Véhicules autonomes et connectés : De parfaites cibles pour les actions collectives?

Pourquoi les véhicules autonomes?

Les capacités techniques des véhicules autonomes, déjà impressionnantes, continuent de s’améliorer. Des caractéristiques comme l’aide au stationnement sont désormais monnaie courante, alors qu’il sera bientôt possible, et ce, dès 2019, de fabriquer des véhicules sans volant ni pédales¹. Lorsqu’ils sont utilisés, les véhicules autonomes et connectés produisent – et peuvent enregistrer – un volume notable de données, notamment sur la conduite, la vitesse et l’itinéraire; pensons aux services de communication connectés et aux aides à la conduite, comme le rétroviseur à caméra, les freins d’urgence et le freinage automatique en marche arrière.

Certes épatantes, ces technologies (et les données qu’elles créent) posent des risques en ce qui a trait à l’exploitation des systèmes, à la protection des données et à des problèmes touchant toute une gamme de produits. Des chercheurs ont déjà prouvé qu’il était possible de forcer l’accès aux systèmes connectés² et nous ne connaissons que trop bien les risques liés aux atteintes à la vie privée. À mesure que le volume de données enregistrées et stockées par les véhicules autonomes ou téléversées sur des serveurs qui y sont connectés augmentera, celles-ci prendront de la valeur aux yeux des pirates informatiques. Un problème logiciel ou de programmation pouvant compromettre la sécurité d’une fonction d’autonomie ou la rendre inadéquate ne serait probablement pas isolé, mais commun à tous les véhicules d’une même gamme.

Dans cet article, nous nous penchons sur deux voies susceptibles d’être empruntées dans le cadre d’actions collectives liées aux véhicules autonomes : le respect de la vie privée et la responsabilité du fait du produit.

Respect de la vie privée

Dans le cas de la communication de données personnelles ou de l’accès à ces dernières en raison d’une vulnérabilité en matière de cybersécurité, l’action collective figure parmi les recours possibles pour les consommateurs touchés. Les actions collectives pour atteinte à la vie privée ne sont pas une nouveauté dans le paysage canadien. Elles ont même souvent abouti à des règlements pécuniaires appréciables. En effet, bien que les montants individuels soient plutôt symboliques (en général, entre 2 500 $³ et 5 000 $⁴), les actions collectives d’envergure peuvent se traduire par des dommages-intérêts non négligeables pour l’organisation – sans compter les honoraires d’avocat et les frais liés à l’administration des règlements. À titre illustratif, dans le cadre d’une affaire récente portant sur une atteinte à des renseignements personnels et financiers, un défendeur s’est vu contraint de payer environ 1,25 million de dollars⁵.

Jusqu’à présent, aucune action collective visant les véhicules autonomes n’a été entreprise au Canada. Au sud de la frontière, les poursuites intentées récemment pour des vulnérabilités en matière de cybersécurité touchant des véhicules autonomes ont eu des issues différentes.

Dans l’affaire Cahen, et al. v. Toyota Motor Corp., et al.⁶, les demandeurs ont allégué que les mesures de sécurité de certains véhicules Toyota étaient trop faibles. Ils ont réclamé des dommages-intérêts en raison de la potentielle vulnérabilité de ces véhicules au piratage, bien qu’aucun piratage n’ait effectivement eu lieu. La cour de district qui entendait l’affaire l’a rejetée, les demandeurs n’étant pas parvenus à suffisamment faire état du préjudice découlant précisément du risque de piratage. La décision a été confirmée en appel⁷. Dans une autre affaire, Flynn et al. v. FCA US LLC et al.⁸, les demandeurs ont connu un peu plus de succès. L’action collective putative contre Fiat Chrysler, qui s’appuyait sur le risque de piratage, a été accueillie. Elle a été introduite à la suite d’une mise à jour logicielle visant à renforcer la protection contre le piratage. Le tribunal a rejeté les allégations des plaignants quant à la possibilité d’un futur acte de piratage; néanmoins, il a accepté qu’ils aillent de l’avant avec leur prétention selon laquelle leurs véhicules s’étaient dépréciés en raison du risque de piratage. Fiat Chrysler a demandé l’autorisation d’interjeter un appel interlocutoire, avançant que [TRADUCTION] « tous les produits connectés sont potentiellement “vulnérables” au piratage » et que le potentiel de vulnérabilité de ces produits ne pouvait justifier la certification d’une action collective⁹.

Revenons maintenant au Canada : les constructeurs voudront continuer d’éviter tout risque d’action collective en dotant leurs véhicules autonomes de systèmes qui les prémuniront contre toute atteinte potentielle à la vie privée. Au vu de l’expérience américaine, il y a fort à parier que les actions collectives portant sur des risques potentiels qui n’ont pas encore eu d’effets concrets ne seront pas gagnées d’avance.

Responsabilité du fait du produit

On dit souvent des affaires en responsabilité du fait du produit qu’elles se prêtent parfaitement aux actions collectives, étant donné que la preuve d’une défectuosité ou d’un problème dans un produit peut être appliquée à tous les autres exemplaires¹⁰. D’ailleurs, au Canada, de nombreuses poursuites dans le domaine automobile ont été certifiées en tant qu’actions collectives¹¹.

