Archives de catégorie : Actions collectives

Tentative avortée d’action collective quant à Google Photos au Québec, faute de cause défendable

Publié le par

La Cour supérieure refusait récemment d’autoriser une action collective, dans Homsy c. Google (2022 QCCS 722). Le tribunal y retourne essentiellement le demandeur faire ses devoirs, en nous fournissant un rappel utile du fait que, bien que nos règles de procédures visent à faciliter l’introduction de tels recours devant nos tribunaux, il ne faut pas assumer que tout ce qu’on peut imaginer amener devant nos tribunaux passe le test et sera nécessairement traité par le système judiciaire.

La décision en question découle d’allégations d’un Québécois à l’effet que la société Google utiliserait l’information biométrique des usagers du service Google Photos sans consentement adéquat de la part des usagers. Selon M. Homsy, des pratiques douteuses d’extraction, de collecte, de conservation et d’utilisation de ses données biométriques faciales seraient en cause, tout comme un préavis insuffisant aux usagers et des consentements inadéquats.

Malheureusement pour le demandeur, bien que les problèmes rapportés existent peut-être, le hic ici c’est que cette tentative de recours collectif contre Google ne repose sur aucune preuve adéquate. Devant ce constat, le tribunal nous sert un rappel utile en refusant d’autoriser ce recours: une action collective c’est bien, pour peu qu’on puisse démontrer avoir une «cause défendable». À défaut, même le régime spécial qui vise à favoriser l’introduction de ce genre de recours ne devrait pas laisser passer n’importe quelle réclamation devant nos tribunaux. Peu de preuve c’est une chose -pas de preuve une toute autre, de dire essentiellement le tribunal.

À première vue, cette décision à de quoi surprendre quand on lit l’article 575 du Code de procédure civile, lequel dicte que le tribunal chargé de valider une action collective (quand elle est déposée au début), doit se limiter à vérifier des choses de base, dont que «les faits allégués paraissent justifier les conclusions recherchées». En lisant cela, on pourrait penser qu’on a rien à prouver à ce stade-ci, seulement à faire de pures allégations. Eh bien non de dire la Cour supérieure, détrompez-vous!

Pour parvenir à cette conclusion, le tribunal nous explique que, compte tenu de la jurisprudence, il faut lire les prérequis de l’art. 575 avec ce qui suit en tête :

Toutes les allégations de fait ne peuvent être tenues pour avérées. Les hypothèses, opinions, spéculations et inférences non supportées ne sont pas tenues pour avérées. De plus, les allégations factuelles générales qui visent le comportement d’une partie défenderesse ne peuvent être tenues pour avérées sans la présentation d’un élément de preuve. En effet, comme l’a établi la Cour suprême du Canada, lorsque des allégations de la demande sont générales et imprécises, elles sont insuffisantes pour satisfaire à la condition préliminaire d’établir une cause défendable; elles doivent être accompagnées d’une certaine preuve afin d’établir une cause défendable.

Puisqu’ici les procédures ne présentaient à peu près rien d’autre que des hypothèses, des opinions, des spéculations et des inférences, on ne rencontrait pas le seuil nous permettant d’autoriser le recours, lequel doit donc être purement et simplement rejeté.

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Le géant de la porno MindGeek (Pornhub): du Canada, au Canada, mais pas canadien?

Publié le par




Les médias rapportent ce matin que la société MindGeek aurait pris la position, devant une demande de la GRC remontant à 2018, qu’étant un groupe dont le siège social est (juridiquement) situé au Luxembourg (ben, c’est son «domicile», vous voyez?), elle n’avait pas à respecter des lois comme la Loi concernant la déclaration obligatoire de la pornographie juvénile sur Internet par les personnes qui fournissent des services. Selon MindGeek, elle n’est pas suffisamment rattachée au Canada pour appliquer cette loi. Oui, vraiment.

