Cyberattaque : la Cour supérieure rejette la demande d’autorisation d’une action collective contre Yahoo! Inc.

Auteurs

La Cour supérieure du Québec rejette la demande d’autorisation d’une action collective visant à condamner Yahoo! Inc.1 ( « Yahoo! ») à verser des dommages-intérêts en raison de cyberattaques ayant porté atteinte à la confidentialité des données de ses usagers.

Contexte

En septembre 2016, Yahoo! publie un communiqué de presse annonçant que près de 500 millions de ses usagers auraient été victimes d’une cyberattaque qui remonte à 2014. En décembre 2016, la compagnie informe ses usagers d’une autre cyberattaque qui, pour sa part, aurait eu lieu en 2013. En février 2017, les usagers sont informés du fait que l’utilisation de cookies falsifiés aurait permis à un tiers d’accéder aux renseignements contenus dans leur compte entre 2015 et 2016.

Alors qu’une action collective est intentée en Ontario en décembre 2016, une demande d’autorisation d’exercer une action collective est déposée au Québec le mois suivant avec pour objet l’indemnisation des usagers victimes d’une ou de plusieurs de ces cyberattaques.

Le jugement

Absence d’une cause d’action défendable

Après avoir limité la taille du groupe aux résidents québécois dont les renseignements ont été perdus et/ou volés entre 2013 et 2019, la Cour aborde le critère du paragraphe 2 de l’article 575 du Code de procédure civile. Suivant ce critère, la demanderesse doit démontrer que les faits allégués paraissent justifier les conclusions recherchées. La Cour doit distinguer les allégations factuelles des arguments, des opinions, des inférences et des hypothèses non étayées, ainsi que des affirmations peu plausibles ou fausses. Cette analyse s’effectue à la lumière du recours de la demanderesse.

En l’espèce, la demanderesse possède un compte de courriel avec Yahoo!. Elle allègue qu’elle a subi un préjudice puisque son compte aurait été piraté lors de la cyberattaque de 2013, bien que les informations compromises ne soient pas encore connues. Elle ajoute qu’elle subit un préjudice additionnel en raison de la menace « imminente » et « certaine » de vol d'identité et de fraude découlant de la vente de ses renseignements sur le marché noir et de leur utilisation par des criminels. Elle aurait également été embarrassée puisque certains de ses amis auraient reçu des pourriels en son nom. Elle doit désormais prendre des mesures pour protéger ses renseignements personnels et financiers.

Fort des principes dégagés par les arrêts Sofio2 et Mustapha3, la Cour réitère que la démonstration d'une faute alléguée ne présuppose pas l'existence d'un préjudice et que ce dernier doit être sérieux et de longue durée. L'embarras et les inconvénients passagers de nature ordinaire ne constituent pas des dommages indemnisables.

Contrairement aux allégations de la Demande, la Cour estime que les réponses de la demanderesse lors de son interrogatoire démontrent qu’elle n'a aucune raison de croire qu'elle a été victime d'un vol d'identité ou d'une fraude puisqu'elle n'a pas identifié de frais suspects et n'a pas reçu de mauvais dossier de crédit. De plus elle continue à utiliser son compte Yahoo! et a admis ne pas avoir acheté de services de protection de l'identité tels que la surveillance du crédit. Ainsi, le seul préjudice qu’aurait subi la demanderesse est le fait qu’elle a dû changer ses mots de passe dans tous les comptes associés à son adresse de courriel Yahoo! et l'embarras subi en raison des pourriels qui ont été envoyés à ses amis. Sur ce point, la Cour remarque qu’aucun des pourriels n’a été déposé au dossier de la Cour et qu’aucun récipiendaire de ses pourriels n’a subi de préjudice. Par conséquent, la Cour conclut que la demanderesse n'a pas démontré l'existence d'une cause défendable.

La Cour distingue les faits en l’espèce de ceux des jugements Zuckerman4 et Belley5 où les demandeurs avaient engagé des dépenses pour la protection de leurs renseignements ou avaient été victimes de fraude ou de vol d’identité.

Absence d’une représentation adéquate

La représentation adéquate suppose que le représentant proposé détient une réclamation personnelle valable. Or, un recours en responsabilité civile exige la démonstration d’un dommage, ce qui n’a pas été fait en l’espèce. En résumé :

  • Il ne suffit pas d’alléguer l’existence d’une faute, encore faut-il qu’un dommage en découle;
  • La notion de « préjudice indemnisable » doit dépasser la simple contrariété.

Conclusion

Les recours pour atteinte à la protection des données ont augmenté de façon exponentielle au cours des dernières années. Le cybercrime est devenu le deuxième type de fraude financière le plus courant. Toute entreprise qui conserve des données sur ses clients devrait être au fait des risques associés aux cyberattaques et des litiges qui pourraient en découler. Afin de minimiser les risques, plusieurs mesures peuvent être mises en place, telles que l’adoption d’un plan de réponse aux cyberattaques, la formation aux employés et la mise à jour régulière des mesures de sécurité. À titre d’exemple, les normes PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) offrent un cadre détaillé permettant aux entreprises de mettre en place des processus de transactions sécuritaires. Pour bien guider les entreprises, il est recommandé de consulter un spécialiste en TI ou d’embaucher un expert à l’interne. Il est également souhaitable de contacter son assureur pour vérifier l’étendue de sa police d’assurance et se prémunir, le cas échéant, d’une assurance cyber risques.

Pour les praticiens en actions collectives, ce jugement démontre encore une fois l’importance de ne pas sous-estimer l’incidence que peut avoir l’interrogatoire du représentant proposé sur l’issue du litige.

 

  1. Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624
  2. Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820.
  3. Mustapha c. Culligan of Canada Ltd, 2008 SCC 27.
  4. Zukerman c. Target Corporation, 2015 QCCA 1809.
  5. Belley c. TD Auto Finance Services Inc/Services de financement auto TD inc, 2015 QCCS 168/2015 QCCA 1255.
Retour à la liste des publications