Cybersécurité en entreprise et données personnelles : Perspective québécoise de la responsabilité civile
Justine Sara, l’Université de Montréal
1er mars 2020
(available in French only)
Introduction
Il est aujourd’hui estimé que près de 80 % des actifs d’une entreprise existent sous la forme de données informatiques1. Récemment, la stabilité de ces actifs a été excessivement fragilisée à la suite d’un vol de données personnelles qui a profondément terni l’image que projette les nouvelles technologies sur la vie des Québécois. Le 20 juin 2019, le Mouvement des Caisses Desjardins2 annonçait en effet que 2,9 millions de ses membres furent victimes d’une fuite de renseignements personnels touchant leurs noms, dates de naissance, numéros d’assurance sociale, adresses physiques et électroniques, numéros de téléphones, habitudes transactionnelles et produits financiers. Ces données ont été transmises illégalement à des personnes mal intentionnées par un employé du Mouvement. Desjardins a dès lors instauré un service gratuit auprès d’Equifax, service d’alerte pour les opérations frauduleuses, pour les 2,9 millions de membres qui ont été touchés par la fuite. Le 2 novembre 2019, Guy Cormier, chef de la Direction et président du Conseil d’administration, annonçait finalement que ce ne sont pas 2,9 millions de membres qui ont été touchés, mais plutôt 4,2 millions, représentant la totalité des membres particuliers.
Bien qu’elle soit celle qui ait reçu le plus d’attention médiatique, la fuite de Desjardins n’est pas la seule à être survenue dans les six derniers mois. Le 29 juillet, Capital One annonçait que 6 millions de Canadiens avaient été touchés par un piratage informatique ayant dérobé leurs renseignements personnels3. Le 7 août, Revenu Québec confirmait que les renseignements de 23 000 employés et ex-employés avaient été extraits du système informatique par une employée de l’agence gouvernementale4. Le 11 septembre, Industrielle Alliance annonçait être victime d’une fuite de données personnelles pour 3 000 de ses clients québécois, le tout orchestré par une personne externe à l’organisation5. Le 16 septembre, le magazine L’actualité confirmait que 3 000 de ses abonnées web avaient vu leurs données être piratées et qu’elles avaient été exposées sur le dark web6. Le 9 octobre, TransUnion a indiqué que 37 000 comptes canadiens avaient été consultés frauduleusement par une personne ayant obtenu sans autorisation un code d’accès légitime aux données7.
Au total, ce sont cinq autres fuites importantes ont été publicisées dans les médias dans une fenêtre de seulement deux mois. À la lumière de ce qui précède, il est manifeste qu’il doit exister des fuites à moins grande échelle qui n’ont pas été aussi médiatisées. Ce constat est extrêmement préoccupant, non seulement pour les potentielles victimes, mais également pour les juristes touchés dans leur pratique par le droit à la vie privée et aux entreprises qui ne savent plus quelles mesures implanter pour éviter une telle catastrophe médiatique et économique.
C’est avec raison qu’Éric Girard, ministre des Finances du Québec, a proclamé cet automne que « la protection des renseignements personnels, c’est d’actualité dans toutes les sphères de la société. […] Il faut attaquer le problème d’une façon multidirectionnelle »8. Mis à part les accusations criminelles pouvant être déposées contre les responsables des fuites de données, les victimes ont-elles également un recours pour obtenir une compensation directe à la suite de la fuite de leurs renseignements personnels ? Au Québec, il est indéniable que l'évolution des technologies a déjà provoqué des changements majeurs sur la gestion des renseignements personnels, tant au niveau pratique que juridique. « L’Internet, qui apparaît comme le plus important des nouveaux moyens de communication de masse, met justement en péril la vie privée des individus »9. Ce texte traitera donc de l’impact des nouvelles technologies sur la responsabilité des entreprises relativement au droit à la vie privée en cas de fuite de renseignements personnels. Les principes de la responsabilité civile sont bien établis en droit québécois. La trilogie de la faute, du préjudice et du lien de causalité n’est plus à remettre en question, et il est clair qu’il faille prouver ces trois éléments afin d’engager la responsabilité civile d’une personne.
La question qui demeure en suspend est la responsabilité qui peut être imputée à une entreprise qui ne protège pas adéquatement les renseignements personnels qu’elle détient. Commet-elle une faute en instaurant des mesures de sécurité qui n’ont pas été suffisantes pour protéger les renseignements d’un pirate informatique, ou encore de son propre employé ? Peut- elle être tenue responsable si la fuite de renseignements ne se transforme pas en vol d’identité ? Si elle l’est, comment les victimes peuvent-elle obtenir réparation ? Le droit tente de prévenir, mais il semble qu’avec autant de problèmes de fuite de renseignements dans les derniers mois, le droit se doit plutôt de trouver une solution le plus rapidement possible pour tenter de sécuriser les potentielles victimes d’une fuite de données et de fournir des balises plus claires aux entreprises pour la protection des renseignements.
1. FONDEMENTS JURIDIQUES
Pour expliquer la responsabilité des entreprises en cas de fuite de données personnelles, il importe d’effectuer une analyse juridique en amont en délimitant à qui s’imposent les normes québécoises, définissant le droit à la vie privée et en posant les balises. Comme l’indique Pierre Trudel dans son ouvrage « Droit du cyberespace », « c’est dans la Déclaration universelle des droits de l’homme que la protection de la vie privée a été reconnue pour la première fois comme un droit de l’homme ».10 Ce droit a rapidement été intégré au droit civil québécois et est maintenant codifié au C.c.Q., à la Charte des droits et libertés de la personne, RLRQ, c.-12 (ci-après « Charte québécoise ») et dans la Loi sur les renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 (ci-après « Loi sur le secteur privé »).
1.1 Définition du droit à la vie privée
En droit civil québécois, le droit à la vie privée est reconnu non seulement à l’article 5 de la Charte québécoise, mais aussi, explicitement, aux articles 3, 35 et 36 C.c.Q. Constituant un droit de la personnalité, le droit à la vie privée est techniquement incessible11, ce qui implique qu’il ne pourrait être transféré à une autre personne par voie contractuelle, mais il est toutefois possible de renoncer à l’invoquer dans certaines circonstances<12. La définition du droit à la vie privée ne fait pas l’objet d’un consensus chez les auteurs. Certains proposent que ce droit comprenne « une protection contre l'intrusion injustifiée dans la vie privée et contre la diffusion de renseignements personnels »13, alors que d’autres suggèrent qu’aucune définition n’a été rendue, mais que les tribunaux avaient « plutôt énuméré, de façon non limitative, ce que pouvait protéger [le droit à la vie privée] »14 :
« Selon la Cour d’appel, ce droit assure à chacun une sphère d’intimité capable de résister à l’intrusion d’autrui et comprend un droit à la solitude, à l’anonymat et à l’intimité, à l’autonomie dans l’aménagement de sa vie personnelle et familiale, au secret et à la confidentialité, à l’inviolabilité du domicile et à l’utilisation de son nom, de son image et de sa voix. Il protège aussi les données relatives à l’état de santé, à la vie familiale et amoureuse, et à l’orientation sexuelle des personnes. »15
(références omises)
Du côté gouvernemental, Industrie Canada a réalisé une étude spécifiant que « la vie privée est normalement définie de deux façons : le droit de vivre en paix, sans intrusion ni interruption, et le droit de contrôler les renseignements qui touchent sa personne »16. Nous ne pouvons que constater que la définition du droit à la vie privée n’est pas fixée en droit québécois, ni en doctrine, ni en jurisprudence. Cependant, comme le rappelle Pierre Trudel, le flou entourant ce droit est bénéfique à sa protection, lui permettant ainsi d’évoluer au même rythme que la société17. Une telle flexibilité est peut-être nécessaire dans un contexte technologique où le cyberespace est en constant accroissement.
