Les actions collectives en protection des données personnelles, en pleine expansion

À l’heure où le Québec est en train de réformer sa Loi sur la protection des renseignements personnels dans le secteur privé, deux avocats publient un ouvrage sur la question des actions collectives qui concernent spécifiquement ce domaine, un recours de plus en plus fréquent.

Shaun E. Finn est associé chez BCF, coresponsable du groupe Défense d’actions collectives. Danielle Miller Olofsson vient de son côté de quitter BCF, il y a quelques semaines, pour Hydro-Québec, où elle est maintenant Chef, accès à l’information et vie privée. Ensemble, les deux amis de longue date, qui ont étudié ensemble, ont écrit ''Privacy and Data-Protection Class Actions in Canada: A Practical Handbook'', un ouvrage paru chez Thomson Reuters.

Droit-inc s’est entretenu avec les deux auteurs sur cette question d’actualité.

Droit-inc : Comment est né ce projet?

Danielle Miller Olofsson : En fait, Shaun et moi on enseigne. J'enseigne à l'Université de Montréal, en protection des données, et Shaun enseigne en actions collectives à McGill.

Je demande souvent à Shaun de venir donner un cours, et un matin, on faisait un ''debrief''... Et on s'est dit : ce serait une bonne idée de faire un livre sur les recours collectifs en protection des données et vie privée.

Shaun E. Finn : On a constaté que la vie privée a toujours été une valeur importante, mais c'est quand même devenu quelque chose d'extrêmement médiatisé. Il y a eu beaucoup d'événements qui ont vraiment fait la une, comme l'affaire Ashley Maddison, entre autres…

De plus en plus, compte tenu de la prolifération des données et le fait que tout soit devenu informatique, les données personnelles sont beaucoup plus vulnérables que par le passé. Et donc, on s’est dit que ce serait pertinent d'écrire sur ce sujet, qui va devenir de plus en plus important, semble-t-il.

C'est quelque chose qui invite en quelque sorte les actions collectives, parce qu'un bris peut impliquer les données de plusieurs personnes différentes. La conjoncture entre les deux nous semblait assez claire.

Et est-ce que vous constatez de plus en plus de recours collectifs à ce sujet?

DMO : Oui. À la fois dans les secteurs privé et public. Et encore plus dans le secteur public, j’imagine, avec les événements entourant la COVID... C'est malheureux, mais c'est comme ça.

SEF : Il y a 10 ou 15 ans, il n'y avait presque aucune action collective intentée en matière de vie privée. Tandis que maintenant, c'est devenu quelque chose de beaucoup plus fréquent, partout à travers le monde.

DMO : Et une conscientisation, je dirais, de la part du public, de la valeur de leurs données. Il y a maintenant le film ''Social Dilemma'', sur Netflix, et on voit comment des idées qui étaient à la base très bonnes sont parties un peu en dérive et du coup, le consommateur est maintenant devenu victime d'un espèce de Frankenstein, que personne ne contrôle…

Les Européens, avec leur règlement, ont donné un peu de pouvoir aux individus, qui peuvent dénoncer des abus en justice... Le Québec est en train de suivre également, avec son projet de loi 64, qui est très inspiré de la loi européenne. Et on va espérer que la loi fédérale fera la même chose.

Parce qu’au fédéral, il n'y a rien de concret qui a été déposé...

DMO : Je pense qu'ils ont d'autres enjeux actuellement. Et je pense que la pandémie actuelle n'a pas aidé les choses.

Je trouve ça très alarmant que le gouvernement fédéral ne se soit pas penché de façon plus sérieuse sur cette question.

Parce que quand la loi fédérale a été promulguée, il y a 20 ans, il n'y avait pas la technologie qu'il y a actuellement, ni la capacité d'abuser qu'il y a actuellement, si les activités ne sont pas bien encadrées par la loi. Donc il est temps qu'on voie ces modifications.

Et qu'est-ce que c'est, votre ouvrage? Ça s'adresse aux juristes?

