Par Me Jean-François Latreille, CD et Mme Dominique Biggs (stag.)
INDEMNISATION EN MATIÈRE DE VOL DE DONNÉES PERSONNELLES: UN FARDEAU EXORBITANT POUR LES VICTIMES?
Ces dernières années, les médias ont fait beaucoup de bruit avec les intrusions spectaculaires perpétrées par les cybercriminels contre les réseaux informatiques prétendument sécuritaires de grandes entreprises (TransUnion, Desjardins, Google, Facebook, Capital One, Ashley Madison, etc.) et pour cause : les données privées et confidentielles de millions d’usagers ont ainsi été dérobées et compromises pour être vraisemblablement vendues[1]sur le dark web[2]à des fins criminelles. Ceci n’a pas manqué de faire subir des dommages considérables aux entreprises concernées.
Dans un article publié dans Développements récents en droit des assurances, Me Benoit Chartier fait le survol des coûts associés au vol ou perte de données du point de vue de l’entreprise atteinte :
Selon les données analysées par Net Diligence, le nombre moyen de dossiers perdus ou volés en cas de perte ou vol de données informatiques est de 3,2 millions. Une réclamation typique se situe entre 30 000 $ et 263 000 $.
(…)
Cette étude de Net Diligence suggère un coût moyen de 964,31 $par dossier de données informatiques perdu ou volé. Les frais légaux [S1] se chiffrent en moyenne à 434 354 $ en cas de perte ou vol de données informatiques. Les coûts de la gestion de crise (experts, comptables, notification aux gens visés,gestion et surveillance des dossiers de crédit et d’identité, conseils légaux,experts en gestions de cas de vols ou pertes de données, autres) sont en moyenne de 499 710 $.[3]
Pour les victimes individuelles, le préjudice qui découle de ces vols de données n’en est pas moins important. Outre l’atteinte grave à la vie privée qu’elles subissent, les victimes sont de plus exposées à la fraude, à l’usurpation de leur identité et à l’extorsion pour une période qui peut s’échelonner sur des années, une situation très angoissante et potentiellement très préjudiciable[4].Dans ce contexte, propice aux actions collectives, quelle compensation les victimes peuvent-elles espérer obtenir en admettant l’existence d’une faute de la part des entreprises en cause?
D’emblée, il faut savoir que les tribunaux n’accordent généralement pas d’indemnité compensatoire si la victime ne subit pas de dommages pécuniaires directement imputables au vol de données. Similairement,les dommages moraux, tels le stress, l’anxiété ou la crainte de se faire voler son identité, ne sont habituellement pas indemnisables sans dommages pécuniaires (notamment l’achat d’un système de sécurité pour se prémunir contre le vol d’identité). En outre, les mesures de sécurité additionnelles qui pourraient en découler, et qui consistent notamment à changer ses mots de passe et à vérifier ses comptes bancaires sur une base plus régulière, ne sont pas non plus indemnisables.
Cette tendance jurisprudentielle sembles’appuyer d’une part sur la notion d’absence de proximité du dommage (ou« remoteness of prejudice ») telle qu’appliquée par la Cour suprême du Canada dans l’arrêt Mustapha c. Culligan du Canada Ltée :
[3] […] Comme je vais l’expliquer, M. Mustapha est débouté parce qu’il n’a pas réussi à prouver que les dommages qu’il a subis ont été causés, en droit, par la négligence de la défenderesse. Autrement dit, les dommages qu’il a subis sont trop éloignés pour ouvrir droit à indemnisation.
[9] Cela dit, les troubles psychologiques constituant un préjudice personnel doivent être distingués d’une simple contrariété. En droit, un préjudice personnel suppose l’existence d’un traumatisme sérieux ou d’une maladie grave : voir Hinzc. Berry, [1970] 2 Q.B. 40 (C.A.),p. 42; Pagec. Smith, p. 189; Linden et Feldthusen, p. 425‑427. Le droit ne reconnaît pas les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques qui restent en deçà d’un préjudice. Je n’entends pas donner ici une définition exhaustive de ce qu’est un préjudice indemnisable, mais seulement dire que le préjudice doit être grave et de longue durée, et qu’il ne doit pas s’agir simplement des désagréments,angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût‑ce à contrecœur. À mon sens, c’est cette nécessité d’accepter de telles contrariétés, au lieu de prendre action en responsabilité délictuelle pour obtenir réparation, qu’évoquait la Cour d’appel lorsqu’elle a cité Vanekc. Great Atlantic & Pacific Co. of Canada (1999),« Life goes on » (par. 60). Tout bonnement, les contrariétés mineures et passagères n’équivalent pas à un préjudice personnel et, de ce fait, ne constituent pas un dommage.[5]
D’autre part, il doit être démontré que le dommage pour lequel on demande réparation a bel et bien été subi, et non pas une simple potentialité. Dans Hotte c. Servier Canada Inc.[6], la Cour supérieure sous la plume de l’Hon. PierreJ. Dalphond rappelle la règle d’or à respecter pour faire la preuve d’un préjudice dans le cadre d’une action collective.
