Télécharger PDF - Norton Rose Fulbright

Actualité juridique
Atteinte à la sécurité des données : points à retenir du recours
collectif ontarien contre Home Depot
Novembre 2016
Litiges
Protection de la vie privée et accès à l’information
La Cour supérieure de justice de l’Ontario a récemment approuvé une entente de règlement dans le cadre du recours
1
collectif Lozanski c. The Home Depot. Cette décision a souligné qu’une protection adéquate et la prise de mesures
nécessaires par suite d’une atteinte à la sécurité des données servait à réduire les risques de manière significative. Ce
recours collectif avait été intenté par suite d’une atteinte à la sécurité des données ayant donné accès à des
renseignements personnels comme les noms, les numéros, les dates d’expiration et les codes de vérification de cartes
de crédit provenant du système de paiement par carte de Home Depot pendant une période de six mois en 2014.
Même si les parties avaient accepté de régler le recours collectif pour un montant supérieur à 1 000 000 $, l’honorable
juge Perell a réduit ce montant à 400 000 $. Dans le même ordre d’idées, les honoraires des conseillers juridiques qui
avaient été convenus sont passés de 406 000 $ à 120 000 $. De plus, le juge n’a pas approuvé de rémunération au
représentant.
Les montants accordés par les tribunaux canadiens aux membres d’un recours collectif lié à des atteintes à la sécurité
des données sont habituellement modestes, mais ce jugement est assez surprenant. La réduction d’un montant de
règlement par un tribunal dans le cadre d’une audience d’autorisation d’un recours collectif, c’est du jamais vu.
La décision du juge a été fondée sur l’absence de dommages importants subis par les demandeurs et la réponse
rapide et responsable de Home Depot à l’atteinte à la sécurité des données.
Absence de dommages importants
Les demandeurs ont soulevé trois chefs de dommages découlant de l’atteinte à la sécurité du système de paiement
par carte : 1) le risque que des frais frauduleux soient portés à une carte de crédit; 2) le risque de vol d’identité; et
3) les inconvénients liés à la vérification des relevés de cartes de crédit.
Le juge Perell a considéré que la preuve de dommages accessoires était plutôt négligeable, voire inexistante. En ce
qui concerne les premier et deuxième chefs de dommages, rien ne pouvait prouver qu’un membre du groupe avait dû
payer des frais frauduleux ou que l’atteinte à la sécurité des données avait augmenté le risque de vol d’identité
puisque les données volées n’étaient pas suffisantes pour emprunter l’identité d’une autre personne.
En ce qui concerne le dernier chef de dommages, la Cour d’appel de l’Ontario a reconnu en 2012 qu’une perte
économique n’était pas nécessaire pour justifier une action dans le cadre d’un délit d’atteinte à la vie privée. Tout
dommage non économique subi en raison d’une atteinte à la vie privée peut être compensé par l’attribution de
2
dommages « symboliques ».
PAGE 2
Cependant, le simple fait qu’une personne s’inquiète de la sécurité de ses renseignements personnels à la suite d’une
atteinte à la sécurité des données ne constitue pas une perte indemnisable, pas plus que les inconvénients causés
aux demandeurs parce qu’ils ont dû vérifier leurs relevés de cartes de crédit pour s’assurer qu’aucun achat frauduleux
n’avait été effectué à la suite de l’atteinte à la sécurité des données de Home Depot. Selon le juge Perell, cette
responsabilité incombe à tous les titulaires d’une carte de crédit.
La Cour supérieure du Québec a appliqué le même raisonnement dans les affaires de 2012 suivantes : Sofio c.
3
Organisme canadien de réglementation du commerce des valeurs mobilières et Mazzonna c. DaimlerChrysler
4
Financial Services Canada Inc./Services financiers DaimlerChrysler inc. Les tribunaux ont déclaré que la surveillance
des relevés de carte de crédit dans l’objectif de s’assurer qu’aucune activité frauduleuse n’a eu lieu constituait un
inconvénient ordinaire faisant partie des responsabilités quotidiennes du titulaire de carte et qu’il ne justifiait pas une
5
indemnisation. Ils se sont tous les deux fondés sur l’affaire de la Cour suprême Mustapha c. Culligan du Canada Ltée
qui a conclu que le « préjudice doit être grave et de longue durée, et qu’il ne doit pas s’agir simplement des
désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter
[…] ».