DMO : Ça s'adresse particulièrement aux juristes, aux avocats d'entreprises, également. Au départ, c’était comme une feuille de route pour aider à la fois les entreprises qui sont prises dans des situations de recours collectifs, mais également pour les aider à mettre en place les structures, les politiques et les habitudes de travail pour qu'ils n’en soient pas victimes.

On voulait faire une comparaison entre le common law et le droit civil au Québec. Et c'est là, pour moi, où c'est devenu très important et très intéressant, surtout au niveau des recours collectifs, et des seuils... D'un point de vue juridique, c'est très important.

SEF : C'est à la fois un guide – oui, il y a quand même un contenu théorique important, historique, contextuel, qui est nécessaire, nous semble-t-il. Mais également, ça se veut un ouvrage pratico-pratique, ce n'est pas une brique…

Ça contient plusieurs tableaux, et l'idée, c'est de donner des ressources et des outils, principalement aux conseillers juridiques internes, en entreprise, mais aussi au sein de différentes institutions publiques, ainsi qu'à des praticiens qui souvent, ne sont pas nécessairement spécialistes en la matière.

Je pense qu'un des défis, comme l'a mentionné Danielle, c'est le fait qu'au Canada, comme dans d'autres domaines, c'est vraiment une confédération, parce qu'on se retrouve avec des régimes statutaires différents dans les différentes provinces, ainsi qu'une certaine compétence fédérale par rapport à certaines matières.

Et donc, forcément, une jurisprudence unique, dans ces différentes provinces, ce qui rend la chose assez compliquée.

Alors, ce qu'on voulait faire, c'était de recueillir dans un seul ouvrage relativement simple des informations essentielles sur tous les régimes canadiens pertinents.

C'est un sujet d'actualité, mais aussi en pleine évolution, à la fois d'un point de vue sociétal, législatif et jurisprudentiel.

C'est comme la rivière d'Héraclite, le philosophe grec, qui disait : « on ne se baigne jamais dans la même rivière » (rires) ! C'est un peu ça, les actions collectives en matière de vie privée : c'est très fluide, et ça change de jour en jour.

Vous faites un résumé de la jurisprudence dans ce domaine, dans le livre... Pouvez-vous nous parler de quelques dossiers particulièrement importants?

SEF : Jusqu'à date, il y a différents dossiers, mais qui ne se sont pas encore rendus, jusqu'au fond, jusqu'au mérite. On est vraiment à l'étape de l'autorisation, dans presque tous les cas.

Il y a deux décisions récentes qui méritent un peu d'attention : Li contre Equifax, et Lévy contre Nissan. On parle de ces causes dans le bouquin.

Un des points importants qui ressort de cette jurisprudence, c'est que même si on est en mesure de démontrer l'existence d'une faute, qui donne potentiellement ouverture à des dommages, encore faut-il démontrer l'existence d'un préjudice indemnisable. Un désagrément mineur, les aléas de la vie moderne, ça ne donne pas ouverture nécessairement à des dommages.

On peut dire : « c'était vraiment frustrant parce que ça m'a mis dans l'embarras pendant cinq minutes », mais ce n'est pas vraiment un préjudice indemnisable. Ça prend quelque chose de plus.

Donc il faudrait qu'une personne ait vraiment été victime d'une fraude, par exemple...

DMO : Ou de vol d'identité, oui, quelque chose comme ça.

SEF : Un des principes sur lequel on insiste dans l'ouvrage, c'est que c'est toujours bien de monter une contestation robuste, si vous vous retrouvez en défense, et voici comment vous pourriez vous organiser en conséquence, les arguments que vous pourriez invoquer...

Mais beaucoup plus important que la réaction, c'est d'agir de façon proactive, afin d'adopter et de mettre en oeuvre des politiques et de meilleures pratiques qui évitent ce genre de recours et qui protègent autant que possible de façon responsable les données de ses clients, ses consommateurs, ses étudiants, ses employés...

Pouvez-vous nous donner des exemples de bonnes pratiques, en amont, justement?

