Bris de sécurité impliquant des renseignements personnels : quel est le préjudice indemnisable?

Bris de sécurité impliquant des renseignements personnels : quel est le préjudice indemnisable?

Les recours collectifs suite à un bris de sécurité impliquant des renseignements personnels gagnent en popularité. Le jugement rendu par l’honorable juge André Prévost le 20 août 2014 dans le dossier Sofio c. Organisme canadien de règlementation du commerce des valeurs mobilières[1] (« OCRCVM ») clarifie le fardeau de preuve quant aux dommages des requérants au stade de l’autorisation du recours collectif en absence de preuve que les renseignements personnels aient été utilisés de manière malveillante.

Rappelons les faits

Il s’agit d’une requête en autorisation d’un recours collectif pour le compte des personnes faisant l’objet du groupe suivant, à savoir, toutes les personnes physiques et morales, comptant 50 employés et moins depuis le 1^er février 2013, ayant vu ses renseignements personnels perdus au Québec par l’intimée ou l’un de ses employés en 2013 (les « Membres »).

Au cours du mois de février 2013, un employé de l’OCRCVM égare un ordinateur portable renfermant des renseignements personnels sur environ 50 000 clients de firmes de courtage, dont le requérant[2].

L’ordinateur, qui n’a toujours pas été retrouvé, ne comportait qu’un seul niveau de protection (mot de passe) et non pas deux niveaux (mot de passe + cryptage des données) comme le prévoient les politiques de l’OCRCVM[3].

Un des faits importants à souligner est que le requérant n’avait pas connaissance d’aucun cas où les renseignements personnels de l’un des membres aient été utilisés de manière malveillante (par exemple, un vol d’identité ou une fraude).

Selon le requérant, par sa négligence, l’OCRCVM a perdu les renseignements personnels des Membres qui, avisés tardivement, ont par la suite été tenus de prendre des mesures pour en atténuer les conséquences, telles que des démarches pour éviter le vol d’identité ainsi que pour protéger l’accès à leurs comptes bancaires et de placements[4].

Le requérant n’a pas fait la démonstration d’un préjudice indemnisable

L’autorisation du recours collectif est refusée en raison du fait que le critère d’autorisation de l’article 1003 b) du Code de procédure du Québec n’est pas rencontré, à savoir que le requérant n’a pas fait la démonstration d’un préjudice indemnisable.

Le tribunal doit, en effet, être en mesure de conclure à une apparence sérieuse de droit[5]. Cela signifie « que même si la demande peut, en fait, être ultimement rejetée, le recours devrait être autorisé à suivre son cours si le requérant présente une cause défendable eu égard aux faits et au droit applicable »[[6].

Revenons au syllogisme proposé par le requérant :

1. l’OCRCVM aurait commis des fautes i) relativement à la perte de l’ordinateur portable, ii) en ne s’assurant pas de la protection maximale des renseignements des Membres qu’il contenait et, iii) en tardant à en aviser les Membres;
2. les Membres ont subi les dommages ci-haut décrits;
3. les dommages subis par les Membres sont directement reliés aux fautes commises par l’OCRCVM.[7]

Le juge souligne que le requérant a raison lorsqu’il soutient qu’une partie peut réclamer des dommages moraux pour être indemnisée d’un préjudice non pécuniaire[8]. En effet, la doctrine et la jurisprudence reconnaissent que le préjudice moral est indemnisable et qu’il peut notamment inclure le stress, le choc émotif, les ennuis, les tracas ainsi que les inconvénients, et qu’une grande discrétion est accordée au juge pour son évaluation[9].

En matière de recours collectif, comme le requérant le suggère, les tribunaux ont reconnu l’existence possible de ce type de dommages notamment à l’occasion d’arrêts de travail illégaux ou de retards indus dans les services de transport en commun[10], ou encore du défaut d’un voyagiste de s’acquitter de certaines de ses obligations[11].

Dans ces causes, les dommages non pécuniaires couvraient généralement le cumul d’inconvénients tels que le stress ou la colère associés à l’attente ou à l’incertitude, le retard au travail ou à des rendez-vous, la fatigue et l’inconfort associés au fait de devoir marcher (malgré les intempéries) pour une durée plus longue que prévue, le sentiment de dépendance et d’humiliation d’être pris en otage, ainsi que l’inconfort et le stress de devoir patienter de longues heures ou plusieurs jours dans une aérogare.

