Le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à effectuer un survol des nouvelles exigences pour les organismes publics visés par la Loi sur l’accès. Nous avons préparé une version amendée de la Loi sur l’accès afin de refléter les changements apportés par le projet de loi n 64. 1. Renforcer les mécanismes d’obtention du consentement et accroître le contrôle des individus à l’égard de leurs renseignements personnels Le Projet de loi n° 64 apporte des changements importants à la notion de consentement lors de la divulgation de renseignements personnels à des organismes publics. Le consentement requis par la Loi sur l’accès aux fins de communication des renseignements personnels devra être demandé distinctement de toute autre information communiquée à la personne concernée (art. 53.1). De plus, tout consentement à la collecte de renseignements personnels sensibles (par exemple des renseignements touchant la santé ou ceux de nature financière qui suscitent un haut degré d’attente raisonnable en matière de vie privée) devra être obtenu de manière expresse (art. 59). Il est maintenant prévu que le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels doit être donné par le titulaire de l’autorité parentale ou le tuteur, alors que celui du mineur de plus de 14 ans pourra être donné par ce dernier, le titulaire de l’autorité parentale ou le tuteur (art. 53.1). Les personnes auront dorénavant le droit d’accéder aux renseignements les concernant recueillis par les organismes publics dans un format technologique structuré et couramment utilisé (le droit à la portabilité) et d’en exiger la communication à un tiers (art. 84). Si une décision fondée exclusivement sur un traitement automatisé de renseignements personnels est prise par un organisme public, la personne concernée doit en être informée. Si la décision produit des effets juridiques ou le touche autrement, l’organisme public devra divulguer à cette personne (i) les renseignements personnels utilisés dans la prise de décision (ii) les raisons et principaux facteurs ayant mené à la décision et (iii) l’existence d’un droit à la rectification des renseignements personnels utilisés dans la prise de décision (art. 65.1).  Les organismes publics qui ont recours à des moyens technologiques permettant d’identifier, de localiser ou d’effectuer un profilage d’une personne doivent maintenant les informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 65.0.1). 2. Protéger les renseignements personnels en amont Les organismes publics devront dorénavant réaliser une évaluation des facteurs relatifs à la vie privée pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services mettant en cause la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (article 63.5). Cette obligation forcera ainsi les organismes publics à se questionner dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. Dès le début d’un tel projet, les organismes publics devront consulter leur comité d’accès à l’information, dont la création est dorénavant enchâssée dans la Loi sur l’accès. 3. Favoriser la responsabilisation des organismes publics et la transparence des pratiques Les changements apportés par le Projet de loi n° 64 visent également à accroître la transparence des processus employés par les organismes publics dans la collecte et l'utilisation des renseignements personnels, ainsi qu'à mettre l'accent sur la responsabilité. Lorsque la nouvelle loi sera en vigueur, les organismes publics devront publier sur leurs sites Internet les règles encadrant la gouvernance à l’égard des renseignements personnels (art. 63.3). Ces règles pourront prendre la forme d’une politique, d’une directive ou d’un guide et devront prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. Les programmes de formation et de sensibilisation offerts au personnel à cet égard devront également être décrits. Tout organisme public qui recueille des renseignements personnels par un moyen technologique devra diffuser une politique de protection des renseignements personnels en termes simples et clairs (art. 63.4). Un règlement, à être adopté, pourra préciser les renseignements que devra couvrir la politique de protection des renseignements personnels. La communication de renseignements personnels à l’extérieur du Québec devra être divulguée aux personnes concernées (art. 65) et est également assujettie à la réalisation d’une évaluation des facteurs d’impacts sur la vie privée, incluant une analyse du régime juridique applicable dans le lieu où seraient communiqués les renseignements personnels (art. 70.1). La communication à l’extérieur du Québec devra faire l’objet d’une entente écrite (art. 70.1). Un organisme public qui souhaite confier à une personne ou un organisme situé à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels pour son compte devra entreprendre un exercice similaire. 