Lundi 21 octobre 2019 : La Cour supérieure du Québec rejette une demande d’autorisation à exercer une action collective en dommages-intérêts compensatoires et en dommages punitifs contre Equifax. La demande fait suite à un accès non autorisé aux données recueillies par l’agence de crédit américaine. Selon la Cour, « le droit québécois ne reconnaît pas comme dommage compensatoire le simple fait que des renseignements personnels soient en possession non autorisée par des tiers ».

La fuite

L’incident serait survenu entre mai et juillet 2017. « L’accès non autorisé a été réalisé par un ou des pirates qui ont réalisé une cyber-attaque sur les bases de données des défenderesses », selon les faits retenus par le Cour supérieure.

Selon Kate O’Flaherty, journaliste en cybersécurité chez Forbes, « [t]he Equifax breach happened because the firm failed to patch a web server, which is itself a very basic error ». La journaliste cite un recours collectif qui fait suite à cette même fuite de données personnelles. Selon la demande introduite aux États-Unis:

« Equifax employed the username “admin” and the password “admin” to protect a portal used to manage credit disputes, a password that “is a surefire way to get hacked.” This portal contained a vast trove of personal information. According to cybersecurity experts, these shortcomings demonstrated “poor security policy and a lack of due diligence.” Equifax’s authentication practices fell short of the data security standards, which recommend the use of multi-factor authentication. »

« Equifax admitted that sensitive personal information relating to hundreds of millions of Americans was not encrypted, but instead was stored in plaintext, making it easy for unauthorized users to read and misuse. Not only was this information unencrypted, but it also was accessible through a public-facing, widely used website. This enabled any attacker that compromised the website’s server to immediately have access to this sensitive personal data in plaintext. »

En réponse, l’agence de crédit s’est jointe aux autres codéfendeurs afin de déposer une demande pour rejeter le recours collectif, mais en vain en ce qui la concerne.

En juillet 2019, Equifax conclut une entente avec la Federal Trade Commission qui prévoit une amende allant jusqu’à 700 millions de dollars, dont 425 millions de dollars doivent être versés dans un fonds destiné à indemniser les personnes concernées.

Toujours selon Kate O’Flaherty de Forbes, cette fuite de données chez Equifax a révélé les informations sensibles – notamment, les numéros d’assurance sociale et les adresses personnelles – de 147 millions de personnes à travers le monde. Au Canada, c’est environ 8000 personnes qui seraient touchées, selon le Journal de Québec. Ce nombre grimpe à 19 000 Canadiens et Canadiennes, selon LeDevoir.

Le recours

En l’espèce, c’est une demande d’autorisation à exercer une action collective en dommages-intérêts compensatoires et en dommages punitifs qui est présentée à la Cour supérieure du Québec. Elle est faite pour le compte d’un groupe défini comme suit :

« Toutes les personnes au Québec qui, en tout temps avant le 17 septembre 2017, avaient des renseignements personnels ou de crédit recueillis par Equifax et entreposés par cette dernière ET qui étaient à risque de perte de ces renseignements suite à un accès non autorisé survenu entre mai et juillet 2017, ou tout sous-groupe à être déterminé par le Tribunal. »

Elle allègue des dommages compensatoires de trois ordres :

1. Dépenses, troubles et inconvénients associés à l’accès non autorisé, dont l’annulation de cartes de crédit et l’organisation de services de monitorage de crédit;
2. Préjudice moral ou « mental distress »; et
3. Autres dommages.

Finalement, l’action collective repose sur trois bases juridiques faisant appel au Code civil du Québec (le C.c.Q.) et à la Charte des droits et libertés de la personne (la Charte):

1. La faute extracontractuelle en vertu de l’article 1457 C,c,Q;
2. La violation du droit à la vie privée et à la réputation en contravention aux articles 3, 35 et 37 C,c,Q; et
3. La violation du droit à la vie privée et du droit à la non-divulgation de renseignements confidentiels contrairement aux articles 5 et 9 de la Charte.

