Runner up of 2020 Privacy and Access Law Student Essay Competition

  • November 09, 2020

Cybers√©curit√© en entreprise et donn√©es personnelles : Perspective qu√©b√©coise de la responsabilit√© civile

Justine Sara, l’Universit√© de Montr√©al

1er mars 2020

(available in French only)

Introduction

Il est aujourd’hui estim√© que pr√®s de 80 % des actifs d’une entreprise existent sous la forme de donn√©es informatiques1. R√©cemment, la stabilit√© de ces actifs a √©t√© excessivement fragilis√©e √† la suite d’un vol de donn√©es personnelles qui a profond√©ment terni l’image que projette les nouvelles technologies sur la vie des Qu√©b√©cois. Le 20 juin 2019, le Mouvement des Caisses Desjardins2 annon√ßait en effet que 2,9 millions de ses membres furent victimes d’une fuite de renseignements personnels touchant leurs noms, dates de naissance, num√©ros d’assurance sociale, adresses physiques et √©lectroniques, num√©ros de t√©l√©phones, habitudes transactionnelles et produits financiers. Ces donn√©es ont √©t√© transmises ill√©galement √† des personnes mal intentionn√©es par un employ√© du Mouvement. Desjardins a d√®s lors instaur√© un service gratuit aupr√®s d’Equifax, service d’alerte pour les op√©rations frauduleuses, pour les 2,9 millions de membres qui ont √©t√© touch√©s par la fuite. Le 2 novembre 2019, Guy Cormier, chef de la Direction et pr√©sident du Conseil d’administration, annon√ßait finalement que ce ne sont pas 2,9 millions de membres qui ont √©t√© touch√©s, mais plut√īt 4,2 millions, repr√©sentant la totalit√© des membres particuliers.

Bien qu’elle soit celle qui ait re√ßu le plus d’attention m√©diatique, la fuite de Desjardins n’est pas la seule √† √™tre survenue dans les six derniers mois. Le 29 juillet, Capital One annon√ßait que 6 millions de Canadiens avaient √©t√© touch√©s par un piratage informatique ayant d√©rob√© leurs renseignements personnels3. Le 7 ao√Ľt, Revenu Qu√©bec confirmait que les renseignements de 23 000 employ√©s et ex-employ√©s avaient √©t√© extraits du syst√®me informatique par une employ√©e de l’agence gouvernementale4. Le 11 septembre, Industrielle Alliance annon√ßait √™tre victime d’une fuite de donn√©es personnelles pour 3 000 de ses clients qu√©b√©cois, le tout orchestr√© par une personne externe √† l’organisation5. Le 16 septembre, le magazine L’actualit√© confirmait que 3 000 de ses abonn√©es web avaient vu leurs donn√©es √™tre pirat√©es et qu’elles avaient √©t√© expos√©es sur le dark web6. Le 9 octobre, TransUnion a indiqu√© que 37 000 comptes canadiens avaient √©t√© consult√©s frauduleusement par une personne ayant obtenu sans autorisation un code d’acc√®s l√©gitime aux donn√©es7.

Au total, ce sont cinq autres fuites importantes ont √©t√© publicis√©es dans les m√©dias dans une fen√™tre de seulement deux mois. √Ä la lumi√®re de ce qui pr√©c√®de, il est manifeste qu’il doit exister des fuites √† moins grande √©chelle qui n’ont pas √©t√© aussi m√©diatis√©es. Ce constat est extr√™mement pr√©occupant, non seulement pour les potentielles victimes, mais √©galement pour les juristes touch√©s dans leur pratique par le droit √† la vie priv√©e et aux entreprises qui ne savent plus quelles mesures implanter pour √©viter une telle catastrophe m√©diatique et √©conomique.

C’est avec raison qu’√Čric Girard, ministre des Finances du Qu√©bec, a proclam√© cet automne que « la protection des renseignements personnels, c’est d’actualit√© dans toutes les sph√®res de la soci√©t√©. […] Il faut attaquer le probl√®me d’une fa√ßon multidirectionnelle »8. Mis √† part les accusations criminelles pouvant √™tre d√©pos√©es contre les responsables des fuites de donn√©es, les victimes ont-elles √©galement un recours pour obtenir une compensation directe √† la suite de la fuite de leurs renseignements personnels ? Au Qu√©bec, il est ind√©niable que l'√©volution des technologies a d√©j√† provoqu√© des changements majeurs sur la gestion des renseignements personnels, tant au niveau pratique que juridique. « L’Internet, qui appara√ģt comme le plus important des nouveaux moyens de communication de masse, met justement en p√©ril la vie priv√©e des individus »9. Ce texte traitera donc de l’impact des nouvelles technologies sur la responsabilit√© des entreprises relativement au droit √† la vie priv√©e en cas de fuite de renseignements personnels. Les principes de la responsabilit√© civile sont bien √©tablis en droit qu√©b√©cois. La trilogie de la faute, du pr√©judice et du lien de causalit√© n’est plus √† remettre en question, et il est clair qu’il faille prouver ces trois √©l√©ments afin d’engager la responsabilit√© civile d’une personne.

La question qui demeure en suspend est la responsabilit√© qui peut √™tre imput√©e √† une entreprise qui ne prot√®ge pas ad√©quatement les renseignements personnels qu’elle d√©tient. Commet-elle une faute en instaurant des mesures de s√©curit√© qui n’ont pas √©t√© suffisantes pour prot√©ger les renseignements d’un pirate informatique, ou encore de son propre employ√© ? Peut- elle √™tre tenue responsable si la fuite de renseignements ne se transforme pas en vol d’identit√© ? Si elle l’est, comment les victimes peuvent-elle obtenir r√©paration ? Le droit tente de pr√©venir, mais il semble qu’avec autant de probl√®mes de fuite de renseignements dans les derniers mois, le droit se doit plut√īt de trouver une solution le plus rapidement possible pour tenter de s√©curiser les potentielles victimes d’une fuite de donn√©es et de fournir des balises plus claires aux entreprises pour la protection des renseignements.

1. FONDEMENTS JURIDIQUES

Pour expliquer la responsabilit√© des entreprises en cas de fuite de donn√©es personnelles, il importe d’effectuer une analyse juridique en amont en d√©limitant √† qui s’imposent les normes qu√©b√©coises, d√©finissant le droit √† la vie priv√©e et en posant les balises. Comme l’indique Pierre Trudel dans son ouvrage « Droit du cyberespace », « c’est dans la D√©claration universelle des droits de l’homme que la protection de la vie priv√©e a √©t√© reconnue pour la premi√®re fois comme un droit de l’homme ».10 Ce droit a rapidement √©t√© int√©gr√© au droit civil qu√©b√©cois et est maintenant codifi√© au C.c.Q., √† la Charte des droits et libert√©s de la personne, RLRQ, c.-12 (ci-apr√®s « Charte qu√©b√©coise ») et dans la Loi sur les renseignements personnels dans le secteur priv√©, RLRQ, c. P-39.1 (ci-apr√®s « Loi sur le secteur priv√© »).

1.1 Définition du droit à la vie privée

En droit civil qu√©b√©cois, le droit √† la vie priv√©e est reconnu non seulement √† l’article 5 de la Charte qu√©b√©coise, mais aussi, explicitement, aux articles 3, 35 et 36 C.c.Q. Constituant un droit de la personnalit√©, le droit √† la vie priv√©e est techniquement incessible11, ce qui implique qu’il ne pourrait √™tre transf√©r√© √† une autre personne par voie contractuelle, mais il est toutefois possible de renoncer √† l’invoquer dans certaines circonstances<12. La d√©finition du droit √† la vie priv√©e ne fait pas l’objet d’un consensus chez les auteurs. Certains proposent que ce droit comprenne « une protection contre l'intrusion injustifi√©e dans la vie priv√©e et contre la diffusion de renseignements personnels »13, alors que d’autres sugg√®rent qu’aucune d√©finition n’a √©t√© rendue, mais que les tribunaux avaient « plut√īt √©num√©r√©, de fa√ßon non limitative, ce que pouvait prot√©ger [le droit √† la vie priv√©e] »14 :

« Selon la Cour d’appel, ce droit assure √† chacun une sph√®re d’intimit√© capable de r√©sister √† l’intrusion d’autrui et comprend un droit √† la solitude, √† l’anonymat et √† l’intimit√©, √† l’autonomie dans l’am√©nagement de sa vie personnelle et familiale, au secret et √† la confidentialit√©, √† l’inviolabilit√© du domicile et √† l’utilisation de son nom, de son image et de sa voix. Il prot√®ge aussi les donn√©es relatives √† l’√©tat de sant√©, √† la vie familiale et amoureuse, et √† l’orientation sexuelle des personnes. »15
(références omises)

Du c√īt√© gouvernemental, Industrie Canada a r√©alis√© une √©tude sp√©cifiant que « la vie priv√©e est normalement d√©finie de deux fa√ßons : le droit de vivre en paix, sans intrusion ni interruption, et le droit de contr√īler les renseignements qui touchent sa personne »16. Nous ne pouvons que constater que la d√©finition du droit √† la vie priv√©e n’est pas fix√©e en droit qu√©b√©cois, ni en doctrine, ni en jurisprudence. Cependant, comme le rappelle Pierre Trudel, le flou entourant ce droit est b√©n√©fique √† sa protection, lui permettant ainsi d’√©voluer au m√™me rythme que la soci√©t√©17. Une telle flexibilit√© est peut-√™tre n√©cessaire dans un contexte technologique o√Ļ le cyberespace est en constant accroissement.