[69] Il faut aussi préciser qu'en vertu du droit civil québécois, une indemnisation ne sera accordée à chacun des membres du groupe que s'il est prouvé que le produit a effectivement causé des dommages actuels et certains à ce membre (Berthiaume c. Réno-Dépôt inc., [1995]A.Q. no. 780 (C.A.)). En somme, le seul fait d'avoir consommé le produit et de craindre qu'un jour il en résulte un problème de santé n'est pas suffisant pour établir un préjudice indemnisable (Laferrière c. Lawson, 1991 CanLII 87 (CSC), [1991] 1 R.C.S. 541).
Bien que l’affaire Hotte portait sur les effets secondaires d’un produit pharmaceutique, le parallèle est clair :Le simple fait d’avoir été victime d’un vol de données et de craindre qu’un jour il en résulte un vol d’identité n’est pas suffisant.
Autrement dit, s’il n’y a pas eu de dommage pécuniaire, il ne peut y avoir réparation.
Dans Larose c. Banque Nationale du Canada[7], un recours collectif avait été autorisé dans une affaire de vol de données étant donné que M. Larose avait été victime de trois tentatives de fraude d’identité. Ce litige a toutefois été réglé hors-cour en 2012. Le règlement, qui accordait des sommes non-divulguées publiquement aux membres de l’action, prévoyait 1 500 $ pour le demandeur Larose pour compenser autant ses efforts à titre de représentant de l’action que les tentatives de fraude à son égard. On comprend donc que les sommes accordées aux autres membres de l’action devaient être bien moindres.
Dans l’affaire Mazzonna c. Daimler-Chrysleret al. de 2012, l’honorable Louis Lacoursière, j.c.s., qui s’inspire de l’affaire Larose précitée, a jugé plutôt que les membres de l’action collective n’avaient toutefois pas souffert de dommages suite au vol des données des défenderesses :
[56] In the Court's view, the Petitioner fails to meetthe test that she has suffered damages.
[57] She did indeed suffer anxiety; she has had to change,minimally, some of her habits. However, these inconveniences were negligible,so much so that she never felt the need to take any steps to alleviate heranxiety. The most she did was to keep the minimum amount of money in theaccount from which her lease payments were made and to check, twice a month,rather than once a month, on the Internet, whether her account had beentampered with.
[58] Thisis not enough to meet the threshold, however prima facie, of theexistence of "compensable" damages.
[62] In the Court's view, the damages alleged by the Petitioner are prima facie of the nature of ordinary annoyances and anxieties and do not constitute "compensable" damages.[8]
Dans Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières, M. Sofio intente une action collective suite à la perte accidentelle des données de l’Organisme. Un employé du défendeur avait égaré son ordinateur portable sur lequel se trouvaient des renseignements personnels de certains clients de firmes de courtage. Étant une des personnes visées, M. Sofio réclamait des dommages de $ 1 000 pour chaque membre du groupe. La Cour supérieure ayant refusé l’autorisation, M. Sofio avait porté l’affaire devant la Cour d’appel. Celle-ci a rejeté son recours, notamment pour les motifs suivants.
[18] Les allégations de fait contenues à la requête amendée en autorisation eu égard, entre autres, au préjudice allégué par l’appelant sont formulées en termes extrêmement généraux. Retenons que l’ordinateur qui a été perdu par un employé de l’Organisme contenait diverses informations personnelles à son sujet, soit son nom, son adresse, la date de sa naissance,le nom du courtier en placement avec lequel il transige et les numéros des comptes ouverts chez ce dernier. L’Organisme l’informe de cette perte le 24 avril 2013,tout en énumérant les mesures prises pour « […] atténuer tout risque potentiel auquel [il] pourrait être exposé » et celles qu’il pourrait prendre pour protéger ses renseignements. Une deuxième lettre, faisant état de nouvelles mesures mises en place par l’Organisme, lui est transmise le 30 avril 2013. Le même jour, il dépose sa requête en autorisation d’exercer un recours collectif que le juge lui permettra d’amender le 4 décembre 2013 afin,notamment, de préciser les dommages subis. Ceux-ci, de nature strictement compensatoire, se divisent en trois catégories, le stress découlant de la perte des informations, le temps consacré à suivre ses activités financières afin des’assurer qu’il n’est pas victime d’une fraude et les démarches effectuées auprès de deux entreprises, Équifax et Trans Union, pour obtenir les services de surveillance de son crédit, aux frais de l’Organisme.