Réponse de Home Depot
Un autre facteur décisif dans la décision de la Cour supérieure de l’Ontario : la réponse de Home Depot à la suite de
l’atteinte à la sécurité des données. Le tribunal a jugé que la réponse de Home Depot avait été « responsable, rapide,
généreuse et exemplaire ». Elle a publié un communiqué de presse dans les meilleurs délais, envoyé un courriel
d’information à ses clients et offert un contrôle du crédit gratuit ainsi qu’une assurance contre le vol d’identité. Le juge
Perell a même exprimé, notamment eu égard aux actions prises par Home Depot, qu’il aurait approuvé un abandon du
recours collectif sur le fond.
En ce qui a trait à l’approbation des honoraires, le juge Perell a souligné que cette question devait être examinée dans
l’optique de l’accès à la justice, de la modification des comportements et de l’économie judiciaire. Cependant, il n’y
avait aucune raison de croire que Home Depot avait besoin de modifier son comportement ni qu’elle était tenue de le
modifier. Après la découverte de l’atteinte à la sécurité des données, Home Depot n’a nullement tenté de cacher
l’affaire et est intervenue comme une « bonne citoyenne » doit le faire.
Notre opinion
Le recours collectif contre Home Depot en Ontario fait ressortir le fait qu’une prévention, détection et réaction
adéquates réduisent considérablement les risques juridiques liés aux atteintes à la vie privée. Les mesures préventives
et compensatoires sont reconnues par les tribunaux comme étant des moyens de réduire ou d’éliminer les dommages
potentiels.
Kateri-Anne Grenier
L’auteure désire remercier Camille Nadeau, étudiante en droit, pour son aide dans la préparation de cette actualité
juridique.
Notes
1
2016 ONSC 5447.
2
Voir particulièrement Jones v. Tsige, 2012 ONCA 32.
3
2014 QCCS 4061.
4
2012 QCCS 958.
5
2008 CSC 27.
PAGE 3
Pour plus de renseignements sur le sujet abordé dans ce bulletin, veuillez communiquer avec l’un des avocats mentionnés ci-dessous :
> Christine A. Carron
Montréal
+1 514.847.4404
[email protected]
> Julie Himo
Montréal
+1 514.847.6017
[email protected]
> Karen Jensen
Ottawa
+1 613.780.8673
[email protected]
> Kateri-Anne Grenier
Québec
+1 418.640.5932
[email protected]
> Anthony Morris
Calgary
+1 403.267.8187
[email protected]
Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l., Norton Rose Fulbright LLP, Norton Rose Fulbright Australia, Norton Rose Fulbright South Africa Inc. et Norton Rose Fulbright US LLP sont des
entités juridiques distinctes, et toutes sont membres du Verein Norton Rose Fulbright, un Verein suisse. Le Verein Norton Rose Fulbright aide à coordonner les activités des membres, mais il ne
fournit aucun service juridique aux clients.
Les mentions de « Norton Rose Fulbright », du « cabinet », du « cabinet d’avocats » et de la « pratique juridique » renvoient à un ou à plusieurs membres de Norton Rose Fulbright ou à une de leurs
sociétés affiliées respectives (collectivement, « entité/entités Norton Rose Fulbright »). Aucune personne qui est un membre, un associé, un actionnaire, un administrateur, un employé ou un
consultant d’une entité Norton Rose Fulbright (que cette personne soit décrite ou non comme un « associé ») n’accepte ni n’assume de responsabilité ni n’a d’obligation envers qui que ce soit
relativement à cette communication. Toute mention d’un associé ou d’un administrateur comprend un membre, un employé ou un consultant ayant un statut et des qualifications équivalents de
l’entité Norton Rose Fulbright pertinente.
Cette communication est un instrument d’information et de vulgarisation juridiques. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis
juridique de toute entité Norton Rose Fulbright sur les points de droit qui y sont discutés. Vous devez obtenir des conseils juridiques particuliers sur tout point précis vous concernant. Pour tout
conseil ou pour de plus amples renseignements, veuillez vous adresser à votre responsable habituel au sein de Norton Rose Fulbright.
© Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l. 2016