Introduction

Dans un jugement rendu le 26 mars 2021, la Cour supérieure du Québec a rejeté l’action collective intentée par Danny Lamoureux à l’encontre de l’Organisme canadien de règlementation du commerce des valeurs mobilières (« OCRCVM » ou l’« Organisme ») reprochant à l’Organisme la perte de renseignements personnels.

La Cour supérieure du Québec rend ainsi un jugement au mérite tout à fait notable en matière de protection des renseignements personnels, concluant que M. Lamoureux n’a pas fait la preuve d’un préjudice moral suffisamment sérieux pour donner droit à une compensation.

La Cour supérieure, présidée par l’Honorable Florence Lucas, rejette également la réclamation en dommages punitifs, retenant que l’OCRCVM n’a pas tardé à mettre en place les mesures appropriées pour répondre à l’incident et notifier les personnes visées.

Contexte de l’affaire

L’action collective intentée par M. Lamoureux fait suite à un incident survenu en février 2013, alors qu’un inspecteur de l’OCRCVM avait égaré son ordinateur portable non crypté dans un train. L’appareil, protégé par un simple mot de passe, contenait les renseignements personnels de milliers d’investisseurs canadiens. Il n’a jamais été retrouvé.

Suite à cet incident, un premier investisseur mécontent, Paul Sofio, a demandé à la Cour supérieure du Québec d’autoriser une action collective à l’encontre de l’OCRCVM, reprochant à l’Organisme la perte fautive de renseignements personnels ainsi qu’un délai important entre la survenance de l’incident et l’envoi d’un avis aux personnes concernées[1]. Selon M. Sofio, l’incident lui aurait causé du stress, raison pour laquelle des dommages moraux de 1 000 $ étaient réclamés pour chacun des membres.

La Cour supérieure, présidée par l’Honorable André Prévost, avait alors rejeté la demande d’autorisation, concluant que M. Sofio ne satisfaisait pas prima facie au critère de l’apparence sérieuse de droit devant être rempli pour qu’une action collective puisse être autorisée au Québec[2]. En effet, de l’avis de la Cour supérieure, il y avait, à première vue, absence d’un réel dommage indemnisable.

Malgré le refus de la Cour d’appel de réviser ce jugement[3], un autre investisseur, M. Danny Lamoureux, a tout de même tenté sa chance quelques jours plus tard en déposant une nouvelle demande d’autorisation d’action collective contre l’Organisme, fondée sur les mêmes faits. Le représentant Lamoureux détaille dans sa demande l’anxiété, le stress, les démarches et inconvénients qu’il a vécus ainsi que les dommages liés à des utilisations illicites de son identité. Cette demande d’autorisation a été autorisée par la Cour supérieure en 2017.

Points saillants du jugement au mérite de la Cour supérieure 

Fait intéressant, l’OCRCVM admet avoir commis une faute relativement à la perte de l’ordinateur portable et en ne s’assurant pas de la protection maximale des renseignements personnels des membres, malgré ses politiques internes prévoyant le cryptage des ordinateurs portables.

Malgré cette admission de faute, la Cour supérieure conclut que l’action collective intentée par M. Lamoureux doit être rejetée, considérant que :

