Au-delà de l’autorisation

De nombreuses actions collectives intentées contre des organisations à la suite d’incidents de sécurité informatique majeurs n’arrivent pas à traverser le dispositif de filtrage de la certification (ou autorisation au Québec), et ce, dans l’ensemble du pays. La nature et les circonstances des incidents de sécurité informatique entraînent visiblement des difficultés pour les demandeurs à remplir les conditions d’autorisation de l’action collective et laissent en suspens plusieurs questionnements sur la responsabilité des organisations qui peut effectivement en découler.

Les incidents de sécurité informatique, et plus particulièrement les cyberattaques, sont de plus en plus fréquents, graves et coûteux. Dans son Évaluation des cybermenaces nationales 2020, le Centre canadien pour la cybersécurité constate notamment que le nombre d’auteurs de cybermenace est en hausse, que ceux-ci deviennent de plus en plus sophistiqués, et que les activités malveillantes dirigées contre le Canada continueront fort probablement à cibler les grandes entreprises et les fournisseurs d’infrastructures essentielles. Lorsqu’elles ciblent une organisation, il n’est pas rare que les opérations de celle-ci soient en partie paralysées.

Elle n’est cependant pas la seule à être affectée. Lorsqu’une organisation ayant subi un incident de sécurité informatique collecte, entrepose ou utilise les renseignements personnels de clients, de partenaires ou d’employés, il est possible que ces individus prétendent avoir subi une atteinte à leur vie privée. Cette atteinte pourrait par exemple découler du fait que les renseignements personnels ont été accédés ou volés par les auteurs de cybermenace, ou qu’ils se sont retrouvés en la possession d’un tiers non autorisé. C’est souvent l’organisation dépositaire des renseignements personnels qui sera alors pointée du doigt.

L’action collective s’est rapidement présentée comme la procédure toute désignée pour ce type de situations. Cette procédure permet de consolider, au sein d’un seul et même recours, l’ensemble des réclamations qui pourraient découler d’une cyberattaque ou d’un autre type d’incident de sécurité informatique. La consolidation de ces réclamations, bien qu’elle permette un meilleur accès la justice, demeure inhabituelle et doit assurer une économie efficace des ressources judiciaires.

Par conséquent, avant que les parties ne débattent de l’affaire au fond, le demandeur doit présenter au tribunal une demande d'autorisation de l’action collective. Si les conditions prévues par la loi applicable sont remplies, l’action collective est autorisée. Ce n’est donc qu’après avoir franchi cette étape que les parties pourront éventuellement se rendre à procès et qu’un tribunal déterminera si une atteinte a réellement eu lieu et si l’organisation poursuivie en est responsable. D’un côté, malgré les différences entre les lois applicables à travers le pays, il est d’interprétation constante que les juges doivent préconiser une approche flexible dans le cadre de leur examen au stade de l’autorisation. D’un autre côté, celle-ci doit demeurer un dispositif de filtrage efficace, de sorte que les demandes frivoles, manifestement non fondées ou autrement vouées à l’échec soient rejetées.

À ce jour, malgré la multiplication des incidents de sécurité informatique au Canada affectant des milliers, voire des millions d’individus, les décisions sur le fond pour des actions collectives intentées en réponse à ce type d’incident se font particulièrement rares. À vrai dire, le rejet par la Cour supérieure le mois dernier d’une action collective pour la perte de renseignements personnels dans Lamoureux c. OCRCVM est le seul exemple québécois et canadien de jugement rendu au fond pour une telle action. Tandis que certains de ces recours ont fait l’objet de règlements, on constate également que plusieurs sont incapables de franchir le dispositif de filtrage de l’autorisation.

Par exemple, en février dernier, un juge de la Cour supérieure de l’Ontario a refusé de certifier l’action collective intentée contre Facebook, au nom des résidents canadiens dont les informations auraient été partagées avec le groupe Cambridge Analytica. Le juge a conclu que la demanderesse n’avait pas réussi à démontrer que le partage d’informations allégué reposait sur un fondement factuel suffisant. Autrement dit, la preuve présentée ne tendait pas à démontrer que le partage d’information en question avait effectivement eu lieu. L'allégation de la demanderesse relative au partage d’informations reposait essentiellement sur un avis que Facebook avait envoyé à ses clients selon lequel leurs données personnelles « pourraient avoir été utilisées de manière abusive ». Or, selon le juge, il s'ensuivait qu’aucun fondement factuel ne supportait les questions communes proposées, à savoir si Facebook avait porté atteinte à la vie privée des membres du groupe.