Pour leur part, « les défenderesses contestent deux des quatre critères reliés à l’autorisation, soit l’apparence de droit et la qualité de représentant. Elles argumentent que le demandeur ne démontre pas une cause défendable car il présente une demande essentiellement générale, vague et purement hypothétique, sans avoir subi aucun dommage. N’ayant pas de cause et donc pas l’intérêt requis, le demandeur ne pourrait être un représentant valide, selon les défenderesses. »

La décision

D’entrée de jeu, la Cour supérieure, sous la plume de l’Honorable Donald Bisson reproduit l’article 575 du Code de procédure civile et rappelle que « [l]’exercice auquel le Tribunal est convié [à cette étape] en est un de filtrage dont l’objectif est de se satisfaire de l’existence d’une cause défendable. Les conditions de l’article 575 Cpc doivent être appliquées de manière souple, libérale et généreuse afin de faciliter l’exercice de l’action collective comme moyen d’atteindre le double objectif de la dissuasion et de l’indemnisation des victimes ».

Ensuite, le Tribunal conclut rapidement à la présence d’une faute et d’une violation du droit à la vie privée, à la réputation et à la non-divulgation. « Le débat se trouve plutôt du côté des dommages », selon la Cour.

Pour se positionner, la Cour part du principe que « l’apparence de droit doit être étudiée à la lumière du cas personnel du demandeur » et écarte, un à un, les dommages allégués.

Dépenses, troubles et inconvénients associés à l’accès non autorisé, dont l’annulation de cartes de crédit et l’organisation de services de monitorage de crédit

D’abord, la preuve démontre que « le demandeur n’a pas été victime de vol d’identité ni n’a encore dépensé d’argent pour de l’achat de services de monitoring continuel de crédit ni n’a encore subi de troubles et inconvénients associés entre autres à l’annulation de cartes de crédit et à l’organisation de services de monitoring de crédit. Le demandeur fait état de risque futur et de dépenses à venir. [Or,] le risque de développer un préjudice futur, comme une maladie ou une infection n’est pas un dommage qui peut être compensé en droit québécois. Il s’agit d’un dommage incertain et hypothétique, interdit en vertu de l’article 1611 C.c.Q. et des autorités. Un risque n’est pas un préjudice certain. » Le premier chef de dommage est ainsi écarté.

Préjudice moral ou « mental distress »

Il en est de même pour le deuxième, le « mental distress ». La Cour est d’avis qu’il « n’est pas ici caractérisé ou décrit d’une façon qui lui permettait de dépasser les désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût-ce à contrecœur. Il aurait fallu plus de détails que de simples allégations. […] Le Tribunal conclut que ce préjudice allégué par le demandeur est négligeable et n’a donc pas d’apparence de droit ».

Autres dommages

Quant aux « autres » préjudices, aucun n’est concrètement allégué par le demandeur. La Cour conclut qu’il n’y a « donc pas d’apparence de droit à cet égard ».

Dommages punitifs

Il ne reste alors que les dommages punitifs, mais là aussi, le Tribunal n’est pas convaincu considérant l’insuffisance d’allégations de faits :

« Aucun détail ou indication temporelle n’est donné. De plus, le plan d’argumentation du demandeur ne peut venir compléter les allégations de la Demande modifiée; la plaidoirie orale ne le peut non plus.  Le Tribunal peut certes faire des inférences ou déduction, mais ici il s’agirait de déduire totalement qu’il y a eu atteinte illicite et intentionnelle, sans aucun détail ou fait permettant de la faire. Sans aucune caractérisation dans la Demande modifiée, les articles de journaux Pièces P-4 et P-7 et le rapport Commissariat à la protection de la vie privée du Canada Pièce P-8 sont insuffisants à cet égard. »

La Cour ajoute que « [l]e fait qu’il y ait eu un règlement américain par les défenderesses d’une action collective parallèle ne change rien ici ni n’apporte d’allégations quant à des dommages punitifs. La réclamation pour dommages punitifs n’a donc pas d’apparence de droit. »

