fr_FR
La femme faisant le cadre autour du soleil avec ses mains au lever du soleil
La femme faisant le cadre autour du soleil avec ses mains au lever du soleil
La femme faisant le cadre autour du soleil avec ses mains au lever du soleil

Autorisation d’un recours collectif pour atteinte à la vie privée accordée au Québec

Juillet 2013 bulletin sur les recours collectifs

L’augmentation exponentielle des renseignements personnels mise à la disposition des entreprises s’accompagne d’une préoccupation croissante au niveau de la protection de la vie privée. Cette préoccupation est exacerbée par l’attention que portent les médias aux incidents de brèche de sécurité de même qu’aux usages illicites possibles de nos renseignements personnels une fois disséminés. Dans un tel contexte, il n’est pas surprenant que l’on voit une augmentation des recours collectifs en Amérique du Nord en lien avec des atteintes à la vie privée. Cette tendance est apparue récemment au Québec, où les lois sur la protection de la vie privée sont musclées et permettent notamment l’octroi de dommages-intérêts punitifs, ce qui augmente en même temps le risque de s’enliser dans de longues et coûteuses procédures judiciaires.

Il existe plusieurs formes d’atteintes à la sécurité pouvant donner lieu à un recours collectif. Certains recours sont intentés après une brèche de sécurité mettant en cause des renseignements personnels. C’est le cas de la récente requête pour autorisation déposée au Québec à la suite d’un incident en avril 2013 où un employé de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a perdu un ordinateur portable contenant de l’information financière non chiffrée sur plus de 52 000 clients d’un cabinet de courtage. L’incident a été largement publicisé par les médias nationaux et provinciaux.

D’autres recours collectifs remettent plutôt en question les modèles d’affaires que les fournisseurs de services numériques utilisent pour stocker, transmettre et utiliser les renseignements personnels. Tout un tollé est parfois soulevé chez les consommateurs en raison d’allégations voulant que certains programmes ne se contentent non seulement de stocker des renseignements personnels, mais également de les transmettre à des tiers, sans le consentement préalable des consommateurs ou même à leur insu, et ce, dans le but de personnaliser les publicités.

La décision la plus récente de la Cour supérieure du Québec portant sur les nouvelles technologies et sur les lois sur la protection de la vie privée est probablement un prélude aux litiges à venir dans ce domaine. Le 27 juin dernier, la Cour a autorisé un recours collectif contre Apple et contre Apple Canada alléguant que le géant de la technologie a violé le droit de ses usagers à la vie privée en transmettant ou en permettant aux applications mobiles de fournir des renseignements privés aux annonceurs. La plainte est le pendant canadien des plaintes déposées aux États-Unis; celles-ci découlent d’une enquête menée par le Wall Street Journal. Le tribunal analysera si Apple a créé ou a facilité la création de profils permettant l’identification des personnes inscrites au recours collectif. Le tribunal se penchera aussi sur la question de savoir si Apple a omis de communiquer le fait que ses applications recueillent des renseignements personnels des utilisateurs de iPhones.

les dommages

Dans un recours collectif en matière d’atteinte à la vie privée, un des défis cruciaux touche les dommages. Même quand l’atteinte à la vie privée est établie, les tribunaux concluent parfois que la réparation pécuniaire n’est pas une mesure corrective convenable. En effet, sans un préjudice, une réparation pécuniaire n’est pas appropriée. On note que plusieurs recours collectifs américains ont échoué à l’étape de l’établissement d’un « préjudice réel ».[1]

En contexte canadien, la nécessité d’une préjudice concret est aussi bien reconnue. Dans le jugement LaRose c. Banque Nationale du Canada,[2] la Cour supérieure a autorisé un recours collectif résultant du vol d’un ordinateur portable contenant les renseignements personnels d’un groupe de créanciers hypothécaires de la Banque Nationale. Selon la décision, la crainte du vol ou de la fraude d’identité ne constitue pas en soi un préjudice en droit québécois et donc ne peut servir de fondement pour un recours collectif. Le recours avait pourtant été autorisé puisque la preuve avait été faite qu’il y avait eu un vol d’identité suite au bris de sécurité.

