Le premier jugement au fond au Canada en matière d’action collective portant sur la protection des renseignements personnels est maintenu par la Cour d’appel

10 juin 2022

Le 13 mai 2022, un peu plus d’un an après le prononcé du premier jugement au fond au Canada dans le cadre d’une action collective portant sur la perte de renseignements personnels, la Cour d’appel1 a rejeté l’appel de la décision de la Cour supérieure2 rendue dans l’affaire opposant le représentant Danny Lamoureux (l’« appelant ») à l’Organisme canadien de réglementation du commerce des valeurs mobilières (l’« OCRCVM » ou l’« intimé »). Dans leur arrêt, les honorables Geneviève Marcotte, j.c.a., Mark Schrager, j.c.a. et Peter Kalichman, j.c.a. ont confirmé le bien-fondé du jugement de première instance (qui a fait l’objet d’une analyse détaillée dans notre article du 15 juin 2021) et les principes qui doivent guider les tribunaux dans l’évaluation d’une poursuite fondée sur un incident de confidentialité. Cet arrêt place la barre haut pour les futures actions collectives entreprises en matière de protection des renseignements personnels.

 

Les faits

Le 22 février 2013, un inspecteur de l’OCRCVM laisse son ordinateur portable dans un train. Cet ordinateur, qui ne fut jamais retrouvé, contenait les renseignements personnels de plus de 50 000 investisseurs, protégés par mot de passe, mais non cryptés. Au début du mois d’avril 2013, l’intimé rencontre les courtiers concernés pour les informer de la situation et signe des ententes avec deux agences de renseignements de crédit pour mettre en place des mesures assurant la protection des investisseurs visés. À la fin du mois d’avril 2013, l’intimé envoie une première lettre aux investisseurs les informant de la perte de l’ordinateur, leur fournissant des renseignements concernant le centre d’appels retenu par l’intimé et leur offrant gratuitement un service d’alerte de crédit pour six ans. Le 30 avril 2013, une seconde lettre est transmise aux investisseurs aux fins de confirmer qu’aucun vol d’identité ou fraude n’a été décelé à la suite de la perte de l’ordinateur et d’offrir des protections supplémentaires.

Le même jour, Paul Sofio introduit des procédures en Cour supérieure pour être autorisé à intenter une action collective contre l’OCRCVM pour le compte de toutes les personnes dont les renseignements personnels ont été perdus. Cette demande est rejetée par la Cour supérieure le 20 août 2014, M. Sofio n’ayant pas réussi à démontrer l’existence d’un préjudice indemnisable3. L’appel de M. Sofio est également rejeté4.

Le 16 novembre 2015, l’appelant introduit sa demande d’autorisation d’exercer une action collective contre l’intimé. Sa procédure repose essentiellement sur les mêmes faits que M. Sofio, mais s’en distingue par l’inclusion d’une réclamation en dommages-intérêts pour l’utilisation illicite de renseignements personnels, ainsi que par l’ajout de détails quant aux inconvénients que l’appelant estime avoir subis à la suite de la perte de ses renseignements personnels. Le 26 octobre 2017, la Cour supérieure autorise l’appelant à intenter cette action collective.

 

Le jugement de première instance au fond

Dans son jugement du 26 mars 2021, l’honorable Florence Lucas, j.c.s. rejetait l’action collective intentée par M. Lamoureux, qui visait à obtenir des dommages compensatoires pour le préjudice subi par les membres du groupe proposé en raison de la perte de l’ordinateur portable non crypté contenant les renseignements personnels de milliers d’investisseurs, une compensation pour le préjudice lié à l’usurpation ou à la tentative d’usurpation de leur identité ou la commission d’une fraude ou d’une tentative de fraude, de même que des dommages-intérêts punitifs fondés sur une allégation d’insouciance grave de la part de l’OCRCVM.

 

Les prétentions de l’appelant

Dans le cadre de son appel, l’appelant allègue que « la juge de première instance a commis diverses erreurs révisables dans pratiquement toutes les facettes du jugement ». D’abord, en ce qui concerne les dommages, il soutient que la juge de première instance a erré en concluant que les dommages moraux en cause constituaient des inconvénients normaux que tout citoyen doit accepter. Il soutient également que la juge a erronément conclu à l’absence de lien de causalité entre la perte de l’ordinateur et la fraude et le vol subi par certains membres du groupe. Quant aux dommages punitifs, l’appelant plaide que la juge a commis une erreur en ne reconnaissant pas que les actes de l’intimé constituaient une atteinte illicite et intentionnelle à ses droits.

 

Les motifs de la Cour d’appel

La Cour d’appel tranche : l’appel doit échouer. Alors que l’appelant remet en question presque toutes les conclusions de fait tirées par la juge de première instance, il ne parvient ni à identifier ni à établir d’erreurs manifestes et déterminantes dans le jugement entrepris, ne remplissant par le fait même pas son fardeau en appel. L’appelant « invite plutôt la Cour à réévaluer la preuve et à arriver à une conclusion différente de celle de la juge », alors qu’il ne s’agit nullement du rôle d’une cour d’appel.