4. Gérer les incidents de sécurité Lorsque l’organisme public aura des motifs de croire qu’un incident de confidentialité (étant défini comme l’accès, l’utilisation, la communication ou la perte de renseignements personnels) est survenu, il devra prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives. De plus, lorsque l’incident présente un risque de préjudice sérieux pour les personnes concernées, celles-ci et la Commission d’accès à l’information (« CAI ») devront être avisées (sauf si cela est susceptible d’entraver une enquête visant à prévenir, détecter ou réprimer le crime ou les infractions aux lois) (art. 63.7). Un registre des incidents de confidentialité devra être tenu (art. 63.10), dont la teneur pourra être précisée par règlement. 5. Augmentation des pouvoirs de la CAI et des sanctions pécuniaires pouvant être imposées Le CAI, dans l’éventualité d’un incident de confidentialité, pourra ordonner à tout organisme public de prendre des mesures visant à protéger les droits des personnes concernées pour le temps et aux conditions qu’elle détermine, après lui avoir permis de présenter des observations (art. 127.2). La CAI dispose désormais du pouvoir d’imposer des sanctions administratives pécuniaires importantes, qui pourront, pour les organismes publics, atteindre 150 000$ (art. 159). En cas de récidive, ces amendes seront portées au double (art. 164.1). Entrée en vigueur Les modifications apportées par le Projet de loi n°64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions introduites à la Loi sur l’accès aux documents des organismes publics entreront en vigueur deux ans suivant la date de la sanction de la loi, soit le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : Les obligations relatives aux mesures à prendre lors d’incidents de sécurité (art. 63.7) et les pouvoirs de la CAI lors de la divulgation d’un incident de sécurité (art. 127.2); et L’exception quant à la communication sans le consentement à des fins de recherche (art. 67.2.1);  Conclusion Le délai accordé aux organismes publics pour se conformer aux nouvelles dispositions a commencé à courir le 22 septembre 2021, lors de l’adoption du Projet de loi no 64. Nous vous recommandons de nous consulter pour mettre en place les mesures requises pour vous conformer aux nouvelles exigences législatives. L’équipe Lavery se fera un plaisir de répondre à toutes vos questions concernant les modifications annoncées et les incidences possibles pour votre organisation. Les renseignements et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adopté le 21 septembre 2021 par l’Assemblée nationale et modifie une vingtaine de lois ayant trait à la protection des renseignements personnels, notamment la Loi sur l’accès aux documents des organismes publics (« Loi sur l’accès »), la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur le cadre juridique des technologies de l’information. Bien que les changements touchent à la fois les organismes publics et les entreprises privées, le présent bulletin vise plus particulièrement à faire un survol des nouvelles exigences pour les entreprises privées visées par la Loi sur le secteur privé.  Nous avons préparé une version amendée de la Loi sur le secteur privé afin de refléter les changements apportés par le projet de loi n 64. Essentiellement, la loi modifiée tend à donner un meilleur contrôle aux individus sur leurs renseignements personnels, à favoriser la protection des renseignements personnels, à responsabiliser davantage les entreprises et à introduire de nouveaux mécanismes visant à assurer le respect des règles en matière de protection des renseignements personnels. Voici une synthèse des principales modifications adoptées par le législateur ainsi que les nouvelles exigences imposées aux entreprises dans ce domaine. Il importe de mentionner que ce nouveau régime de protection des