Nous avons récemment appris qu’une association de consommateurs du Royaume-Uni, au nom de Google You Owe Us, représentant 5,4 millions d’utilisateurs de téléphone cellulaire Iphone, poursuit Google en justice en alléguant une collecte illégale de leurs renseignements personnels, soit sans leur consentement, pendant une période d’environ 8 mois entre 2011 et 2012, grâce à l’application Safari, les ayant notamment utilisés pour faire de la publicité ciblée auprès des utilisateurs. L’audition aura lieu au cours de l’année 2018. En plus de la violation à la législation anglaise en matière de protection des renseignements personnels, on allègue entre autres l’argument de l’abus de confiance, un argument peu utilisé en cette matière. Aux États-Unis, pour cette même affaire, Google a dû payer 22,5 millions de dollars d’amendes auprès de la Federal Trade Commission. Il faut comprendre que les renseignements personnels des usagers, par exemple, de réseaux sociaux, de navigateurs web et de systèmes d’opération sont devenus la monnaie courante pour que ceux-ci puissent obtenir des services numériques « gratuits ». Ces renseignements personnels sont par la suite utilisés par les entreprises qui les ont récoltés pour peaufiner leurs produits, effectuer des publicités ciblées ou ultimement pour être vendus à des entreprises en marketing ou de Big Data afin d’en récolter les revenus qui en découlent.

Quel serait le résultat final si cette action collective était déposée devant les tribunaux québécois? Probablement une décision qui refuserait son autorisation. Au Québec, s’il y a une collecte illégale de nos renseignements personnels par une entreprise privée en contrevenant à la Loi sur la protection des renseignements personnels dans le secteur privé, une victime pourrait entamer un recours en responsabilité civile à l’encontre de l’entreprise privée afin de lui réclamer un certain montant pour compenser le préjudice subi. Mais dans ce cas précis, quel est le dommage résultant de l’analyse comportementale effectuée par Google à l’insu des utilisateurs de Safari? Quel est le dommage indemnisable? D’après nous, il est inexistant. Voyons ce que les tribunaux québécois nous expriment à ce sujet.

D’abord, en 2008, la Cour d’appel nous a confirmé qu’un comportement fautif ne peut à lui seul donner droit à des dommages : « Le recours collectif n’est pas un moyen de punir un contrevenant à la loi, mais bien seulement d’indemniser un groupe de personnes pour des pertes réelles subies en commun ». La même année, la Cour suprême du Canada a aussi précisé :

[50]    […] Le droit ne reconnaît pas les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques qui restent en deçà d’un préjudice. […] le préjudice doit être grave et de longue durée, et qu’il ne doit pas s’agir simplement des désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter, fût-ce à contrecœur. […] Tout bonnement, les contrariétés mineures et passagères n’équivalent pas à un préjudice personnel et, de ce fait, ne constituent pas un dommage.

En 2014, la Cour supérieure a estimé que lorsqu’il y a une perte de renseignements personnels suite à une défaillance des mesures de sécurité établies par une entreprise privée, certaines mesures préventives effectuées par une victime pour éviter un vol d’identité ou une fraude ne sont même pas considérées comme un préjudice indemnisable, ce qui a été confirmé par la Cour d’appel :

[40]     Mais ici, les inconvénients qu’allègue le requérant s’apparentent davantage à ceux qui font généralement partie de la vie en société au XXI^e siècle.

[41]       La vérification mensuelle par une personne de ses comptes bancaires et cartes de crédit ne constitue pas une démarche exceptionnelle. […]

[42]       La surveillance de toute anomalie dans la livraison du courrier n’apparaît pas exceptionnelle non plus. Elle fait partie des habitudes de vie dans notre société. […]

De même, dans le cadre d’une demande d’autorisation d’un recours collectif où il y avait eu la perte d’un disque dur qui contenait plusieurs renseignements personnels, la Cour supérieure a conclu que le dommage selon lequel la victime avait vécu de l’anxiété en changeant quelques-unes de ses habitudes n’était pas compensable. Toutefois, il est important de préciser que dans la décision Zuckerman rendue en 2017, la Cour supérieure a affirmé, selon les faits spécifiques de cette affaire, qu’il y avait potentiellement des dommages indemnisables, sans pour autant déterminer la valeur de ceux-ci :

[73]                […] However, other matters such as setting up credit monitoring and security alerts, obtaining credit reports, and cancelling cards or closing accounts and replacing them are not “ordinary annoyances, anxieties and fears that people living in society routinely, if sometimes reluctantly, accept” but may amount to something more. These are potentially matters for which class members would be entitled to compensation.

L’auteur Benoit Chartier, dans un texte récent sur la cyber-responsabilité dans l’industrie des assurances, confirme : « En résumé, les tribunaux québécois semblent réticents à conclure à l’existence de dommages du simple fait qu’il y a vol, violation ou pertes de données confidentielles. » Sans preuve de vol d’identité, de fraude, d’atteinte à la réputation, d’humiliation flagrante ou de stress dépassant la normalité au 21^e siècle, découlant directement des gestes fautifs, les dommages compensables seront inexistants ou à tout le moins, n’auront que très peu de valeur.

En effet, selon une analyse effectuée par Éloïse Gratton et Frédérick Néron en 2014, lors de poursuites civiles entreprises au Québec par des individus (et non dans le cadre d’un recours collectif), les dommages pour violation du droit à la vie privée se situent généralement entre 500 $ et 12 000 $, dépendamment de la gravité des dommages. Dans le cadre des recours collectifs, les mêmes auteurs indiquent que les montants accordés aux individus au Canada pour des atteintes à la vie privée découlant d’un bris de sécurité ou de la divulgation non-autorisée de renseignements personnels sont généralement modestes. D’ailleurs, il est important de préciser que dans le dossier de Google entrepris au Royaume-Uni, la réclamation discute d’environ 269 $ par personne.

Bref, nous sommes portés à croire que le recours collectif effectué contre Google aurait très peu de chance de succès au Québec, faute d’un dommage compensable. Les victimes ne pourraient donc recevoir aucun dédommagement monétaire. Est-ce que cette entreprise privée resterait alors « impunie » au Québec face à des gestes clairement illégaux, mais non compensables? Peut-être. Il existe toutefois les amendes prévues à l’article 91 de la Loi sur la protection des renseignements personnels dans le secteur privé, qui ne nécessitent aucune preuve de dommages pour les appliquer. Cependant, ces amendes semblent avoir été très peu utilisées, n’ayant retrouvé aucune décision nous permettant de connaitre la façon dont ces amendes seraient appliquées en pratique. Ainsi, face à une action collective de ce type au Québec, l’entreprise privée devra, à tout le moins, dépenser des sommes assez généreuses en frais d’avocats pour se défendre, et parfois, offrira un montant forfaitaire confidentiel pour régler le dossier à l’amiable, sans plus.