Rejet du recours

En l’absence de dommages, le Tribunal conclut que l’action collective n’a pas d’apparence de droit :

« Pour l’instant, le droit québécois ne reconnaît pas comme dommage compensatoire le simple fait que des renseignements personnels soient en possession non autorisée par des tiers, sans plus. »

Le premier critère de 575 C.c.Q. n’étant pas rencontré, l’action collective ne peut être autorisée pour ce seul motif. Toutefois, la Cour continue son analyse. Elle déduit qu’en l’absence de dommages compensatoires et de dommages punitifs, le demandeur n’a pas non plus d’intérêt. Il ne rencontre donc pas le quatrième critère de l’article 575 C.p.c.

La demande est ainsi rejetée :

« Compte tenu que la Demande modifiée n’a pas d’apparence de droit et que le demandeur n’est pas un représentant adéquat, le Tribunal conclut qu’il ne peut autoriser l’exercice de l’action collective proposée. »

L’impact de la décision sur l’affaire Desjardins

Cette décision n’est pas isolée. Elle cite elle-même plusieurs précédents de la Cour Supérieure qui vont dans le même sens.

Pas plus loin qu’en juillet dernier, sous la plume de l’Honorable Chantal Tremblay, la Cour supérieure du Québec a rejeté une demande similaire d’autorisation à exercer un recours collectif sur la base d’arguments connexes :

« Plaintiff has not incurred any out-of-pocket costs associated with the protection of her personal and/or financial information.

The only prejudice suffered by the Plaintiff relates to the inconvenience of having to change her passwords in all of the accounts associated with her Yahoo email address and the alleged embarrassment suffered as a result of spam emails that were sent to her friends. The Court is of the view that such prejudice is insufficient to justify a class action. »

Rappelons qu’en juin dernier, deux demandes de recours collectifs ont été déposées à la Cour supérieure du Québec, une à Québec et une à Montréal, et ce, 24 heures après l’annonce d’un vol de données personnelles concernant près de trois millions de membres du Mouvement Desjardins. Dans ce contexte, quel sera l’impact de la décision Equifax?

Selon Me Jérémie John Martin, du cabinet Champlain Avocats :

« C’est une décision qui aura un impact défavorable pour les demandeurs dans l’action collective contre Desjardins. Ce dossier est basé sur des faits similaires. Cela dit, cette décision sera possiblement portée en appel »

Me Jimmy Lambert, du cabinet Lambert Avocat inc. ajoute :

« C’est certain que cela crée un précédent. C’est le deuxième rejet en peu temps. […] Je pense qu’il y a de l’ouverture pour des recours collectifs pour des vols de données. Il faut toutefois présenter les dossiers différemment. On ne pourra pas juste dire que j’ai une crainte. »

Me Karim Diallo, du cabinet Siskinds Desmeules Avocats, qui est impliqué au dossier Desjardins, lui, demeure plus optimiste :

« Il y a des distinctions majeures à faire. La première, c’est le fait que dans le groupe pour Equifax, il y avait potentiellement des personnes dont les données n’ont jamais été divulguées, contrairement à Desjardins où le groupe vise les gens ayant reçu une lettre. »

Commentaires

Avec égard, cette jurisprudence est susceptible de représenter un certain déni de droit. Dans les deux cas cités ici, bien que la Cour supérieure reconnaisse une atteinte à la vie privée suite à une faute, elle conclut tout de même à une absence de dommage et donc, à l’absence d’apparence de droit. Sans la preuve de « out-of-pocket costs » ou d’un impact psychologique qui dépasse l’« ordinaire », cette jurisprudence reconnaît une atteinte à un droit fondamental, mais ne lui accorde aucune valeur.

