Photo by Abraham Williams. Some rights reserved. CC

Et un nouveau revers pour une victime de brèche de sécurité informatique devant nos tribunaux

La Cour supérieure rendait récemment un jugement rejetant la demande d’autorisation d’un Québécois voulant intenter une action collective au nom de toutes les personnes au Québec dont les données ont été compromises chez Yahoo!, il y a de cela quelques années.

La décision Bourbonnière c. Yahoo! Inc. (2019 QCCS 2624) vient en effet établir qu’il ne suffit pas, pour déposer une action au Québec, d’avoir fait partie des victimes d’une intrusion informatique ou d’un hack d’ordinateur. Notre droit exige plus. Bien plus.

La juge de la Cour supérieure confirme et applique ce sur quoi s’était prononcée notre Cour d’appel (dans l’arrêt Sofio, en 2015), à savoir que la règle générale voulant qu’on doit prouver un dommage afin de poursuivre un tiers en responsabilité extracontractuelle, et ce, même si le dossier vise les suites d’une atteinte aux mesures de sécurité d’une entreprise qu’on allègue avoir fait preuve de négligence. Le trio faute-préjudice-causalité demeure donc applicable, même dans ces cas, si bien que nos tribunaux ne doivent pas présumer qu’un individu a nécessairement subi un préjudice (un dommage) du seul fait qu’il était fiché dans une base de données qui a été compromise par une attaque informatique. Le tribunal doit en effet, comme toujours en cas de poursuite, chercher à déterminer s’il existe un préjudice indemnisable qu’aurait subi la prétendue victime.

Règle générale, on verra souvent dans ce genre de dossiers des allégations touchant des préjudices du type stress, détresse psychologique, pertes financières, etc. Il faut cependant qu’on démontre quelque chose du genre, au-delà du théorique ou de l’éventuel. On doit prouver qu’on a bel et bien subi des dommages du genre de ceux qu’un tribunal pourrait évaluer et indemniser par un montant d’argent.

Ici, le tribunal était confronté à une victime dont le préjudice se résumait à avoir été contraint de changer son mot de passe Yahoo! et un peu d’embarras devant l’envoi de courriels en son nom à certains de ses contacts. Ce genre de choses n’est tout simplement pas assez grave pour que le droit y accorde de l’importance ou que le système judiciaire gaspille ses ressources à en faire un procès. Pour la juge, ce genre de cas ne respecte tout simplement pas le seuil de ce qui est nécessaire pour donner ouverture à un recours en droit québécois.

C’est en quelque sorte ici une manifestation de la locution latine non curat praetor curat sed lex de minimis, laquelle fait référence au fait que le droit ne devrait pas se préoccuper des choses de peu d’importance. Peu importe toute l’importance que peuvent prendre aujourd’hui la cybersécurité et les renseignements personnels, les règles de base en droit demeurent.