Mes Shaun E. Finn et Danielle Miller Olofsson. Source : Site Web de BCF
Mes Shaun E. Finn et Danielle Miller Olofsson. Source : Site Web de BCF
Lorsqu’une entreprise ou une institution privée ou publique fait défaut de sécuriser les informations de ses consommateurs, clients ou citoyens – ou lorsqu’elle transmet ces informations à des tiers, que ce soit intentionnellement ou par erreur – elle pourrait se voir poursuivre en justice.

Si ces informations sont celles de plusieurs personnes, l’action collective s’avère souvent le véhicule procédural de choix afin d’obtenir un dédommagement pour le compte de chaque prétendue victime.

L’action collective au Québec « vise à faciliter l’accès à la justice aux citoyens qui partagent des problèmes communs et qui, en l’absence de ce mécanisme, seraient peu incités à s’adresser individuellement aux tribunaux pour faire valoir leurs droits ... ou n’auraient pas les moyens financiers pour le faire »1.

Les demandeurs du Québec n’ont pas un lourd fardeau à l’étape de l’autorisation. Comme la Cour suprême du Canada l’indique dans Infineon Technologies AG c. Option consommateurs2, les demandeurs doivent faire la démonstration qu’ils ont une « cause défendable » à la lumière des faits allégués et du droit applicable.

L’étendue du droit à la vie privée

Le droit à la vie privée est explicitement reconnu à l’article 5 de la Charte des droits et libertés de la personne (« Charte québécoise »)3. Le Code civil du Québec (« C.c.Q. ») le prévoit également à son article 34. Les droits à la réputation et à la vie privée sont décrits plus en détail aux articles 35 à 41 du C.c.Q.

Des obligations de confidentialité supplémentaires sont énoncées dans la Loi sur la protection des renseignements personnels dans le secteur privé (la « L.p.r. »)5. En vertu de l’article 10 de la L.p.r., « toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits »6.

L’article 63.1 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels est sensiblement au même effet.7

Bien que ces lois ne prévoient pas de droit d’action personnel pour obtenir des dommages-intérêts lors d’un manquement statutaire, un tel manquement pourrait être invoqué dans le cadre d’une demande extracontractuelle intentée dans le cadre du régime général de responsabilité civile énoncé à l’article 1457 du C.c.Q.

Les 7 principes propres aux actions collectives en matière de vie privée
  • Les tribunaux québécois se sont déjà prononcés sur des demandes d’autorisation, desquelles se dégagent certains principes importants8.
  • Le fait qu’un organisme ou une société ait envoyé un avis à ses clients concernant une violation de la vie privée peut être invoqué par un demandeur pour démontrer une apparence de faute. Dans l’affaire Larose c. Banque Nationale du Canada, par exemple, trois ordinateurs portables ont été volés au siège social montréalais de la Banque Nationale du Canada. Peu de temps après, la banque a publié un communiqué de presse, suivi d’une lettre adressée aux clients concernés, les informant du vol et leur conseillant de rester vigilants. La Cour supérieure a noté que, bien que la lettre de l’intimé ne constitue pas nécessairement une admission légale, l’action collective proposée avait néanmoins une apparence sérieuse de droit qui méritait une analyse plus approfondie9.
  • Toutefois, le fait de ne pas informer ses consommateurs ou clients d’une atteinte à leurs renseignements personnels pourrait également justifier l’autorisation d’une action collective, surtout si le demandeur est en mesure de démontrer que ce manquement a eu comme effet d’accroître les dommages subis ou d’encourir des dommages additionnels.
  • Les allégations selon lesquelles des informations personnelles ont été inutilement mises à risque peuvent également être suffisantes pour démontrer une apparence de faute. Dans les affaires Mazzonna c. DaimlerChrysler Financial Services Canada Inc.et Belley c. TD Auto Finance Services Inc./ Services de financement auto TD inc., qui étaient fondées sur le même incident, la Cour supérieure a constaté que les demandeurs avaient établi une apparence de faute en démontrant que les intimés ne se sont pas acquittés de leurs obligations de stocker et transférer les renseignements personnels de façon sécuritaire10.
  • Le fait de ne pas répondre à ses propres exigences de sécurité interne peut également être invoqué pour démontrer une apparence de faute. Dans l’affaire Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), l’intimé a admis dans un avis envoyé aux personnes concernées que l’ordinateur portable perdu et contenant des informations personnelles sur environ 50 000 clients de maisons de courtage n’était sécurisé que par un seul niveau de protection alors que les politiques internes de l’organisme prescrivaient deux niveaux de protection. Bien qu’elle n’ait pas commenté ce fait, la Cour supérieure a néanmoins constaté que le fardeau peu élevé de démonstration d’une apparence de faute avait été rencontré en l’espèce11.
  • Sans qu’elles ne soient essentielles, des allégations de vol d’identité et/ou de fraude résultant de la perte d’informations personnelles sont souvent cruciales pour démontrer l’existence d’un préjudice indemnisable. Par exemple, dans l’affaire Larose, il a été allégué que l’identité du demandeur avait été utilisée par un tiers non autorisé afin d’obtenir un prêt et des cartes de crédit. De même, dans l’affaire Belley, le demandeur alléguait avoir été victime d’un vol d’identité et que quatre véhicules avaient été achetés par un fraudeur en utilisant un « spécimen de chèque » tiré de son compte bancaire qui avait été remis au concessionnaire Chrysler. Dans les deux cas, la Cour supérieure a constaté que le demandeur avait démontré avec succès une apparence de préjudice12.
  • Des allégations de dommages moraux, en l’absence d’allégations de vol ou de fraude d’identité, peuvent démontrer un tel préjudice. Cependant, il est impératif que les allégations soient suffisamment détaillées.
  • Dans l’affaire Bourbonnière c. Yahoo! Inc., la Cour supérieure a refusé d’autoriser une action collective déposée pour le compte d’un groupe de personnes, d’entreprises et d’organismes dont les renseignements personnels et financiers auraient été volés lors d’une cyberattaque contre l’intimée en date du 1er janvier 201313. Entre autres, la Cour a observé que la demanderesse n’était pas en mesure de démontrer que son préjudice moral (i.e. son embarras face à des pourriels envoyés à certaines de ses amies à partir de son compte de messagerie) était indemnisable.
  • De simples affirmations concernant un préjudice potentiel ne seront pas suffisantes pour justifier l’autorisation d’une action collective. Dans l’affaire Mazzonna, la Cour supérieure a souligné que les allégations de préjudice potentiel de la demanderesse ne devaient pas être prises en compte lors de l’évaluation de l’existence prima facie d’un dommage à l’étape de l’autorisation14.
  • La période qui s’écoule entre la perte d’informations personnelles et le vol d’identité et/ou la fraude peut être considérée lors de l’évaluation du lien de causalité. Dans l’affaire Belley, bien que certains faits indiquaient l’existence d’une cause autre que la perte de données susceptible d’expliquer le vol d’identité en question, la Cour supérieure a néanmoins décidé que le très court laps de temps entre la perte des données et les effets du vol d’identité était suffisant pour établir une cause défendable à l’étape de l’autorisation.15