1.2 Renseignements personnels faisant partie de la vie privée
La notion de renseignement personnel est définie dans la Loi sur le secteur privé, loi d’application des articles 35 à 41 C.c.Q.18, comme étant « tout renseignement qui concerne une personne physique et qui permet de l’identifier »19. Il importe de souligner que la définition ne concerne ici que les personnes physiques, ce qui peut être confirmé par les « Commentaires du ministre de la Justice sur le Code civil du Québec »20 et la décision Crinit21. En rapport avec les technologies, « ce sont tout stockage et toute diffusion non normalisée d’informations personnelles qui sont désormais protégés »22 par le droit à la vie privée, comme les adresses courriels, les informations bancaires ou les coordonnées d’une personne.
En 1997, l’arrêt Ville de Longueuil23 indiquait déjà que les renseignements personnels étaient couverts par la protection de l’article 5 de la Charte des droits et libertés de la personne, incluant notamment le dossier médical24, l’état de santé d’une personne25 ainsi que les photographies l’identifiant26. En outre, antérieurement à cette décision, cette protection a été soulevée par les auteurs Molinari et Trudel en 198827. Bien que la protection soit reconnue depuis longtemps, ce ne sont pas tous les renseignements personnels qui en bénéficient. Ce sont seulement ceux ayant un aspect privé qui sont inclus dans la protection. Il existe deux grands volets pour déterminer si un renseignement est privé : le volet identificateur lié aux faits de la vie d’une personne et le volet contextuel qui permet de moduler son expectative de vie privée selon la position de la personne dans la société :
« La jurisprudence a énuméré plusieurs éléments de la vie privée d’une personne qui sont fréquemment rattachés à l’intimité par les tribunaux : l’intimité de son foyer, ses origines, son état de santé, son anatomie et son intimité corporelle, sa vie conjugale, familiale et amoureuse, ses opinions politiques, philosophiques ou religieuses, la vie professionnelle et l’orientation sexuelle. »28
Par exemple, la vie familiale d’une personne est normalement protégée, mais si cette personne est une personnalité publique, il est possible que les renseignements ne soient plus du domaine privé en raison des informations partagées publiquement par la personne concernée. Chaque situation étant un cas d’espèce, il importe de se référer aux deux volets de l’analyse pour être certain que le renseignement personnel bénéficie de la protection.
2. Obligation des entreprises en contexte de données personnelles
Il importe d’établir les obligations auxquelles les entreprises sont tenues afin d’évaluer s’il y a ouverture de la première condition de la responsabilité, soit la faute. Selon Nicolas Vermeys, le fondement des obligations des entreprises privées en matière de protection des renseignements personnels est la sécurité, soit « l’ensemble de mesures de sécurité prises pour assurer la confidentialité, l’intégrité et la disponibilité de l’information traitée »29.
2.1 Obligation de disponibilité
Tout d’abord, dès qu’une entreprise possède des renseignements sur une personne, elle doit lui permettre de les consulter. C’est le Code civil qui établit les bases de l’obligation de disponibilité selon laquelle l’entreprise ne peut pas refuser à une personne l’accès à ses renseignements, sauf exceptions30, et que cette consultation doit se faire gratuitement31. L’article 40 C.c.Q. dispose que la personne qui consulte son dossier et qui constate une erreur, une information incomplète ou dont l’interprétation est discutable peut demander de la faire corriger, ou encore demander de supprimer un renseignement inactuel ou qui ne devrait pas se trouver à son dossier32. La L.C.J.T.I.33 renforce cette obligation à son article 19 en disposant explicitement que la personne conservant un document a l’obligation de « voir à la disponibilité du matériel qui permet de le rendre accessible et intelligible ».
Enfin, la Loi sur le secteur privé réitère cette obligation à ses articles 27 et 29. C’est ainsi qu’une compagnie d’assurance a été contrainte de communiquer à une personne tous les renseignements la concernant dans le cadre d’un vol de voiture34, ou encore dans le cadre d’une réclamation pour sinistre causé par l’eau dans le sous-sol de la propriété de la personne concernée35. Aussi, une école privée pour les courtiers en assurances de dommage n’a pas pu se prévaloir d’une clause concernant la confidentialité des copies d’examens pour refuser de communiquer les renseignements à ceux qui les demandent36. Concernant la suppression de renseignements, une entreprise a été forcée de retirer les renseignements concernant les dettes d’une personne qui en avait obtenu la libération plus de cinq ans plus tôt37.
2.2 Obligation d’intégrité
Ensuite, les renseignements sur une personne se doivent d’être à jour, et les entreprises doivent prendre les mesures nécessaires pour s’assurer que leur intégrité ne soit pas altérée38. Le Code civil dispose que cette obligation est remplie « lorsqu’il est possible de vérifier que l’information n’en est pas altérée et qu’elle est maintenue dans son intégralité, et que le support qui porte cette information lui procure la stabilité et la pérennité voulue39.
Par exemple, une pharmacie a été obligée de conserver toutes les modifications effectuées dans le dossier de médication des patients pour une durée de deux ans afin de vérifier si l’information était exacte40. Aussi, après avoir été obligée par la Cour de modifier des renseignements erronés dans le dossier d’une cliente, une banque a manqué à son obligation d’intégrité des données en n’effectuant pas la modification demandée plus de six mois après le jugement rendu41. Une financière s’est aussi fait pointer du doigt pour ne pas avoir corrigé l’information après une demande de son client42.
2.3 Obligation de sécurité
L’article 25 de la L.C.J.T.I. impose une obligation, pour toute personne possédant des renseignements personnels par le biais de moyens technologiques, de mettre en place des mesures de sécurité43. La Loi sur le secteur privé rappelle également que l’entreprise « doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels »44. L’obligation est de plus forte intensité si les renseignements seront transférés à l’extérieur du Québec45. Il n’existe pas de liste exhaustive au niveau des mesures de sécurité, ni de balises établies dans la jurisprudence pour un seuil minimal d’installations physiques et technologiques. Bien que des exigences claires et détaillées pourraient avoir comme impact d’empêcher l’évolution de l’obligation au rythme de la technologie, l’absence de normes claires place les entreprises dans une situation délicate. L’article 25 de la L.C.J.T.I. donne quelques exemples de mesures pouvant assurer la confidentialité de l’information, comme un accès avec procédé de visibilité réduite ou un procédé qui empêche une personne non-autorisée à accéder aux renseignements. Ce contrôle d’accès peut être une « attestation, une carte, un certificat, une pièce ou une preuve d’identité ou un autre document servant à établir l’identité d’une personne »46. Les entreprises pourraient également se baser sur les normes du marché, comme les mots de passes, le chiffrement, les sauvegardes sur des supports externes et les antivirus47, et également mettre en place des mesures de contrôle d’accès matériel comme « le verrouillage des classeurs et la restriction de l’accès aux bureaux »48. Enfin, en matière de transaction électronique, les entreprises devront « mettre en place des mécanismes d’identification de ses contractants et de sécurisation des transmissions de données »49.
