Archives de l’étiquette : actionscollectives

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Peut-on inscrire un resto, contre son gré, à un service de commande en ligne?

Publié le par

Le service GrubHub, un concurrent de services comme Uber Eat et DoorDash, fait récemment l’objet d’une poursuite, aux États-Unis, liée au fait que certains restaurateurs s’estiment lésés parce que leurs établissements ont été inscrits sans leur accord. Selon eux, le fait qu’un tiers (GrubHub) rend des services associés à leurs restaurants leur cause préjudice, puisque c’est fait sans aucune rémunération ni aucun contrôle par le restaurant visé, lequel peut ensuite en subir les contrecoups sans en avoir adéquatement bénéficié.

Cette affaire survient dans un contexte où les très populaires services de livraison de repas de restos ont découvert, au cours des dernières années, qu’on pouvait bien ne pas attendre l’accord de chaque établissement pour le placer dans la liste des endroits desquels on pouvait commander. Pourquoi attendre, disent-ils. J’ai simplement à ajouter le resto, à mettre son menu dans mon site, à recevoir les commandes, puis à contacter moi-même le resto pour faire préparer le repas en question, que je passe ensuite chercher, avant de le livrer au client. Je fais de l’argent, le resto aussi. Où est le problème?

Eh bien, des restaurateurs américains ont récemment déposé des procédures judiciaires alléguant que ce genre de pratique est problématique et préjudiciable. Certes, les restos font un profit sur chacune des livraisons, mais cela ne suffit pas, selon eux, puisqu’ils perdent ainsi une part de contrôle sur l’expérience des clients avec leur établissement. En gros, puisque la livraison fait partie des services accessoires, la nature ou la qualité de ces services de livraison se reflète sur l’établissement. Lorsque le service est de piètre qualité ou que des erreurs se glissent dans la commande (ce qui serait fréquent), est-ce normal que la réputation du resto soit entachée, alors qu’il n’a pas été impliqué? C’est essentiellement la question qui se pose ici.

La poursuite allègue qu’au final, une fois certains consommateurs refroidis par le piètre service de livraison, ceux-ci peuvent tout simplement cesser de commander de chaque restaurant visé, causant ainsi un préjudice économique clair, lequel justifierait l’octroi de dommages-intérêts. Un argument pourrait aussi être avancé que l’utilisation de la marque de chaque resto, de cette façon, équivaut à de la contrefaçon ou, à tout le moins, est susceptible d’affecter l’achalandage lié à ces marques de commerce. Bref, il y a certainement place à un beau dossier de litige commercial.

Il semble que cette inscription involontaire constitue une partie de la stratégie de mise en marché habituelle de GrubHub, si bien que des dizaines de milliers de restaurants seraient potentiellement inclus dans la liste des victimes, et donc membres du groupe de cette action collective.

Instagram : cet espion dans votre poche?

Publié le par

Instagram et Facebook font l’objet d’une action collective aux États-Unis quant à l’accès à la caméra de certains cellulaires sans réelle permission des usagers. Si vous avez jamais envisagé que certaines applis vous espionnent, eh bien, il semble que ce ne soit pas de la pure paranoïa!

En effet, même si elles prétendent n’accéder à la caméra des appareils que quand un usager se sert de la caméra en utilisant l’application sur un appareil iPhone, la société Facebook et sa filiale Instagram accéderaient, semble-t-il, aux caméras pendant que l’appli est simplement activée. Selon ce que je comprends, en pratique, l’appli Instagram aurait donc été configurée pour considérer que l’usager «utilise» l’appli dès que celle-ci a été invoquée par l’usager, peu importe que ce soit 5 secondes, 5 minutes ou 5 jours avant. Vraiment? Oui, vraiment, semble-t-il (on parle pour l’instant d’allégations dans une poursuite, évidemment). C’est du moins ce qu’on semble apprendre en lisant la procédure déposée aux États-Unis par un usager au nom de l’ensemble des usagers qui auraient été ainsi espionnés par Facebook et sa filiale.

La nouvelle quant à cette forme d’espionnage émerge depuis juillet, suite à une mise à jour du système d’exploitation iOS, lequel permet dorénavant aux usagers de constater quelles applis utilisent (dans l’instant) la caméra de leur appareil, en temps réel.

L’action collective serait en cours d’examen par le tribunal, à savoir si l’affaire pourra aller de l’avant parce que suffisamment bien fondée. Parmi les allégations, on parle évidemment d’intrusion dans la vie privée des usagers (pensez-vous?) et de violation de la loi américaine en matière d’interception de communications privées, etc.

Les procédures introductives demandent notamment à ce que le tribunal considère d’ordonner à Instagram et Facebook de payer l’équivalent d’une pénalité dont le montant serait basé sur la quantité industrielle de profits générés par ces sociétés.

De son côté, Instagram et la maison-mère Facebook prétendent qu’il ne s’agit que d’une anicroche involontaire découlant d’une erreur de programmation dans l’iOS. Hmmm, ah oui, en anglais «passing the buck» — un classique!

En passant, je suis tombé sur cette affaire par l’entremise d’un vlogue (Vive Frei Vlawg) que je vous recommande, si vous aimez ce format et le droit. Bon visionnement si vous avez 20 minutes dans ce cas-ci.

Une autre raison pour moi de me féliciter d’avoir adopté Android.