 

Caractère non indemnisable de certains dommages réclamés

La Cour d’appel survole en premier lieu la question des dommages-intérêts compensatoires. Elle énonce les quatre catégories dans lesquelles la juge de première instance a classé les montants réclamés par l’appelant : 1) l’anxiété, la colère et le stress liés à la perte de renseignements personnels; 2) l’obligation pour les investisseurs de surveiller leurs comptes; 3) les inconvénients et la perte de temps dans les démarches auprès des agences de crédit que l’intimé a mises à leur disposition; et 4) la honte et les retards subis dans l’obtention de crédit. La Cour d’appel rapporte subséquemment les conclusions de la juge de première instance au terme de son analyse de chacune des catégories, ses motifs étant principalement qu’il ne s’agit pas de dommages indemnisables. La Cour d’appel conclut que bien que l’appelant se dise en désaccord avec les conclusions factuelles auxquelles est parvenue la juge, il n’a pas démontré l’existence d’une erreur manifeste et déterminante à leur égard.

 

Absence de démonstration d’un lien de causalité entre la perte de l’ordinateur et l’utilisation ou la tentative d’utilisation illicite des renseignements personnels

En regard des dommages-intérêts réclamés pour l’utilisation illicite de renseignements personnels, la Cour d’appel affirme que la juge de première instance ne laisse pas entendre que ces dommages ne sont pas indemnisables. En effet, la Cour d’appel souligne qu’« il ne fait aucun doute que les membres victimes de fraude et de vol d’identité ont subi des dommages, notamment quant au temps qu’ils ont passé à traiter avec les institutions financières, les agences de crédit et les fournisseurs de services, sans compter l’anxiété, le stress et l’instabilité qu’une telle situation peut créer. »

Toutefois, elle rappelle qu’il incombait à l’appelant de démontrer, selon la prépondérance des probabilités, que l’utilisation ou la tentative d’utilisation illicite des renseignements personnels de ses investisseurs étaient le résultat de la perte de l’ordinateur. Or, face au constat de la juge de première instance selon lequel l’appelant ne s’est pas acquitté de ce fardeau, la Cour d’appel ne peut déceler aucune erreur révisable.

 

L’OCRCVM a respecté les meilleures pratiques dans le contexte

La Cour d’appel parvient à la même conclusion en ce qui concerne les dommages-intérêts punitifs réclamés. Elle est d’avis que la juge de première instance n’a commis aucune erreur révisable en concluant que les critères d’attribution n’étaient pas remplis. Cette dernière a valablement conclu que l’intimé n’avait pas l’intention de nuire aux membres du groupe ou qu’il connaissait les conséquences immédiates et naturelles de sa conduite fautive. Par ailleurs, la Cour d’appel note que la juge de première instance conclut que « l’appelant n’a non seulement pas réussi à démontrer une conduite insouciante ou indifférente, mais que la preuve d’expert non contredite établit que l’intimé avait en fait respecté les meilleures pratiques dans une telle situation. »

 

À retenir

Devant un nombre grandissant d’actions collectives intentées à la suite de fuites, de pertes ou de divulgations non autorisées de renseignements personnels, cet arrêt de la Cour d’appel sur la première décision au fond est intéressant pour les raisons suivantes :

  • Pour les dommages compensatoires, il confirme :
    • La nécessité de démontrer selon la balance des probabilités le lien de causalité entre l’incident et les dommages réclamés, notamment en ce qui concerne les tentatives de fraude ou de vol d’identité;
    • Le fait que les divers inconvénients pouvant découler de ces incidents, tels l’anxiété, la colère, l’obligation de surveillance de ses propres comptes ou encore les difficultés à obtenir du crédit, doivent avoir une certaine gravité pour constituer un préjudice indemnisable.
  • Pour les fins de l’attribution de dommages punitifs dans un tel contexte, il rappelle ce qui doit être démontré pour y faire droit et l’importance d’une conduite post-incident conforme aux meilleures pratiques pour y faire échec. À cet égard, rappelons que, dans cette affaire, les initiatives suivantes ont été retenues par la Cour correspondant à un comportement adéquat de la part d’un organisme selon les circonstances :
    • Informer la Commission d’accès à l’information;
    • Mettre en place des mesures de sécurité par l’intermédiaire de TransUnion et d’Equifax pour les années à venir pour les personnes affectées;
    • Informer les membres du groupe concernés de la perte de leurs informations personnelles le plus rapidement possible;
    • Retenir dans les plus brefs délais les services d’experts pour effectuer une analyse de la nature de l’information en cause; et
    • Mettre en place une centrale téléphonique pour répondre aux questions des personnes concernées.

__________

1 Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2022 QCCA 685
2 Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093
3 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061
4 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820