Les désagréments et angoisses à la suite d’un vol de vos données personnelles : des inconvénients normaux de la vie en société

Publication octobre 2019

Nombreux sont ceux qui, à un moment ou à un autre de leur vie, ont dû subir les inconvénients liés à la perte d’un portefeuille et le stress associé à l’accès potentiel aux renseignements qu’il contenait par des personnes non autorisées. Les désagréments et l’anxiété causés par le remplacement de pièces d’identité et de cartes bancaires ne leur sont pas étrangers.

Mais qu’en est-il lorsque ces données personnelles et confidentielles ont été communiquées à des tierces parties par suite d’une attaque informatique? L’organisation victime de l’attaque peut-elle être tenue responsable pour les seuls inconvénients relatifs à l’annulation de cartes de crédit et le stress psychologique causé par le fait de savoir ses renseignements personnels entre les mains de tiers mal intentionnés?

Dans une décision importante rendue par la Cour supérieure du Québec dans l’affaire Equifax1, le tribunal a décidé que ces simples inconvénients font partie des contrariétés, craintes et angoisses que toute personne vivant en société se doit d’accepter.

Les faits

Entre mai et juillet 2017, des pirates informatiques ont lancé une cyberattaque sur les bases de données d’Equifax, par suite de laquelle ils ont réussi à obtenir les renseignements personnels et les données de crédit qu’Equifax avait recueillis auprès de ses clients et entreposés de façon électronique.

Après qu’Equifax avait informé ses clients de l’attaque, une enquête avait été instituée par le Commissariat à la protection de la vie privée du Canada, lequel avait conclu qu’Equifax devait mettre en place des mesures de sécurité acrues pour protéger les renseignements personnels qu’elle avait en sa possession.

M. Daniel Li, un des clients d’Equifax dont les données personnelles avaient été subtilisées par des pirates informatiques, s’est tourné vers les tribunaux pour obtenir l’autorisation d’exercer une action collective contre Equifax au nom de tous les Québécois et Québécoises dont les renseignements personnels avaient été dérobés et qui étaient à risque de vol d’identité et de préjudice au crédit. M. Li tentait d’obtenir des dommages compensatoires pour les troubles associés à l’annulation des cartes de crédit et à l’organisation de services de surveillance du crédit, ainsi que pour détresse psychologique liée à la crainte d’être victime de fraude à l’avenir.

L’opinion de la Cour

La Cour rejette la demande de M. Li et refuse d’accorder l’autorisation d’exercer l’action collective. La Cour en vient à la conclusion que bien qu’Equifax n’ait pas protégé les renseignements personnels et confidentiels de ses clients adéquatement, le demandeur n’a pas droit aux dommages réclamés.

Pour la Cour, en l’absence de preuve que les données personnelles ont bel et bien été utilisées par les fraudeurs et qu’il y a eu véritable vol d’identité, et vu que M. Li n’a engagé aucuns frais pour remplacer les cartes bancaires et se prévaloir de services de surveillance du crédit, ce dernier n’a pas subi de dommages et n’a donc pas droit aux compensations réclamées.

À cet égard, la Cour déclare que :

« […] le risque de développer un préjudice futur, comme une maladie ou une infection n’est pas un dommage qui peut être compensé en droit québécois. Il s’agit d’un dommage incertain et hypothétique. […] Un risque n’est pas un préjudice certain »2.

Quant à la détresse psychologique alléguée par M. Li, la Cour conclut que le simple fait de prétendre avoir subi des désagréments et du stress n’est pas suffisant pour être indemnisé. Non seulement faut-il plus que de simples allégations, mais les dommages allégués sont, au plus, des « désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût-ce à contrecœur »3

Les conséquences pratiques

Ce jugement s’inscrit à l’inverse d’une tendance en matière d’actions collectives, qui consiste, pour les membres d’un groupe, à utiliser le véhicule de l’action collective afin d’être indemnisés pour les désagréments, la contrariété et l’angoisse que leur aurait causés la conduite du défendeur4. Ce type de réclamation s’avère utile, notamment lorsque les membres du groupe n’ont subi aucun préjudice pécuniaire réel ou que ce dernier est négligeable. Toutefois, permettre à des recours d’aller de l’avant afin de compenser seulement des désagréments, de la contrariété et de l’angoisse peut avoir un effet dissuasif eu égard à la divulgation des brèches, vu la possibilité de s’exposer à des poursuites judiciaires même en l’absence de dommages pécuniaires pour les personnes touchées5.

Cette décision constitue un développement positif pour toute organisation qui, face à une fraude informatique ou à une cyberattaque, assume ses obligations notamment en avisant les personnes touchées, sans nécessairement avoir à craindre des poursuites juridiques dans la mesure où les dommages pécuniaires ou des troubles et inconvénients significatifs ne sont pas subis par ceux-ci. Ces organisations pourront désormais s’acquitter de leurs obligations en sachant que la simple crainte que les renseignements personnels communiqués soient utilisés et l’angoisse afférente ne suffisent pas nécessairement à entraîner l’autorisation d’une action collective, ni une condamnation, même en présence d’une conclusion de faute dans le cadre de la protection des renseignements personnels.

Cette conclusion vient toutefois assortie d’une nuance. La décision de la Cour aurait pu être différente dans la mesure où Monsieur Li avait eu à assumer des frais pour acheter des services de protection d’identité ou, encore, s’il avait allégué plus qu’une simple crainte et qu’il avait détaillé avec davantage de précisions la nature des dommages psychologiques ou autres qu’il prétendait avoir subis.


Notes

1   Li c Equifax, 2019 QCCS 4340, 21 octobre 2019, j. Bisson.

2   Ibid., au para 29

3   Ibid., au para 31.

4   C. A. Carron, « La quiétude et la règle de minimis : le recours collectif pour inconvénients mineurs », dans Service de la formation continue, Barreau du Québec, vol. 345, Développements récents en recours collectifs, Cowansville, Yvon Blais, 2012.

5   Ibid.



Personnes-ressources

Avocate senior
Cochef canadien, Cybersécurité et confidentialité des données, Canada
Associée

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...