[19] Le juge étudie chacune d’elles. Il note que l’appel antallègue avoir subi un stress, mais sans fournir aucun autre détail(paragr. 47). Il estime que la description que fait l’appelant du suivi des activités financières (vérification de ses comptes bancaires et de ses relevés de carte de crédit, surveillance de son courrier, non-divulgation de ses renseignements personnels à un inconnu) correspond tout bonnement aux gestes généralement posés par une personne détentrice d’un compte bancaire oud’une carte de crédit, même lorsque ses renseignements personnels n’ont pas fait l’objet d’une divulgation illégitime. Aux yeux du juge, l’appelant n’allègue, ni plus ni moins, que le suivi auquel on peut s’attendre d’une personne raisonnable afin de protéger ses actifs. On n’allègue en effet aucun surcroît de vigilance ou de mesures de vérification additionnelles ou autres démarches (paragr. 41 à 44). Finalement, quant aux démarches effectuées auprès des entreprises de crédit, le juge retient, à la seule lecture des pièces déposées, qu’elles s’expliquent en raison d’un problème de communication entre les premières et l’appelant (paragr. 45-46).
[20] Le juge considère les faits allégués. Même tenus pour avérés, il estime prima facie que, malgré la faute de l’Organisme,l’appelant n’a pas établi l’existence d’un préjudice moral tangible et susceptible de compensation monétaire. Il conclut certes à des allégations démontrant l’existence de contrariétés, sans pour autant y voir là un préjudice compensable au sens de l’arrêt Mustapha c. Culligan du Canada Ltée.
[22] Les dommages-intérêts ne sont pas accordés en fonction de la gravité de la faute,mais plutôt du préjudice qui en découle. Une faute grave peut ne pas entraîner de préjudice, ou encore donner lieu à un préjudice minime.L’inverse est également vrai. Tout est une question de faits, faits que le requérant doit justement alléguer dans sa requête en autorisation aux fins de l’étude du critère édicté au paragraphe 1003b).
[25] Ce n’est pas dire, précisons-le, qu’en matière de perte ou de vol de renseignements personnels, dans un contexte commecelui de l’espèce ou celui de l’affaire Zuckerman, il n’y aurait de préjudice indemnisable que si la perte ou le vol en question entraîne defacto l’usurpation ou la tentative d’usurpation de l’identité du requérant ou la commission d’une fraude ou tentative de fraude à son endroit.Ce n’est pas le cas. Le problème, en l’espèce, tient cependant au fait que les allégations de la requête en autorisation, tenues pour avérées, ne révèlent tout simplement pas de préjudice, même simplement moral : on invoque un stress dont la nature, l’ampleur, l’intensité ou les effets ne sont nullement détaillés et l’on décrit comme un préjudice des activités de vérification tout à fait routinières et habituelles, voire banales, chez la personne raisonnable qui est titulaire d’un compte bancaire ou détient une carte de crédit ou de débit. S’il y a plus, la requête ne le dit pas. Certes, il ne s’agit pas d’inviter ici les requérants ou les demandeurs à dramatiser la présentation de leurs allégations ou gonfler le descriptif de leur préjudice, mais il faut néanmoins un minimum factuel, qui n’est pas présent ici.