En se penchant sur la jurisprudence, il est fort décevant de remarquer qu’aucune décision ne fait état d’un seuil minimal de sécurité informationnelle. Force est de constater que les tribunaux sanctionnent le manquement à l’obligation de sécurité, mais n’énoncent pas ce qu’aurait été le respect de cette obligation. Dans l’affaire Kotliaroff50, un courtier d’assurance a rendu publiques accidentellement toutes les données confidentielles de l’ensemble de ses clients sur le site Internet de son cabinet d’assurance. Dans l’affaire Groupe Jean Coutu51, le fait de ne pas verrouiller les ordinateurs et les locaux où se trouvent les renseignements a été vu comme un manquement à l’obligation de sécurité. Sans l’énoncer spécifiquement, nous pouvons en conclure que de les verrouiller aurait été adéquat. Le même raisonnement a été appliqué à l’encontre d’un concessionnaire automobile sur l’obligation de verrouiller les classeurs où se trouvaient les renseignements de ses clients52. Enfin, il faudrait faire signer un contrat avec les mandataires qui auront accès aux renseignements personnels des clients53. En revanche, la Commission d’accès à l’information s’est prononcée dans l’affaire Fleury sur des recommandations pour respecter l’obligation de sécurité, soit d’établir une procédure de contrôle d’accès aux données, de définir une personne responsable du système informatique, de sensibiliser constamment les employés sur l’obligation de sécurité, de s’entendre avec les mandataires sur le respect de l’obligation et de faire signer un engagement explicite tant aux employés qu’aux mandataires ayant l’accès à l’information54.
2.4 Obligation de confidentialité
C’est à l’article 10 de la Loi sur le secteur privé que le caractère confidentiel des renseignements est réitéré. L’article 25 L.C.J.T.I., qui parle des mesures de sécurité, indique que celles-ci doivent être prises pour assurer la confidentialité. Cette obligation implique que les renseignements personnels d’une personne ne doivent pas être mis entre les mains d’un tiers55, bien que la personne concernée puisse consentir à la transmission de ses renseignements personnels, tant que son consentement soit manifeste, spécifique et éclairé56. Il existe des exceptions spécifiques permettant la transmission sans le consentement, notamment pour des demandes en lien avec une affaire pénale57, lors d’une situation d’urgence mettant la vie, la santé ou la sécurité en danger58 ou pour un service d’archive ou et recherche59. La transmission à un mandataire ne requiert pas non plus de consentement60. Également, une exception est prévue soit dans le cas où l’entreprise utilise une liste nominative61 :
« Elles peuvent communiquer à d’autres entreprises ou obtenir de celles-ci des listes de renseignements personnels contenant le nom, l’adresse et le numéro de téléphone de clients ainsi que les caractéristiques générales de ces clients (clients ayant effectués plus d’un certain nombre de voyages au cours d’une même année ou dont les dépenses annuelles, par cartes de crédit, excèdent un montant minimal préétabli, clients intéressés à certains types de promotions, etc. »62
Par exemple, un employeur s’est vu reprocher d’avoir partagé un avis disciplinaire, visant seulement un employé, à l’ensemble des employés de l’entreprise63, et un autre a été blâmé d’avoir affiché le nom d’un employé ainsi que son taux de productivité64, deux situations où le consentement de l’employé visé n’avait pas été obtenu. De plus, il a été recommandé de faire appel à une « entreprise spécialisée dans la création de site web »65 lorsqu’une personne ne possède pas les capacités pour assurer la confidentialité des données. Un syndic de faillite s’est également vu reprocher d’avoir transmis un document contenant le nom, le numéro d’assurance sociale et les dividendes payés à tous les employés de l’entreprise en faillite66.
3. Préjudice et Réparations
Les obligations énoncées ci-dessus doivent être respectées. N’étant pas différente des autres cas, la faute découlant du non-respect de ces obligations doit être génératrice d’un dommage pour qu’elle puisse donner lieu à la réparation du préjudice. La victime peut donc avoir recours à plusieurs véhicules procéduraux pour faire valoir ses droits et obtenir une indemnisation du préjudice subi.
3.1 Commission d’accès à l’information
En cas de violation, toute personne dont les renseignements personnels n’ont pas été protégés peut également déposer une plainte devant la Commission d’accès à l’information67 :
« 152. […] Au terme de son enquête, la CAI peut ordonner à une entreprise de respecter la loi. Des poursuites pénales peuvent être également intentées contre une entreprise qui viole les dispositions de la loi québécoise. »68
Toutefois, la compétence de la C.A.I. se limite seulement au pouvoir de se saisir de litiges concernant l’accès à l’information et la rectification des renseignements contenus dans un dossier69. Elle ne possède aucun pouvoir d’octroyer des dommages, « bien que ses décisions puissent servir de constat de faute civile, nécessaire pour établir la responsabilité civile »70.
3.2 Poursuite civile
Étant un droit fondamental, la violation du droit à la vie privée est une faute génératrice de responsabilité civile qui entraine une réparation71. Cependant, l’alinéa 2 de l’article 35
C.c.Q. précise que la personne titulaire du droit à la vie privée peut consentir à son atteinte, ou que la loi peut autoriser une telle atteinte. Tel qu’établi dans l’affaire Stacey c. Sauvé Plymouth Chrysler72, le commerçant qui ne prend pas de mesure de sécurité pour protéger les renseignements personnels de ses clients contrevient à la Loi sur le secteur privé et engage sa responsabilité civile. Il faut toutefois noter que la faute doit générer un dommage pour que la victime puisse obtenir une réparation. Par exemple, le simple fait de devoir modifier son mot de passe ne constitue pas un préjudice suffisant pour permettre la réparation73. À l’inverse, un dossier de crédit erroné transmis à une agence de crédit et empêchant une personne d’obtenir un prêt d’une banque est un dommage significatif pour la personne dont l’intégrité des données n’a pas été protégée et il peut être indemnisé74.
Dans la jurisprudence antérieure, la majorité des situations problématiques ont un lien avec une perte causée à l’interne. On peut penser au vendeur d’un concessionnaire qui a conservé l’identité d’un autochtone ayant le statut d’Indien pour acheter une voiture en son nom et éviter les taxes75, au syndic de faillite qui a posté les numéros d’assurance sociale des employés à tous les employés par erreur76 ou encore au courtier d’assurance qui a déposé tous ses dossiers sur un site Internet public au lieu de sa banque de données privée77. Bien que ces événements soient hautement problématiques, la complexité d’une fuite de données personnelles causée par des acteurs malveillants apporte des considérations différentes dans le domaine juridique auxquelles le droit n’a encore aucun remède.
Les chefs de dommages généralement réclamés dans une poursuite civile sont les dommages-punitifs pour atteinte intentionnelle, les dommages-intérêts pour le préjudice moral dont le montant n’est pas plafonné, et les pertes économiques pouvant résulter, par exemple, d’une dépression ou d’une perte d’emploi à la suite du dommage.