renseignements personnels entrera en vigueur, en grande partie, dans deux ans. 1. Accroître le contrôle des individus sur leurs renseignements personnels et la transparence La nouvelle loi instaure le droit des individus d’accéder aux renseignements les concernant recueillis par les entreprises dans un format technologique structuré et couramment utilisé et d’en exiger la communication à un tiers, à l’exception des renseignements qui sont créés, dérivés, calculés ou inférés à partir des renseignements fournis par la personne concernée (art. 27). Ce droit est usuellement appelé « droit à la portabilité ». Les entreprises ont maintenant une obligation de détruire les renseignements personnels lorsque les fins pour lesquelles ils ont été recueillis ou utilisés sont accomplies. Les entreprises ont également la possibilité d’anonymiser les renseignements personnels selon les meilleures pratiques généralement reconnues pour les utiliser à des fins sérieuses et légitimes (art. 23). Toutefois, il importe que l’identité des individus concernés ne puisse être restaurée. De plus, les entreprises privées doivent désindexer tout hyperlien permettant d’accéder aux renseignements personnels d’un individu (souvent appelé le droit au « déréférencement ») lorsque sa diffusion contrevient à la loi ou à une ordonnance judiciaire (art. 28.1). Si une organisation prend une décision qui est fondée exclusivement sur le traitement automatisé de renseignements personnels, l’individu concerné doit en être informé, et à sa demande, si la décision produit des effets juridiques ou l’affecte autrement, il doit être informé des renseignements personnels qui ont été utilisés dans la prise de décision, ainsi que des raisons et des principaux facteurs ayant mené à celle-ci. La personne doit également être informée de son droit à la rectification (art. 12.1).  Les organisations qui ont recours à des moyens technologiques permettant d’identifier un individu, de le localiser ou d’effectuer son profilage doivent l’informer du recours à cette technologie et des moyens offerts pour désactiver ces fonctions (art. 8.1). La communication et l’utilisation de listes nominatives par une entreprise privée à des fins de prospection commerciale ou philanthropique sont dorénavant assujetties au consentement de la personne concernée. Les entreprises doivent maintenant publier sur leur site Internet en termes simples et clairs leurs règles de gouvernance à l’égard des renseignements personnels (art. 3.2). Ces règles peuvent prendre la forme d’une politique, d’une directive ou d’un guide et doivent notamment prévoir les diverses responsabilités des membres du personnel à l’égard des renseignements personnels. De plus, les entreprises qui recueillent des renseignements personnels par un moyen technologique devront également adopter et publier sur leur site Internet une politique de confidentialité en termes simples et clairs (art. 8.2). La nouvelle loi prévoit également que les entreprises qui refusent une demande d’accès à l’information doivent dorénavant, en plus de motiver leur refus et d’indiquer la disposition de la Loi sur le secteur privé sur laquelle le refus s’appuie, prêter assistance au requérant qui le demande pour l’aider à comprendre ce refus (art. 34). 2. Favoriser la protection des renseignements personnels et la responsabilisation des entreprises Le projet de loi n° 64 vise à accorder une plus grande part de responsabilité aux entreprises en matière de protection des renseignements personnels. C’est ainsi que les entreprises se voient imposer l’obligation de nommer un responsable de la protection des renseignements personnels, qui par défaut sera la personne ayant la plus haute autorité au sein de leur organisation (art. 3.1). En outre, les entreprises devront réaliser une évaluation des facteurs relatifs à la vie privée (« EFVP ») pour tout projet d’acquisition, de développement et de refonte d’un système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3). Cette obligation force ainsi les entreprises à s’interroger dès le début d’un projet sur les risques que celui-ci soulève quant à la protection de la vie privée et des renseignements personnels. L’EFVP devra être proportionnée à la sensibilité des renseignements concernés, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support (art. 3.3). Les entreprises devront également