Cette jurisprudence se fonde essentiellement sur l’arrêt Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM). La Cour d’appel du Québec y rappelle « qu’une faute ne cause pas ipso facto un préjudice, même moral ». Elle reprend les commentaires des auteurs Beaudoin et Renaud [1]:

« L’on ne saurait imputer des dommages extrapatrimoniaux du seul fait qu’il y a eu atteinte à un droit garanti par la Charte des droits et libertés de la personne (L.R.Q., c. C-12). L’allocation de dommages et intérêts symboliques n’est pas non plus justifiée quand les tribunaux veulent sanctionner la violation d’un droit subjectif qui produira le plus souvent un préjudice minime; cela irait à l’encontre des principes de responsabilité civile. »

La Cour d’appel maintient toutefois une importante réserve :

« Ce n’est pas dire, précisons-le, qu’en matière de perte ou de vol de renseignements personnels […], il n’y aurait de préjudice indemnisable que si la perte ou le vol en question entraîne de facto l’usurpation ou la tentative d’usurpation de l’identité du requérant ou la commission d’une fraude ou tentative de fraude à son endroit. Ce n’est pas le cas. Le problème, en l’espèce, tient cependant au fait que les allégations de la requête en autorisation, tenues pour avérées, ne révèlent tout simplement pas de préjudice […]. »

C’est donc là où le bât blesse. Les préjudices allégués dans la demande étaient clairement insuffisants. Le stress allégué n’était pas dûment « détaillé » et les activités de vérifications invoquées n’avaient rien de différent avec celles faites par toute « personne raisonnable qui est titulaire d’un compte bancaire ou détient une carte de crédit ou de débit ». Cela dit, en aucun cas la Cour d’appel ne se prononce pas sur le préjudice que constituerait le fait que des renseignements personnels soient en possession non autorisée par des tiers, parce que ce n’était pas le cas dans l’affaire Sofio. Les données personnelles n’étaient pas entre les mains d’un tiers, elles étaient plutôt perdues dans un ordinateur égaré et insuffisamment protégé.

Cette distinction est importante. En l’espèce, les données personnelles se sont trouvées entre les mains de tiers non-autorisés parce qu’Equifax n’a pas su respecter des règles élémentaires de cybersécurité. Aussi grave soit cette faute – voire même, cette faute lourde (voir 1474 C.c.Q.) – la Cour supérieure ne lui reconnaît pas d’impact sur la victime. Encore une fois, le seul transfert non-autorisé de données personnelles n’a aucune valeur selon la Cour.

Avec égard, une telle interprétation limite sérieusement l’effectivité du droit à la vie privée et les recours civils des victimes. De plus, elle déresponsabilise les entreprises qui, en ayant la garde de données personnelles, ont l’obligation de mettre en place « les moyens technologiques convenus [afin d’]en assurer la sécurité, en préserver l’intégrité et, le cas échéant, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance » (art. 26 al. 2 LCCJTI).

De l’avis du soussigné, si notre droit civil a pour objectif de protéger l’intégrité et la confidentialité des données personnelles, il doit leur accorder une valeur. Parce que ces données en ont une.

Sur le dark web, pour un fullz – « généralement, on parle d’une date de naissance, d’un numéro d’assurance sociale, d’une adresse, d’un numéro de téléphone… Bref, tout ce qui permet de voler l’identité de quelqu’un » – les prix varient autour de 150 $US.

Cette valorisation de la vie privée pourra se faire sur des bases similaires à celles qui permettent de quantifier une atteinte à la réputation. On évaluera alors la gravité de la faute, ainsi que la nature, l’ampleur et la diffusion des informations concernées. On considèrera aussi la condition des parties et l’impact sur les victimes et sur leur entourage en tenant compte de la permanence ou du caractère éphémère des effets de la fuite.

Certes, la compensation par personne sera ici modeste, mais avec respect, je ne crois pas que le préjudice soit à ce point négligeable qu’il équivaut à une absence de préjudice.

[1] Jean-Louis Baudouin et Yvon Renaud, Code civil du Québec annoté, 17^e éd., t. 2, Montréal, Wilson et Lafleur, 2014, n^o 1607/229, p. 2355. Voir également : Syndicat des cols bleus regroupés de Montréal, (SCFP, section locale 301) c. Coll, 2009 QCCA 708 (CanLII), paragr. 96-102.