Si une atteinte à un droit protégé par la Charte québécoise est illicite et intentionnelle, un tribunal peut condamner l’auteur de la faute à des dommages-intérêts punitifs78. Pour être intentionnelle, la personne qui comment la faute doit avoir le désir ou une volonté de causer les conséquences de sa conduite fautive et agir en toute connaissance des conséquences immédiates et naturelles ou au moins extrêmement probables que sa conduite engendrera79. Il est même possible d’aller chercher des dommages-punitifs chez le commettant s’il est possible de prouver que l’employeur « partage l’intention de son employé de porter atteinte à des droits garantis par la Charte »80, en prouvant notamment « [l]es ordres donnés par le commettant, la connaissance ou la non-interdiction des actes illicites, l’omission d’ordonner la cessation de ceux-ci ainsi que le niveau hiérarchique du poste du préposé fautif »81.
Le dommage peut parfois être moral. Les tribunaux ont reconnu l’inquiétude qu’une personne avait vécue lorsqu’une entreprise avait appelé son employeur pour lui dire que la carte de crédit de la personne pourrait avoir été fraudée82 et un tribunal a accordé une compensation de 700 $. Également, de fausses informations transmises dans un dossier de crédit peuvent causer des dommages moraux à la personne qui met beaucoup de temps et d’énergie pour tenter de les corriger83.
3.3 Action collective
L’action collective est le recours le plus approprié lors d’une fuite massive de données personnelles. Toute action collective doit être autorisée selon les critères de l’article 575 du Code de procédure civile84, soit que les questions de droits des demandeurs soient similaires ou connexes, que les faits allégués semblent prima facie justifier les conclusions recherchées, que la composition du groupe empêche l’application du mandat d’ester en justice pour autrui et que le membre représentant soit en mesure d’assurer une représentation adéquate des membres. Cette étape préalable a pour fonction le « filtrage des requêtes, pour éviter que les parties défenderesses doivent se défendre au fond contre des réclamations insoutenables »85.
Notons toutefois que l’action collective n’efface pas les critères de la responsabilité civile québécoise. C’est ainsi que la Cour supérieure a rejeté une demande d’action collective dans un cas où la perte d’un ordinateur d’un employé contenant les informations personnelles de clients n’avait pas donné lieu à de la fraude ou à de l’usurpation d’identité86, ou encore lorsque le seul préjudice subi par les usagers était de devoir modifier leur mot de passe87. En l’absence de dommage, il n’y a pas de responsabilité qui puisse justifier une action collective.
Malgré ce qui a été énoncé dans la section sur la poursuite civile, il semble que les tribunaux ne soient pas enclins à conclure à l’existence d’un dommage lorsque la perte de données ne résulte pas à un vol d’identité. Contrairement aux conclusions énoncées ci-dessus, le stress et les inconvénients ne paraissent pas être suffisants. Pourtant, la Cour supérieure a déjà autorisé des actions collectives nationales découlant de la perte de données personnelles, sans qu’il n’y ait eu, prima facie, de preuve de dommages. Par exemple, une action collective a été autorisée contre les Services de financement auto TD qui avaient perdu la bande de données contenant les informations de leurs clients lors d’un envoi par la poste, malgré qu’aucun dommage direct n’ait été démontré88. Le même raisonnement a été appliqué pour les Services financiers DaimlerChrysler, où l’anxiété d’être possiblement victime de fraude d’identité n’a pas été considérée comme suffisante pour justifier une action collective89.
Il n’est pas non plus déterminé si le simple fait que les données se trouvent entre les mains d’acteurs malveillants suffit pour autoriser l’action collective, dans le cas où la fuite de renseignements personnels n’ait pas directement mené à un vol d’identité. Une action collective avait été autorisée contre Target dans ce contexte, où les renseignements de 60 000 clients québécois avaient été volés par des pirates informatiques90. Bien qu’une action collective puisse être intentée au Québec contre une compagnie américaine, soit Target, la composition du groupe a été limitée aux résidents du Québec pour l’action collective. Ce dossier a été réglé hors cour en 2018. C’est la même conclusion qui a été énoncée contre la Banque nationale du Canada dont trois ordinateurs portables avaient été volés et contenaient les noms et adresses de 225 000 clients hypothécaires, leurs numéros de compte et leurs succursales bancaires, le lot visé par le prêt, le montant du prêt et le solde hypothécaire, le taux d’intérêt ainsi que le numéro d’assurance et le montant de la prime d’assurance91. La cour a conclu à l’apparence d’un dommage ainsi qu’à l’apparence d’une faute puisque la banque n’avait pas suffisamment sécurisé les ordinateurs et leurs contenus, et que la communication de la perte de données aux clients a été trop longue ou carrément absente. Ce dossier a également été réglé hors cour.
Le 21 octobre dernier, la Cour supérieure a rejeté une action collective intentée contre Equifax92. 8 000 comptes de résidents canadiens avaient été piratés en 2017 et leurs adresses, noms, numéros de carte de crédit et d’assurance sociale avaient été volés, mais la Cour a considéré que le dommage n’avait pas été prouvé parce qu’il n’y avait pas eu de fraude d’identité relié à la fuite des renseignements. Le simple fait que les données soient entre les mains d’un tiers n’était pas suffisant pour octroyer des dommages compensatoires. Il ne semble donc pas y avoir de ligne directrice sur l’importance des dommages moraux quant à l’autorisation, en comparaison avec une poursuite civile ordinaire dans laquelle les dommages moraux sont admissibles et peuvent enclencher la responsabilité civile de l’acteur fautif. Dans l’optique où les actions collectives pour perte de renseignements personnels semblent être de plus en plus nombreuses avec l’avancement des technologies, il serait sage de se pencher sur la question pour uniformiser l’ensemble de la problématique.
Il va sans dire qu’une telle conclusion est accueillie amèrement par les 4,2 millions de membres du Mouvement Desjardins dont les données ont été volées et qui attendent toujours l’autorisation du tribunal pour intenter leur action collective. Si la faute de Desjardins était prouvée, les utilisateurs ne sont certainement pas assurés d’obtenir compensation puisqu’il n’y a eu, à ce jour, aucune preuve de fraude d’identité liée à ladite fuite. Faut-il en conclure que les requérants de l’action collective devraient s’empresser de s’y retirer pour intenter une action personnelle et obtenir la clémence des tribunaux quant à l’existence de dommages moraux, faute de quoi ils ne pourront jamais obtenir réparation ? Il ne serait guère dans l’intérêt de la
justice d’entrainer des frais exorbitants, d’avocats, d’experts, du tribunal, pour plusieurs actions individuelles, mais il ne serait pas non plus dans l’intérêt de celle-ci de n’offrir aucune compensation pour une violation d’un droit fondamental de l’individu.
Analyse comparative à l’international
Les deux sources les plus intéressantes à l’internationale se trouvent respectivement de l’autre côté de l’Atlantique, dans l’Union européenne, et au sud de la frontière canadienne, chez nos voisins américains. Les normes adoptées par l’Union européenne et la Californie sont avant-gardistes en la matière et le Québec pourrait en retirer des enseignements forts utiles.
