Le 10 juin 2019, dans l’affaire Bourbonnière c. Yahoo! Inc., la Cour supérieure, sous la plume de la juge Chantale Tremblay, a refusé la Demande pour autorisation d’exercer une action collective
(la « Demande d’autorisation ») présentée par la demanderesse Brigitte Bourbonnière (la « Demanderesse »). À cet effet, dans un jugement de 16 pages, la Juge Tremblay réitère que la partie demanderesse a
le fardeau de démontrer prima facie l’existence d’un préjudice tangible et susceptible de compensation monétaire, et ce dès le stade de l’autorisation d’une action collective.
Cette demande d’autorisation, déposée le 31 janvier 2017, visait à exercer une action collective contre Yahoo! Inc. et Yahoo! Canada co. (collectivement «Yahoo!»), pour le compte de toutes les personnes résidant au Québec et dont les renseignements personnels et/ou financiers ont été perdus et/ou volés par Yahoo! en raison d’une cyberattaque, du 1er janvier 2013 jusqu’à présent, ainsi que pour toutes les autres personnes qui ont subi des dommages ou qui ont encouru des dépenses en raison des incidents liés à la sécurité des données.
Contexte
En 2016, Yahoo! informe ses membres d’un vol de renseignements personnels touchant plus de 500 millions de membres de Yahoo!. Le 16 décembre 2016, un avis d'action est déposé par Natalia Karasik en Ontario, puis une demande d'autorisation d'exercer une action collective est déposée par Michel Demers le 31 janvier 2017 au Québec. Le 19 septembre 2017, la Cour supérieure du Québec rejette la demande de suspension de l’action collective présentée par Yahoo! en raison de l'existence du recours de l'Ontario. En effet, la Cour conclut que les membres des groupes proposés dans les procédures en Ontario et au Québec ne sont pas identiques, et ce, en raison de la présence des victimes collatérales au Québec.
Le 16 mars 2018, le demandeur, Michel Demers, est remplacé par Brigitte Bourdonnière au moyen d'une demande modifiée d'autorisation d'exercer une action collective et de nommer un représentant.
Description du groupe imprécise et à portée trop étendue
Dans un premier temps, la juge Tremblay rappelle que la description du groupe visée par l’action collective doit être fondée sur des critères objectifs, rationnels et précis. Elle doit permettre à une personne de savoir si elle est ou non membre du groupe. L'utilisation d’une seule date définie va à l'encontre de cet objectif omettant d’établir une date de fin au recours. Ainsi, la juge Tremblay établit que le jugement d'autorisation mettra fin à la période de l’action collective. De plus, elle souligne que la portée du groupe est beaucoup trop large, visant notamment des victimes collatérales alors qu’aucune démonstration n’indique que quiconque aurait subi des dommages ou encouru des dépenses en raison des incidents liés à la sécurité des données. Cette sous-catégorie est donc retirée de la définition du groupe.
L’existence d’un préjudice tangible et susceptible de compensation monétaire
Dans son étude des critères à évaluer et plus spécifiquement de l’article 575(2) du Code de procédure civile (« C.p.c. »), la juge Tremblay se questionne quant à l’exigence précisant que les faits allégués doivent paraître justifier les conclusions recherchées. À ce propos, la Demanderesse allègue que son compte Yahoo! a été compromis en raison la cyberattaque de 2013 et que les Défendeurs ont fait preuve de négligence en omettant de protéger ses renseignements personnels et financiers.
Appuyant son raisonnement sur l’arrêt Sofio c. OCRCVM[1], la juge Tremblay rappelle que la démonstration d'une faute ne présuppose pas l'existence d'un préjudice. Or, la Demanderesse ne démontre pas qu'elle a subi un préjudice indemnisable en raison de l’incident de 2013. En effet, lors de son interrogatoire, la Demanderesse admet n’avoir aucune raison de croire qu'elle a été victime d'un vol d'identité ou d'une fraude, n’ayant identifié aucun frais suspect sur sa carte de débit ou de crédit. Elle continue d’ailleurs d'utiliser son compte Yahoo! et indique ne pas avoir acheté de services de protection de l'identité.
Ainsi, le seul préjudice subi par la Demanderesse se résume à l'inconvénient d'avoir eu à changer ses mots de passe dans tous les comptes associés à son adresse de courriel Yahoo!, ainsi que de l'embarras subi en raison des pourriels qui ont été envoyés à ses amis. La Cour est d'avis qu'un tel préjudice est insuffisant pour justifier l’autorisation d’une action collective.
De plus, la juge Tremblay suit les enseignements de la Cour suprême dans l’affaire Mustapha[2] selon lesquels un préjudice est indemnisable s’il est « grave et prolongé » et s’il dépasse les désagréments, les angoisses et les craintes ordinaires. La juge s’appuie sur l’arrêt Sofio, dans lequel le requérant soutenait avoir dû surveiller ses comptes bancaires, ses relevés de cartes de crédit ainsi que son courrier afin de s’assurer de l’absence de toute irrégularité, ce que la Cour avait alors estimé être des gestes qui sont généralement posés par une personne raisonnable qui protège ses actifs.
Le représentant adéquat
De manière conséquente avec l’analyse de l’article 575(2) C.p.c., la Cour conclut que le critère établi par l’article 575(4) C.p.c. n’est également pas rencontré par la Demanderesse. Celle-ci n’ayant subi aucun dommage indemnisable à la suite de la cyberattaque, elle n’a pas d’apparence de droit. La Demanderesse n’a donc pas l’intérêt pour agir et représenter adéquatement le groupe.
Ainsi, le tribunal refuse d'autoriser l’action collective proposée puisque les critères énoncés à l'article 575 (2) et (4) C.p.c. ne sont pas rencontrés.
Conclusion
L’affaire Bourbonnière c. Yahoo! Inc. confirme le principe établit par la Cour d’appel dans Sofio en vertu duquel il n’est pas suffisant, pour obtenir compensation, de démontrer prima facie la brèche de sécurité au stade de l’autorisation. Il est nécessaire, pour la partie demanderesse, que l’apparence de droit comprenne l’existence d’un préjudice tangible et susceptible de compensation monétaire afin qu’une action collective soit autorisée. Les simples inconvénients ordinaires et passagers, une certaine détresse psychologique ou encore un embarras ne sont pas susceptibles de fonder un préjudice. Ainsi, même si l’action collective constitue un remède ordinaire qui vise à favoriser une meilleure justice sociale[3], il demeure nécessaire de prouver l’existence de dommages susceptibles de compensation en droit civil au Québec pour qu’elle soit autorisée.
[3] L'Oratoire Saint-Joseph du Mont-Royal c. J.J., 2019 CSC 35, par. 8.