procéder à une EFVP lorsqu’elles auront l’intention de communiquer des renseignements personnels à l’extérieur du Québec, afin de déterminer si les renseignements bénéficieront d’une protection adéquate eu regard notamment aux principes de protection des renseignements personnels généralement reconnus (art. 17). La communication devra aussi faire l’objet d’une entente écrite qui tient compte notamment des résultats de l’EFVP et, le cas échéant, des modalités convenues dans le but d’atténuer les risques identifiés (art. 17 (2)). La communication par les entreprises des renseignements personnels à des fins d’études, de recherche ou de production de statistiques est aussi assujettie à la réalisation d’une EFVP (art. 21). De plus, ce régime est substantiellement modifié puisque le tiers qui souhaite utiliser les renseignements personnels à ces fins doit présenter une demande écrite à la Commission d’accès à l’information (« CAI »), joindre une présentation détaillée de ses activités de recherche et divulguer la liste de toutes les personnes et de tous les organismes auprès desquels il a fait une demande de communication similaire (art. 21.01.1 et 21.01.02). Les entreprises peuvent aussi communiquer un renseignement personnel à un tiers, sans le consentement de l’individu concerné, dans le cadre de l’exécution d’un contrat de service ou d’entreprise. Le mandat devra faire l’objet d’un contrat écrit, qui devra notamment prévoir les mesures de protection des renseignements personnels à respecter par le mandataire ou le prestataire de service (art. 18.3). La communication de renseignements personnels, sans le consentement des individus visés, dans le cadre d’une transaction commerciale entre entreprises privées fait l’objet d’un encadrement supplémentaire (art. 18.4). La notion de transaction commerciale s’entend de « l’aliénation ou de la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, d’une modification de sa structure juridique par fusion ou autrement, de l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou d’une sûreté prise pour garantir une de ses obligations » (art. 18.4). Les entreprises doivent détruire ou rendre anonymes les renseignements personnels recueillis lorsque les fins de la collecte ont été accomplies, sous réserve des délais de conservation prévus par une loi (art. 23). Il s’agit d’un changement important pour les entreprises privées qui peuvent présentement conserver des renseignements personnels caducs s’ils ne les utilisent pas. La nouvelle loi impose aussi l’intégration du principe de la protection de la vie privée par défaut (privacy by default), ce qui implique que les entreprises qui recueillent des renseignements personnels en offrant au public un produit ou un service technologique disposant de divers paramètres de confidentialité doivent s’assurer que ces paramètres assurent par défaut le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée (art. 9.1). Cela ne s’applique pas aux paramètres de confidentialité d’un témoin de connexion (aussi appelés cookies). Lorsqu’une entreprise a des motifs de croire qu’un incident de confidentialité est survenu, elle doit prendre des mesures raisonnables afin de réduire les risques de préjudice et les risques de récidives (art. 3.5). La notion d’incident de confidentialité est définie comme étant l’accès à un renseignement personnel ou l’utilisation, la communication ou la perte de renseignements personnels (art. 3.6). De plus, les entreprises ont l’obligation d’aviser les personnes concernées, ainsi que la Commission d’accès à l’information de chaque incident qui présente un risque sérieux de préjudice, qui s’évalue à la lumière de la sensibilité des renseignements concernés, des conséquences appréhendées de leur utilisation et de la probabilité qu’ils soient utilisés à des fins préjudiciables (art. art. 3.7). Les entreprises devront également tenir un registre des incidents de confidentialité qui devra être communiqué à la CAI sur demande (art. 3.8). 3. Renforcer le régime d’obtention du consentement La nouvelle loi modifie la Loi sur le secteur privé de façon à ce que le l’obtention de tout consentement qui y est prévu soit manifeste, libre et éclairé et qu’il soit donné à des fins spécifiques. Ce consentement doit de plus être demandé pour chacune des fins de la collecte, en termes simples et clairs et de manière distincte, de façon à éviter qu’il ne soit obtenu par le biais de conditions d’utilisation complexes et difficilement compréhensibles pour les personnes concernées (art. 14).   