Leçons tirées du règlement d’un recours collectif pour atteinte à la vie privée au Canada

Auteur(s) : Roland Hung

2 novembre 2016

Le recours collectif semble devenir une nouvelle avenue potentielle à emprunter par une partie à un litige qui sollicite une indemnité pour atteinte à la vie privée. La récente approbation du règlement d'un recours collectif dans Lozanski v The Home Depot, Inc. [PDF anglais] (« Home Depot ») par la Cour supérieure de justice de l'Ontario se distingue du fait qu'il s'agit de l'un des rares règlements d'un recours collectif pour atteinte à la vie privée au Canada. Cette décision fournit aussi des lignes directrices bien nécessaires dans ce domaine. Elle laisse entendre que les membres du groupe de recours collectif doivent avoir été lésés pour avoir droit à une indemnité, et que les entreprises devraient adopter une approche proactive afin d’atténuer leur responsabilité en cas d’atteinte à la vie privée.

Contexte

En vertu de l'article 29 de la Loi de 1992 sur les recours collectifs de l'Ontario, il ne peut y avoir désistement ou règlement d'un recours collectif qu'avec l'approbation du tribunal. Le principe général est que le tribunal doit conclure que le règlement est « équitable, raisonnable et dans l’intérêt supérieur des membres du groupe », dans son ensemble.^[1]

Les faits relatifs à Home Depot

Entre le 11 avril 2014 et le 13 septembre 2014, le système de paiement par carte de crédit de Home Depot a été piraté par des criminels qui ont utilisé des logiciels malveillants personnalisés pour accéder aux renseignements sur les clients, aux caisses libre-service. À la suite de l’atteinte à la sécurité des données, Home Depot a avisé les commissaires à la protection de la vie privée de l’Alberta, de la Colombie-Britannique, du Québec et du Canada. Aucun d’eux n’a conclu que Home Depot avait enfreint les lois du Canada relatives à la vie privée. Home Depot a également publié des communiqués et a avisé directement 500 000 clients qui auraient pu être affectés. Dans ces communications, Home Depot présentait ses excuses pour l’atteinte à la protection des données, a confirmé qu’elle avait supprimé les logiciels malveillants, et a assuré aux clients qu’ils n’auraient pas à payer les frais portés frauduleusement à leur compte. Les clients se sont aussi vu offrir à titre gratuit la surveillance de leur crédit et une assurance vol d’identité.

Des recours collectifs ont été institués contre Home Depot en Ontario, en Saskatchewan, en Colombie-Britannique, à Terre-Neuve et au Québec. Une entente de règlement nationale a été conclue le 25 avril 2016. Aux termes de l’entente, Home Depot a convenu de créer un fonds de règlement de 250 000 $ aux fins d’indemnisation dans le cas de pertes documentées découlant de la brèche de données, jusqu’à un maximum de 5 000 $ par demandeur, à condition que les requérants abandonnent leur recours collectif. Home Depot a également convenu de payer les services de surveillance du crédit jusqu’à un maximum de 250 000 $ et d’assumer les frais de notification des membres du groupe et d’administration du fonds. Les modalités du règlement prévoient également les honoraires du représentant des demandeurs, s’élevant à 11 000 $, et les honoraires d’avocat, s’établissant à 406 800 $, frais de justice et TVH compris. Cependant, comme il est énoncé plus bas, le tribunal n’a pas approuvé les honoraires d’avocat proposés dans le règlement.

La décision dans l'affaire Home Depot

Le juge Perell a approuvé l’entente de règlement et a établi la valeur maximale du règlement du recours collectif à 400 000 $. Il a conclu qu’il n’y aurait probablement qu’une très petite partie de l’indemnité, aux termes de l’entente de règlement, qui serait versée aux demandeurs, étant donné qu’ils devaient prouver qu’ils avaient réellement subi des pertes. Selon le raisonnement du juge, les pertes essuyées seraient probablement de faible importance, car les membres du groupe ne seraient pas tenus responsables des frais frauduleusement portés à leur compte à la suite de la brèche de sécurité. Les risques de vol d’identité étaient minimes, car les données volées n’avaient pas trait à des pièces d’identité émises par le gouvernement, comme le permis de conduire ou le numéro d’assurance sociale. Par ailleurs, il n’était pas convaincu que la totalité des fonds serait distribuée, en raison de la brièveté de la période pendant laquelle les membres du groupe ont été autorisés à déposer une demande d’indemnisation.

Cependant, le juge Perell a refusé d'approuver les honoraires du requérant, en soulignant que l'indemnisation du représentant des demandeurs est un fait qui se voit rarement et qu'elle « ne peut être accordée que si celui-ci a fourni un apport exceptionnel ayant permis au groupe d’avoir gain de cause ».^[2] Les honoraires d’avocat ont également été ramenés à 120 000 $. Il a jugé que d’accorder des frais d’avocat de 406 800 $ serait disproportionné par rapport au faible taux de participation au règlement, et aux risques courus par l’avocat du groupe. En évaluant ces risques, il a souligné que la preuve présentée à l’encontre de Home Depot était très faible. Cette brèche de sécurité était le fait de pirates informatiques, et ne découlait aucunement d’actes répréhensibles de la part de Home Depot. Home Depot a ouvertement et promptement avisé les clients, et a tenté d’atténuer tout préjudice potentiel découlant de la brèche, ce qui s’est soldé par un très petit nombre de pertes documentées au moment du règlement. Le juge Perell a souligné que, même s’il allouait une indemnité qui ne couvrait pas tous les frais engagés par l’avocat du groupe, les honoraires doivent être équitables et raisonnables dans les circonstances, et « la cour ne devrait pas approuver les frais simplement parce que l’avocat du groupe était prêt à courir le risque ».^[3]

Importance

Les recours collectifs pour atteinte à la vie privée constituent encore un domaine du droit en développement au Canada, et il existe peu de directives judiciaires à cet égard. L’affaire Home Depot est l’un des rares règlements d’un recours collectif pour atteinte à la vie privée approuvés par la cour. Cette affaire laisse entendre que les membres du groupe doivent être préparés à faire la preuve du préjudice subi à la suite de l’atteinte à la vie privée dans le but de recevoir une indemnité. Cela peut limiter les dommages-intérêts des membres du groupe, dans les cas où le préjudice allégué subi à la suite d’une atteinte à la vie privée est difficile à quantifier. Le fait que la cour ait réduit les honoraires de l’avocat peut aussi avoir d’importantes répercussions sur la disposition de l’avocat à entreprendre un recours collectif pour atteinte à la vie privée, particulièrement lorsque la preuve du préjudice est spéculative ou que le défendeur n’a pas commis d’actes répréhensibles.

Par ailleurs, l’affaire Home Depot offre des lignes directrices sur les mesures que les entreprises peuvent prendre lorsqu’elles découvrent une atteinte à la vie privée. Les entreprises qui n’ont commis aucune faute, en cas d’atteinte à la vie privée, peuvent diminuer leur responsabilité potentielle en adoptant des mesures proactives, en avisant les personnes pouvant avoir été lésées et en les aidant à atténuer les préjudices découlant de la perte de leurs données.

^[1] Lozanski v The Home Depot, Inc., 2016 ONSC 5447, parag. 70.