1.2 Renseignements personnels faisant partie de la vie privée

La notion de renseignement personnel est d√©finie dans la Loi sur le secteur priv√©, loi d’application des articles 35 √† 41 C.c.Q.18, comme √©tant « tout renseignement qui concerne une personne physique et qui permet de l’identifier »19. Il importe de souligner que la d√©finition ne concerne ici que les personnes physiques, ce qui peut √™tre confirm√© par les « Commentaires du ministre de la Justice sur le Code civil du Qu√©bec »20 et la d√©cision Crinit21. En rapport avec les technologies, « ce sont tout stockage et toute diffusion non normalis√©e d’informations personnelles qui sont d√©sormais prot√©g√©s »22 par le droit √† la vie priv√©e, comme les adresses courriels, les informations bancaires ou les coordonn√©es d’une personne.

En 1997, l’arr√™t Ville de Longueuil23 indiquait d√©j√† que les renseignements personnels √©taient couverts par la protection de l’article 5 de la Charte des droits et libert√©s de la personne, incluant notamment le dossier m√©dical24, l’√©tat de sant√© d’une personne25 ainsi que les photographies l’identifiant26. En outre, ant√©rieurement √† cette d√©cision, cette protection a √©t√© soulev√©e par les auteurs Molinari et Trudel en 198827. Bien que la protection soit reconnue depuis longtemps, ce ne sont pas tous les renseignements personnels qui en b√©n√©ficient. Ce sont seulement ceux ayant un aspect priv√© qui sont inclus dans la protection. Il existe deux grands volets pour d√©terminer si un renseignement est priv√© : le volet identificateur li√© aux faits de la vie d’une personne et le volet contextuel qui permet de moduler son expectative de vie priv√©e selon la position de la personne dans la soci√©t√© :

« La jurisprudence a √©num√©r√© plusieurs √©l√©ments de la vie priv√©e d’une personne qui sont fr√©quemment rattach√©s √† l’intimit√© par les tribunaux : l’intimit√© de son foyer, ses origines, son √©tat de sant√©, son anatomie et son intimit√© corporelle, sa vie conjugale, familiale et amoureuse, ses opinions politiques, philosophiques ou religieuses, la vie professionnelle et l’orientation sexuelle. »28

Par exemple, la vie familiale d’une personne est normalement prot√©g√©e, mais si cette personne est une personnalit√© publique, il est possible que les renseignements ne soient plus du domaine priv√© en raison des informations partag√©es publiquement par la personne concern√©e. Chaque situation √©tant un cas d’esp√®ce, il importe de se r√©f√©rer aux deux volets de l’analyse pour √™tre certain que le renseignement personnel b√©n√©ficie de la protection.

2. Obligation des entreprises en contexte de données personnelles

Il importe d’√©tablir les obligations auxquelles les entreprises sont tenues afin d’√©valuer s’il y a ouverture de la premi√®re condition de la responsabilit√©, soit la faute. Selon Nicolas Vermeys, le fondement des obligations des entreprises priv√©es en mati√®re de protection des renseignements personnels est la s√©curit√©, soit « l’ensemble de mesures de s√©curit√© prises pour assurer la confidentialit√©, l’int√©grit√© et la disponibilit√© de l’information trait√©e »29.

2.1 Obligation de disponibilité

Tout d’abord, d√®s qu’une entreprise poss√®de des renseignements sur une personne, elle doit lui permettre de les consulter. C’est le Code civil qui √©tablit les bases de l’obligation de disponibilit√© selon laquelle l’entreprise ne peut pas refuser √† une personne l’acc√®s √† ses renseignements, sauf exceptions30, et que cette consultation doit se faire gratuitement31. L’article 40 C.c.Q. dispose que la personne qui consulte son dossier et qui constate une erreur, une information incompl√®te ou dont l’interpr√©tation est discutable peut demander de la faire corriger, ou encore demander de supprimer un renseignement inactuel ou qui ne devrait pas se trouver √† son dossier32. La L.C.J.T.I.33 renforce cette obligation √† son article 19 en disposant explicitement que la personne conservant un document a l’obligation de « voir √† la disponibilit√© du mat√©riel qui permet de le rendre accessible et intelligible ».

Enfin, la Loi sur le secteur priv√© r√©it√®re cette obligation √† ses articles 27 et 29. C’est ainsi qu’une compagnie d’assurance a √©t√© contrainte de communiquer √† une personne tous les renseignements la concernant dans le cadre d’un vol de voiture34, ou encore dans le cadre d’une r√©clamation pour sinistre caus√© par l’eau dans le sous-sol de la propri√©t√© de la personne concern√©e35. Aussi, une √©cole priv√©e pour les courtiers en assurances de dommage n’a pas pu se pr√©valoir d’une clause concernant la confidentialit√© des copies d’examens pour refuser de communiquer les renseignements √† ceux qui les demandent36. Concernant la suppression de renseignements, une entreprise a √©t√© forc√©e de retirer les renseignements concernant les dettes d’une personne qui en avait obtenu la lib√©ration plus de cinq ans plus t√īt37.

2.2 Obligation d’int√©grit√©

Ensuite, les renseignements sur une personne se doivent d’√™tre √† jour, et les entreprises doivent prendre les mesures n√©cessaires pour s’assurer que leur int√©grit√© ne soit pas alt√©r√©e38. Le Code civil dispose que cette obligation est remplie « lorsqu’il est possible de v√©rifier que l’information n’en est pas alt√©r√©e et qu’elle est maintenue dans son int√©gralit√©, et que le support qui porte cette information lui procure la stabilit√© et la p√©rennit√© voulue39.

Par exemple, une pharmacie a √©t√© oblig√©e de conserver toutes les modifications effectu√©es dans le dossier de m√©dication des patients pour une dur√©e de deux ans afin de v√©rifier si l’information √©tait exacte40. Aussi, apr√®s avoir √©t√© oblig√©e par la Cour de modifier des renseignements erron√©s dans le dossier d’une cliente, une banque a manqu√© √† son obligation d’int√©grit√© des donn√©es en n’effectuant pas la modification demand√©e plus de six mois apr√®s le jugement rendu41. Une financi√®re s’est aussi fait pointer du doigt pour ne pas avoir corrig√© l’information apr√®s une demande de son client42.

2.3 Obligation de sécurité

L’article 25 de la L.C.J.T.I. impose une obligation, pour toute personne poss√©dant des renseignements personnels par le biais de moyens technologiques, de mettre en place des mesures de s√©curit√©43. La Loi sur le secteur priv√© rappelle √©galement que l’entreprise « doit prendre les mesures de s√©curit√© propres √† assurer la protection des renseignements personnels »44. L’obligation est de plus forte intensit√© si les renseignements seront transf√©r√©s √† l’ext√©rieur du Qu√©bec45. Il n’existe pas de liste exhaustive au niveau des mesures de s√©curit√©, ni de balises √©tablies dans la jurisprudence pour un seuil minimal d’installations physiques et technologiques. Bien que des exigences claires et d√©taill√©es pourraient avoir comme impact d’emp√™cher l’√©volution de l’obligation au rythme de la technologie, l’absence de normes claires place les entreprises dans une situation d√©licate. L’article 25 de la L.C.J.T.I. donne quelques exemples de mesures pouvant assurer la confidentialit√© de l’information, comme un acc√®s avec proc√©d√© de visibilit√© r√©duite ou un proc√©d√© qui emp√™che une personne non-autoris√©e √† acc√©der aux renseignements. Ce contr√īle d’acc√®s peut √™tre une « attestation, une carte, un certificat, une pi√®ce ou une preuve d’identit√© ou un autre document servant √† √©tablir l’identit√© d’une personne »46. Les entreprises pourraient √©galement se baser sur les normes du march√©, comme les mots de passes, le chiffrement, les sauvegardes sur des supports externes et les antivirus47, et √©galement mettre en place des mesures de contr√īle d’acc√®s mat√©riel comme « le verrouillage des classeurs et la restriction de l’acc√®s aux bureaux »48. Enfin, en mati√®re de transaction √©lectronique, les entreprises devront « mettre en place des m√©canismes d’identification de ses contractants et de s√©curisation des transmissions de donn√©es »49.