Le consentement des mineurs de moins de 14 ans à la collecte de renseignements personnels par les entreprises doit être donné par le titulaire de l’autorité parentale, alors que celui du mineur de 14 ans et plus pourra être donné par le mineur, par le titulaire de l’autorité parentale ou par le tuteur (art. 14). Au sein d’une entreprise, le consentement à la communication d’un renseignement personnel sensible (par exemple des renseignements de santé ou par ailleurs intimes) doit être manifesté de façon expresse (art. 12). 4. Assurer une meilleure conformité aux exigences prévues à la Loi sur le secteur privé La Loi sur le secteur privé est aussi modifiée par l’ajout de nouveaux mécanismes visant à faire en sorte que les entreprises assujetties respectent les exigences qui y sont prévues. D’une part, la CAI se voit accorder le pouvoir d’imposer des sanctions administratives pécuniaires dissuasives aux contrevenants. Ces sanctions peuvent s’élever jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial de l’entreprise (art. 90.12). En cas de récidive, ces amendes seront portées au double (art. 92.1). De plus, lorsqu’un incident de confidentialité survient au sein d’une entreprise, la CAI peut lui ordonner de prendre des mesures visant à protéger les droits des individus concernés, après lui avoir permis de présenter des observations (art. 81.3). Ensuite, de nouvelles infractions pénales sont créées, pouvant elles aussi mener à l’imposition d’amendes sévères. Pour les entreprises contrevenantes, ces amendes peuvent s’élever jusqu’à 25 000 000 $ ou 4 % de leur chiffre d’affaires mondial (art. 91). Finalement, la nouvelle loi crée également un nouveau droit d’action privé. Essentiellement, celui-ci prévoit que lorsqu’une atteinte illicite à un droit conféré par la Loi sur le secteur privé ou par les articles 35 à 40 du Code civil cause un préjudice et que cette atteinte est intentionnelle ou résulte d’une faute lourde, les tribunaux peuvent accorder des dommages-intérêts punitifs d’une valeur minimale de 1000 $ (art. 93.1). 5. Entrée en vigueur Les modifications apportées par le projet de loi n° 64 entreront en vigueur en plusieurs étapes. La majorité des nouvelles dispositions de la Loi sur le secteur privé entreront en vigueur deux ans suivant la date de la sanction de la loi, qui était le 22 septembre 2021. Certaines dispositions spécifiques entreront toutefois en vigueur un an après cette date, dont notamment : L’obligation pour les entreprises de désigner un responsable de la protection des renseignements personnels (art. 3.1) L’obligation de signalement des incidents de confidentialité (art. 3.5 à 3.8) L’exception à la communication de renseignements personnels dans le cadre d’une transaction commerciale (art. 18.4) et L’exception à la communication de renseignements personnels pour des fins d’études ou de recherche (art. 21 à 21.0.2). D’autre part, la disposition consacrant le droit à la portabilité des renseignements personnels (art. 27) entrera en vigueur trois ans suivant la sanction de la loi. Les membres de l’équipe Lavery sont disponibles pour répondre à vos questions et pour vous aider à vous conformer aux nouvelles exigences en matière de protection des renseignements personnels introduites dans la Loi sur le secteur privé. Les informations et commentaires contenus dans le présent document ne constituent pas un avis juridique. Ils ont pour seul but de permettre au lecteur, qui en assume l’entière responsabilité, de les utiliser à des fins qui lui sont propres.

Sous la plume du juge Mark Schrager, la Cour d’appel a rendu le 6 avril dernier une décision d’intérêt : l’affaire Banque de Nouvelle-Écosse c. Davidovit (2021 QCCA 551). La Banque de Nouvelle-Écosse (la « Banque ») avait accordé un prêt commercial pour l’exploitation d’un centre de conditionnement physique à une société dont Aaron Davidovit (« Davidovit » ou la « Caution ») était dirigeant. En vertu d’une clause contenue dans le cautionnement personnel signé par Davidovit, ce dernier devait rembourser tous les frais et dépenses engagés par la Banque pour recouvrer les sommes lui étant dues par la débitrice principale ou par la Caution, incluant et sans