementation pertinents et toutes organisations touchées. Plus particulièrement, la Cour retient les initiatives suivantes comme correspondant à un comportement adéquat de la part d’un organisme selon les circonstances :

  • informer la Commission d’accès à l’information;
  • la mise en place de mesures de sécurité de TransUnion et d’Equifax pour les années à venir pour les personnes affectées;
  • informer les membres du groupe concernés de la perte de leurs informations personnelles le plus rapidement possible;
  • retenir dans les plus brefs délais les services d’expert pour effectuer une analyse de la nature de l’information en cause; et
  • la mise en place d’une centrale téléphonique pour répondre aux questions des personnes concernées.

 

Commentaire

Les points à retenir de la décision Lamoureux sont les suivants :

  • En matière d’action collective en droit de la vie privée, la preuve d’un préjudice réel indemnisable est nécessaire pour obtenir gain de cause; et
  • Il est nécessaire pour les entreprises et organismes publics de faire preuve de diligence à la suite d’un bris de confidentialité et de mettre en place des mesures qui permettent de minimiser les risques d’utilisation illicite pour les personnes touchées afin de réduire les conséquences juridiques pouvant découler de ce genre de situation.

D’une part, la décision Lamoureux s’inscrit dans un courant jurisprudentiel en matière de protection de la vie privée qui exige la démonstration prépondérante d’un préjudice suffisamment grave pour obtenir compensation.

Le droit à des dommages réside dans la démonstration d’un préjudice réel et indemnisable, souffert par les membres du groupe; il n’existe aucune présomption qu’un ordinateur perdu se retrouve dans de mauvaises mains. Cette analyse dépendra du contexte factuel de chaque affaire, nécessitant la preuve d’un préjudice spécifique.

Dès lors, la perte de renseignement personnel et l’appréhension d’un préjudice futur, mais non encore réalisé, ne sont pas en soi suffisantes pour justifier compensation.

On distingue alors le principe de perte de vie privée, qui identifie le moment où une personne perd sa vie privée, au principe d’atteinte à la vie privée, qui identifie le moment où une personne est effectivement lésée par cette perte. Dans Lamoureux, la Cour mise sur ce dernier principe pour décider des questions en litige.

L’approche davantage subjective que préconise la Cour dans l’évaluation du préjudice à la suite de la perte de renseignements personnels peut s’avérer problématique dans les cas où les dommages ne se matérialisent que beaucoup plus tard, rendant ainsi le critère de la causalité difficile à remplir.

D’autre part, les mesures proactives et réactives qu’entreprennent les entreprises et organismes publics peuvent considérablement réduire les risques juridiques et les conséquences pouvant découler d’atteintes à la protection de renseignements personnels – voire même éliminer de possibles défaillances dans les mesures préventives, telles que l’omission de crypter un ordinateur qui renferme les renseignements personnels de tiers.

Finalement, la décision Lamoureux témoigne des limites du véhicule de l’action collective, qui nécessite la démonstration d’un préjudice commun alors que l’analyse d’un préjudice moral qui découle d’une atteinte à la vie privée requiert une étude des circonstances davantage individuelles des membres du groupe13.

__________

1 Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093 [Lamoureux]. Notons que cette décision vient d’être portée en appel le 26 avril 2021. Néanmoins, il nous semble important de présenter les faits inhérents à cette affaire et la position retenue par la Cour supérieure. Nous ne manquerons pas de faire un suivi des suites données à ce jugement par la Cour d’appel.
2 L’OCRCVM est l’organisme d’autoréglementation national qui surveille l’ensemble des courtiers en placement et l’ensemble des opérations effectuées sur les marchés financiers.
3 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061.
4 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.
5 Lamoureux, paras. 46 et 47.
6 Lamoureux, para. 72.
7 Mustapha c. Culligan du Canada Ltée, 2008 CSC 27, [2008] 2 R.C.S. 114, dans Lamoureux, para. 65.
8 Lamoureux, paras. 62 et 75.
9 Fortin c. Mazda Canada inc., 2016 QCCA 31, para. 169, dans Lamoureux, para. 78.
10 Lamoureux, para. 7.
11 Lamoureux, para. 98.
12 Lamoureux, para. 133.
13 Lamoureux, paras. 63 et 87.

Flèche vers le haut Montez

Professionnels

Caroline Deschênes

Avocate, Associée

Justine Brien

Avocate

Marie-Laurence Goyette

Avocate

Industries
Articles récents