Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Le géant de la porno MindGeek (Pornhub): du Canada, au Canada, mais pas canadien?




Les médias rapportent ce matin que la société MindGeek aurait pris la position, devant une demande de la GRC remontant à 2018, qu’étant un groupe dont le siège social est (juridiquement) situé au Luxembourg (ben, c’est son «domicile», vous voyez?), elle n’avait pas à respecter des lois comme la Loi concernant la déclaration obligatoire de la pornographie juvénile sur Internet par les personnes qui fournissent des services. Selon MindGeek, elle n’est pas suffisamment rattachée au Canada pour appliquer cette loi. Oui, vraiment.

Fait intéressant à ce sujet, les grands dirigeants de la société en question sont canadiens, tout comme la majorité de ses employés, notamment ceux qui travaillent à ses bureaux principaux, à Montréal); MindGeek possède aussi toute une panoplie d’entités corporatives, y compris au Canada et au Québec, notamment sa filiale 9219-1568 QUÉBEC INC. En telles circonstances, je serais curieux de savoir quel juriste aurait prétendument affirmé qu’avoir une société-mère à l’étranger exemptait un groupe pareil d’obéir aux lois canadiennes de ce genre.

Selon Wikipédia (oui, oui, je sais) et le journaliste Maxime Bergeron, «MindGeek serait la plus grande entreprise du monde de l’industrie pornographique». On ne parle donc pas ici d’une PME exploitée à partir d’un sous-sol de bungalow à Laval — on parle d’une société milliardaire, comme l’expliquait ce reportage de 2019 de Radio-Canada. Franchement, il est difficile de ne pas tirer de conclusions défavorables quant à cette entité en lisant tout ce qui est publié à son sujet.

Sans vouloir faire preuve de trop de cynisme, avouons que le fait pour un groupe québécois d’aller s’incorporer une société ombrelle dans un paradis fiscal (comme le Luxembourg) semble un peu facile comme raison de ne pas lui appliquer des lois canadiennes de ce type, en pareilles circonstances, et ce, peu importe l’endroit où se situent peut-être les serveurs à l’étranger.

La loi que MindGeek aurait déclarée non applicable prévoit notamment des obligations pour les exploitants de sites porno d’aviser les autorités et les forces de l’ordre, si/quand  elles constatent la présence de pornographie juvénile sur leurs serveurs.  Ce que rapporte La Presse par rapport au défaut de MindGeek de se plier à la loi en question, c’est  qu’au lieu de fournir des renseignements à la GRC, MindGeek se contente de répondre qu’elle avise déjà des autorités étrangères quand elle constate des problème de pédopornographie chez elle, nous laissant tirer nos propres conclusions. Vous voyez la différence? Ah bon…

Pour me faire l’avocat du diable (qui n’est pas normalement client chez nous) : cette loi prévoit qu’une entreprise n’a pas à aviser les autorités canadiennes si elle avise déjà une autorité étrangère, comme le National Center for Missing and Exploited Children aux États-Unis (le «NCMEC»). Selon MindGeek, elle signalerait les problèmes de ce type (depuis 2020, du moins) au NCMEC, se conformant donc maintenant en partie à la loi visée (vue l’exception de l’art. 9 de cette loi), du moins pour ce qui est d’aviser les autorités compétentes (non policières).

Entre vous et moi, même si c’est ce que fait MindGeek, il resterait l’autre article exigeant d’aviser les policiers (l’art. 3 de la loi en question). Ça, on n’en parle pas. Cet article 3 se lit comme suit :

Si la personne qui fournit des services Internet au public [c.-à-d. MindGeek] a des motifs raisonnables de croire que ses services Internet sont ou ont été utilisés pour la perpétration d’une infraction relative à la pornographie juvénile, elle en avise dans les meilleurs délais (…) un agent de police ou toute autre personne chargée du maintien de la paix publique.

Malgré l’existence de cet article, La Presse rapporte relativement à MindGeek que: «Selon la police fédérale, l’entreprise web ne lui a directement rapporté aucun cas d’exploitation sexuelle de mineur en 10 ans.» Oui, vous lisez bien: AUCUN — zéro, zilch, niet, nada, zippo, none.  D’après vous, compte tenu des millions de vidéos téléchargées sur des plateformes majeures de porno (telles PORNHUB, REDHUB, etc.) et des nombreuses plaintes dont ont récemment fait état les médias, est-it probable que MindGeek n’ait eu aucun «motif raisonnable» de conclure à la présence d’un quelconque élément de pornographie juvénile sur ses serveurs? Depuis dix ans? Humm… laissez-moi réfléchir.

Cette plus récente révélation arrive à un moment où la société MindGeek demeure dans l’eau chaude, depuis que de nombreuses femmes se sont plaintes publiquement d’images intimes diffusées (sans autorisation) par PORNHUB et de l’attitude disons laxiste de ce groupe d’entreprises. On tente même actuellement de coller une action collective à MindGeek, au Québec, à ce sujet.

Reconnaissance faciale et IA: la pelote de laine à démêler

On peut lire ce matin dans les médias qu’un Québécois demande au tribunal d’autoriser une action collective contre le bailleur de centres commerciaux Cadillac Fairview relativement à l’utilisation de bornes lui ayant permis de recueillir les images et les données biométriques de millions de visiteurs sans leur consentement. Pour le requérant, le bailleur aurait ainsi violé le droit des clients à leur vie privée en vertu de la Charte des droits et libertés de la personne.

Le système de pointe installé par ce bailleur dans certains centres commerciaux au Québec aurait capté l’image de visiteurs consultant l’appareil, et ce, sans les aviser que leur image était ainsi captée puis analysée, notamment pour décliner certaines données comme le sexe de la personne. Bien qu’on n’était pas au point de tenter d’identifier les personnes précisément, la pratique a tout de même de quoi nous préoccuper, selon plusieurs.

Fait intéressant, le Commissariat à la protection de la vie privée du Canada («Commissariat») réclamait justement récemment des mesures de protection de la vie privée plus solides quant à l’élaboration et l’utilisation de technologies liées à la reconnaissance faciale et aux systèmes d’intelligence artificielle (IA). L’annonce publiée la semaine dernière mentionnait les défis qui se présentent à nous en matière de reconnaissance faciale et d’intelligence artificielle. Elle reprenait, en gros, le thème du problème que présente pour la société canadienne l’activation de systèmes qui peuvent désormais vous ficher instantanément et même vous reconnaître.

Le potentiel de dérapage est évidemment énorme, ce qui justifie de nous poser dès maintenant de sérieuses questions quant à ce qu’on peut faire pour restreindre ou baliser l’adoption trop débridée de ce type de technologies.