Dans une décision rendue le 26 mars 2021, la Cour supérieure a rejeté une action collective entreprise à l’encontre de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM ») liée à la perte des renseignements personnels de milliers d’investisseurs canadiens1. L’absence d’une preuve de préjudice indemnisable ainsi que la diligence de l’OCRCVM constituent les principaux motifs du rejet de l’action collective.

Les faits

Le 22 février 2013, un inspecteur de l’OCRCVM a oublié son ordinateur portable dans un lieu public. L’ordinateur, qui contenait des renseignements personnels d’environ 50 000 Canadiens n’a jamais été retrouvé. Ces renseignements avaient initialement été recueillis par différents courtiers en valeurs mobilières sous la surveillance de l’OCRCVM.

Monsieur Lamoureux, dont les renseignements étaient contenus dans l’ordinateur, a intenté une action collective au nom de toutes les personnes ayant vu leurs renseignements personnels perdus dans le cadre de cet incident. Il réclamait des dommages compensatoires pour le stress, l’anxiété et l’inquiétude liés à la perte des renseignements personnels ainsi qu’une compensation pour le préjudice lié à l’usurpation ou aux tentatives d’usurpation de l’identité des membres. Il réclamait également des dommages punitifs pour atteinte illicite et intentionnelle au droit au respect de la vie privée protégé par la Charte québécoise des droits et libertés. Sur ce point, les membres prétendaient que l’OCRCVM aurait été insouciante et qu’elle aurait tardé à aviser les personnes concernées, les courtiers et les autorités compétentes.

Décision

L’action collective est rejetée en totalité.

Les dommages compensatoires

La Cour supérieure a d’abord pris acte de l’admission de l’OCRCVM qui ne contestait pas avoir commis une faute en raison de la perte de l’ordinateur et du fait que ce dernier n’était pas crypté conformément à ses politiques internes et aux standards de l’industrie.

En ce qui a trait aux dommages compensatoires, la Cour a réitéré le principe selon lequel l’existence d’une faute ne présuppose pas celle d’un préjudice; chaque cas doit s’analyser en fonction de la preuve administrée2. En l’espèce, le préjudice allégué par les membres se résumait à :

  1. l’inquiétude, la colère, le stress et l’anxiété ressentis face à l’incident;
  2. l’obligation de surveiller leurs comptes financiers, notamment les cartes de crédit et comptes bancaires;
  3. les inconvénients et la perte de temps pour faire les démarches auprès des agences de renseignements de crédit et veiller à la protection de leurs renseignements personnels;
  4. la honte ressentie et les délais occasionnés par la vérification d’identité dans le cadre de leurs demandes de crédit en raison des alertes à leurs dossiers.

Dans son analyse, la Cour a retenu que hormis le fait que les membres ont été troublés de façon générale par la perte de leurs renseignements personnels, aucune preuve n’a été faite de difficultés particulières et significatives liées à leur état psychologique. S’appuyant sur l’arrêt Mustapha c. Culligan du Canada Ltée3, la Cour a réitéré que « le droit ne reconnaît pas les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques qui restent en deçà d’un préjudice ». Si le préjudice n’est pas grave et de longue durée et qu’il se limite à des désagréments et craintes ordinaires tributaires de la vie en société, il ne constitue pas un dommage indemnisable.

En l’espèce, la Cour a conclu que les sentiments négatifs ressentis à la suite de la perte de renseignements personnels ne permettaient pas de dépasser le seuil des désagréments, angoisses et craintes ordinaires que les personnes vivant en société doivent accepter. Le fait d’avoir à exercer une surveillance plus accrue de ses comptes personnels ne peut se qualifier de préjudice indemnisable puisque les tribunaux assimilent cette pratique à celle « d’une personne raisonnable qui doit protéger ses actifs »4. La Cour a aussi tenu compte du fait que l’OCRCVM a offert gratuitement aux membres l’abonnement à des services de surveillance de crédit et de protection. Par conséquent, elle a conclu qu’aucun dommage ne pouvait être compensé à ce titre.

Enfin, les experts ayant été mandatés pour analyser les circonstances et les utilisations illicites des renseignements personnels des investisseurs ont conclu que rien n’indiquait clairement que ces renseignements étaient tombés entre les mains d’un individu ou d’un groupe d’individus à des fins malveillantes bien que la preuve de l’utilisation illicite des renseignements personnels ne soit pas essentielle pour faire valoir une réclamation.

Les dommages punitifs

Le demandeur, au nom de l’ensemble des membres du groupe, réclamait en outre des dommages punitifs en alléguant que l’OCRCVM aurait fait preuve d’insouciance dans sa gestion de l’incident.

Afin d’analyser la diligence de l’OCRCVM, la Cour a retenu les faits suivants. 

Dans la semaine suivant la perte de l’ordinateur le 22 février 2013, l’OCRCVM a déclenché une enquête interne. Le 4 mars 2013, l’enquête a révélé que l’ordinateur contenait vraisemblablement les renseignements personnels de milliers de Canadiens. L’OCRCVM a porté plainte à la police. Le 6 mars 2013, elle a mandaté Deloitte pour recenser les renseignements personnels des individus visés, les firmes de courtage et les individus affectés ainsi que pour l’assister dans la gestion des risques et obligations liés à la perte des renseignements personnels. Le 22 mars 2013, Deloitte a informé l’OCRCVM que l’ordinateur contenait des informations « hautement sensibles » et « de sensibilité accrue » de milliers d’investisseurs canadiens. Le 27 mars 2013, l’OCRCVM a avisé la Commission d’accès à l’information (la « CAI ») et le Commissariat à la protection de la vie privée du Canada. Entre le 8 et le 9 avril 2013, l’OCRCVM a rencontré les représentants des firmes de courtage affectés. En parallèle, l’OCRCVM a mandaté des agences de renseignements de crédit pour mettre en place des mesures de protection pour les investisseurs et les firmes de courtage. Elle a également mis en place un centre d’appels bilingue, publié un communiqué relatant la perte de l’ordinateur et transmis une lettre aux investisseurs concernés.

La Cour a aussi retenu la preuve d’expert selon laquelle la réponse de l’OCRCVM correspondait aux meilleures pratiques de l’industrie et que les mesures mises en place étaient appropriées dans les circonstances et conformes à d’autres réponses à des incidents de même nature.

À la lumière de ces éléments, la Cour a conclu que la perte de l’ordinateur non crypté et la violation du droit à la vie privée qui en découle étaient isolées et non intentionnelles et a en conséquence rejeté la réclamation pour dommages punitifs. Il en ressort que l’OCRCVM n’a pas fait preuve d’insouciance, mais a plutôt agi en temps opportun.

Commentaires

Cette décision pave la voie dans l’analyse de la conduite diligente d’une entreprise qui verrait les renseignements personnels qu’elle détient potentiellement compromis et confirme qu’une réponse rapide et diligente à un incident de sécurité peut permettre de faire obstacle à une poursuite civile.

Cette affaire confirme également que la seule perte des renseignements personnels, aussi sensibles soient-ils, n’est pas suffisante en soi pour justifier une compensation financière, encore faut-il la démonstration probante d’un dommage. Or, les contrariétés et les inconvénients passagers de nature ordinaire ne constituent pas un préjudice indemnisable. La surveillance de ses comptes financiers ne constitue pas une démarche exceptionnelle, mais est plutôt considérée comme la norme à laquelle on s’attend d’une personne raisonnable qui protège ses actifs.

Au moment d’écrire ce bulletin, le délai d’appel n’était pas écoulé et le demandeur n’avait pas annoncé ses intentions quant à la possibilité d’appeler du jugement.