En se penchant sur la jurisprudence, il est fort d√©cevant de remarquer qu’aucune d√©cision ne fait √©tat d’un seuil minimal de s√©curit√© informationnelle. Force est de constater que les tribunaux sanctionnent le manquement √† l’obligation de s√©curit√©, mais n’√©noncent pas ce qu’aurait √©t√© le respect de cette obligation. Dans l’affaire Kotliaroff50, un courtier d’assurance a rendu publiques accidentellement toutes les donn√©es confidentielles de l’ensemble de ses clients sur le site Internet de son cabinet d’assurance. Dans l’affaire Groupe Jean Coutu51, le fait de ne pas verrouiller les ordinateurs et les locaux o√Ļ se trouvent les renseignements a √©t√© vu comme un manquement √† l’obligation de s√©curit√©. Sans l’√©noncer sp√©cifiquement, nous pouvons en conclure que de les verrouiller aurait √©t√© ad√©quat. Le m√™me raisonnement a √©t√© appliqu√© √† l’encontre d’un concessionnaire automobile sur l’obligation de verrouiller les classeurs o√Ļ se trouvaient les renseignements de ses clients52. Enfin, il faudrait faire signer un contrat avec les mandataires qui auront acc√®s aux renseignements personnels des clients53. En revanche, la Commission d’acc√®s √† l’information s’est prononc√©e dans l’affaire Fleury sur des recommandations pour respecter l’obligation de s√©curit√©, soit d’√©tablir une proc√©dure de contr√īle d’acc√®s aux donn√©es, de d√©finir une personne responsable du syst√®me informatique, de sensibiliser constamment les employ√©s sur l’obligation de s√©curit√©, de s’entendre avec les mandataires sur le respect de l’obligation et de faire signer un engagement explicite tant aux employ√©s qu’aux mandataires ayant l’acc√®s √† l’information54.

2.4 Obligation de confidentialité

C’est √† l’article 10 de la Loi sur le secteur priv√© que le caract√®re confidentiel des renseignements est r√©it√©r√©. L’article 25 L.C.J.T.I., qui parle des mesures de s√©curit√©, indique que celles-ci doivent √™tre prises pour assurer la confidentialit√©. Cette obligation implique que les renseignements personnels d’une personne ne doivent pas √™tre mis entre les mains d’un tiers55, bien que la personne concern√©e puisse consentir √† la transmission de ses renseignements personnels, tant que son consentement soit manifeste, sp√©cifique et √©clair√©56. Il existe des exceptions sp√©cifiques permettant la transmission sans le consentement, notamment pour des demandes en lien avec une affaire p√©nale57, lors d’une situation d’urgence mettant la vie, la sant√© ou la s√©curit√© en danger58 ou pour un service d’archive ou et recherche59. La transmission √† un mandataire ne requiert pas non plus de consentement60. √Čgalement, une exception est pr√©vue soit dans le cas o√Ļ l’entreprise utilise une liste nominative61 :

« Elles peuvent communiquer √† d’autres entreprises ou obtenir de celles-ci des listes de renseignements personnels contenant le nom, l’adresse et le num√©ro de t√©l√©phone de clients ainsi que les caract√©ristiques g√©n√©rales de ces clients (clients ayant effectu√©s plus d’un certain nombre de voyages au cours d’une m√™me ann√©e ou dont les d√©penses annuelles, par cartes de cr√©dit, exc√®dent un montant minimal pr√©√©tabli, clients int√©ress√©s √† certains types de promotions, etc. »62

Par exemple, un employeur s’est vu reprocher d’avoir partag√© un avis disciplinaire, visant seulement un employ√©, √† l’ensemble des employ√©s de l’entreprise63, et un autre a √©t√© bl√Ęm√© d’avoir affich√© le nom d’un employ√© ainsi que son taux de productivit√©64, deux situations o√Ļ le consentement de l’employ√© vis√© n’avait pas √©t√© obtenu. De plus, il a √©t√© recommand√© de faire appel √† une « entreprise sp√©cialis√©e dans la cr√©ation de site web »65 lorsqu’une personne ne poss√®de pas les capacit√©s pour assurer la confidentialit√© des donn√©es. Un syndic de faillite s’est √©galement vu reprocher d’avoir transmis un document contenant le nom, le num√©ro d’assurance sociale et les dividendes pay√©s √† tous les employ√©s de l’entreprise en faillite66.

3. Préjudice et Réparations

Les obligations √©nonc√©es ci-dessus doivent √™tre respect√©es. N’√©tant pas diff√©rente des autres cas, la faute d√©coulant du non-respect de ces obligations doit √™tre g√©n√©ratrice d’un dommage pour qu’elle puisse donner lieu √† la r√©paration du pr√©judice. La victime peut donc avoir recours √† plusieurs v√©hicules proc√©duraux pour faire valoir ses droits et obtenir une indemnisation du pr√©judice subi.

3.1 Commission d’acc√®s √† l’information

En cas de violation, toute personne dont les renseignements personnels n’ont pas √©t√© prot√©g√©s peut √©galement d√©poser une plainte devant la Commission d’acc√®s √† l’information67 :

« 152. […] Au terme de son enqu√™te, la CAI peut ordonner √† une entreprise de respecter la loi. Des poursuites p√©nales peuvent √™tre √©galement intent√©es contre une entreprise qui viole les dispositions de la loi qu√©b√©coise. »68

Toutefois, la comp√©tence de la C.A.I. se limite seulement au pouvoir de se saisir de litiges concernant l’acc√®s √† l’information et la rectification des renseignements contenus dans un dossier69. Elle ne poss√®de aucun pouvoir d’octroyer des dommages, « bien que ses d√©cisions puissent servir de constat de faute civile, n√©cessaire pour √©tablir la responsabilit√© civile »70.

3.2 Poursuite civile

√Čtant un droit fondamental, la violation du droit √† la vie priv√©e est une faute g√©n√©ratrice de responsabilit√© civile qui entraine une r√©paration71. Cependant, l’alin√©a 2 de l’article 35

C.c.Q. pr√©cise que la personne titulaire du droit √† la vie priv√©e peut consentir √† son atteinte, ou que la loi peut autoriser une telle atteinte. Tel qu’√©tabli dans l’affaire Stacey c. Sauv√© Plymouth Chrysler72, le commer√ßant qui ne prend pas de mesure de s√©curit√© pour prot√©ger les renseignements personnels de ses clients contrevient √† la Loi sur le secteur priv√© et engage sa responsabilit√© civile. Il faut toutefois noter que la faute doit g√©n√©rer un dommage pour que la victime puisse obtenir une r√©paration. Par exemple, le simple fait de devoir modifier son mot de passe ne constitue pas un pr√©judice suffisant pour permettre la r√©paration73. √Ä l’inverse, un dossier de cr√©dit erron√© transmis √† une agence de cr√©dit et emp√™chant une personne d’obtenir un pr√™t d’une banque est un dommage significatif pour la personne dont l’int√©grit√© des donn√©es n’a pas √©t√© prot√©g√©e et il peut √™tre indemnis√©74.

Dans la jurisprudence ant√©rieure, la majorit√© des situations probl√©matiques ont un lien avec une perte caus√©e √† l’interne. On peut penser au vendeur d’un concessionnaire qui a conserv√© l’identit√© d’un autochtone ayant le statut d’Indien pour acheter une voiture en son nom et √©viter les taxes75, au syndic de faillite qui a post√© les num√©ros d’assurance sociale des employ√©s √† tous les employ√©s par erreur76 ou encore au courtier d’assurance qui a d√©pos√© tous ses dossiers sur un site Internet public au lieu de sa banque de donn√©es priv√©e77. Bien que ces √©v√©nements soient hautement probl√©matiques, la complexit√© d’une fuite de donn√©es personnelles caus√©e par des acteurs malveillants apporte des consid√©rations diff√©rentes dans le domaine juridique auxquelles le droit n’a encore aucun rem√®de.

Les chefs de dommages g√©n√©ralement r√©clam√©s dans une poursuite civile sont les dommages-punitifs pour atteinte intentionnelle, les dommages-int√©r√™ts pour le pr√©judice moral dont le montant n’est pas plafonn√©, et les pertes √©conomiques pouvant r√©sulter, par exemple, d’une d√©pression ou d’une perte d’emploi √† la suite du dommage.

