L’indemnisation du préjudice découlant de la perte ou du vol de données confidentielles : les simples contrariétés ne suffisent pas

Par Jean-Michel Boudreau

Plusieurs grandes entreprises, telles que Home Depot, Target et JP Morgan Chase, ont défrayé malgré elles les manchettes à la suite de cyberattaques ayant permis de leur dérober des informations confidentielles sur leurs clients. Par-delà l’inévitable dommage commercial qu’entraîne une telle attention médiatique, ces entreprises doivent-elle indemniser les clients dont les informations personnelles risquent de se retrouver sur le marché noir du monde numérique ?

Dans l’affaire Sofio c. Organisme canadien de réglementation du commerce des valeursmobilières (OCRCVM), 2015 QCCA 1820, un employé de l’OCRCVM a perdu un ordinateur portable qui contenait les données personnelles des clients de certaines firmes de courtages. Cette perte est d’autant plus problématique que les données en question n’étaient protégées par aucun mécanisme cryptographique.

M. Sofio a demandé l’autorisation d’exercer un recours collectifs au nom des personnes dont les renseignements personnels ont été perdus. Selon le juge de première instance, l’honorable André Prévost, le stress et les autres inconvénients que prétend avoir subis M. Sofio, et pour lesquels il réclame une somme forfaitaire de 1000$ en dommages compensatoires, ne constituent pas un préjudice indemnisable. Le juge Prévost refuse donc d’accorder l’autorisation d’intenter un recours collectif, estimant que le critère de l’article 1003 b) C.p.c. n’est pas rempli.

M. Sofio se pourvoit contre cette décision, arguant que le juge de première instance s’est saisi du fond du litige en évaluant la nature et l’étendue du préjudice effectivement subi plutôt que de s’en tenir à déterminer si, prima facie, le préjudice allégué paraît justifier les conclusions recherchées.

Dans un arrêt rendu le 6 novembre 2015, la Cour d’appel rejette les prétentions de l’appelant. Elle s’exprime ainsi :

[20]       Le juge considère les faits allégués. Même tenus pour avérés, il estime prima facie que, malgré la faute de l’Organisme, l’appelant n’a pas établi l’existence d’un préjudice moral tangible et susceptible de compensation monétaire. Il conclut certes à des allégations démontrant l’existence de contrariétés, sans pour autant y voir là un préjudice compensable au sens de l’arrêt Mustapha c. Culligan du Canada Ltée.

[21]       Nul n’est besoin de dire qu’une faute ne cause pas ipso facto un préjudice, même moral. Il en est de même de la perte fautive de renseignements personnels bien qu’elle soit susceptible de porter atteinte au droit à la vie privée des victimes.

Il faut bien comprendre qu’en général, la majorité des personnes dont les informations confidentielles sont subtilisées ou perdues ne subiront néanmoins aucune perte financière (tout comme le requérant en l’espèce). Aussi les jugements tant de la Cour supérieure que de la Cour d’appel sont-ils sous-tendus par le principe bien établi selon lequel la simple appréhension d’un éventuel préjudice futur ne peut donner lieu à une indemnisation. Ensuite, il faut noter que le jugement de la Cour d’appel est profondément dépendant des faits de l’espèce et de la formulation des allégations de la demande d’autorisation, comme en témoigne la mise en garde suivante de la Cour d’appel, laquelle vient immédiatement limiter la portée de ses propos:

[25]       Ce n’est pas dire, précisons-le, qu’en matière de perte ou de vol de renseignements personnels, dans un contexte comme celui de l’espèce ou celui de l’affaire Zuckerman, il n’y aurait de préjudice indemnisable que si la perte ou le vol en question entraîne de facto l’usurpation ou la tentative d’usurpation de l’identité du requérant ou la commission d’une fraude ou tentative de fraude à son endroit. Ce n’est pas le cas. Le problème, en l’espèce, tient cependant au fait que les allégations de la requête en autorisation, tenues pour avérées, ne révèlent tout simplement pas de préjudice, même simplement moral : on invoque un stress dont la nature, l’ampleur, l’intensité ou les effets ne sont nullement détaillés et l’on décrit comme un préjudice des activités de vérification tout à fait routinières et habituelles, voire banales, chez la personne raisonnable qui est titulaire d’un compte bancaire ou détient une carte de crédit ou de débit. (nous soulignons)

Ainsi, il faudra suivre le cheminement des affaires Zuckerman c. Target Corporation, 2015 QCCA 1809, et Larose c. Banque Nationale du Canada, 2010 QCCS 5385, pour en apprendre davantage sur l’indemnisation du préjudice découlant de la perte ou du vol de données confidentielles.