Bien que les recours collectifs concernant la protection des renseignements personnels aient regagné du terrain ces dernières années, les tribunaux continuent de démontrer une volonté de les examiner attentivement et d’en refuser la certification dans certains cas. Trois décisions récentes démontrent les difficultés rencontrées par les demandeurs pour établir une cause d’action viable ou démontrer la base factuelle d’un groupe identifiable, de points communs liés à la prétendue atteinte à la protection des renseignements personnels ou des raisons pour lesquelles un recours collectif est la voie à privilégier.
Cleaver v. The Cadillac Fairview Corporation Limited
La motion en certification des demandeurs dans l’affaire Cleaver v. The Cadillac Fairview Corporation Limited, 2025 BCSC 910, n’a pas satisfait aux critères des questions communes, du groupe identifiable et du meilleur moyen. Les demandeurs ont allégué que les défenderesses se servaient de répertoires de guidage installés dans des centres commerciaux canadiens pour [traduction] « extraire secrètement des données biométriques de visiteurs sans méfiance », ce qui enfreignait le droit à la protection des renseignements personnels de toutes les personnes ayant consulté ces répertoires de guidage pendant la période visée par le recours.
En 2020, des commissaires à la protection de la vie privée ont publié un rapport concluant que les défenderesses avaient recueilli des [traduction] « données biométriques » (sans conserver les images originales) et qu’il existait une [traduction] « possibilité sérieuse » d’identifier une personne lorsque ces données étaient combinées à d’autres données, notamment la localisation et l’horodatage. Conformément à la jurisprudence de la Cour fédérale, la Cour suprême de la Colombie-Britannique estime que le rapport n’était admissible qu’à titre de contexte, mais non comme preuve que le défendeur avait recueilli des images et des données biométriques sans consentement.
La Cour a privilégié le témoignage de l’expert de la défense, qui a expliqué qu’en raison de la façon dont les données biométriques étaient traitées et intégrées (converties en une chaîne de nombres), elles ne pouvaient pas servir à identifier des personnes précises et qu’il n’était donc pas possible de [traduction] « reconstituer » des images faciales. La Cour écarte les éléments de preuve des demandeurs quant au fonctionnement du logiciel en cause, principalement parce qu’aucun des experts des demandeurs n’avait examiné celui-ci correctement. Au-delà de simples conjectures, rien ne permettait de conclure que les membres du groupe auraient pu s’identifier eux-mêmes à partir des données recueillies par les défenderesses, ce qui a rendu impossible le respect de l’exigence selon laquelle les demandeurs devaient établir l’existence d’un « groupe identifiable ».
En l’absence de preuve que les défenderesses avaient enregistré des images du visage, il n’y avait aucun fondement factuel à l’existence des questions communes proposées, ni de lien rationnel entre la définition du groupe et les questions communes. En raison de ces lacunes, la Cour a conclu que le recours collectif proposé n’était pas le meilleur moyen et a rejeté la certification.
Donegani v. Facebook Inc.
L’absence de groupe identifiable a également constitué un obstacle insurmontable pour les demandeurs dans l’affaire Donegani v. Facebook Inc., 2025 ONSC 6020. Les demandeurs ont intenté un recours au nom d’un groupe proposé comprenant tous les utilisateurs de Facebook au Canada, à l’exclusion du Québec, dont les amis Facebook ont téléchargé et/ou utilisé une liste particulière d’applications (les Amis visés), ainsi que les amis Facebook des Amis visés. Les demandeurs ont allégué que Facebook a utilisé de manière abusive les données des membres du groupe proposé en rendant leurs données accessibles à des tiers, notamment des applications de messagerie et des partenaires d’intégration d’appareils, sans le consentement des membres du groupe.
Dans une décision antérieure (première partie d’une décision de certification en deux parties), la Cour a jugé qu’il existe un fondement factuel aux questions communes selon lesquelles Facebook a enfreint la législation relative à la protection des renseignements personnels lorsqu’elle n’a pas recueilli de consentement éclairé avant de communiquer les données des membres du groupe. Toutefois, les demandeurs n’ont présenté aucun élément de preuve que Facebook a communiqué les données d’un membre du groupe donné. Par conséquent, il n’y avait aucun fondement factuel aux allégations selon lesquelles Facebook avait enfreint ses contrats avec les membres du groupe ou qu’elle avait porté atteinte à leur vie privée. La Cour souligne que la définition proposée du groupe présente des [traduction] « difficultés techniques » et manque de précision.