DMO : Il y a des mesures qui sont vraiment très simples : sensibiliser vos employés au fait que les données personnelles doivent être traitées d'une façon sûre, et de les sensibiliser au fait qu'un renseignement personnel est tout renseignement qui permet l'identification d'un individu... Donc votre numéro de téléphone est un renseignement personnel, peu importe s'il se trouve dans un bottin téléphonique.

Toute entreprise devrait se doter d'une politique de protection des données, que ce soit des données de leurs employés ou de leurs clients. Soyez conscients, ouverts, transparents. Allez chercher le consentement de la personne concernée quand vous allez recueillir ou communiquer ses renseignements.

Je dirais aussi qu'un bris de données, c'est presque inévitable que ça va arriver. Mais ce qu'on peut faire pour bien s'en sortir, c'est de mettre en place en amont les bonnes procédures, les bonnes techniques, pour que quand cet événement malheureux arrive, on peut dire à la personne concernée : « écoutez, c'était vraiment de la malchance, on est désolés, on va vous aider ».

N'essayez pas de cacher un incident de sécurité, parce que ça, ça ne fonctionne jamais, et ça énerve les juges et la cour. Il faut absolument avoir une attitude de coopération, d'ouverture et de bonne foi.

Et justement, ce n'est pas exactement ce qu'on a vu dans les cas médiatisés des dernières années... On a souvent essayé de cacher ce qui était arrivé...

DMO : Et c'est pour ça que c'en est arrivé à ce point-là. Parce que pour tous ces bris-là, qui ont été mal gérés, il y en a énormément qui ont été très bien gérés. Or, puisque ç'a été bien géré, évidemment, il n'y avait aucune raison de la part des médias d'aller fouiller...

Mais oui, il y a eu énormément de bris. Et c'est la raison pour laquelle le gouvernement fédéral et le gouvernement albertain et le projet de loi 64 au Québec, ont rendu obligatoire une divulgation, quand il y a un incident grave qui pourrait porter atteinte à une personne.

Parce qu'il y avait des sociétés qui avaient des incidents régulièrement et qui ne divulguaient rien, donc, on pensait qu'ils avaient un système très sécure... et il y en avait d'autres qui avaient un incident, ils le divulguaient, et ''clac'', ils voyaient leur courbe baisser en bourse, parce qu'ils avaient été honnêtes et transparents.

Donc ce que le législateur a fait, et c'est très bien, c’est rendre le tout équitable : il y aura l'obligation de la part de tout le monde de divulguer, quand il y a un bris.

Et lorsque l’entreprise est la cible d’une action collective, quelle genre de défense doit-on entreprendre?

SEF : Les intrusions et les vols de données, c'est un phénomène qui deviendra de plus en plus commun et important au cours des prochaines années. Parce que les données ont, de nos jours, une énorme valeur, pour toutes sortes de raisons.

Le simple fait qu'il y a eu un vol d'identité ou une intrusion dans un système n'équivaut pas à une faute, forcément. Je pense qu'un moyen de contestation serait de dire : « écoutez, oui, c'est vrai, il y a eu une intrusion, mais on a fait tout notre possible, tout ce qui était raisonnablement possible pour bien protéger les données en question ».

D’un point de vue à la fois technologique et humain, non seulement de mettre en place la bonne technologie, mais aussi toutes les politiques et les pratiques nécessaires pour s'assurer que ces données soient protégées autant que possible, le fait de bien communiquer, si nécessaire, dépendant de la loi applicable, avec les personnes qui sont touchées, les instances gouvernementales, les instances législatives, la police, si nécessaire…

Ensuite, ce serait de dire que peut-être les préjudices dont la personne représentante du groupe se plaint... ne sont pas un préjudice indemnisable.

C'est un sujet qui nous fascine et nous passionne, et je pense que c'est probablement un sujet sur lequel on va encore écrire, dans le futur, puisque ça évolue aussi rapidement!

DMO : ''Stay tuned'' (rires)!