4.1 Règlement européen sur la protection des données personnelles
La législation pertinente de l’Union européenne est considérée comme une pionnière de la protection des renseignements personnels. Le « Règlement européen sur la protection des données personnelles » 93 adopté en 2016, présente des critères très contraignants pour les entreprises, et tend à devenir la norme internationale en ce qui a trait à la protection des données. La réforme proposée par l’Union européenne avait trois objectifs.
Premièrement, les droits des personnes devaient être renforcés94. Des dispositions concernant la portabilité ont été adoptées : elles permettent à une personne de récupérer les données qu’elle a fournies et de les transférer à un tiers95. De plus, une protection supplémentaire a été ajoutée pour les mineurs de moins de 16 ans. Le consentement qu’ils donnent doit venir du titulaire de l’autorité parentale et, une fois devenu adulte, le jeune doit être en mesure de le retirer et d’effacer les données partagées96. Enfin, des dispositions traitant spécifiquement des recours ont été introduites, soit la permission expresse d’intenter des actions collectives représentées par des associations en protection de renseignements personnels97 et un droit spécifique à la réparation des dommages matériels et moraux contre le responsable ou son sous-traitant98. Ce premier objectif semble effectivement remplir des lacunes qui existent au niveau du droit tel que nous le connaissons au Québec. Alors que le Code civil est déjà truffé de protections spécifiques pour les mineurs99, aucune d’entre elle ne concerne la protection de leurs renseignements personnels ou ne limite leur capacité à transmettre ceux-ci à des entreprises. Aussi, nous avons déjà étayé que les réparations possibles en cas de perte de renseignements personnels n’étaient pas claires en droit québécois, puisqu’il existe une incohérence entre l’octroi de dommages-intérêts pour un dommage moral dans le cadre d’une poursuite individuelle en comparaison avec un octroi dans le cadre d’une action collective. De plus, l’autorisation de l’action collective en la matière est loin d’être assurée. De telles dispositions permettent de protéger les parties vulnérables et de renforcer l’existence de leur droit fondamental à la vie privée. Le Québec devrait définitivement s’inspirer du R.P.D.P. pour actualiser les règles en matière de protection des renseignements personnels car tous les objectifs visés par ce règlement sont en concordance avec l’esprit du droit civil québécois.
Deuxièmement, les acteurs traitant les données devaient être responsabilisés, autant pour le traitement que le sous-traitement100. La protection doit être mise en place avant le lancement d’un produit101. À tout moment, une entreprise peut être tenue de démontrer la conformité de ses mesures techniques et organisationnelles visant à respecter la protection des renseignements personnels, et peut être tenue responsable de tout manquement102. Le R.P.D.P. mets en place six nouvelles mesures pour aider à la conformité, soit l’obligation pour les entreprises d’avoir un registre des traitements des données103, des notifications obligatoires dans un délai de 72 heures aux autorités et aux utilisateurs104, des certifications de bon traitement des données105, des codes de conduite106, un délégué à la protection des données dans certaines entreprises107 et des analyses d’impact sur la vie privée des personnes108. Nous pouvons constater que ce deuxième objectif remplit une faille qui existe dans le système québécois, soit que les entreprises ne savent pas sur quelle échelle se placer dans l’implantation de mesures assurant la protection des données. Le Québec pourrait définitivement s’en inspirer pour bonifier sa législation.
Troisièmement, la réglementation devait être crédibilisée109. Les autorités ont maintenant un éventail de sanctions qu’elles peuvent imposer aux acteurs fautifs, soit un avertissement, une mise en demeure, une limitation de ses activités, une suspension des flux de données, un ordre de satisfaire les demandes des droits de rectification ou d’effacement des données et, enfin, une amende administrative de 2 % à 4 % du chiffre d’affaires annuel d’une entreprise ou de 10 à 20 millions d’euros, selon le montant le plus élevé110. Une échelle de sanction est définitivement pertinente et absente en droit québécois. Basé sur les principes généraux de la responsabilité civile, les tribunaux se rabattent constamment sur l’évaluation des dommages telle qu’établie par la jurisprudence précédente, sans adaptation spécifique pour la protection des données personnelles. Les mesures administratives existantes sont des amendes de 1 000 $ à 10 000 $ en cas de non-respect des obligations111, ce qui fait en sorte que les entreprises ne recevant aucune poursuite ou pour qui la faute n’a pas mené à un dommage ne reçoivent qu’une sanction significativement petite pour un chiffre d’affaires exorbitant.
4.2 California Consumer Privacy Act
La Californie a suivi la même direction que l’Union européenne avec le California Consumer Privacy Act112, qui entrera en vigueur en 2020.
En premier lieu, le C.C.P.A. impose, comme le R.P.D.P., un âge minimal de 16 ans pour le consentement des mineurs, avec autorisation du titulaire de l’autorité parentale pour les mineurs de 16 ans et moins. Il donne également un droit explicite à l’oubli, soit le droit de retirer tout renseignement personnel concernant une personne des serveurs d’une entreprise, un droit d’opposition à la vente ou à la communication de renseignements personnels à des tiers et un droit de portabilité des renseignements. Tous les droits énoncés ci-dessus n’existent pas en droit québécois, où les seuls recours pour la personne victime est un recours en responsabilité civile générale ou une plainte à la Commission d’accès à l’information qui reçoit les demandes seulement pour l’accès ou la rectification des données. Les personnes qui confient leurs renseignements aux mains d’entreprises sont vulnérables et le système juridique québécois bénéficierait d’énoncer quels sont leurs droits plus spécifiquement que le droit général à la vie privée.
En deuxième lieu, une entreprise peut utiliser les renseignements personnels dans un but lucratif, mais seulement si la personne concernée donne son consentement explicite (régime « opt-in »). Pour le Québec, les entreprises peuvent utiliser des listes nominatives113 incluant les noms, numéros de téléphones, adresses géographiques et technologiques, et doivent demander aux personnes concernées si elles refusent que leurs renseignements soient utilisés (régime « opt-out »). Dans un but de favoriser le respect de la vie privée, il serait intéressant de se pencher sur la question du consentement présumé qui est très méconnu au Québec. Le régime « opt-in » permettrait d’assurer un meilleur respect de leurs droits.
En dernier lieu, le C.C.P.A. étaye clairement les renseignements personnels protégés, soit tout renseignement identifiant, concernant ou se rapportant à un consommateur, en incluant son nom, son pseudonyme (nom d’utilisateur sur différentes plateformes numériques), son identificateur personnel unique (adresse IP), son adresse courriel, son nom de compte, son numéro d’assurance sociale, son numéro de permis de conduire, son numéro de passeport, ses informations biométriques (par exemple, l’ADN ou les empreintes digitales), les données de géolocalisation, les informations professionnelles et l’éducation. Le régime québécois se limite à indiquer que tout renseignement personnel qui concerne une personne physique et qui permet de l’identifier est protégé. Il serait pertinent d’établir clairement les renseignements personnels protégés, notamment pour enlever l’ambigüité sur la protection des données techniques comme l’adresse IP, le pseudonyme ou les données de géolocalisation, et de protéger plus adéquatement les autres types de données.