Un peu plus tôt cette année, la Cour du banc de la Reine de l’Alberta a également refusé de certifier une action collective, intentée cette fois-ci à l’encontre d’Uber. Le recours a été intenté après que des pirates informatiques aient obtenu, en 2016, les noms, les numéros de téléphone et les adresses des utilisateurs et des conducteurs d’Uber. On prétendait alors qu’Uber avait manqué à ses obligations de protéger les renseignements personnels et d'informer les personnes concernées. Cependant, le juge a estimé que la preuve était insuffisante pour établir qu’un individu aurait pu subir un quelconque préjudice découlant de l’incident. Pour arriver à cette conclusion, le juge a effectué un bref survol de la jurisprudence canadienne sur la question, abordant notamment quelques décisions québécoises récentes. Ce survol a entre autres révélé que, bien qu’une réclamation pour dommages nominaux n’entraîne pas automatiquement le rejet d’une demande d’autorisation ou de certification, encore doit-il y avoir une certaine preuve de préjudice ou de perte réelle. Sans une telle démonstration, la demande est incomplète. Ajoutant que le demandeur n’avait également pas établi que l’action collective constitue le meilleur moyen de régler les questions communes, le juge a refusé de certifier le recours.

On remarque que parmi les conditions de certification examinées dans ces deux affaires, le « fondement factuel suffisant » faisait défaut. Il est intéressant de constater que ce critère ne fait toutefois pas partie des conditions énumérées au Code de procédure civile du Québec. D’ailleurs, la Cour suprême nous rappelait récemment que le seuil d’autorisation pour les actions collectives était peu élevé au Québec par rapport aux seuils applicables dans le reste du pays. Les tribunaux québécois n’évaluent donc pas si un demandeur réussit à démontrer que sa demande repose sur un « fondement factuel suffisant » : ils vont se contenter d’évaluer le caractère défendable du syllogisme juridique proposé.

Les juges du Québec conservent néanmoins leur fonction de filtrage au stade de l’autorisation, au même titre que leurs homologues des autres provinces canadiennes. C’est d’ailleurs pourquoi il a été déterminé que, dans des affaires d’atteinte à la vie privée, de simples allégations d'un dommage potentiel ne suffiront généralement pas à faire autoriser l’action collective. En ce sens, on a également conclu que la simple gêne et les inconvénients passagers ne suffiront pas à faire autoriser une action collective, bien que des allégations de dommages moraux puissent tout de même être suffisantes.

À la lumière de ce qui précède, le « délit d’intrusion dans l’intimité »  pourrait faciliter la certification des actions collectives dans certaines provinces de common law par rapport aux recours intentés au Québec, du fait qu’un demandeur n’aurait alors pas à démontrer l’existence d’un préjudice à un intérêt économique reconnu. Ceci dit, l’évolution de ce délit reste controversée et son application incertaine en matière de protection des renseignements personnels, considérant notamment que la démonstration d’une conduite intentionnelle ou inconsidérée doit être faite pour l’invoquer avec succès.

Ainsi, l’autorisation comme dispositif de filtrage fonctionne et continue de s’adapter aux actions collectives en matière de protection de la vie privée. Or, la question des fondements de la responsabilité des organisations vis-à-vis de telles atteintes à la vie privée fait partie des éléments qui sont gardés en suspens par l’efficacité de ce même dispositif de filtrage (jumelée aux règlements plutôt fréquents).

Dans quelle mesure est-ce qu’une organisation peut effectivement être tenue d’indemniser des individus dont les renseignements personnels ont été affectés à l’occasion d’une cyberattaque, alors que l’organisation a pris toutes les mesures possibles pour se conformer à ses obligations légales de protection des renseignements personnels? Quelle base existe-t-il pour la responsabilité civile si les dommages subis par des individus théoriquement affectés par une atteinte à leurs renseignements personnels sont impossibles à démontrer en pratique?

Les décisions rendues dans l’ensemble du pays au stade de l’autorisation ou de la certification, auxquelles s’ajoute désormais le jugement au fond de la Cour supérieure dans Lamoureux c. OCRCVM, cernent avec de plus en plus de précisions les enjeux sur lesquels on doit s’attarder en cherchant la responsabilité d’une organisation dans le cadre d’une atteinte à la vie privée. Comme en témoigne plusieurs décisions mentionnées plus haut, il importe d’examiner attentivement la nature du préjudice allégué et les éléments de preuve qui tendent à le démontrer. Reste que le débat au fond de ces enjeux devra se poursuivre pour fixer l’état du droit sur ces questions.