Afin d’éviter ou de minimiser les conséquences juridiques, médiatiques et financières d’une action collective en matière de vie privée, il est essentiel de prendre des mesures proactives quant à la collecte, la transmission et la sécurisation des données sensibles.

Me Shaun E. Finn est coresponsable du groupe Défense d’actions collectives de BCF et un avocat du service montréalais du litige. Sa pratique comprend des dossiers complexes en litige commercial et en actions collectives.Barreau 2004, il a complété son baccalauréat à l’Université McGill.

Danielle Olofsson occupe le poste de chef de la protection de la vie privée et du savoir au sein de BCF.


1 Dell Computer Corp. c. Union des consommateurs, 2007 2 R.C.S. 801 au para. 106 (C.S.C.), Deschamps J. (pour la majorité), citant Bisaillon c. Université Concordia, 2006 1 R.C.S. 666 au para. 16 (C.S.C.).
2 2013 3 R.C.S. 600 (C.S.C.), per LeBel et Wagner JJ.
3 RLRQ c. C-12.
4 C.c.Q., art. 3 Nos italiques.
5 RLRQ., c. P-39.1.
6 L.s.p., art. 10 Nos italiques.
7 RLRQ, c A-2.
8 Larose c. Banque Nationale du Canada, 2010 QCCS 5385 (Que. S.C.), per Beaugé J.C.S. (autorisation accordée); Mazzonna v. DaimlerChrysler Financial Services Canada Inc., 2012 QCCS 958 (Que. S.C.), per Lacoursière J.S.C. (autorisation rejetée); Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061 (Que. S.C.), per Prévost J.C.S. (autorisation rejetée), 2015 QCCA 1820 (Que. C.A.), per Bich, Savard and Schrager J.C.A. (révocation de l'autorisation confirmée par la Cour d'appel); Belley v. TD Auto Finance Services Inc./ Services de financement auto TD inc., 2015 QCCS 168 (Que. S.C.), per Lacoursière J.S.C. (autorisation accordée), autorisation d’appel refusée, 2015 QCCA 1255 (Que. C.A.).
9 2010 QCCS 5385 au para. 26 (Que. S.C.), per Beaugé J.C.S. ci-après “Larose”.
10 2012 QCCS 958 aux paras. 24-30 (Que. S.C.), per Lacoursière J.S.C. ci-après “Mazzonna”; 2015 Q.J. No. 331, 2015 QCCS 168 aux paras. 54-55 (Que. S.C.), per Lacoursière J.S.C., autorisation d’appel refusée, 2015 QCCA 1255 (Que. C.A.) ci-après “Belley”.
11 2014 QCCS 4061 au para. 34 (Que. S.C.), per Prévost, J.C.S. ci-après “Sofio CS”.
12 Larose au para. 26; Belley au para. 66.
13 2019 QCCS 2624, per Tremblay J.S.C. ci-après “Yahoo!”.
14 Mazzonna au para. 66.
15 Belley au para. 61.