s’y limiter, les frais de justice sur une base avocat/client (la « Clause »). La Banque réclamait de Davidovit 31 145,22 $ en honoraires extrajudiciaires et frais de justice engendrés, alors que le montant réclamé à la Caution en capital et intérêts s’élevait à 35 004,49 $. Décision de première instance Le juge de première instance, l’honorable Frédéric Bachand, conclut que le contrat de cautionnement est un contrat d’adhésion au sens de l’article 1379 du Code civil du Québec (le « C.c.Q. ») et adhère aux arguments avancés par Davidovit voulant que la Clause soit invalide puisqu’elle désavantage l’adhérent d’une manière excessive et déraisonnable, allant ainsi à l’encontre des exigences de la bonne foi, le tout en violation de l’article 1437 C.c.Q. Le juge Bachand souligne deux problèmes principaux à la Clause : (i) elle est unilatérale par nature et avantage de manière disproportionnée la Banque alors que la Caution ne bénéficie pas d’un tel avantage; (ii) elle peut avoir une incidence négative sur l’accès à la justice puisqu’elle tend à dissuader la Caution (qui se trouve déjà dans une situation de vulnérabilité face à son adversaire) de contester la réclamation de la Banque et la Clause ne contribue guère à promouvoir l’état de droit.   Décision en appel La Cour d’appel infirme le jugement du juge Bachand sur l’invalidité de la Clause, mais confirme la condamnation personnelle de Davidovit à titre de Caution. Premièrement, la Cour d’appel souligne qu’une clause unilatérale n’est pas en soi abusive. L’ensemble des obligations d’un emprunteur en vertu d’un contrat de prêt ou les obligations d’une caution en vertu d’un contrat de cautionnement sont unilatérales, mais ce fait n’est pas déterminant à l’égard du caractère abusif d’une clause. La logique appliquée par le juge de première instance aurait pour effet d’en arriver à la conclusion que le remboursement du solde dû au terme du prêt est abusif, car unilatéral. Deuxièmement, le désavantage supporté par une partie ne permet pas non plus de conclure qu’une clause est abusive. Par ailleurs, l’article 23 de la Charte des droits et libertés de la personne du Québec soulevé par le juge Bachand traitant de l’égalité des chances dans le cadre d’un processus judiciaire ne s’applique pas en l’instance, malgré le fait qu’une banque puisse sembler avoir plus de moyens pour entamer des recours judiciaires qu’une caution. Troisièmement, ce n’est pas parce que la loi prévoit une sanction monétaire telle que le paiement des frais de justice ou d’autres dommages (par exemple, via les articles 54 ou 342 du Code de procédure civile) pour une situation d’abus (par exemple, une défense frivole d’une caution), que les parties ne peuvent pas prévoir ce paiement de manière consensuelle par contrat. Au contraire, pour les juges de la Cour d’appel, une clause de remboursement des frais et honoraires extrajudiciaires permet de poursuivre des demandes légitimes devant les tribunaux contre des débiteurs principaux et des cautions qui refusent de s’exécuter. Le juge Schrager se permet également de commenter la conclusion du juge de première instance sur la qualification du contrat de cautionnement de contrat d’adhésion. Toutefois, considérant qu’aucune des deux parties ne remet en doute cette qualification, la Cour d’appel ne se prononce pas formellement sur cet aspect, mais rappelle toutefois que le simple fait que les termes d’un contrat figurent sur un formulaire préimprimé ne signifie pas nécessairement qu’il s’agit d’un contrat d’adhésion, bien qu’un formulaire préimprimé puisse être une indication que les termes imposés ne sont pas négociables. La raisonnabilité du montant réclamé en vertu de la Clause Bien que valide, la Clause doit tout de même être soumise au contrôle des tribunaux afin de s’assurer que le montant réclamé à titre de frais et honoraires extrajudiciaires n’est pas abusif et est réclamé de bonne foi. Or, le remboursement des frais de justice de plus 31 000 $, alors que la réclamation principale s’élève à un peu plus de 35 000 $, n’est pas raisonnable et est disproportionné. Considérant 1) la complexité du dossier, 2) la valeur de la réclamation contre la Caution, 3) le fardeau de démontrer la raisonnabilité des frais incombant à la Banque, 4) que la réclamation en remboursement des frais et honoraires extrajudiciaires doit être exercée de manière raisonnable et de bonne foi (conformément aux articles, 6, 7 et 1375 C.c.Q.), la Cour d’appel réduit la réclamation et l’établit arbitrairement à 12 000 $. Conclusion Les clauses de remboursement d’honoraires extrajudiciaires jouissent d’une certaine acceptabilité sociale, particulièrement dans la sphère commerciale. Même dans un contrat d’adhésion, elles ne sont pas nécessairement abusives et invalides, mais leur application est sujette au contrôle des tribunaux afin d’en assurer l’exécution raisonnable et de bonne foi.