Si une atteinte √† un droit prot√©g√© par la Charte qu√©b√©coise est illicite et intentionnelle, un tribunal peut condamner l’auteur de la faute √† des dommages-int√©r√™ts punitifs78. Pour √™tre intentionnelle, la personne qui comment la faute doit avoir le d√©sir ou une volont√© de causer les cons√©quences de sa conduite fautive et agir en toute connaissance des cons√©quences imm√©diates et naturelles ou au moins extr√™mement probables que sa conduite engendrera79. Il est m√™me possible d’aller chercher des dommages-punitifs chez le commettant s’il est possible de prouver que l’employeur « partage l’intention de son employ√© de porter atteinte √† des droits garantis par la Charte »80, en prouvant notamment « [l]es ordres donn√©s par le commettant, la connaissance ou la non-interdiction des actes illicites, l’omission d’ordonner la cessation de ceux-ci ainsi que le niveau hi√©rarchique du poste du pr√©pos√© fautif »81.

Le dommage peut parfois √™tre moral. Les tribunaux ont reconnu l’inqui√©tude qu’une personne avait v√©cue lorsqu’une entreprise avait appel√© son employeur pour lui dire que la carte de cr√©dit de la personne pourrait avoir √©t√© fraud√©e82 et un tribunal a accord√© une compensation de 700 $. √Čgalement, de fausses informations transmises dans un dossier de cr√©dit peuvent causer des dommages moraux √† la personne qui met beaucoup de temps et d’√©nergie pour tenter de les corriger83.

3.3 Action collective

L’action collective est le recours le plus appropri√© lors d’une fuite massive de donn√©es personnelles. Toute action collective doit √™tre autoris√©e selon les crit√®res de l’article 575 du Code de proc√©dure civile84, soit que les questions de droits des demandeurs soient similaires ou connexes, que les faits all√©gu√©s semblent prima facie justifier les conclusions recherch√©es, que la composition du groupe emp√™che l’application du mandat d’ester en justice pour autrui et que le membre repr√©sentant soit en mesure d’assurer une repr√©sentation ad√©quate des membres. Cette √©tape pr√©alable a pour fonction le « filtrage des requ√™tes, pour √©viter que les parties d√©fenderesses doivent se d√©fendre au fond contre des r√©clamations insoutenables »85.

Notons toutefois que l’action collective n’efface pas les crit√®res de la responsabilit√© civile qu√©b√©coise. C’est ainsi que la Cour sup√©rieure a rejet√© une demande d’action collective dans un cas o√Ļ la perte d’un ordinateur d’un employ√© contenant les informations personnelles de clients n’avait pas donn√© lieu √† de la fraude ou √† de l’usurpation d’identit√©86, ou encore lorsque le seul pr√©judice subi par les usagers √©tait de devoir modifier leur mot de passe87. En l’absence de dommage, il n’y a pas de responsabilit√© qui puisse justifier une action collective.

Malgr√© ce qui a √©t√© √©nonc√© dans la section sur la poursuite civile, il semble que les tribunaux ne soient pas enclins √† conclure √† l’existence d’un dommage lorsque la perte de donn√©es ne r√©sulte pas √† un vol d’identit√©. Contrairement aux conclusions √©nonc√©es ci-dessus, le stress et les inconv√©nients ne paraissent pas √™tre suffisants. Pourtant, la Cour sup√©rieure a d√©j√† autoris√© des actions collectives nationales d√©coulant de la perte de donn√©es personnelles, sans qu’il n’y ait eu, prima facie, de preuve de dommages. Par exemple, une action collective a √©t√© autoris√©e contre les Services de financement auto TD qui avaient perdu la bande de donn√©es contenant les informations de leurs clients lors d’un envoi par la poste, malgr√© qu’aucun dommage direct n’ait √©t√© d√©montr√©88. Le m√™me raisonnement a √©t√© appliqu√© pour les Services financiers DaimlerChrysler, o√Ļ l’anxi√©t√© d’√™tre possiblement victime de fraude d’identit√© n’a pas √©t√© consid√©r√©e comme suffisante pour justifier une action collective89.

Il n’est pas non plus d√©termin√© si le simple fait que les donn√©es se trouvent entre les mains d’acteurs malveillants suffit pour autoriser l’action collective, dans le cas o√Ļ la fuite de renseignements personnels n’ait pas directement men√© √† un vol d’identit√©. Une action collective avait √©t√© autoris√©e contre Target dans ce contexte, o√Ļ les renseignements de 60 000 clients qu√©b√©cois avaient √©t√© vol√©s par des pirates informatiques90. Bien qu’une action collective puisse √™tre intent√©e au Qu√©bec contre une compagnie am√©ricaine, soit Target, la composition du groupe a √©t√© limit√©e aux r√©sidents du Qu√©bec pour l’action collective. Ce dossier a √©t√© r√©gl√© hors cour en 2018. C’est la m√™me conclusion qui a √©t√© √©nonc√©e contre la Banque nationale du Canada dont trois ordinateurs portables avaient √©t√© vol√©s et contenaient les noms et adresses de 225 000 clients hypoth√©caires, leurs num√©ros de compte et leurs succursales bancaires, le lot vis√© par le pr√™t, le montant du pr√™t et le solde hypoth√©caire, le taux d’int√©r√™t ainsi que le num√©ro d’assurance et le montant de la prime d’assurance91. La cour a conclu √† l’apparence d’un dommage ainsi qu’√† l’apparence d’une faute puisque la banque n’avait pas suffisamment s√©curis√© les ordinateurs et leurs contenus, et que la communication de la perte de donn√©es aux clients a √©t√© trop longue ou carr√©ment absente. Ce dossier a √©galement √©t√© r√©gl√© hors cour.

Le 21 octobre dernier, la Cour sup√©rieure a rejet√© une action collective intent√©e contre Equifax92. 8 000 comptes de r√©sidents canadiens avaient √©t√© pirat√©s en 2017 et leurs adresses, noms, num√©ros de carte de cr√©dit et d’assurance sociale avaient √©t√© vol√©s, mais la Cour a consid√©r√© que le dommage n’avait pas √©t√© prouv√© parce qu’il n’y avait pas eu de fraude d’identit√© reli√© √† la fuite des renseignements. Le simple fait que les donn√©es soient entre les mains d’un tiers n’√©tait pas suffisant pour octroyer des dommages compensatoires. Il ne semble donc pas y avoir de ligne directrice sur l’importance des dommages moraux quant √† l’autorisation, en comparaison avec une poursuite civile ordinaire dans laquelle les dommages moraux sont admissibles et peuvent enclencher la responsabilit√© civile de l’acteur fautif. Dans l’optique o√Ļ les actions collectives pour perte de renseignements personnels semblent √™tre de plus en plus nombreuses avec l’avancement des technologies, il serait sage de se pencher sur la question pour uniformiser l’ensemble de la probl√©matique.

Il va sans dire qu’une telle conclusion est accueillie am√®rement par les 4,2 millions de membres du Mouvement Desjardins dont les donn√©es ont √©t√© vol√©es et qui attendent toujours l’autorisation du tribunal pour intenter leur action collective. Si la faute de Desjardins √©tait prouv√©e, les utilisateurs ne sont certainement pas assur√©s d’obtenir compensation puisqu’il n’y a eu, √† ce jour, aucune preuve de fraude d’identit√© li√©e √† ladite fuite. Faut-il en conclure que les requ√©rants de l’action collective devraient s’empresser de s’y retirer pour intenter une action personnelle et obtenir la cl√©mence des tribunaux quant √† l’existence de dommages moraux, faute de quoi ils ne pourront jamais obtenir r√©paration ? Il ne serait gu√®re dans l’int√©r√™t de la

justice d’entrainer des frais exorbitants, d’avocats, d’experts, du tribunal, pour plusieurs actions individuelles, mais il ne serait pas non plus dans l’int√©r√™t de celle-ci de n’offrir aucune compensation pour une violation d’un droit fondamental de l’individu.

Analyse comparative √† l’international

Les deux sources les plus int√©ressantes √† l’internationale se trouvent respectivement de l’autre c√īt√© de l’Atlantique, dans l’Union europ√©enne, et au sud de la fronti√®re canadienne, chez nos voisins am√©ricains. Les normes adopt√©es par l’Union europ√©enne et la Californie sont avant-gardistes en la mati√®re et le Qu√©bec pourrait en retirer des enseignements forts utiles.

