Les actions collectives à la suite d'un bris de sécurité visant des renseignements personnels gagnent en popularité au Canada. À preuve, plus de trente actions du genre sont en cours au pays. Bien qu'aucune n'ait encore été entendue sur le fond, certaines sont en voie d'être certifiées ou autorisées. Au Québec, au moins sept actions collectives pour atteinte à la vie privée ou un bris de sécurité visant des renseignements personnels sont actuellement devant les tribunaux.
La Cour supérieure du Québec a récemment statué sur une requête pour autorisation d'une action collective pour atteinte à la vie privée, dans l'affaire Zuckerman c. Target Corporation1. Dans cette affaire, le demandeur réclame des dommages-intérêts par suite d'un bris de sécurité visant des renseignements rattachés à 40 millions de cartes de crédit et de débit, selon les estimations, de même que de renseignements personnels concernant jusqu'à 70 millions de clients.
La nature de l'atteinte
La requête a été déposée après que la défenderesse Target eut publiquement reconnu à la fin de 2013 que des pirates informatiques avaient accédé illégalement aux « données de cartes de paiement » (notamment les noms, numéros de carte, dates d'expiration et codes de sécurité) de ses magasins aux États-Unis. Target a reconnu plus tard que les pirates avaient extrait les données cryptées des NIP de son système (tout en affirmant que les NIP étaient protégés) et que les noms, adresses, numéros de téléphone et adresses de courriel des clients avaient également été volés.
Target avait offert à titre gracieux une surveillance du crédit pendant un an à tous ses clients (clients canadiens compris) qui faisaient leurs emplettes dans ses magasins aux États-Unis. Plus de quatre-vingt actions collectives y ont été intentées; elles ont été ultérieurement regroupées en une seule instance. Au Canada, seule l'action collective Zuckerman a été intentée.
Questions de compétence
Une fois réglée la question de compétence, Target a fait valoir la théorie du forum non conveniens et prétendu que son domicile, ses témoins et ses éléments de preuve étaient tous au Minnesota. La Cour supérieure a estimé que le demandeur, de son point de vue, pouvait opposer le même argument par rapport au Québec. En fin de compte, elle a décidé de ne pas obliger un résident du Québec qui avait subi un préjudice occasionné par la faute d'une grande société américaine à intenter des poursuites en dommages-intérêts contre celle-ci au Minnesota2. La Cour a également limité aux seuls résidents du Québec l'action collective proposée, compte tenu des faits particuliers de l'affaire.
Dommages-intérêts réclamés
Au nom du groupe proposé, le demandeur a réclamé des dommages-intérêts en réparation de la crainte, de la confusion et de la perte de temps (notamment pour suivre de près les comptes) occasionnées par le piratage; des frais ou charges engagés au titre des services de surveillance du crédit (M. Zuckerman a dû verser 19,95 $ pour ceux-ci avant que Target n'offre de les fournir gratuitement); de l'omission de Target d'informer certains membres de l'action collective qu'il y avait eu piratage; et de la fraude ou du vol d'identité possible. Le demandeur a également réclamé des dommages-intérêts punitifs au motif qu'il y avait eu atteinte intentionnelle à la protection des renseignements personnels des membres.
Pour contester l'apparence de droit du demandeur, Target a argué que les inconvénients allégués ne constituaient pas des dommages indemnisables; que les frais engagés par le demandeur pour les services de surveillance du crédit n'étaient pas une conséquence directe de la faute alléguée (surtout à la lumière de l'offre de Target de payer le coût de cette surveillance); que le demandeur n'était pas lui-même la victime d'un vol d'identité ou de fraude, ni une personne à qui on n'avait pas signalé la fuite d'information; et qu'il n'y avait tout simplement pas apparence de droit à des dommages-intérêts punitifs.
La question de savoir quels types de dommages sont indemnisables à la suite d'un bris de sécurité visant des renseignements personnels a fait l'objet de débats. Dans Zuckerman, la Cour a reconnu que les actions de ce type au Québec pourraient être quelque peu imprévisibles pour ce qui est de savoir si les inconvénients, le stress et l'anxiété peuvent justifier l'octroi de dommages-intérêts. La Cour a noté les motifs de la Cour suprême dans Mustapha c. Culligan du Canada Ltée3 selon lesquels il faut distinguer les « troubles psychologiques » d'une « simple contrariété ». Elle a aussi fait référence à deux actions collectives intentées au Québec, soit Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières4 et Mazzonna c. Services financiers DaimlerChrysler inc.5, dans lesquelles la Cour d'appel et la Cour supérieure ont respectivement conclu que le fait d'avoir à faire des vérifications financières normales ou de routine, et de souffrir d'un certain stress, ne peut justifier une réclamation en dommages-intérêts.