Dans une décision rendue le 26 mars 2021, la Cour supérieure a rejeté une action collective entreprise à l’encontre de l’Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM ») liée à la perte des renseignements personnels de milliers d’investisseurs canadiens1. L’absence d’une preuve de préjudice indemnisable ainsi que la diligence de l’OCRCVM constituent les principaux motifs du rejet de l’action collective. Les faits Le 22 février 2013, un inspecteur de l’OCRCVM a oublié son ordinateur portable dans un lieu public. L’ordinateur, qui contenait des renseignements personnels d’environ 50 000 Canadiens n’a jamais été retrouvé. Ces renseignements avaient initialement été recueillis par différents courtiers en valeurs mobilières sous la surveillance de l’OCRCVM. Monsieur Lamoureux, dont les renseignements étaient contenus dans l’ordinateur, a intenté une action collective au nom de toutes les personnes ayant vu leurs renseignements personnels perdus dans le cadre de cet incident. Il réclamait des dommages compensatoires pour le stress, l’anxiété et l’inquiétude liés à la perte des renseignements personnels ainsi qu’une compensation pour le préjudice lié à l’usurpation ou aux tentatives d’usurpation de l’identité des membres. Il réclamait également des dommages punitifs pour atteinte illicite et intentionnelle au droit au respect de la vie privée protégé par la Charte québécoise des droits et libertés. Sur ce point, les membres prétendaient que l’OCRCVM aurait été insouciante et qu’elle aurait tardé à aviser les personnes concernées, les courtiers et les autorités compétentes. Décision L’action collective est rejetée en totalité. Les dommages compensatoires La Cour supérieure a d’abord pris acte de l’admission de l’OCRCVM qui ne contestait pas avoir commis une faute en raison de la perte de l’ordinateur et du fait que ce dernier n’était pas crypté conformément à ses politiques internes et aux standards de l’industrie. En ce qui a trait aux dommages compensatoires, la Cour a réitéré le principe selon lequel l’existence d’une faute ne présuppose pas celle d’un préjudice; chaque cas doit s’analyser en fonction de la preuve administrée2. En l’espèce, le préjudice allégué par les membres se résumait à : l’inquiétude, la colère, le stress et l’anxiété ressentis face à l’incident; l’obligation de surveiller leurs comptes financiers, notamment les cartes de crédit et comptes bancaires; les inconvénients et la perte de temps pour faire les démarches auprès des agences de renseignements de crédit et veiller à la protection de leurs renseignements personnels; la honte ressentie et les délais occasionnés par la vérification d’identité dans le cadre de leurs demandes de crédit en raison des alertes à leurs dossiers. Dans son analyse, la Cour a retenu que hormis le fait que les membres ont été troublés de façon générale par la perte de leurs renseignements personnels, aucune preuve n’a été faite de difficultés particulières et significatives liées à leur état psychologique. S’appuyant sur l’arrêt Mustapha c. Culligan du Canada Ltée3, la Cour a réitéré que « le droit ne reconnaît pas les contrariétés, la répulsion, l’anxiété, l’agitation ou les autres états psychologiques qui restent en deçà d’un préjudice ». Si le préjudice n’est pas grave et de longue durée et qu’il se limite à des désagréments et craintes ordinaires tributaires de la vie en société, il ne constitue pas un dommage indemnisable. En l’espèce, la Cour a conclu que les sentiments négatifs ressentis à la suite de la perte de renseignements personnels ne permettaient pas de dépasser le seuil des désagréments, angoisses et craintes ordinaires que les personnes vivant en société doivent accepter. Le fait d’avoir à exercer une surveillance plus accrue de ses comptes personnels ne peut se qualifier de préjudice indemnisable puisque