Dans la deuxième partie de la décision de certification, la Cour a rejeté la définition révisée du groupe présentée par les demandeurs. Elle a également rejeté leur proposition d’élaborer une [traduction] « liste principale des membres du groupe » (fondée sur les renseignements qui seraient fournis par la défenderesse), qui serait par la suite précisée et dont les doublons seraient retirés. La Cour a refusé de certifier le recours collectif proposé parce que, entre autres problèmes, rien ne garantissait que la [traduction] « liste principale des membres du groupe » puisse être créée. De plus, il serait impossible pour les utilisateurs de Facebook de déterminer objectivement s’ils appartenaient au groupe en se fondant uniquement sur la définition proposée. Des demandes individuelles seraient nécessaires pour déterminer si un membre du groupe donné figurait sur la [traduction] « liste principale », puis pour déterminer si ses données avaient été communiquées sans son consentement.
En outre, la Cour a conclu que les demandeurs n’avaient présenté aucun élément de preuve que les membres du groupe ont subi une perte indemnisable (par exemple, frais facturés, dépenses directes ou dommages-intérêts pour une souffrance morale grave), ne laissant que des demandes de dommages-intérêts nominaux. En l’absence de perte indemnisable, la certification du recours ne permettrait pas d’atteindre l’objectif de favoriser l’accès à la justice et constituerait un gaspillage de ressources judiciaires.
RateMDs Inc. v. Bleuler
Dans l’affaire RateMDs Inc.v. Bleuler, 2025 BCCA 329, la Cour d’appel de la Colombie-Britannique a annulé la certification accordée par le tribunal de première instance dans le cadre d’un recours collectif en matière de protection des renseignements personnels, jugeant que les nouvelles allégations relatives à la vie privée étaient vouées à l’échec. La demanderesse alléguait que l’utilisation des noms et des coordonnées professionnelles de professionnels de la santé pour créer des profils à leur sujet sur un site Web où les patients pouvaient publier des commentaires constituait une atteinte à la protection des renseignements personnels de ces professionnels et une utilisation non autorisée de leur nom à des fins commerciales. La Cour d’appel a conclu que ces allégations étaient vouées à l’échec, même en supposant que les faits allégués soient vrais, puisque les membres du groupe proposé ne peuvent pas raisonnablement s’attendre à la confidentialité de l’information en cause.
La Cour d’appel a également conclu que, bien que les défenderesses aient tiré profit du site Web, cela ne suffisait pas en soi à établir le délit civil de l’utilisation non autorisée d’un nom à des fins de publicité ou de promotion de la vente de services. Dans cette affaire, les noms n’étaient pas exploités commercialement par les défenderesses dans le but d’augmenter les ventes. Ils étaient plutôt utilisés pour fournir des renseignements utiles au public. La situation n’était pas différente de celle de tout autre site Web à but lucratif recueillant et publiant des évaluations sur les professionnels qui offrent des services au public.
Fait important pour les défendeurs, l’affaire Bleuler confirme l’engagement des tribunaux de la Colombie-Britannique à rejeter les demandes vouées à l’échec à l’étape de la certification, même si elles sont nouvelles, réitérant que [traduction] « la nouveauté d’une demande ne constitue pas en soi un motif pour permettre au procès d’avoir lieu ».
Regard vers l’avenir
En somme, ces décisions confirment l’engagement des tribunaux à jouer leur rôle de gardien de la certification et illustrent que le contexte factuel est souvent essentiel à la défense des recours collectifs proposés en matière de protection des renseignements personnels. Les questions de la validité juridique de l’atteinte alléguée, des renseignements visés par le litige, de la composition proposée du groupe et de la possibilité d’identifier les membres du groupe sont autant de questions centrales auxquelles le tribunal doit répondre avant d’accorder une certification. En l’absence de réponses adéquates, le tribunal devrait refuser la certification.
Si vous avez des questions sur la présente mise à jour ou les recours collectifs en général, communiquez avec les auteurs ou un membre du groupe Actions collectives.
Lire la sérieDu prix initial au coût final – Augmentation des cas d’« indication de prix partiel » Évolutions procédurales importantes – Ce qui façonnera les recours collectifs en 2026 et au-delà |
