Les médias rapportent de plus en plus souvent des incidents en matière de sécurité impliquant des renseignements personnels de consommateurs. Ces derniers se trouvent alors inquiets d’être la cible de fraude ou de vol d’identité et les entreprises qui ont subi de tels incidents font souvent l’objet d’actions collectives, avec plus de 80 actions collectives en atteinte à la vie privée en cours à travers le pays. La Cour supérieure du Québec vient récemment de réitérer que, même au stade de l’autorisation d’une action collective, la partie requérante doit faire la preuve prima facie de l’existence d’un préjudice compensable. Cette décision confirme le principe établit par la Cour d’appel dans Sofio c. OCRCVM2 selon lequel il n’est pas suffisant pour obtenir une compensation, de uniquement démontrer la faute d’une compagnie faisant l’objet d’une perte ou vol de renseignements personnels. L’existence d’un préjudice tangible et susceptible de compensation monétaire (une fraude financière ou un vol d’identité par exemple) doit être démontrée, afin qu’une action collective soit autorisée. Les simples inconvénients ordinaires et passagers, une certaine détresse psychologique ou encore un embarras ne constituent pas des dommages pouvant être indemnisés. Dans un contexte où la plupart des individus affectés suite à un incident de sécurité ne subiront pas nécessairement de préjudice tangible (surtout compte tenu du fait que de plus en plus d’entreprises offrent des services de surveillance de crédit suite à la survenance de tels bris) cette décision est importante et vient faire le point sur le types d’actions collectives devant être refusées au stade de l’autorisation dans ce genre de contexte.
Sommaire des faits
En 2016, Yahoo! informe ses membres qu’un vol de renseignements personnels touchant plus de 500 millions des membres de Yahoo!. La requérante sollicite l’autorisation d’une action collective puisqu’elle allègue avoir subi une détresse psychologique et diverses pertes associées à la potentielle intrusion de ses renseignements personnels, ainsi que pour l’embarras lié à l’envoi de pourriels à ses connaissances en son nom. L’action collective envisagée est au nom de toutes les personnes au Québec (1) qui ont pu voir leurs renseignements personnels et/ou financiers volés en raison d’une cyberattaque subie par Yahoo! depuis 2013 (2) ou qui ont dû débourser certaines sommes pour protéger leur identité suite à la brèche.
Analyse
L’honorable Tremblay redéfinit d’emblée la description du groupe pour y inclure uniquement les personnes ayant été l’objet de la perte et/ou du vol de renseignements de Yahoo! Inc. ou Yahoo! Canada Co, entre 2013 et 2019.
La Cour analyse ensuite le deuxième critère de l’art. 575 du Code de procédure civile3, soit l’exigence selon laquelle les faits allégués doivent paraître justifier les conclusions recherchées. Le Tribunal constate que la seule faute reprochée contre Yahoo! est son comportement négligent dans la protection des renseignements personnels et financiers de ses membres. Quant à la faute alléguée, le Tribunal endosse les propos de la Cour d’appel dans Sofio selon lesquels la démonstration d’une faute ne présuppose pas l’existence d’un préjudice. Ainsi, malgré la brèche de sécurité, la requérante n’est pas dispensée de démontrer qu’il en résulte un préjudice compensable, démonstration qu’elle échoue en l’espèce.
Plus particulièrement quant aux préjudices allégués, la Cour conclut qu’ils consistent pour la requérante à (1) changer son mot de passe Yahoo!; (2) la gêne d’avoir dû expliquer à ses connaissances que les pourriels envoyés depuis son compte Yahoo! étaient le résultat d’une brèche de sécurité. S’appuyant sur l’arrêt Mustapha c. Culligan du Canada Ltée4, la juge Tremblay conclut que les préjudices allégués constituent de simples inconvénients ordinaires et passagers, ne constituant pas des dommages pouvant être indemnisés. Tout comme dans Sofio, où le requérant alléguait avoir dû surveiller ses comptes bancaires et cartes de crédit, ainsi que son courrier, afin de s’assurer de l’absence de toute irrégularité, la Cour considère que ces gestes s’apparentent à ceux qui font généralement partie de la vie en société au XXIe siècle.
Commentaire
Bourbonnière c. Yahoo! Inc. confirme le principe bien établit que la faute d’avoir perdu ou failli à protéger les renseignements personnels de ses clients ne cause pas ipso facto un préjudice. Un requérant doit donc, afin d’obtenir avec succès l’autorisation d’exercer une action collective, démontrer prima facie l’existence d’un réel préjudice, soit un préjudice « grave et de longue durée et [n’étant pas] simplement des désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement subir, fût-ce à contrecœur »5 afin d’être susceptible d’être indemnisé ou d'obtenir des dommages punitifs. En somme, être l’objet d’un vol ou d’une perte d’information, c’est ennuyeux, mais insuffisant en soi pour représenter un préjudice compensable.
2 2015 QCCA 1280.
3 RLRQ c. C-25.01.
4 2008 2 RCS 114.
5 Id, par. 9.