Dans le litige mettant en cause Apple, les membres réclament des dommages-intérêts punitifs en alléguant un préjudice découlant d’une utilisation des « ressources » (charge de la batterie, espace de stockage, volume de téléchargement) de l’appareil par les applications. Les membres allèguent qu’Apple aurait fait de fausses déclarations touchant la valeur des appareils vendus et demandent une injonction pour faire en sorte qu’Apple ne permette plus l’utilisation de données personnelles par les applications mobiles. Les membres allèguent un préjudice plus subjectif, à savoir qu’Apple a permis aux tierces parties de recueillir et de diffuser des renseignements permettant l’identification de ses utilisateurs. Apple aurait aussi tenu un journal des mouvements de ses utilisateurs et aurait mis ces renseignements à la disposition des tierces parties. Ce recours sera intéressant à suivre, car les lois québécoises protégeant la vie privée sont les plus sévères au pays.

cadre juridique du droit à la vie privée au Québec

L’environnement législatif du Québec en matière de protection de la vie privée est l’un des plus stricts au Canada. De surcroit, la Loi sur la protection du consommateur offre déjà aux consommateurs une protection supérieure à celle offerte dans la plupart des provinces canadiennes. À ce jour, les sommes octroyées par les tribunaux dans le cadre de réclamations individuelles en lien avec une atteinte à la vie privée sont généralement peu élevées. Toutefois, en matière de recours collectifs fondés sur une atteinte à la vie privée, les sommes normalement obtenues par les demandeurs de façon individuelle sont sujettes à une forte augmentation due au nombre de membres.

Le recours collectif intenté contre Apple constitue une illustration intéressante des propos qui précèdent. Dans cette affaire, deux groupes de consommateurs se voient autorisés à se joindre aux procédures, plus précisément : 1) les résidents du Québec ayant acheté ou acquis autrement un iPhone ou un iPad et téléchargé des applications gratuites sur l’App Store depuis le 1er décembre 2008 jusqu’à ce jour, 2) ainsi que les résidents du Québec ayant acheté ou acquis autrement un iPhone et désactivé le service de localisation avant le 27 avril 2011 et ayant involontairement, sans être avisé ou sans avoir donné leur consentement, transmis des informations aux serveurs d’Apple. Un recours collectif de ce genre implique potentiellement des milliers, voire des centaines de milliers de membres, ce qui implique qu’une somme significative pourrait être accordée dans l’éventualité où le recours entrepris se révèlerait fondé.

En matière de recours collectifs portant sur une atteinte au droit à la vie privée, les articles 35 ou 36 du Code civil du Québec constituent un possible fondement pour les demandeurs québécois. Dans un même ordre d’idées, la Charte des droits et libertés de la personne[3] peut s’avérer utile afin d’obtenir des dommages-intérêts punitifs, mais seulement en cas « d’atteinte illicite et intentionnelle ». [4]Considérant la fonction préventive de ces mêmes dommages-intérêts punitifs, leur évaluation tient compte de toutes les circonstances, notamment de la gravité de la faute du débiteur, de sa situation patrimoniale, ainsi que de l’étendue de la réparation à laquelle il est déjà tenu envers le créancier.[5] À l’occasion de certaines décisions portant sur des atteintes à la vie privée, les tribunaux québécois ont accordé des dommages-intérêts punitifs, et ce notamment en matière de transferts illicites de renseignements personnels.[6]

Bien que l’ampleur des dommages-intérêts pouvant être accordés dans un tel contexte reste à êtredémontrés, les entreprises doivent être conscientes que les recours collectifs de ce type incluent généralement un nombre élevé de membres ce qui peut potentiellement conduire à l’octroi de sommes significatives.

