une main qui tient une guitare

Perspectives

Une première au Canada : Rejet au mérite d’une action collective sur la perte de renseignements personnels

Introduction

Le 26 mars 2021, la Cour supérieure a rendu un jugement-clé en matière de perte de renseignements personnels dans Lamoureux c. OCRCVM, 2021 QCCS 1093. La juge Florence Lucas j.c. s. rejette entièrement l’action collective du demandeur Danny Lamoureux dans le premier jugement rendu au stade du mérite en matière de perte de renseignements personnels au Québec et au Canada.

Les faits en bref

Le 22 février 2013, un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM ») oublie son ordinateur portable dans le train. Cet ordinateur égaré contenait certaines informations personnelles d’individus recueillies auprès des courtiers en valeurs mobilières faisant l’objet d’une inspection. Malgré les efforts de l’OCRCVM, l’ordinateur n’est pas retrouvé.

Une première action collective est intentée par M. Sofio dans la foulée de la perte. Celle-ci sera rejetée dès l’autorisation en l’absence d’apparence de droit, le requérant n’ayant pas démontré un dommage compensable1. La Cour d’appel confirmera ce jugement2. Suite à cet échec, M. Lamoureux intente sa propre action collective, autorisée en octobre 2017. Contrairement à M. Sofio, celui-ci plaide avoir été effectivement victime d’un vol de ses informations personnelles.

Analyse

La Cour rejette l’action collective dans son entièreté, faute de preuve prépondérante de toutes les composantes de la responsabilité civile. Son jugement clarifie et confirme les circonstances pouvant donner ouverture à des dommages en matière de perte de renseignements personnels :

  • Principe en matière d’action collective liée à la perte de renseignements personnels : D’emblée, la juge Lucas énonce le principe qu’« il n’est pas nécessaire que les membres aient été victimes d’utilisations illicites de leurs renseignements pour soutenir leur réclamation », si tant est qu’un préjudice indemnisable soit établi par preuve prépondérante.3
  • Les inconvénients normaux de la vie en société ne sont pas indemnisables : Confirmant la Cour d’appel dans Sofio et Fortin c. Mazda et s’appuyant sur l’arrêt Mustapha de la Cour suprême, la juge confirme que les simples craintes, désagréments, stress et inquiétudes vécus par les membres du groupe en lien avec la perte de leurs informations personnelles (surveillance des comptes, démarches auprès d’agences de crédit, honte ressentie) sont des « inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter ».4 En effet, la preuve testimoniale des membres a fourni « très peu de détails, faits concrets ou de manifestations significatives de leurs états psychologiques ». En outre, aucune preuve documentaire ou médicale n’a été administrée pour prouver l’importance des souffrances. Par conséquent, le seuil minimal d’un dommage moral indemnisable n’est pas franchi.
  • Services de protection du crédit offerts gratuitement : Le cas de M. Lamoureux se distingue d’affaires similaires en matière de pertes de données personnelles où les requérants avaient fait eux-mêmes les démarches pour protéger leur identité et encouru des frais.5 Ici, l’OCRCVM a fourni gratuitement toutes les mesures de protection nécessaires via des agences de crédit.

D’ailleurs, il n’est pas raisonnable de s’attendre à obtenir un crédit instantanément alors que les accès non autorisés et les vols de données sont de plus en plus fréquents. Ainsi, certains délais de vérification de l’identité ne sont pas un dommage compensable.

  • Absence de preuve d’utilisation malveillante des données : La Cour conclut que la demande n’a pas prouvé de façon prépondérante que les informations personnelles contenues sur l’ordinateur perdu ont été utilisées à mauvais escient par quiconque. En effet, la preuve d’expert non contredite de la défense établit que les vols d’identités allégués par M. Lamoureux et certains autres membres du groupe ne sont pas liés et n’ont aucun lien causal avec la perte de l’ordinateur.
  • La conduite diligente de l’OCRCVM fait obstacle aux dommages punitifs : Finalement, la juge rejette la réclamation en dommages punitifs puisque l’OCRCVM « a réagi diligemment, selon les standards attendus dans des circonstances semblables ».6 La faute de l’OCRCVM n’était pas intentionnelle et celle-ci a pris les mesures requises selon les standards en pareille matière en temps utile, tel qu’il appert notamment de la preuve d’expert.

Commentaire : un « blueprint » en matière de gestion de perte de données ?

Ce jugement est particulièrement significatif puisqu’il propose un exemple de réponse corporative jugée adéquate dans un contexte où de plus en plus d’actions collectives sont intentées à la suite de pertes ou vols de données personnelles. Dans cette affaire, l’OCRCVM avait notamment :

  • Procédé à des enquêtes et vérifications internes exhaustives ;
  • Informé promptement la police de la perte de l’ordinateur portable ;
  • Retenu dans les plus bref délais les services d’une cabinet de consultants dans les plus brefs délais pour effectuerune enquête visant à déterminer l’information précise contenue sur l’ordinateur perdu (« computer forensic and investigative analysis ») ainsi que pour élaborer une stratégie pour la gestion des risques et obligations liés à la perte de renseignements personnels (« privacy risk management ») ;
  • Avisé les commissariats de protection de la vie privé concernés de la perte ;
  • Avisé les firmes de courtages ayant des investisseurs concernés de la situation ;
  • Avisé les membres concernés de la perte de leurs informations personnelles par des lettres bilingues contenant :
    • Le détail des informations personnelles perdues ;
    • Une aide-mémoire de mesures pour protéger leurs renseignements personnels ;
    • Mise en place d’un centre d’appel pour répondre aux questions des membres ;
    • Un service gratuit et automatique de drapeaux d’alerte chez Equifax et TransUnion pour une durée de 6 ans ;
    • Un service gratuit de surveillance de crédit pendant un an sur demande.
  • Publié un communiqué de presse annonçant la perte de l’ordinateur ;
  • Informé les membres qu’elle n’est au courant d’aucun vol d’identité.
Le jugement établi que la preuve d’une réponse rapide et diligente correspondant aux standards applicables en pareilles circonstances peut faire obstacle à une réclamation en dommages punitifs.

1 Voir Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OClksdfo;likjzxdvfjkxcfzvp098udjRCVM), 2014 QCCS 4061.

2 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.

3 Paras. 46, 60-61.

4 Para. 7.

5 Voir Lévy c. Nissan Canada inc., 2019 QCCS 3957 ; Zuckerman c. Target Corporation, 2017 QCCS 110.

6 Para. 7.

Contact principal