Dans Zuckerman c. Target Corporation Inc. 2018 QCCS 2276, la cour considère la recevabilité d’une action collective dans le contexte d’un important vol de données perpétré contre Target et ses consommateurs suite à l’installation sur ses systèmes informatiques d’un logiciel malveillant (« malware ») qui recueillait ces données à l’insu de Target. Dans cette affaire, le demandeur Zuckerman avait subi des dommages pécuniaires,car il avait déboursé pour un système de protection de crédit. Un règlement est intervenu entre les parties allant de $50 (sans preuves de dommages) à $5,000(avec dommages documentés). Appelé à ratifier une entente entre les parties, l’honorable Stephen W. Hamilton rappelle que l’indemnisation en matière de recours collectifs n’est pas gagnée d’avance :
[22] In the present matter, the Court finds that:
(ii) The outcome of the class action is not a foregoneconclusion. Although the data breach is admitted by Target, there is an issueas to whether Target was at fault in the way in which it stored the data priorto the breach or the way in which it responded to the data breach. Moreover,Target also contested whether the stress and inconvenience allegedly suffered by Class Members was compensable in damages and whether this was an appropriate case for punitive damages. The prior case law is not clear on these issues;[9]
(Nos soulignés)
Dans Bourbonnière c. Yahoo!Inc., la demanderesse tentait de faire autoriser une actioncollective suivant la perte des données des comptes de messagerie de Yahoo! Toutefois, l’honorable Chantal Tremblay,j.c.s., ne considérait pas que celle-ci avait subi de préjudice indemnisable :
[34] In the present instance, Plaintifffails to demonstrate that she has incurred a compensable injury as a result ofthe 2013 Data Breach.
[35] As a matter of fact, Plaintiff’s discovery demonstrates that she has noreason to believe that she has been the victim of identity theft or fraud asshe has not identified any suspicious charges on either her debit or creditcards and she has not received a bad credit report. She continues using herYahoo account and she admitted not having purchased any identity protectionservices such as credit monitoring:
[36] In summary, Plaintiff has not incurred anyout-of-pocket costs associated with the protection of her personal and/orfinancial information.
[37] The only prejudice suffered by the Plaintiff relatesto the inconvenience of having to change her passwords in all of the accountsassociated with her Yahoo email address and the alleged embarrassment sufferedas a result of spam emails that were sent to her friends. The Court is of theview that such prejudice is insufficient to justify a class action.
[43] The present casecan be distinguished from other data security incident cases such as Zuckerman and Belleysince, unlike these two other cases, Plaintiff has not incurred any expensesfor credit monitoring services nor was she a victim of identity theft.[10]
En conclusion, le vol de données personnelles et confidentielles qu’infligent les pirates informatiques est un fléau extrêmement préoccupant étant donné qu’il compromet la sécurité des victimes tout en menaçant leur intégrité corporelle, psychologique,matérielle et identitaire en plus d’endommager leur réputation. En outre, le fait que la portée des dommages à entrevoir soit une potentialité d’une durée indéfinie ne fait qu’alourdir le fardeau que les victimes doivent encore supporter.
En attendant que le législateur ne promulgue des lois plus costaudes et contraignantes (assorties possiblement un régime d’indemnisation) pour assurer en amont une meilleure gestion et protection de ces données, les victimes ne pourront espérer que de faibles indemnisations en dépit des répercussions graves que ces méfaits ne manqueront pas de leur faire encourir.
[1] https://ici.radio-canada.ca/nouvelle/1325939/questions-reponses-jean-philippe-decarie-mathieu-fuite-vol-de-donnees-desjardins-capitalone-vente-valeur-darkweb;
[2] https://www.journaldemontreal.com/2019/07/16/le-dark-web-rempli-de-donnees-personnelles;
[3] BenoîtChartier, « Cyber-risques et cyber-responsabilité dans l’industrie desassurances », dans Barreau du Québec, Service de la formation continue, Développementsrécents en droit des assurances (2016), vol. 423, Cowansville (QC), Yvon Blais,2016, p.7;
[4] Par préjudice,on fait référence aux nombreuses démarches fastidieuses ou exigeantes en tempsqui seront requises pour rectifier les dossiers de crédit, pour reprendre lecontrôle de son identité, aux frais d’enquête, honoraires d’avocats, aux paiementsd’amendes, de pénalités, et d’intérêts, à l’atteinte à la réputation, etc.;
[5] Mustaphac. Culligan du Canada Ltée, [2008] 2 RCS 114;
[6] Hotte c. ServierCanada Inc. 2002 CanLII 33243 (QC CS);
[7] Larosec. Banque Nationale du Canada, 2010 QCCS 5385;
[8] Mazzonna c. DaimlerChryslerFinancial Services Canada Inc./Services financiers DaimlerChrysler inc.,2012 QCCS 958;
[9] Zuckerman c. TargetCorporation Inc., 2018 QCCS 2276;
[10] Bourbonnière c. Yahoo! Inc.,2019 QCCS 2624