Conclusion
Il est maintenant clair que les lois applicables sont désuètes et qu’elles ne sont pas adaptées à l’évolution de notre société. Les obligations des entreprises sont dépassées. Par exemple, l’obligation d’intégrité des données personnelles s’appliquait bien lorsque plusieurs personnes pouvaient avoir accès à un dossier physique et pouvaient perdre des informations. Avec les serveurs informatiques, la façon dont l’obligation est formulée n’a plus lieu d’être. Aussi, l’obligation de disponibilité était très importante lorsque les renseignements étaient détenus seulement sur papier, mais aujourd’hui, il est très facile d’avoir accès à son dossier par Internet ou de se faire transmettre les documents pertinents par courriel. Enfin, les obligations de sécurité et de confidentialité ont définitivement encore leur utilité, mais la façon dont elles sont construites fait en sorte que leur application est excessivement restreinte. Le Québec doit s’inspirer des autres modèles pour établir des principes juridiques plus adaptés à la réalité, notamment obliger les entreprises à avoir des standards minimums en matière de sécurité informationnelle et autoriser les actions collectives intentées par des associations pour optimiser la protection des personnes physiques qui sont vulnérables face à l’industrie.
Bien que ce texte soit axé sur la responsabilité des entreprises privées, il est évident que la problématique s’étend aux organismes publics. La Loi sur le secteur public adoptée en 1982 n’a reçu aucune modification qui prenait en compte l’évolution technologique. Ce problème se pose au niveau de la santé où nos données sont désormais informatisées et une proie potentielle pour des pirates informatiques, appelées par l’Union européenne les « données de santé ». Ces informations sont excessivement sensibles et leur protection est essentielle pour le respect du droit à la vie privée. Les inquiétudes se sont multipliées dans les derniers mois. Le 30 septembre dernier, le service d’urgence du Centre universitaire de santé McGill a été piraté, ce qui a forcé la fermeture de l’urgence et la prise de rendez-vous114. Le 6 octobre, le service de prise de rendez-vous en ligne Bonjour-Santé a été victime d’une attaque informatique, ce qui a rendu sa plateforme inaccessible pendant une semaine115. Bien que le service ait assuré que le piratage n’avait pas visé les données de santé des patients, l’appréhension des québécois s’est exacerbée. Depuis 2009, les données de santé des québécois sont stockées dans le DSQ (Dossier Santé Québec). Ces dossiers contiennent les nom et sexe du patient, son adresse, le nom de ses parents, son numéro d’assurance-maladie, sa date de naissance, ses médicaments prescrits, ses résultats médicaux, ses vaccins et ses sommaires d’hospitalisation. Le Bureau d’enquête du Journal de Québec a relevé les faits suivants qui sont hautement préoccupants, soit que plusieurs professionnels de la santé ont eu accès à des données pour lesquelles ils n’avaient pas l’autorisation, et que 4000 des clés USB donnant accès au dossier ont été perdue116. Le 14 novembre, le gouvernement annonçait qu’un système sera mis en place par le pour renforcer significativement la protection des données de santé des québécois117, après de pressantes demandes de l’Association des gestionnaires de l’information de la santé du Québec qui réclamaient un changement majeur dans les plus brefs délais118. Aucun changement n’a encore été mis en place, mais nous sentons que le gouvernement saisit la préoccupation des québécois et qu’il va se pencher réellement sur la question.
Dans une optique plus élargie, tout récemment, Google a signé une entente avec un acteur important en santé aux États-Unis pour le stockage des données de santé de millions d’américains. Cette association vise à utiliser l’intelligence artificielle pour aider à « développer […] des outils permettant de suggérer aux médecins des examens complémentaires, des prestations supplémentaires ou des traitements, voire de découvrir des anomalies dans le parcours de soins »119. Des objectifs louables suscitent tout de même des doutes dans un contexte où la cybersécurité prend une ampleur considérable. La leçon à tirer de notre société est donc que, malheureusement, celle-ci n’est actuellement pas préparée à protéger adéquatement ses citoyens dans l’avancée du cyberespace. La moindre des choses serait de le reconnaitre et de s’y attarder.
Table de la Législation
Textes canadiens
Charte des droits et libertés de la personne, RLRQ, c. C-12. Code civil du Québec, RLRQ, c. CCQ-1991.
Code de procédure civile, RLRQ c. C-25.01.
Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignement personnels, RLRQ, c. A-2.1.
Loi sur les renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.
Textes européens
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE).
Textes américains
California Consumer Privacy Act of 2018, CAL. CIV. CODE t. 1.81.5, § 1798.198(a) (2018).
Table de la jurisprudence
Aubry c. Vice-Versa, [1998] 1 R.C.S. 591.
Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624.
Belley c. Services de financement auto TD Inc., 2015 QCCS 168.
Boisvert Bélisle c. Pharmacie Jean Coutu, [1995] no AZ-50003645 (C.A.I.).
Chambre de l'assurance de dommages c. Kotliaroff, 2008 CanLII 19078 (C.D.C.H.A.D.).
Cinar Corporation c. Robinson, 2013 CSC 73.
Courtois c. Citifinancial, [2004] C.A.I. 5.
Crinit c. Gropue Commerce, compagnie d’assurance (Le), [1997] C.A.I. 343.
Daigneault c. S.S.Q.-Vie, [1999] C.A.I. 187.
Deschenes c. Groupe Jean Coutu (P.J.C.) Inc., [2000] C.A.I. 216.
Fédération (La), compagnie d'assurances du Canada c. Pauzé, [1998] C.A.I. 455. Fleury c. Caisse populaire St-Jean Berchmans, [2002] no AZ-50121279 (C.A.I.). Frenette c. Métropolitaine (La), Cie d’assurance-vie, [1992] 1 R.C.S. 647.
Gauthier c. Beaumont, [1998] 2 R.C.S. 3.
Godbout c. Longueuil (Ville de), [1997] 3 R.C.S. 844. Institut d'assurance du Canada c. Guay, [1998] C.A.I. 431. Larose c. Banque Nationale du Canada, 2010 QCCS 5385. Li c. Equifax inc., 2019 QCCS 4340.
Liboiron c. Banque de Montréal, 2014 QCCQ 11799.
Mazzonna DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958.
Nadler c. Rogers Communications inc., 2014 QCCQ 5609.
Québec (Curateur public) c. Syndicat national des employés de l'Hôpital St-Ferdinand (C.S.N.), [1990] R.J.Q. 359
Reid c. Belzile, [1980] C.S. 717.
Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (O.C.R.C.V.M.), 2014 QCCS 4061.
Séguin c. Général Motors Acceptance Corporation du Canada ltée, 2007 QCCQ 14509.
Stacey c. Sauvé Plymouth Chrystler (1991) inc., [2002] R.J.Q. 1779 (C.Q.).
Syndicat des employés de la ville de Huntingdon c. Ville de Huntingdon, (1997) AZ-97151510 (C.A.I.)
Syndicat des professionnelles du Centre de jeunesse de Québec (CSN) c. Desnoyers, [2005] R.J.Q. 414 (C.A.)
Vivendi Canada Inc. c. Dell’Aniello, [2014] 1 R.C.S. 3.
Wallack c. Services financiers DaimlerChrysler Canada inc. (Services financiers Chrysler Canada inc.), 2011 QCCQ 4532.