4.1 Règlement européen sur la protection des données personnelles

La l√©gislation pertinente de l’Union europ√©enne est consid√©r√©e comme une pionni√®re de la protection des renseignements personnels. Le « R√®glement europ√©en sur la protection des donn√©es personnelles » 93 adopt√© en 2016, pr√©sente des crit√®res tr√®s contraignants pour les entreprises, et tend √† devenir la norme internationale en ce qui a trait √† la protection des donn√©es. La r√©forme propos√©e par l’Union europ√©enne avait trois objectifs.

Premi√®rement, les droits des personnes devaient √™tre renforc√©s94. Des dispositions concernant la portabilit√© ont √©t√© adopt√©es : elles permettent √† une personne de r√©cup√©rer les donn√©es qu’elle a fournies et de les transf√©rer √† un tiers95. De plus, une protection suppl√©mentaire a √©t√© ajout√©e pour les mineurs de moins de 16 ans. Le consentement qu’ils donnent doit venir du titulaire de l’autorit√© parentale et, une fois devenu adulte, le jeune doit √™tre en mesure de le retirer et d’effacer les donn√©es partag√©es96. Enfin, des dispositions traitant sp√©cifiquement des recours ont √©t√© introduites, soit la permission expresse d’intenter des actions collectives repr√©sent√©es par des associations en protection de renseignements personnels97 et un droit sp√©cifique √† la r√©paration des dommages mat√©riels et moraux contre le responsable ou son sous-traitant98. Ce premier objectif semble effectivement remplir des lacunes qui existent au niveau du droit tel que nous le connaissons au Qu√©bec. Alors que le Code civil est d√©j√† truff√© de protections sp√©cifiques pour les mineurs99, aucune d’entre elle ne concerne la protection de leurs renseignements personnels ou ne limite leur capacit√© √† transmettre ceux-ci √† des entreprises. Aussi, nous avons d√©j√† √©tay√© que les r√©parations possibles en cas de perte de renseignements personnels n’√©taient pas claires en droit qu√©b√©cois, puisqu’il existe une incoh√©rence entre l’octroi de dommages-int√©r√™ts pour un dommage moral dans le cadre d’une poursuite individuelle en comparaison avec un octroi dans le cadre d’une action collective. De plus, l’autorisation de l’action collective en la mati√®re est loin d’√™tre assur√©e. De telles dispositions permettent de prot√©ger les parties vuln√©rables et de renforcer l’existence de leur droit fondamental √† la vie priv√©e. Le Qu√©bec devrait d√©finitivement s’inspirer du R.P.D.P. pour actualiser les r√®gles en mati√®re de protection des renseignements personnels car tous les objectifs vis√©s par ce r√®glement sont en concordance avec l’esprit du droit civil qu√©b√©cois.

Deuxi√®mement, les acteurs traitant les donn√©es devaient √™tre responsabilis√©s, autant pour le traitement que le sous-traitement100. La protection doit √™tre mise en place avant le lancement d’un produit101. √Ä tout moment, une entreprise peut √™tre tenue de d√©montrer la conformit√© de ses mesures techniques et organisationnelles visant √† respecter la protection des renseignements personnels, et peut √™tre tenue responsable de tout manquement102. Le R.P.D.P. mets en place six nouvelles mesures pour aider √† la conformit√©, soit l’obligation pour les entreprises d’avoir un registre des traitements des donn√©es103, des notifications obligatoires dans un d√©lai de 72 heures aux autorit√©s et aux utilisateurs104, des certifications de bon traitement des donn√©es105, des codes de conduite106, un d√©l√©gu√© √† la protection des donn√©es dans certaines entreprises107 et des analyses d’impact sur la vie priv√©e des personnes108. Nous pouvons constater que ce deuxi√®me objectif remplit une faille qui existe dans le syst√®me qu√©b√©cois, soit que les entreprises ne savent pas sur quelle √©chelle se placer dans l’implantation de mesures assurant la protection des donn√©es. Le Qu√©bec pourrait d√©finitivement s’en inspirer pour bonifier sa l√©gislation.

Troisi√®mement, la r√©glementation devait √™tre cr√©dibilis√©e109. Les autorit√©s ont maintenant un √©ventail de sanctions qu’elles peuvent imposer aux acteurs fautifs, soit un avertissement, une mise en demeure, une limitation de ses activit√©s, une suspension des flux de donn√©es, un ordre de satisfaire les demandes des droits de rectification ou d’effacement des donn√©es et, enfin, une amende administrative de 2 % √† 4 % du chiffre d’affaires annuel d’une entreprise ou de 10 √† 20 millions d’euros, selon le montant le plus √©lev√©110. Une √©chelle de sanction est d√©finitivement pertinente et absente en droit qu√©b√©cois. Bas√© sur les principes g√©n√©raux de la responsabilit√© civile, les tribunaux se rabattent constamment sur l’√©valuation des dommages telle qu’√©tablie par la jurisprudence pr√©c√©dente, sans adaptation sp√©cifique pour la protection des donn√©es personnelles. Les mesures administratives existantes sont des amendes de 1 000 $ √† 10 000 $ en cas de non-respect des obligations111, ce qui fait en sorte que les entreprises ne recevant aucune poursuite ou pour qui la faute n’a pas men√© √† un dommage ne re√ßoivent qu’une sanction significativement petite pour un chiffre d’affaires exorbitant.

4.2 California Consumer Privacy Act

La Californie a suivi la m√™me direction que l’Union europ√©enne avec le California Consumer Privacy Act112, qui entrera en vigueur en 2020.

En premier lieu, le C.C.P.A. impose, comme le R.P.D.P., un √Ęge minimal de 16 ans pour le consentement des mineurs, avec autorisation du titulaire de l’autorit√© parentale pour les mineurs de 16 ans et moins. Il donne √©galement un droit explicite √† l’oubli, soit le droit de retirer tout renseignement personnel concernant une personne des serveurs d’une entreprise, un droit d’opposition √† la vente ou √† la communication de renseignements personnels √† des tiers et un droit de portabilit√© des renseignements. Tous les droits √©nonc√©s ci-dessus n’existent pas en droit qu√©b√©cois, o√Ļ les seuls recours pour la personne victime est un recours en responsabilit√© civile g√©n√©rale ou une plainte √† la Commission d’acc√®s √† l’information qui re√ßoit les demandes seulement pour l’acc√®s ou la rectification des donn√©es. Les personnes qui confient leurs renseignements aux mains d’entreprises sont vuln√©rables et le syst√®me juridique qu√©b√©cois b√©n√©ficierait d’√©noncer quels sont leurs droits plus sp√©cifiquement que le droit g√©n√©ral √† la vie priv√©e.

En deuxi√®me lieu, une entreprise peut utiliser les renseignements personnels dans un but lucratif, mais seulement si la personne concern√©e donne son consentement explicite (r√©gime « opt-in »). Pour le Qu√©bec, les entreprises peuvent utiliser des listes nominatives113 incluant les noms, num√©ros de t√©l√©phones, adresses g√©ographiques et technologiques, et doivent demander aux personnes concern√©es si elles refusent que leurs renseignements soient utilis√©s (r√©gime « opt-out »). Dans un but de favoriser le respect de la vie priv√©e, il serait int√©ressant de se pencher sur la question du consentement pr√©sum√© qui est tr√®s m√©connu au Qu√©bec. Le r√©gime « opt-in » permettrait d’assurer un meilleur respect de leurs droits.

En dernier lieu, le C.C.P.A. √©taye clairement les renseignements personnels prot√©g√©s, soit tout renseignement identifiant, concernant ou se rapportant √† un consommateur, en incluant son nom, son pseudonyme (nom d’utilisateur sur diff√©rentes plateformes num√©riques), son identificateur personnel unique (adresse IP), son adresse courriel, son nom de compte, son num√©ro d’assurance sociale, son num√©ro de permis de conduire, son num√©ro de passeport, ses informations biom√©triques (par exemple, l’ADN ou les empreintes digitales), les donn√©es de g√©olocalisation, les informations professionnelles et l’√©ducation. Le r√©gime qu√©b√©cois se limite √† indiquer que tout renseignement personnel qui concerne une personne physique et qui permet de l’identifier est prot√©g√©. Il serait pertinent d’√©tablir clairement les renseignements personnels prot√©g√©s, notamment pour enlever l’ambig√ľit√© sur la protection des donn√©es techniques comme l’adresse IP, le pseudonyme ou les donn√©es de g√©olocalisation, et de prot√©ger plus ad√©quatement les autres types de donn√©es.

