Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement au fonds, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme par exemple de le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suite à une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici le bénéfice d’une vrai de vrai décision, se prononçant quant au comportement d’une organisation qui a été confrontée à une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées un ordinateur et égaré par un proposé de la défenderesse (l’«OCRCVM»). Son recours visait à être compensé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée d’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaire (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être réclamés devant nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subit un véritable préjudice. Or, ici ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas de véritables dommages, en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soit, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, dont au Québec.

Ici, le requérant n’est pas parvenu non-plus à démontrer de liens de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité et qui seraient survenus. Ce faisant, le tribunal ne pouvait pas non-plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non-seulement doit-on toujours démontrer une faute et un préjudice mais aussi un lien causal entre les deux. Ce 3e ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non-seulement une faute suffisante mais aussi (et surtout) de véritables dommages qui soient susceptibles de compensation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclu qu’on était ici non-seulement pas dans un cas de faute intentionnelle mais aussi qu’OCRCVM a été suffisamment diligente dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non-chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délais les services d’un consultant spécialisés afin d’identifier l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, dont celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.