Par ailleurs, la Cour a également noté les motifs dans Sofio et dans une autre affaire récente, Belley c. Services de financement auto TD inc.6, selon lesquels les allégations de vol d'identité ne sont pas une condition d'autorisation nécessaire dans les actions collectives intentées par suite de bris de sécurité visant des renseignements personnels.
La Cour a estimé que, bien que la surveillance des comptes et des relevés de carte de crédit soit une activité normale et non un inconvénient pouvant donner droit à des dommages-intérêts, la mise en place d'un système de surveillance des cartes de crédit et d'alertes de sécurité, l'obtention de rapports de crédit et l'annulation ou le remplacement de cartes ainsi que la fermeture de comptes sont des activités pouvant potentiellement donner droit à des dommages-intérêts7.
Préjudice subi par d'autres membres de l'action collective
La Cour a autorisé des questions communes portant sur la fraude et le vol d'identité, et sur la prétendue omission de signaler l'acte de piratage aux membres du groupe, même si le demandeur n'a pas prétendu avoir subi ces préjudices personnellement. Ce faisant, la Cour a fait référence à la décision de la Cour suprême dans Banque de Montréal c. Marcotte8. Compte tenu des différences factuelles importantes entre Marcotte et Zuckerman, de la portée limitée des motifs de la Cour suprême, ainsi que des répercussions possibles de la décision Zuckerman sur les droits déjà restreints de la défenderesse à l'étape de l'autorisation, on peut s'interroger sur la pertinence de se référer à l'arrêt Marcotte dans ce contexte.
Ceci étant dit, la décision Zuckerman est intéressante du fait qu'elle témoigne de la volonté apparente des tribunaux d'autoriser des actions collectives à la suite de bris de sécurité visant des renseignements personnels tout en tenant compte de la fraude ou du vol d'identité possible, ainsi que des omissions d'aviser les clients affectés.
Enseignements pour les entreprises
Pour les entreprises, cette affaire est une mine d'enseignements sur la façon de gérer les bris de sécurité visant des renseignements personnels. Il est intéressant de noter que la Cour a autorisé une question commune à propos de l'omission présumée de Target pour ce qui était d'aviser les clients affectés. Bien que l'obligation de notifier les personnes affectées par un bris de sécurité ne soit pas encore obligatoire dans la plupart des provinces canadiennes (elle ne l'est qu'en Alberta), les organisations pourraient décider d'aviser quand même les personnes affectées, surtout si l'absence d'avis donne aux clients la possibilité de faire valoir que le préjudice subi a été amplifié du fait qu'ils n'ont pas été avisés en temps utile.
Qui plus est, étant donné que l'une des questions communes autorisées à l'encontre de Target a trait au coût des services de surveillance du crédit, les organisations qui gèrent des incidents de sécurité mettant en jeu des renseignements personnels peuvent envisager d'assumer le coût de ces services (lorsqu'ils sont justifiés). On pourra alors voir dans cette prise en charge un facteur d'atténuation au moment d'évaluer le préjudice subi par les clients.
La décision Zuckerman pourra également tenir lieu d'avertissement quant à l'étendue des conséquences possibles d'un bris de sécurité touchant des renseignements personnels, la Cour ayant autorisé une question commune portant sur les dommages punitifs. Les entreprises pourraient donc souhaiter investir dans des mesures préventives et s'assurer qu'elles ont mis en place des dispositifs de sécurité adéquats, de même qu'une structure de gouvernance pertinente pour la protection des renseignements personnels. Il sera de plus en plus important de prendre de telles mesures lorsque les nouvelles exigences obligeant les entreprises à aviser en temps utile les clients affectés par un bris de sécurité et à tenir un registre des bris survenus prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques entreront en vigueur. Selon ces exigences, l'organisation qui omet sciemment de signaler un bris de sécurité pourrait commettre une infraction criminelle et devoir payer une amende importante.
Enfin, la décision Zuckerman peut également servir de mise en garde et indiquer aux entreprises qu'en raison de leurs actions dans un territoire donné (en l'instance, les États-Unis), elles peuvent voir leur responsabilité engagée dans un autre territoire (par exemple, le Québec) lorsque leur clientèle s'étend au-delà des frontières d'une province, d'un État ou d'un pays.
1 2017 QCCS 110.
2Ibid. par. 40.
3 2008 CSC 27.
4 2015 QCCA 1820.
5 2012 QCCS 958.
6 2015 QCCS 168.
7 Voir note 1 ci-dessus, par. 73.
8 2014 CSC 55.