Conclusion

Il est maintenant clair que les lois applicables sont d√©su√®tes et qu’elles ne sont pas adapt√©es √† l’√©volution de notre soci√©t√©. Les obligations des entreprises sont d√©pass√©es. Par exemple, l’obligation d’int√©grit√© des donn√©es personnelles s’appliquait bien lorsque plusieurs personnes pouvaient avoir acc√®s √† un dossier physique et pouvaient perdre des informations. Avec les serveurs informatiques, la fa√ßon dont l’obligation est formul√©e n’a plus lieu d’√™tre. Aussi, l’obligation de disponibilit√© √©tait tr√®s importante lorsque les renseignements √©taient d√©tenus seulement sur papier, mais aujourd’hui, il est tr√®s facile d’avoir acc√®s √† son dossier par Internet ou de se faire transmettre les documents pertinents par courriel. Enfin, les obligations de s√©curit√© et de confidentialit√© ont d√©finitivement encore leur utilit√©, mais la fa√ßon dont elles sont construites fait en sorte que leur application est excessivement restreinte. Le Qu√©bec doit s’inspirer des autres mod√®les pour √©tablir des principes juridiques plus adapt√©s √† la r√©alit√©, notamment obliger les entreprises √† avoir des standards minimums en mati√®re de s√©curit√© informationnelle et autoriser les actions collectives intent√©es par des associations pour optimiser la protection des personnes physiques qui sont vuln√©rables face √† l’industrie.

Bien que ce texte soit ax√© sur la responsabilit√© des entreprises priv√©es, il est √©vident que la probl√©matique s’√©tend aux organismes publics. La Loi sur le secteur public adopt√©e en 1982 n’a re√ßu aucune modification qui prenait en compte l’√©volution technologique. Ce probl√®me se pose au niveau de la sant√© o√Ļ nos donn√©es sont d√©sormais informatis√©es et une proie potentielle pour des pirates informatiques, appel√©es par l’Union europ√©enne les « donn√©es de sant√© ». Ces informations sont excessivement sensibles et leur protection est essentielle pour le respect du droit √† la vie priv√©e. Les inqui√©tudes se sont multipli√©es dans les derniers mois. Le 30 septembre dernier, le service d’urgence du Centre universitaire de sant√© McGill a √©t√© pirat√©, ce qui a forc√© la fermeture de l’urgence et la prise de rendez-vous114. Le 6 octobre, le service de prise de rendez-vous en ligne Bonjour-Sant√© a √©t√© victime d’une attaque informatique, ce qui a rendu sa plateforme inaccessible pendant une semaine115. Bien que le service ait assur√© que le piratage n’avait pas vis√© les donn√©es de sant√© des patients, l’appr√©hension des qu√©b√©cois s’est exacerb√©e. Depuis 2009, les donn√©es de sant√© des qu√©b√©cois sont stock√©es dans le DSQ (Dossier Sant√© Qu√©bec). Ces dossiers contiennent les nom et sexe du patient, son adresse, le nom de ses parents, son num√©ro d’assurance-maladie, sa date de naissance, ses m√©dicaments prescrits, ses r√©sultats m√©dicaux, ses vaccins et ses sommaires d’hospitalisation. Le Bureau d’enqu√™te du Journal de Qu√©bec a relev√© les faits suivants qui sont hautement pr√©occupants, soit que plusieurs professionnels de la sant√© ont eu acc√®s √† des donn√©es pour lesquelles ils n’avaient pas l’autorisation, et que 4000 des cl√©s USB donnant acc√®s au dossier ont √©t√© perdue116. Le 14 novembre, le gouvernement annon√ßait qu’un syst√®me sera mis en place par le pour renforcer significativement la protection des donn√©es de sant√© des qu√©b√©cois117, apr√®s de pressantes demandes de l’Association des gestionnaires de l’information de la sant√© du Qu√©bec qui r√©clamaient un changement majeur dans les plus brefs d√©lais118. Aucun changement n’a encore √©t√© mis en place, mais nous sentons que le gouvernement saisit la pr√©occupation des qu√©b√©cois et qu’il va se pencher r√©ellement sur la question.

Dans une optique plus √©largie, tout r√©cemment, Google a sign√© une entente avec un acteur important en sant√© aux √Čtats-Unis pour le stockage des donn√©es de sant√© de millions d’am√©ricains. Cette association vise √† utiliser l’intelligence artificielle pour aider √† « d√©velopper […] des outils permettant de sugg√©rer aux m√©decins des examens compl√©mentaires, des prestations suppl√©mentaires ou des traitements, voire de d√©couvrir des anomalies dans le parcours de soins »119. Des objectifs louables suscitent tout de m√™me des doutes dans un contexte o√Ļ la cybers√©curit√© prend une ampleur consid√©rable. La le√ßon √† tirer de notre soci√©t√© est donc que, malheureusement, celle-ci n’est actuellement pas pr√©par√©e √† prot√©ger ad√©quatement ses citoyens dans l’avanc√©e du cyberespace. La moindre des choses serait de le reconnaitre et de s’y attarder.

Table de la Législation

Textes canadiens

Charte des droits et libertés de la personne, RLRQ, c. C-12. Code civil du Québec, RLRQ, c. CCQ-1991.

Code de procédure civile, RLRQ c. C-25.01.

Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1.

Loi sur l’acc√®s aux documents des organismes publics et sur la protection des renseignement personnels, RLRQ, c. A-2.1.

Loi sur les renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

Textes européens

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE).

Textes américains

California Consumer Privacy Act of 2018, CAL. CIV. CODE t. 1.81.5, § 1798.198(a) (2018).

Table de la jurisprudence

Aubry c. Vice-Versa, [1998] 1 R.C.S. 591.

Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624.

Belley c. Services de financement auto TD Inc., 2015 QCCS 168.

Boisvert Bélisle c. Pharmacie Jean Coutu, [1995] no AZ-50003645 (C.A.I.).

Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (C.D.C.H.A.D.).

Cinar Corporation c. Robinson, 2013 CSC 73.

Courtois c. Citifinancial, [2004] C.A.I. 5.

Crinit c. Gropue Commerce, compagnie d’assurance (Le), [1997] C.A.I. 343.

Daigneault c. S.S.Q.-Vie, [1999] C.A.I. 187.

Deschenes c. Groupe Jean Coutu (P.J.C.) Inc., [2000] C.A.I. 216.

F√©d√©ration (La), compagnie d'assurances du Canada c. Pauz√©, [1998] C.A.I. 455. Fleury c. Caisse populaire St-Jean Berchmans, [2002] no AZ-50121279 (C.A.I.). Frenette c. M√©tropolitaine (La), Cie d’assurance-vie, [1992] 1 R.C.S. 647.

Gauthier c. Beaumont, [1998] 2 R.C.S. 3.

Godbout c. Longueuil (Ville de), [1997] 3 R.C.S. 844. Institut d'assurance du Canada c. Guay, [1998] C.A.I. 431. Larose c. Banque Nationale du Canada, 2010 QCCS 5385. Li c. Equifax inc., 2019 QCCS 4340.

Liboiron c. Banque de Montréal, 2014 QCCQ 11799.

Mazzonna DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958.

Nadler c. Rogers Communications inc., 2014 QCCQ 5609.

Qu√©bec (Curateur public) c. Syndicat national des employ√©s de l'H√īpital St-Ferdinand (C.S.N.), [1990] R.J.Q. 359

Reid c. Belzile, [1980] C.S. 717.

Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (O.C.R.C.V.M.), 2014 QCCS 4061.

Séguin c. Général Motors Acceptance Corporation du Canada ltée, 2007 QCCQ 14509.

Stacey c. Sauvé Plymouth Chrystler (1991) inc., [2002] R.J.Q. 1779 (C.Q.).

Syndicat des employés de la ville de Huntingdon c. Ville de Huntingdon, (1997) AZ-97151510 (C.A.I.)

Syndicat des professionnelles du Centre de jeunesse de Québec (CSN) c. Desnoyers, [2005] R.J.Q. 414 (C.A.)

Vivendi Canada Inc. c. Dell’Aniello, [2014] 1 R.C.S. 3.

Wallack c. Services financiers DaimlerChrysler Canada inc. (Services financiers Chrysler Canada inc.), 2011 QCCQ 4532.

X. c. Komdresco Canada Inc., Rapport d’enqu√™te, [1995] C.A.I. 374.

X. c. M√©tropolitaine (La), Rapport d’enqu√™te, [1995] C.A.I. 364.

X c. Poulin de Courval Cie, Rapport d’enqu√™te, [1997] C.A.I. 394

X. c. Rona Dismat, Rapport d’enqu√™te, no 94 08 33 (C.A.I.).

Zuckerman c. Target Corporation, 2017 QCCS 110.