Le juge Prévost souligne cependant que les inconvénients allégués s’apparentent davantage à ceux qui font généralement partie de la vie en société au XXIe siècle. La vérification mensuelle par une personne de ses comptes bancaires et cartes de crédit ne constitue pas une démarche exceptionnelle. Ces données étant facilement accessibles par Internet, il n’est pas inhabituel que ce genre de vérification s’effectue plusieurs fois par mois[12]. La surveillance de toute anomalie dans la livraison du courrier n’apparaît pas exceptionnelle non plus. Elle fait partie des habitudes de vie dans notre société.

La requête pour autorisation du recours collectif contre l’OCRCVM a donc été rejetée.
Qu’est-ce qui constitue alors un préjudice indemnisable?

Citant l’honorable juge en chef McLachlin dans l’arrêt Mustapha c. Culligan du Canada Ltée[13], le juge conclut que le préjudice indemnisable est un préjudice qui doit être grave et de longue durée.

Ne sont pas un préjudice indemnisable ce qui suit, à savoir :

• de simples désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût-ce à contrecœur.
• les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques mineurs et passagers;
• la simple appréhension des conséquences de la perte des renseignements personnels.

Dans le jugement rendu par la juge Beaugé dans Larose c. Banque Nationale du Canada[14] autorisant l’exercice d’un recours collectif dans un contexte de vol de trois ordinateurs, quoique cette demande comportait une réclamation pour des dommages similaires, la juge Beaugé souligne néanmoins un fait important, qui distingue nettement cette affaire du présent dossier : après le vol des ordinateurs, l’identité du requérant Larose avait été usurpée dans le cadre de l’obtention frauduleuse d’un prêt et de quatre cartes de crédit[15], ce qui n’est pas le cas dans la présente affaire.

Leçons à en tirer

Bien que ce jugement puisse être rassurant pour les entreprises quant à leurs responsabilités en cas de bris de sécurité impliquant des renseignements personnels, il faut souligner que le plan mis en œuvre dès la découverte du bris ainsi que la façon dont l’OCRCVM a réagi ne sont pas étrangers au rejet de la demande pour autorisation du recours collectif. L’autorisation du recours aurait pu être accordée si les mesures appropriées n’avaient pas été prises par l’organisme et/ou en présence d’une preuve que l’identité de Membres a été usurpée.

Par ailleurs, il faut rappeler que dans certaines circonstances, des dommages punitifs auraient pu être réclamés, et ce, indépendamment de l’absence de dommages compensatoires. Ce chef de dommages peut s’avérer extrêmement coûteux dans le cadre de recours collectifs.

par Éloïse Gratton et Emmanuelle Saucier

[1] 2014 QCCS 4061.

[2] Voir paragraphe 1 dudit jugement.

[3] Voir paragraphe 2 dudit jugement.

[4] Voir le paragraphe 9 du jugement.

[5] Comité régional des usagers des transports en commun de Québec c. Commission des transports de la Communauté urbaine de Québec [1981] 1 R.C.S. 424, p. 429.

[6] Collectif de défense des droits de la Montérégie (CDDM) c. Centre hospitalier régional du Suroît du Centre de santé et de services sociaux du Suroît, 2011 QCCA 826, par. 22, repris dans Infineon Technologies AG c. Option consommateurs, 2013 CSC 59, par. 72 (arrêt Infineon) et Vivendi Canada Inc. c. Dell’Aniello, 2014 CSC 1, par. 58 (arrêt Vivendi), par. 65.

[7] Voir le paragraphe 33 du jugement.

[8] Voir le paragraphe 36 du jugement.

[9] Jean-Louis BAUDOUIN et Pierre-Gabriel JOBIN, Les obligations, 5e éd., Les éditions Yvon Blais, par. 839.

[10] Binette c. Syndicat des chauffeures et chauffeurs de la corporation métropolitaine de Sherbrooke, 2004 CanLII 20437 QCCS, Ladouceur c. Société de transport de Montréal, 2010 QCCS 1859, Boyer c. Agence métropolitaine de transport (AMT), 2010 QCCS 4079.

[11] Deronvil c. Univers Gestion multi-voyages inc., 2006 QCCS 3354.

[12] Voir les paragraphes 41 et 42 du jugement.

[13] [2008] 2 R.C.S. 114, p. 119.

[14] 2010 QCCS 5385.

[15] Id., par. 24.

Mise en garde

Le texte qui précède ne donne qu’un aperçu du sujet traité et ne constitue pas un avis juridique. Les lecteurs doivent s’abstenir de prendre des décisions en se fondant uniquement sur ces renseignements et devraient plutôt obtenir des conseils juridiques spécialisés.

© McMillan S.E.N.C.R.L., s.r.l. 2014