les tribunaux assimilent cette pratique à celle « d’une personne raisonnable qui doit protéger ses actifs »4. La Cour a aussi tenu compte du fait que l’OCRCVM a offert gratuitement aux membres l’abonnement à des services de surveillance de crédit et de protection. Par conséquent, elle a conclu qu’aucun dommage ne pouvait être compensé à ce titre. Enfin, les experts ayant été mandatés pour analyser les circonstances et les utilisations illicites des renseignements personnels des investisseurs ont conclu que rien n’indiquait clairement que ces renseignements étaient tombés entre les mains d’un individu ou d’un groupe d’individus à des fins malveillantes bien que la preuve de l’utilisation illicite des renseignements personnels ne soit pas essentielle pour faire valoir une réclamation. Les dommages punitifs Le demandeur, au nom de l’ensemble des membres du groupe, réclamait en outre des dommages punitifs en alléguant que l’OCRCVM aurait fait preuve d’insouciance dans sa gestion de l’incident. Afin d’analyser la diligence de l’OCRCVM, la Cour a retenu les faits suivants.  Dans la semaine suivant la perte de l’ordinateur le 22 février 2013, l’OCRCVM a déclenché une enquête interne. Le 4 mars 2013, l’enquête a révélé que l’ordinateur contenait vraisemblablement les renseignements personnels de milliers de Canadiens. L’OCRCVM a porté plainte à la police. Le 6 mars 2013, elle a mandaté Deloitte pour recenser les renseignements personnels des individus visés, les firmes de courtage et les individus affectés ainsi que pour l’assister dans la gestion des risques et obligations liés à la perte des renseignements personnels. Le 22 mars 2013, Deloitte a informé l’OCRCVM que l’ordinateur contenait des informations « hautement sensibles » et « de sensibilité accrue » de milliers d’investisseurs canadiens. Le 27 mars 2013, l’OCRCVM a avisé la Commission d’accès à l’information (la « CAI ») et le Commissariat à la protection de la vie privée du Canada. Entre le 8 et le 9 avril 2013, l’OCRCVM a rencontré les représentants des firmes de courtage affectés. En parallèle, l’OCRCVM a mandaté des agences de renseignements de crédit pour mettre en place des mesures de protection pour les investisseurs et les firmes de courtage. Elle a également mis en place un centre d’appels bilingue, publié un communiqué relatant la perte de l’ordinateur et transmis une lettre aux investisseurs concernés. La Cour a aussi retenu la preuve d’expert selon laquelle la réponse de l’OCRCVM correspondait aux meilleures pratiques de l’industrie et que les mesures mises en place étaient appropriées dans les circonstances et conformes à d’autres réponses à des incidents de même nature. À la lumière de ces éléments, la Cour a conclu que la perte de l’ordinateur non crypté et la violation du droit à la vie privée qui en découle étaient isolées et non intentionnelles et a en conséquence rejeté la réclamation pour dommages punitifs. Il en ressort que l’OCRCVM n’a pas fait preuve d’insouciance, mais a plutôt agi en temps opportun. Commentaires Cette décision pave la voie dans l’analyse de la conduite diligente d’une entreprise qui verrait les renseignements personnels qu’elle détient potentiellement compromis et confirme qu’une réponse rapide et diligente à un incident de sécurité peut permettre de faire obstacle à une poursuite civile. Cette affaire confirme également que la seule perte des renseignements personnels, aussi sensibles soient-ils, n’est pas suffisante en soi pour justifier une compensation financière, encore faut-il la démonstration probante d’un dommage. Or, les contrariétés et les inconvénients passagers de nature ordinaire ne constituent pas un préjudice indemnisable. La surveillance de ses comptes financiers ne constitue pas une démarche exceptionnelle, mais est plutôt considérée comme la norme à laquelle on s’attend d’une personne raisonnable qui protège ses actifs. Au moment d’écrire ce bulletin, le délai d’appel n’était pas écoulé et le demandeur n’avait pas annoncé ses intentions quant à la possibilité d’appeler du jugement. Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2021 QCCS 1093. Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2014 QCCS 4061, par. 21 et 22. Mustapha c. Culligan du Canada Ltée, 2008 CSC 27, [2008] 2 R.C.S. 114 Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières, 2021 QCCS 1093, par. 73.