Toutefois, l’action collective ne saurait être le recours adéquat dans des affaires pour lesquelles il est difficile d’établir la connexité, notamment dans les cas où les procédés de fabrication évoluent au fil du temps, quand plusieurs parties interviennent dans la livraison du produit fini aux consommateurs ou encore lorsque la norme de diligence applicable change¹². Étant donné le rythme des améliorations technologiques et la complexité des questions techniques qui pourraient s’avérer problématiques, il est primordial de faire appel à un expert approprié pour établir le fondement probatoire d’une demande¹³.

On s’attend à ce que la connexité constitue l’un des nerfs de la guerre des litiges visant les véhicules autonomes. Dans les actions collectives touchant la responsabilité du fait du produit, l’argumentation se concentre habituellement sur les ressemblances (ou les différences) entre les produits qui présenteraient des défectuosités.

Citons, à titre d’exemple, trois actions collectives putatives similaires qui, si elles avaient toutes pour objet la responsabilité du fait du produit, les produits en question étant des dispositifs médicaux, ont connu des issues différentes à l’étape de la certification¹⁴. Deux d’entre elles n’ont pas été certifiées, car elles portaient sur une grande gamme de produits similaires mais différents; la conduite du défendeur variait selon le produit et aucune défectuosité commune à l’ensemble des produits n’a pu être présentée¹⁵. La troisième action, qui se concentrait sur un seul groupe de produits homogènes, a été certifiée, car les parties n’ont établi aucune distinction entre les dispositifs.

Perspectives

Les véhicules autonomes et connectés n’ont peut-être pas encore fait l’objet d’une action collective au Canada, mais des demandeurs soulèveront inévitablement des questions qui testeront les limites du cadre juridique entourant les actions collectives.

Les constructeurs automobiles et autres parties responsables de la collecte, de l’usage et du stockage des données provenant des véhicules autonomes et connectés devraient garder en tête les risques juridiques liés à la conservation des données. Bien que le Canada ne soit pas étranger aux actions collectives pour atteinte à la vie privée, il reste un certain flou quant au type de préjudice qui justifierait la certification de ces recours.

Le spectre d’une action collective en responsabilité du fait du produit persiste pour les constructeurs et les distributeurs de véhicules autonomes et connectés, mais on ignore encore si les problèmes liés à ces véhicules seront suffisamment simples et circonscrits pour qu’on puisse y répondre en bloc dans le cadre d’une action collective. La réponse dépendra largement de la défectuosité alléguée et de la mesure dans laquelle elle se manifeste dans la série de produits visée par l’action collective potentielle. Reste donc à voir comment on traitera ces produits à l’étape de la requête en certification.

Pour en savoir davantage sur le processus et les étapes des actions collectives, consultez la section à ce sujet du BLG’s Product Liability Handbook (en anglais).

---

¹ DAVIES, Alex. « GM Will Launch Robocars Without Steering Wheels Next Year », WIRED, janvier 2018.

² VALASEK, Chris et Charlie MILLER. « Remote Exploitation of an Unaltered Passenger Vehicle », IOActive, 2015.; GREENBERG, Andy. « Hackers Remotely Kill a Jeep on the Highway – With Me In It », WIRED, 21 juillet 2015.

³ Maksimovic v. Sony of Canada Ltd., 2013 CanLII 41305 (Ontario).

⁴ Lozanski v. The Home Depot, Inc., 2016 ONSC 5447 (Ontario).

⁵ Drew v. Walmart Canada Inc., 2017 ONSC 3308 (Ontario).

⁶ SUSSMAN, Heather, Doug MEAL et David COHEN. « Recent Decisions Highlight Product Cybersecurity Issues » concernant l’affaire Cahen, et al v. Toyota Motor Corp., et al, Cour de district du District nord de la Californie.

⁷ Helene Cahen, et al. v. Toyota Motor Corp., et al., No. 16-15496, 9th Cir., 2017 U.S. App. LEXIS 26261.

⁸ Flynn, et al. v. FCA U.S. LLC, et al., affaire no 3:15-cv-00855.

⁹ CHIEM, Linda. « Fiat Chrysler Asks Justices to Review Car-Hacking Cert. Order », Law 360, 11 octobre 2018. [En ligne]

¹⁰ Williams v. Canon Canada Inc., 2011 ONSC 6571, alinéa 125 [Williams]; Schick v. Boehringer Ingelheim (Canada) Ltd., 2011 ONSC 1942, alinéa 74.

¹¹ Thorpe v. Honda Canada Inc, 2011 SKQB 72 [Thorpe]; Reid v. Ford Motor Company, 2003 BCSC 1632; Kalra v. Mercedes Benz, 2017 ONSC 3795.

¹² Ernewein v. General Motors of Canada Ltd, 2005 BCCA 540, alinéa 33.

¹³ Williams, supra; Thorpe, supra.

¹⁴ O’Brien v. Bard, 2015 ONSC 2470 [O’Brien]; Vester v. Boston Scientific Ltd, 2015 ONSC 7950 [Vester]; Dine v. Biomet, 2015 ONSC 7050 [Dine].

¹⁵ O’Brien, supra; Vester, supra.