Table de la doctrine

Monographies et ouvrages collectifs

Beaudoin, J.-L., P. Deslauriers et B.Moore, La responsabilit√© civile, 8e √©dition, vol. 1 « Principes g√©n√©raux », Cowansville, √Čditions Yvon Blais, 2014. (note 13)

Brun, H., G. Tremblay et E. Brouillet, Droit constitutionnel, 6e √©d., Cowansville, √Čditions Yvon Blais, 2014. (note 14)

Themens, F., Internet et la responsabilit√© civile, Cowansville, √Čditions Yvon Blais, 1998. (note 9)

Trudel P., France Abran, Karim Benyekhlef et Sophie Hein, Droit du cyberespace, Montr√©al, √Čditions Th√©mis, 1997. (note 10)

Vermeys, N., Responsabilit√© civile et s√©curit√© informationnelle, Cowansville, √Čditions Yvon Blais, 2010. (note 29)

Kiefer, K., S. Wu, B. WIilson et R. Sabett, Information Security A Legal, Business, and Technical Handbook, Chicago, ABA, 2004

Articles de revue et √©tudes d’ouvrage collectifs

Beauregard S. et L. Granosik, « Les renseignements personnels et la responsabilit√© civile : √† quel prix ? », dans S.F.C.B.Q., vol. 358, D√©veloppements r√©cents en droit de l’acc√®s √† l’information et de la protection des renseignements personnels – les 30 ans de la Commission d’acc√®s √† l’information, Cowansville, √Čditions Yvon Blais, 2012, p. 49.

Doray, R., « Le respect de la vie priv√©e et la protection des renseignements personnels dans un contexte de commerce √©lectronique » dans V. GAUTRAIS (dir.), Droit du commerce √©lectronique, Montr√©al, √Čditions Th√©mis, 2002, √† la p. 303. (note 18)

Gripman, D. L., « The Doors Are Locked But the Thieves and Vandals Are Still Getting In: A Proposal in Tort to Alleviate Corporate America’s Cyber-Crime Problem » dans The John Marshall Journal of Information Technology & Privacy Law, vol. 16, 1997, p. 167.

Molinari, P. A. et P. Trudel, « Le droit au respect de l’honneur, de la r√©putation et de la vie priv√©e : aspects g√©n√©raux et applications », dans S.F.P.B.Q., Application des Chartes des droits et libert√©s en mati√®re civile, Cowansville, √Čditions Yvon Blais, 1988.

Documents gouvernementaux

Commission Nationale de l’Informatique et des Libertes de la France, « R√®glement europ√©en sur la protection des donn√©es : ce qui change pour les professionnels », 10 juillet 2018.

Industrie Canada, « La protection de la vie priv√©e et l’autoroute canadienne de l’information : une nouvelle infrastructure de l’information et des t√©l√©communications, » Ottawa, 1994.

Minist√®re de la Justice du Qu√©bec, « Commentaires du ministre de la Justice, Le Code civil du Qu√©bec» , 3 tomes, Publications du Qu√©bec, 1994.

Articles de journaux

Agence QMI, « Donn√©es en sant√© : plus de budget et de ressources r√©clam√©s », Journal de Montr√©al, 15 novembre 2019.

Agence QMI, « Jusqu’√† 37 000 comptes de Canadiens consult√©s frauduleusement chez TransUnion » Journal de Montr√©al, 9 octobre 2019.

ARCHAMBAULT, H., « Panne informatique majeure dans cinq h√īpitaux de Montr√©al », Journal de Montr√©al, 30 septembre  2019.

De Rosa, N., « Fuite de donn√©es personnelles de 3000 lecteurs de L’actualit√© », Radio-Canada, 16 septembre 2019.

Genois Gagnon, J.-M., « Fuite de donn√©es chez Industrielle Alliance », Journal de Qu√©bec, 11 septembre 2019.

Lachance, N., « Bar ouvert avec les donn√©es personnelles : votre dossier m√©dical √† risque », Journal de Qu√©bec, 14 novembre 2019.

Lachance, N., « Donn√©es en sant√© : le gouvernement promet des alertes » Journal de Qu√©bec, 14 novembre 2019.

P√©loquin T. et H. Pilon-Larose, « Fuite de donn√©es : tous les membres particuliers de Desjardins sont victimes », La Presse, 1er novembre 2019.

Radio-Canada, « Capital One : des donn√©es personnelles de 6 millions de Canadiens ont √©t√© vol√©es », 29 juillet 2019.

Radio-Canada, « La fuite de donn√©es √† Revenu Qu√©bec soul√®ve des inqui√©tudes », 8 ao√Ľt 2019.

Ruel-Manseau, A., « Bonjour-sant√© victime d’une attaque informatique », La Presse, 6 octobre 2019.

Tchandem Kamgang, A. C., « Doit-on craindre pour la confidentialit√© des donn√©es m√©dicales des Canadiens ? », Radio-Canada International, 12 novembre 2019.