La popularité croissante des recours collectifs et leur autorisation par les tribunaux devraient encourager les entreprises à investir davantage en matière de mesures préventives et à procéder à l’implantation de politiques adéquates encourageant l’application de pratiques exemplaires. Les mesures de prévention peuvent nécessiter une analyse plus approfondie des questions liées à la protection des renseignements personnels en lien avec un produit avant que ce dernier ne soit mis sur le marché. De même, une plus grande transparence est également de mise afin que les clients soient bien informés des enjeux et qu’ils puissent consentir à la collecte et à la divulgation des informations recueillies lors de leur utilisation de certains produits. Qui plus est, une meilleure formation des employées leur permettant de détecter et de minimiser les bris de sécurité impliquant des renseignements personnels pourrait également être utile.

Certes, une telle prudence est préférable aux dommages réputationnels associés à la médiatisation d’un bris de sécurité impliquant des renseignements personnels ou relevant d’un recours collectif en atteinte à la vie privée nommant l’entreprise comme intimée, avec tous les coûts y étant associés.

par Éloïse Gratton et Jillian Friedman, stagiaire

1 Voir, par exemple, les arrêts où la Cour a conclu que le demandeur n’a pas établi qu’il a subi un préjudice réel: Ruiz c. Gap, Inc., 2010 WL 2170993 (C. A. 9 Cal.)); Allison c. Aetna Inc., No. 09-2560 (E.D. Penn. 2010); People’s United Bank and Bank of New York Mellon Inc., 2009 U.S. Dist. LEXIS 78065 (D.Conn. 2009); Randolph c. ING Life Insurance and Annuity Company, 973 A. 2d 702 at 710 (D.C. Court of Appeals 2009); Cherny c. Emigrant Bank, 604 F. Supp. 2d 605 (S.D.N.Y. 2009); Ryan c. Delhaize America, Inc. d/b/a Sweetbay, and Hannaford Bros. Co. (D. Maine 2008); Bell c. Acxiom Corporation, 4:06-cv-00485-WRW (E.D. Ark. 2006).

2 [2010] J.Q. no 11510, 2010 QCCS 5385.

3 Article 49, RSQ, c C-12;

4 Québec (Curateur public) c. Syndicat national des employés de l’hôpital St-Ferdinand, [1996] 3 SCR 211, par. 121. La décision de la Cour suprême déclare que : « En conséquence, il y aura atteinte illicite et intentionnelle au sens du second alinéa de l’art. 49 de la Charte lorsque l’auteur de l’atteinte illicite a un état d’esprit qui dénote un désir, une volonté de causer les conséquences de sa conduite fautive ou encore s’il agit en toute connaissance des conséquences, immédiates et naturelles ou au moins extrêmement probables, que cette conduite engendrera. »

5 Art 1621, Code civil du Québec.

6 Voir, par exemple, Roy c. Société sylvicole d’Arthabaska-Drummond, J.E. 2005-279 (C.Q.); St-Amant c. Meubles Morigeau ltée, J.E. 2006-1079 (S.C.); Boulerice c. Acrofax inc., [2001] R.L. 621 (C.Q.); Stacey c. Sauvé Plymouth Chrysler (1991) inc., J.E. 2002-1147 (C.Q.).

Mise en garde

Le contenu du présent document fournit un aperçu de la question, qui ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© 2013 McMillan S.E.N.C.R.L., s.r.l.

Related Publications

post
Publication

Webinaire sur l’accessibilité numérique : démystification des WCAG 2.0 et autres pratiques exemplaires

Mar 4, 2021

En raison de la COVID-19, les Canadiens n’ont jamais été aussi dépendants des sites, applications et services Web pour vaquer à leurs activités essentielles.

post
Publication

La cyberjustice : un tribunal de l’Ontario reconnaît le harcèlement par Internet à titre de nouveau délit

Mar 3, 2021

La CSJ (Ont.) reconnaît un nouveau délit, le harcèlement par Internet, signe qu’elle veut s’attaquer au problème des comportements abusifs en ligne.

post
Publication

Les ACVM proposent des modifications aux obligations relatives aux renseignements concernant l’inscription, à la déclaration d’activités externes et aux exigences en matière de déclaration de l’information, dans le cadre de l’initiative de réduction du fardeau réglementaire

Mar 3, 2021

Le 4 février 2021 – Les ACVM proposent des modifications en matière de déclaration de l’information concernant l’inscription des personnes et sociétés inscrites.