X. c. Komdresco Canada Inc., Rapport d’enquête, [1995] C.A.I. 374.
X. c. Métropolitaine (La), Rapport d’enquête, [1995] C.A.I. 364.
X c. Poulin de Courval Cie, Rapport d’enquête, [1997] C.A.I. 394
X. c. Rona Dismat, Rapport d’enquête, no 94 08 33 (C.A.I.).
Zuckerman c. Target Corporation, 2017 QCCS 110.
Table de la doctrine
Monographies et ouvrages collectifs
Beaudoin, J.-L., P. Deslauriers et B.Moore, La responsabilité civile, 8e édition, vol. 1 « Principes généraux », Cowansville, Éditions Yvon Blais, 2014. (note 13)
Brun, H., G. Tremblay et E. Brouillet, Droit constitutionnel, 6e éd., Cowansville, Éditions Yvon Blais, 2014. (note 14)
Themens, F., Internet et la responsabilité civile, Cowansville, Éditions Yvon Blais, 1998. (note 9)
Trudel P., France Abran, Karim Benyekhlef et Sophie Hein, Droit du cyberespace, Montréal, Éditions Thémis, 1997. (note 10)
Vermeys, N., Responsabilité civile et sécurité informationnelle, Cowansville, Éditions Yvon Blais, 2010. (note 29)
Kiefer, K., S. Wu, B. WIilson et R. Sabett, Information Security A Legal, Business, and Technical Handbook, Chicago, ABA, 2004
Articles de revue et études d’ouvrage collectifs
Beauregard S. et L. Granosik, « Les renseignements personnels et la responsabilité civile : à quel prix ? », dans S.F.C.B.Q., vol. 358, Développements récents en droit de l’accès à l’information et de la protection des renseignements personnels – les 30 ans de la Commission d’accès à l’information, Cowansville, Éditions Yvon Blais, 2012, p. 49.
Doray, R., « Le respect de la vie privée et la protection des renseignements personnels dans un contexte de commerce électronique » dans V. GAUTRAIS (dir.), Droit du commerce électronique, Montréal, Éditions Thémis, 2002, à la p. 303. (note 18)
Gripman, D. L., « The Doors Are Locked But the Thieves and Vandals Are Still Getting In: A Proposal in Tort to Alleviate Corporate America’s Cyber-Crime Problem » dans The John Marshall Journal of Information Technology & Privacy Law, vol. 16, 1997, p. 167.
Molinari, P. A. et P. Trudel, « Le droit au respect de l’honneur, de la réputation et de la vie privée : aspects généraux et applications », dans S.F.P.B.Q., Application des Chartes des droits et libertés en matière civile, Cowansville, Éditions Yvon Blais, 1988.
Documents gouvernementaux
Commission Nationale de l’Informatique et des Libertes de la France, « Règlement européen sur la protection des données : ce qui change pour les professionnels », 10 juillet 2018.
Industrie Canada, « La protection de la vie privée et l’autoroute canadienne de l’information : une nouvelle infrastructure de l’information et des télécommunications, » Ottawa, 1994.
Ministère de la Justice du Québec, « Commentaires du ministre de la Justice, Le Code civil du Québec» , 3 tomes, Publications du Québec, 1994.
Articles de journaux
Agence QMI, « Données en santé : plus de budget et de ressources réclamés », Journal de Montréal, 15 novembre 2019.
Agence QMI, « Jusqu’à 37 000 comptes de Canadiens consultés frauduleusement chez TransUnion » Journal de Montréal, 9 octobre 2019.
ARCHAMBAULT, H., « Panne informatique majeure dans cinq hôpitaux de Montréal », Journal de Montréal, 30 septembre 2019.
De Rosa, N., « Fuite de données personnelles de 3000 lecteurs de L’actualité », Radio-Canada, 16 septembre 2019.
Genois Gagnon, J.-M., « Fuite de données chez Industrielle Alliance », Journal de Québec, 11 septembre 2019.
Lachance, N., « Bar ouvert avec les données personnelles : votre dossier médical à risque », Journal de Québec, 14 novembre 2019.
Lachance, N., « Données en santé : le gouvernement promet des alertes » Journal de Québec, 14 novembre 2019.
Péloquin T. et H. Pilon-Larose, « Fuite de données : tous les membres particuliers de Desjardins sont victimes », La Presse, 1er novembre 2019.
Radio-Canada, « Capital One : des données personnelles de 6 millions de Canadiens ont été volées », 29 juillet 2019.
Radio-Canada, « La fuite de données à Revenu Québec soulève des inquiétudes », 8 août 2019.
Ruel-Manseau, A., « Bonjour-santé victime d’une attaque informatique », La Presse, 6 octobre 2019.
Tchandem Kamgang, A. C., « Doit-on craindre pour la confidentialité des données médicales des Canadiens ? », Radio-Canada International, 12 novembre 2019.
Endnotes
1 Kimberly Kiefer, Stephen Wu, Ben Wilson et Randy Sabett,
Information Security A Legal, Business, and Technical Handbook, Chicago, Éditions ABA, 2004, p. 41.
2 (ci-après « Desjardins »).
9 François Themens,
Internet et la responsabilité civile, Cowansville, Éditions Yvon Blais, p. 32.
10 Pierre Trudel, France Abran, Karim Benyekhlef et Sophie Hein,
Droit du cyberespace, Montréal, Éditions Thémis, 1997, p. 11-20.
12 Frenette c.
Métropolitaine (La), Cie d’assurance-vie, [1992] 1 R.C.S. 647.
13 Jean-Louis Beaudouin, Patrice Deslauriers et Benoit Moore,
La responsabilité civile, 8
e édition, vol. 1 « Principes généraux », Cowansville, Éditions Yvon Blais, 2014, par. 1-269.
14 Henri Brun, Guy Tremblay et Eugénie Brouillet,
Droit constitutionnel, 6
e éd., Cowansville, Éditions Yvon Blais, 2014, para XXII-6.131.
15 Id., para XXII-6.131, référant à la décision
Syndicat des professionnelles du Centre de jeunesse de Québec (CSN) c. Desnoyers, [2005] R.J.Q. 414 (C.A.).
16 Industrie Canada,
La protection de la vie privée et l’autoroute canadienne de l’information : une nouvelle infrastructure de l’information et des télécommunications, Ottawa, 1994, p. 5.
17 P. Trudel
et al., préc., note 10, p. 11-25.
18 Raymond Doray, « Le respect de la vie privée et la protection des renseignements personnels dans un contexte de commerce électronique » dans Vincent Gautrais (dir.),
Droit du commerce électronique, Montréal, Éditions Thémis, 2002, p. 303, par. 7.
19 Loi sur le secteur privé, art. 2.
20 Ministère de la Justice du Québec,
Commentaires du ministre de la Justice, Le Code civil du Québec, tome I, Publications du Québec, 1994, p. 936-937.
21 Crinit c.
Gropue Commerce, compagnie d’assurance (Le), [1997] C.A.I. 343.
22 J.-L. Beaudouin, P. Deslauriers et B. Moore, préc., note 19, par. 1-275.
23 Godbout c.
Longueuil (Ville de), [1997] 3 R.C.S. 844.
24 Reid c.
Belzile, [1980] C.S. 717.