Endnotes

1 Kimberly Kiefer, Stephen Wu, Ben Wilson et Randy Sabett, Information Security A Legal, Business, and Technical Handbook, Chicago, √Čditions ABA, 2004, p. 41.
2 (ci-apr√®s « Desjardins »).
5 Jean-Michel Genois Gagnon, « Fuite de donn√©es chez Industrielle Alliance », Journal de Qu√©bec, 11 septembre 2019.
6 Nicholas De Rosa, « Fuite de donn√©es personnelles de 3000 lecteurs de L’actualit√© », Radio-Canada, 16 septembre 2019.
7 Agence QMI, « Jusqu’√† 37 000 comptes de Canadiens consult√©s frauduleusement chez TransUnion » Journal de Montr√©al, 9 octobre 2019.
8 Tristan P√©loquin et Hugo Pilon-Larose, « Fuite de donn√©es : tous les membres particuliers de Desjardins sont victimes », La Presse, 1er novembre 2019.
9 Fran√ßois Themens, Internet et la responsabilit√© civile, Cowansville, √Čditions Yvon Blais, p. 32.
10 Pierre Trudel, France Abran, Karim Benyekhlef et Sophie Hein, Droit du cyberespace, Montr√©al, √Čditions Th√©mis, 1997, p. 11-20.
11 C.c.Q., art. 3 al. 2.
12 Frenette c. M√©tropolitaine (La), Cie d’assurance-vie, [1992] 1 R.C.S. 647.
13 Jean-Louis Beaudouin, Patrice Deslauriers et Benoit Moore, La responsabilit√© civile, 8e √©dition, vol. 1 « Principes g√©n√©raux », Cowansville, √Čditions Yvon Blais, 2014, par. 1-269.
14 Henri Brun, Guy Tremblay et Eug√©nie Brouillet, Droit constitutionnel, 6e √©d., Cowansville, √Čditions Yvon Blais, 2014, para XXII-6.131.
15 Id., para XXII-6.131, référant à la décision Syndicat des professionnelles du Centre de jeunesse de Québec (CSN) c. Desnoyers, [2005] R.J.Q. 414 (C.A.).
16 Industrie Canada, La protection de la vie priv√©e et l’autoroute canadienne de l’information : une nouvelle infrastructure de l’information et des t√©l√©communications, Ottawa, 1994, p. 5.
17 P. Trudel et al., préc., note 10, p. 11-25.
18 Raymond Doray, « Le respect de la vie priv√©e et la protection des renseignements personnels dans un contexte de commerce √©lectronique » dans Vincent Gautrais (dir.), Droit du commerce √©lectronique, Montr√©al, √Čditions Th√©mis, 2002, p. 303, par. 7.
19 Loi sur le secteur privé, art. 2.
20 Ministère de la Justice du Québec, Commentaires du ministre de la Justice, Le Code civil du Québec, tome I, Publications du Québec, 1994, p. 936-937.
21 Crinit c. Gropue Commerce, compagnie d’assurance (Le), [1997] C.A.I. 343.
22 J.-L. Beaudouin, P. Deslauriers et B. Moore, préc., note 19, par. 1-275.
23 Godbout c. Longueuil (Ville de), [1997] 3 R.C.S. 844.
24 Reid c. Belzile, [1980] C.S. 717.
25 The Gazette (Division Southam Inc.) c. Valiquette, [1997] R.J.Q. 30 (C.A.).
26 Cohen c. Queenswear International Ltd., [1989] R.R.A. 570 (C.S.).
27 Patrick A. Molinari et Pierre Trudel, « Le droit au respect de l’honneur, de la r√©putation et de la vie priv√©e : aspects g√©n√©raux et applications », dans S.F.P.B.Q., Application des Chartes des droits et libert√©s en mati√®re civile, Cowansville, √Čditions Yvon Blais, 1988, p. 197.
28 P. Trudel et al., préc., note 10, p. 11-26 et 11-27.
29 Nicolas Vermeys, Responsabilit√© civile et s√©curit√© informationnelle, Cowansville, √Čditions Yvon Blais, 2010.
30 C.c.Q., art. 39 ; L’entreprise pourrait refuser de donner acc√®s √† un dossier si cette divulgation pourrait nuire √† une enqu√™te en cours, si elle pouvait nuire √† un tiers ou si le refus se justifie pour tout autre int√©r√™t l√©gitime.
31 C.c.Q., art. 38.
32 Daigneault c. S.S.Q.-Vie, [1999] C.A.I. 187.
33 Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1, (ci-apr√®s « L.C.J.T.I. »).
34 Fédération (La), compagnie d'assurances du Canada c. Pauzé, [1998] C.A.I. 455.
35 J.C. c. SSQ, société d'assurances générales inc., 2017 QCCAI 129.
36 Institut d'assurance du Canada c. Guay, [1998] C.A.I. 431.
37 Courtois c. Citifinancial, [2004] C.A.I. 5.
38 Loi sur le secteur privé, art. 11.
39 C.c.Q., art. 2839.
40 Boisvert Bélisle c. Pharmacie Jean Coutu, [1995] no AZ-50003645 (C.A.I.).
41 Liboiron c. Banque de Montréal, 2014 QCCQ 11799.
42 Wallack c. Services financiers DaimlerChrysler Canada inc. (Services financiers Chrysler Canada inc.), 2011 QCCQ 4532.
43 L.C.J.T.I, art. 25.
44 Loi sur le secteur privé, art. 10.
45 Loi sur le secteur privé, art. 17.
46 L.C.J.T.I., art. 42.
47 David L. Gripman « The Doors Are Locked But the Thieves and Vandals Are Still Getting In: A Proposal in Tort to Alleviate Corporate America’s Cyber-Crime Problem » dans The John Marshall Journal of Information Technology & Privacy Law, vol. 16, 1997, p. 167, √† la p. 183.
48 N. Vermeys, préc., note 29, p. 153
49 R. Doray, préc., note 18, à la p. 360.
50 Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (C.D.C.H.A.D.).
51 Deschenes c. Groupe Jean Coutu (P.J.C.) Inc., [2000] C.A.I. 216.
52 Stacey c. Sauvé Plymouth Chrystler (1991) inc., [2002] R.J.Q. 1779 (C.Q.).
53 X. c. M√©tropolitaine (La), Rapport d’enqu√™te, [1995] C.A.I. 364.
54 Fleury c. Caisse populaire St-Jean Berchmans, [2002] no AZ-50121279 (C.A.I.).
55 Loi sur le secteur privé, art. 13.
56 Id., art. 14.
57 Id., art. 18 (2), (3).
58 Id., art. 18 (7) et 18.1
50 Id., art. 18.2 et 21.
60 Id., art. 20.
61 Id., art. 22 et 23.
62 R. Doray, préc., note 18, à la p. 356.
63 X. c. Komdresco Canada Inc., Rapport d’enqu√™te, [1995] C.A.I. 374.
6464 X. c. Rona Dismat, Rapport d’enqu√™te, no 94 08 33 (C.A.I.).
65 Chambre de l'assurance de dommages c. Kotliaroff, préc., note 50, par. 34.
66 X. c. Poulin de Courval Cie, Rapport d’enqu√™te, [1997] C.A.I. 394.
67 (ci-apr√®s, « C.A.I. »).
68 R. Doray, préc., note 18, à la p. 358.
69 Daigneault c. S.S.Q.-Vie, préc., note 32.
70 S√©bastien Beauregard et Lukasz Granosik, « Les renseignements personnels et la responsabilit√© civile : √† quel prix ? », dans S.F.C.B.Q., vol. 358, D√©veloppements r√©cents en droit de l’acc√®s √† l’information et de la protection des renseignements personnels – les 30 ans de la Commission d’acc√®s √† l’information, Cowansville, √Čditions Yvon Blais, 2012, p. 49, √† la p. 56.
71 Aubry c. Vice-Versa, [1998] 1 R.C.S. 591, par. 11.
72 Stacey c. Sauvé Plymouth Chrysler (1991) inc., préc., note 110.
73 Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624.
74 Nadler c. Rogers Communications inc., 2014 QCCQ 5609.
70 Stacey c. Sauvé Plymouth Chrysler (1991) inc., préc., note 52.
76 Syndicat des employés de la ville de Huntingdon c. Ville de Huntingdon, (1997) AZ-97151510 (C.A.I.)
77 Chambre de l'assurance de dommages c. Kotliaroff, préc., note 50.
78 Charte des droits et libertés de la personne, RLRQ, c. C-12., art. 49 al. 2.
79 Qu√©bec (Curateur public) c. Syndicat national des employ√©s de l'H√īpital St-Ferdinand (C.S.N.), [1990] R.J.Q. 359, par. 121.
80 Cinar Corporation c. Robinson, 2013 CSC 73, par. 119.
81 Gauthier c. Beaumont, [1998] 2 R.C.S. 3, par. 111.
82 Séguin c. Général Motors Acceptance Corporation du Canada ltée, 2007 QCCQ 14509.
83 Wallack c. Services financiers DaimlerChrysler Canada inc., préc., note 42.
84 RLRQ c. C-25.01.
85 Vivendi Canada Inc. c. Dell’Aniello, [2014] 1 R.C.S. 3.
86 Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (O.C.R.C.V.M.), 2014 QCCS 4061.
87 Bourbonnière c. Yahoo! Inc., préc., note 73.
88 Belley c. TD Auto Finance Services Inc./Services de financement auto TD inc., 2015 QCCS 168.
89 Mazzonna c. DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958.
90 Zuckerman c. Target Corporation, 2017 QCCS 110.
91 Larose c. Banque Nationale du Canada, 2010 QCCS 5385.
92 Li c. Equifax inc., 2019 QCCS 4340.
93 R√®glement (UE) 2016/679 du Parlement europ√©en et du Conseil du 27 avril 2016 relatif √† la protection des personnes physiques √† l'√©gard du traitement des donn√©es √† caract√®re personnel et √† la libre circulation de ces donn√©es, et abrogeant la directive 95/46/CE (r√®glement g√©n√©ral sur la protection des donn√©es) (Texte pr√©sentant de l'int√©r√™t pour l'EEE) (ci-apr√®s « R.P.D.P. »).
94 Commission Nationale de L’informatique et des Libert√©s de la France, « R√®glement europ√©en sur la protection donn√©es ce qui change pour les professionnels » 10 juillet 2018.
95 R.P.D.P., art. 20.
96 Id., art. 8.
97 Id., art. 80.
98 Id., art. 82.
99 Voir art. 14, 156, 163, 434, 708 et 1813 C.c.Q.
100 Commission Nationale de L’informatique et des Libert√©s de la France, pr√©c., note 94.
101 R.P.D.P., art. 25.
102 Id., art. 74.
103 Id., art. 30
104 Id., art. 33 et 34.
105Id., art. 42.
106 Id., art. 40.
107 Id., art. 37 à 39.
108 Id., art. 35 et 36.
109 Commission Nationale de L’informatique et des Libert√©s de la France, pr√©c., note 94.
110 R.P.D.P., art. 58 et 83.
111 Loi sur le secteur privé, art. 91.
112 California Consumer Privacy Act of 2018, CAL. CIV. CODE t. 1.81.5, § 1798.198(a) (2018) (ci-apr√®s « C.C.P.A. »). Les diff√©rentes normes ne seront pas identifi√©es par leur num√©ro d’article parce que des auditions publiques auront lieu en d√©cembre 2019 et les num√©ros peuvent √™tre modifi√©s avant son entr√©e en vigueur. Le document consult√© est disponible en ligne.
113 Loi sur le secteur privé, art. 22.
114 H√©lo√Įse Archambault, « Panne informatique majeure dans cinq h√īpitaux de Montr√©al », Journal de Montr√©al, 30 septembre 2019.
115 Audrey Ruel-Manseau, « Bonjour-sant√© victime d’une attaque informatique », La Presse, 6 octobre 2019.
116 Nicolas Lachance, « Bar ouvert avec les donn√©es personnelles : votre dossier m√©dical √† risque », Journal de Qu√©bec, 14 novembre 2019.
117 Nicolas Lachance, « Donn√©es en sant√© : le gouvernement promet des alertes » Journal de Qu√©bec, 14 novembre 2019.
118 Agence QMI, « Donn√©es en sant√© : plus de budget et de ressources r√©clam√©s », Journal de Montr√©al, 15 novembre 2019.
119 Alice Chantal Tchandem Kamgang, « Doit-on craindre pour la confidentialit√© des donn√©es m√©dicales des Canadiens? », Radio-Canada International, 12 novembre 2019.