Archives de l’étiquette : renseignementspersonnels

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Base de données de Clearview: clairement en violation des règles canadiennes en matière de protection des renseignements personnels

Publié le par

On rapporte ce matin que le commissaire à la protection de la vie privée déclarait cette semaine que l’entreprise Clearview AI a violé les droits des Canadiens à grande échelle par l’entremise de son système de reconnaissance faciale. La base de données créée par Clearview en configurant son système pour naviguer au hasard du Web et des réseaux sociaux en fichant tout un chacun des individus que le système peut repérer et identifier. Le système aurait ainsi emmagasiné trois milliards de photographies de visages d’individus. Oui, MILLIARDS.

En fichant autant de Canadiens sans aucune permission, l’entreprise aurait donc en un sens violé la loi canadienne, d’une façon qui met les personnes à risque, notamment d’abus par les forces de l’ordre (par exemple par la GRC, jusqu’à récemment un bon client de Clearview). En pratique, à tout le moins, c’est le résultat.

On comprendra qu’il y a quelque chose de dérangeant dans une situation où des policiers pourraient ne pas avoir le pouvoir de faire X, mais y parvenir en passant par un produit comme Clearview. Devrait-on se formaliser qu’un corps policier puisse entrer la photo d’un suspect dans le système de Clearview et l’identifier, sans aucun mandat?

Du côté de l’entreprise même, on peut aussi voir comme étant problématiques les pratiques d’une société dont le système surfe en ligne et sauvegarde (c’est-à-dire inscrit sans vergogne dans sa base de données) les photos de tous les individus qu’elle parvient à identifier. Euhhh, pensez-vous?

Plusieurs commissaires (provinciaux) à la protection de la vie privée ont d’ailleurs joint leur voix à celle du commissaire fédéral à ce sujet. L’entreprise, elle, refuse d’admettre que ses activités s’avèrent problématiques, notamment parce qu’elle est américaine et donc, selon elle, non liée par les lois canadiennes. Clearview s’est d’ailleurs retirée du marché canadien en 2020, en cessant en principe d’offrir l’accès à son système à des organisations canadiennes. Selon elle, n’ayant plus de connexion suffisante avec le Canada, elle peut faire ce qu’elle veut, peu importe que cela puisse froisser les sensibilités de quelques citoyens canadiens. En vertu de la loi canadienne à ce sujet, cette position est malheureusement défendable, ce pour quoi les autorités pourraient bien frapper un mur si elles tentaient de déposer de réelles procédures contre Clearview.

À tout événement, les commissaires invitent à nouveau Clearview à supprimer les photos des Canadiens qui auraient été fichés (sans permission) dans sa base de données. Permettez-moi de ne pas retenir mon souffle pendant qu’on attend que Clearview se conforme à cette invitation.

Transformation numérique et cartes d’identité: le projet en chantier au Québec

Publié le par

Le journal La Presse rapportait récemment les propos du ministre Éric Claire qui confirme que la province du Québec est à préparer un portefeuille numérique qui, dès ce printemps, pourrait permettre aux citoyens de prouver leur identité lorsque requis. Le système permettrait son chargement sur un téléphone cellulaire, par exemple.

L’idée, déjà en phase de déploiement ailleurs dans le monde, serait de mettre en œuvre un système permettant aux individus de prouver leur identité lorsqu’un fonctionnaire, les forces de l’ordre ou une entreprise quelconque leur demande de le faire. Le système viserait donc à remplacer les cartes physiques (comme le permis de conduire) que l’archaïque gouvernement du Québec nous force encore à trimbaler dans notre porte-monnaie.

Le système envisagé aurait aussi l’avantage de permettre de ne fournir aux commerçants, par exemple, que les renseignements qui s’avèrent réellement utiles à une transaction, par opposition au permis de conduire actuel, qui révèle des choses au marchand qu’on pourrait vouloir ne pas lui fournir. 

Il semble que le Québec espère pouvoir combiner la preuve d’identité au transactionnel, ce qui s’avère peut-être en fournir plus au client qu’il n’en demande, franchement. Selon moi, commençons par permettre d’authentifier les personnes de façon numérique, le reste suivra bien!

À voir maintenant combien de temps et pour quel coût notre gouvernement parviendra (ou pas) à déployer cette merveille annoncée.