25 The Gazette (Division Southam Inc.) c.
Valiquette, [1997] R.J.Q. 30 (C.A.).
26 Cohen c.
Queenswear International Ltd., [1989] R.R.A. 570 (C.S.).
27 Patrick A. Molinari et Pierre Trudel, « Le droit au respect de l’honneur, de la réputation et de la vie privée : aspects généraux et applications », dans S.F.P.B.Q.,
Application des Chartes des droits et libertés en matière civile, Cowansville, Éditions Yvon Blais, 1988, p. 197.
28 P. Trudel
et al., préc., note 10, p. 11-26 et 11-27.
29 Nicolas Vermeys,
Responsabilité civile et sécurité informationnelle, Cowansville, Éditions Yvon Blais, 2010.
30 C.c.Q., art. 39 ; L’entreprise pourrait refuser de donner accès à un dossier si cette divulgation pourrait nuire à une enquête en cours, si elle pouvait nuire à un tiers ou si le refus se justifie pour tout autre intérêt légitime.
32 Daigneault c.
S.S.Q.-Vie, [1999] C.A.I. 187.
33 Loi concernant le cadre juridique des technologies de l’information, RLRQ, c. C-1.1, (ci-après « L.C.J.T.I. »).
34 Fédération (La), compagnie d'assurances du Canada c.
Pauzé, [1998] C.A.I. 455.
35 J.C. c.
SSQ, société d'assurances générales inc., 2017 QCCAI 129.
36 Institut d'assurance du Canada c.
Guay, [1998] C.A.I. 431.
37 Courtois c.
Citifinancial, [2004] C.A.I. 5.
38 Loi sur le secteur privé, art. 11.
40 Boisvert Bélisle c.
Pharmacie Jean Coutu, [1995] n
o AZ-50003645 (C.A.I.).
41 Liboiron c.
Banque de Montréal, 2014 QCCQ 11799.
42 Wallack c.
Services financiers DaimlerChrysler Canada inc. (Services financiers Chrysler Canada inc.), 2011 QCCQ 4532.
44 Loi sur le secteur privé, art. 10.
45 Loi sur le secteur privé, art. 17.
47 David L. Gripman «
The Doors Are Locked But the Thieves and Vandals Are Still Getting In: A Proposal in Tort to Alleviate Corporate America’s Cyber-Crime Problem » dans
The John Marshall Journal of Information Technology & Privacy Law, vol. 16, 1997, p. 167, à la p. 183.
48 N. Vermeys, préc., note 29, p. 153
49 R. Doray, préc., note 18, à la p. 360.
50 Chambre de l'assurance de dommages c.
Kotliaroff, 2008 CanLII 19078 (C.D.C.H.A.D.).
51 Deschenes c.
Groupe Jean Coutu (P.J.C.) Inc., [2000] C.A.I. 216.
52 Stacey c.
Sauvé Plymouth Chrystler (1991) inc., [2002] R.J.Q. 1779 (C.Q.).
53 X. c.
Métropolitaine (La), Rapport d’enquête, [1995] C.A.I. 364.
54 Fleury c.
Caisse populaire St-Jean Berchmans, [2002] n
o AZ-50121279 (C.A.I.).
55 Loi sur le secteur privé, art. 13.
57 Id., art. 18 (2), (3).
58 Id., art. 18 (7) et 18.1
62 R. Doray, préc., note 18, à la p. 356.
63 X. c.
Komdresco Canada Inc., Rapport d’enquête, [1995] C.A.I. 374.
6464 X. c.
Rona Dismat, Rapport d’enquête, n
o 94 08 33 (C.A.I.).
65 Chambre de l'assurance de dommages c.
Kotliaroff, préc., note 50, par. 34.
66 X. c.
Poulin de Courval Cie, Rapport d’enquête, [1997] C.A.I. 394.
67 (ci-après, « C.A.I. »).
68 R. Doray, préc., note 18, à la p. 358.
69 Daigneault c.
S.S.Q.-Vie, préc., note 32.
70 Sébastien Beauregard et Lukasz Granosik, « Les renseignements personnels et la responsabilité civile : à quel prix ? », dans S.F.C.B.Q., vol. 358,
Développements récents en droit de l’accès à l’information et de la protection des renseignements personnels – les 30 ans de la Commission d’accès à l’information, Cowansville, Éditions Yvon Blais, 2012, p. 49, à la p. 56.
71 Aubry c.
Vice-Versa, [1998] 1 R.C.S. 591, par. 11.
72 Stacey c.
Sauvé Plymouth Chrysler (1991) inc., préc., note 110.
73 Bourbonnière c.
Yahoo! Inc., 2019 QCCS 2624.
74 Nadler c.
Rogers Communications inc., 2014 QCCQ 5609.
70 Stacey c.
Sauvé Plymouth Chrysler (1991) inc., préc., note 52.
76 Syndicat des employés de la ville de Huntingdon c.
Ville de Huntingdon, (1997) AZ-97151510 (C.A.I.)
77 Chambre de l'assurance de dommages c.
Kotliaroff, préc., note 50.
78 Charte des droits et libertés de la personne, RLRQ, c. C-12., art. 49 al. 2.
79 Québec (Curateur public) c.
Syndicat national des employés de l'Hôpital St-Ferdinand (C.S.N.), [1990] R.J.Q. 359, par. 121.
80 Cinar Corporation c.
Robinson, 2013 CSC 73, par. 119.
81 Gauthier c.
Beaumont, [1998] 2 R.C.S. 3, par. 111.
82 Séguin c.
Général Motors Acceptance Corporation du Canada ltée, 2007 QCCQ 14509.
83 Wallack c.
Services financiers DaimlerChrysler Canada inc., préc., note 42.
85 Vivendi Canada Inc. c.
Dell’Aniello, [2014] 1 R.C.S. 3.
86 Sofio c.
Organisme canadien de réglementation du commerce des valeurs mobilières (O.C.R.C.V.M.), 2014 QCCS 4061.
87 Bourbonnière c.
Yahoo! Inc., préc., note 73.
88 Belley c.
TD Auto Finance Services Inc./Services de financement auto TD inc., 2015 QCCS 168.
89 Mazzonna c.
DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958.
90 Zuckerman c.
Target Corporation, 2017 QCCS 110.
91 Larose c.
Banque Nationale du Canada, 2010 QCCS 5385.
92 Li c.
Equifax inc., 2019 QCCS 4340.
93 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) (ci-après « R.P.D.P. »).
99 Voir art. 14, 156, 163, 434, 708 et 1813 C.c.Q.
100 Commission Nationale de L’informatique et des Libertés de la France, préc., note 94.
109 Commission Nationale de L’informatique et des Libertés de la France, préc., note 94.
110 R.P.D.P., art. 58 et 83.
111 Loi sur le secteur privé, art. 91.
112 California Consumer Privacy Act of 2018, CAL. CIV. CODE t. 1.81.5, § 1798.198(a) (2018) (ci-après « C.C.P.A. »). Les différentes normes ne seront pas identifiées par leur numéro d’article parce que des auditions publiques auront lieu en décembre 2019 et les numéros peuvent être modifiés avant son entrée en vigueur.
Le document consulté est disponible en ligne.
113 Loi sur le secteur privé, art. 22.