Fait intéressant à ce sujet, les grands dirigeants de la société en question sont canadiens, tout comme la majorité de ses employés, notamment ceux qui travaillent à ses bureaux principaux, à Montréal); MindGeek possède aussi toute une panoplie d’entités corporatives, y compris au Canada et au Québec, notamment sa filiale 9219-1568 QUÉBEC INC. En telles circonstances, je serais curieux de savoir quel juriste aurait prétendument affirmé qu’avoir une société-mère à l’étranger exemptait un groupe pareil d’obéir aux lois canadiennes de ce genre.

Selon Wikipédia (oui, oui, je sais) et le journaliste Maxime Bergeron, «MindGeek serait la plus grande entreprise du monde de l’industrie pornographique». On ne parle donc pas ici d’une PME exploitée à partir d’un sous-sol de bungalow à Laval — on parle d’une société milliardaire, comme l’expliquait ce reportage de 2019 de Radio-Canada. Franchement, il est difficile de ne pas tirer de conclusions défavorables quant à cette entité en lisant tout ce qui est publié à son sujet.

Sans vouloir faire preuve de trop de cynisme, avouons que le fait pour un groupe québécois d’aller s’incorporer une société ombrelle dans un paradis fiscal (comme le Luxembourg) semble un peu facile comme raison de ne pas lui appliquer des lois canadiennes de ce type, en pareilles circonstances, et ce, peu importe l’endroit où se situent peut-être les serveurs à l’étranger.

La loi que MindGeek aurait déclarée non applicable prévoit notamment des obligations pour les exploitants de sites porno d’aviser les autorités et les forces de l’ordre, si/quand  elles constatent la présence de pornographie juvénile sur leurs serveurs.  Ce que rapporte La Presse par rapport au défaut de MindGeek de se plier à la loi en question, c’est  qu’au lieu de fournir des renseignements à la GRC, MindGeek se contente de répondre qu’elle avise déjà des autorités étrangères quand elle constate des problème de pédopornographie chez elle, nous laissant tirer nos propres conclusions. Vous voyez la différence? Ah bon…

Pour me faire l’avocat du diable (qui n’est pas normalement client chez nous) : cette loi prévoit qu’une entreprise n’a pas à aviser les autorités canadiennes si elle avise déjà une autorité étrangère, comme le National Center for Missing and Exploited Children aux États-Unis (le «NCMEC»). Selon MindGeek, elle signalerait les problèmes de ce type (depuis 2020, du moins) au NCMEC, se conformant donc maintenant en partie à la loi visée (vue l’exception de l’art. 9 de cette loi), du moins pour ce qui est d’aviser les autorités compétentes (non policières).

Entre vous et moi, même si c’est ce que fait MindGeek, il resterait l’autre article exigeant d’aviser les policiers (l’art. 3 de la loi en question). Ça, on n’en parle pas. Cet article 3 se lit comme suit :

Si la personne qui fournit des services Internet au public [c.-à-d. MindGeek] a des motifs raisonnables de croire que ses services Internet sont ou ont été utilisés pour la perpétration d’une infraction relative à la pornographie juvénile, elle en avise dans les meilleurs délais (…) un agent de police ou toute autre personne chargée du maintien de la paix publique.

Malgré l’existence de cet article, La Presse rapporte relativement à MindGeek que: «Selon la police fédérale, l’entreprise web ne lui a directement rapporté aucun cas d’exploitation sexuelle de mineur en 10 ans.» Oui, vous lisez bien: AUCUN — zéro, zilch, niet, nada, zippo, none.  D’après vous, compte tenu des millions de vidéos téléchargées sur des plateformes majeures de porno (telles PORNHUB, REDHUB, etc.) et des nombreuses plaintes dont ont récemment fait état les médias, est-it probable que MindGeek n’ait eu aucun «motif raisonnable» de conclure à la présence d’un quelconque élément de pornographie juvénile sur ses serveurs? Depuis dix ans? Humm… laissez-moi réfléchir.

Cette plus récente révélation arrive à un moment où la société MindGeek demeure dans l’eau chaude, depuis que de nombreuses femmes se sont plaintes publiquement d’images intimes diffusées (sans autorisation) par PORNHUB et de l’attitude disons laxiste de ce groupe d’entreprises. On tente même actuellement de coller une action collective à MindGeek, au Québec, à ce sujet.