• Quant au préjudice, les craintes et désagréments subis par les membres à la suite de la perte des renseignements personnels ne constituent pas un préjudice indemnisable. En effet, ces craintes et désagréments s’apparentent aux inconvénients normaux que toute personne vivant en société devrait être tenue d’accepter. À cet égard, le jugement mentionne notamment que :
• La Cour s’en remet à la position de la Cour suprême[4] à l’effet que le préjudice moral doit être grave et de longue durée, et qu’il ne doit pas s’agir simplement de désagréments, angoisses ou craintes ordinaires, mineures et passagères, que toute personne vivant en société doit régulièrement accepter.
• La Cour conclut que la preuve administrée fournit très peu de détails, faits concrets et manifestations significatives quant à l’état psychologique des membres malgré le témoignage de certains d’entre eux. Selon la Cour, les sentiments négatifs généraux ressentis par les membres ne franchissent pas le seuil des inconvénients normaux.
• De plus, selon la Cour, les démarches que les membres ont dû réaliser, incluant la surveillance accrue de leurs comptes, constituent des activités normales d’une personne raisonnable qui protège ses actifs au XXI^e siècle. L’ennui et le temps perdu pour effectuer des démarches telles des appels et les délais en lien avec l’alerte de fraude et la vérification d’identité ne peuvent être compensés. Dans son analyse, la Cour prend en considération le fait que l’OCRCVM offre gratuitement aux investisseurs toutes les mesures de surveillance et de protection nécessaires d’Equifax et de TransUnion.
• Quant à la causalité, il y a absence de preuve d’utilisation illicite des renseignements perdus. Selon la Cour, bien que l’ordinateur n’ait pas été retrouvé, il n’y a pas de preuve suffisante que celui qui l’a trouvé a utilisé les renseignements personnels qu’il contient à des fins illicites. De plus, l’expert de l’OCRCVM a démontré que rien n’indique que les utilisations illicites subies par certains membres sont en lien avec cet incident. Selon cet expert, si l’ordinateur était tombé entre des mains malveillantes, il y aurait eu, par exemple, plus de fraudes chez les investisseurs visés et il y aurait une plus grande homogénéité dans le type de fraudes et de vols d’identité subis par certains membres. La Cour supérieure conclut que la preuve ne démontre pas l’existence d’un lien probant entre la perte de l’ordinateur et les utilisations illicites alléguées.
• L’OCRCVM n’a pas tardé à mettre en place les mesures appropriées pour répondre à l’incident et pour aviser les investisseurs de sorte que la demande de dommages punitifs est rejetée. La Cour a jugé qu’un délai d’environ deux mois entre l’incident et la notification aux personnes visées est raisonnable dans les circonstances. La Cour retient également le témoignage non contredit de l’expert mandaté par l’OCRCVM concluant que la réponse de l’organisme dans cette affaire est conforme aux meilleures pratiques. À cet égard, la preuve est à l’effet que l’OCRCVM:
• a débuté une enquête interne et mandaté un cabinet de consultants à titre d’experts indépendants en sécurité informatique pour identifier l’information qui se trouvait dans l’ordinateur et assister l’Organisme dans sa gestion des risques et des obligations liés à la perte de renseignements personnels;
• a avisé le service de police, la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada de l’incident;
• a rencontré les représentants des firmes de courtage affectées par l’incident pour leur exposer la situation et les mesures mises en place;
• a mis gratuitement à la disposition des investisseurs et des firmes de courtage des mesures de protection, et a mis en place des centres d’appels;
• a publié un communiqué de presse annonçant la perte accidentelle de l’ordinateur portable et les enquêtes en place; et
• a transmis aux investisseurs une lettre pour les informer de l’incident et leur faire part des mesures mises en place ainsi que des services à leur disposition.

Il est intéressant de noter qu’un mois après cette décision, la Cour d’appel dans l’arrêt récent Levy c. Nissan Canada[5], a autorisé la réclamation en dommages punitifs dans une action collective en matière de vol de renseignements personnels. Selon la Cour d’appel, les allégations quant aux mesures de sécurité inadéquates et le délai de plus d’un mois entre l’incident de cybersécurité et la notification aux personnes visées sont suffisantes pour autoriser la réclamation en dommages punitifs, le défendeur connaissant les risques de vols d’identité durant cette période où les membres ne sont pas informés de l’incident.

Conclusion

Le jugement Lamoureux est notable à plusieurs égards. Ce jugement prend soin de rappeler qu’en matière d’action collective et de protection des renseignements personnels, comme dans le cadre de toute action en responsabilité civile, le préjudice doit être suffisamment sérieux pour donner droit à une indemnisation. Cette décision confirme au mérite d’une action collective ce qui avait déjà été décidé par certains juges au stade de l’autorisation dans les affaires Li c. Equifax inc.[6], et Bourbonnière c. Yahoo! Inc.[7], à l’effet que le préjudice allégué du seul fait de l’incident de sécurité n’est pas suffisant pour donner droit à une compensation. Le jugement illustre par ailleurs les mesures pouvant être mises en place par les entreprises qui doivent faire face à la perte ou au vol de renseignements personnels. La Cour supérieure confirme à cet égard qu’une réponse corporative diligente et conforme aux standards de l’industrie peut faire obstacle à d’éventuelles réclamations en dommages punitifs.

L’histoire ne semble toutefois pas vouloir s’arrêter là puisque le jugement vient tout juste d’être porté en appel[8]. Les suites de l’affaire seront donc à suivre.

_________________________

[1]       Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061, disponible ici.

[2]       Article 517 du Code de procédure civile, RLRQ c C-25.01.

[3]       Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, disponible ici.

[4]       Mustapha c. Culligan du Canada Ltée, 2008 CSC 27.

[5] Levy c. Nissan Canada, 2021 QCCA 682.

[6] Li c. Equifax inc., 2019 QCCS 4340.

[7] Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624.

[8] Déclaration d’appel déposée le 24 avril 2021, dossier de Cour no. 500-09-029478-211.