Preuve de préjudice requise pour faire avancer un recours collectif à la suite d'une atteinte à la protection des données

La Cour du Banc de la Reine de l'Alberta, dans Setoguchi v Uber B.V., 2021 ABQB 18, a récemment rejeté une demande de certification d'un recours collectif proposé résultant d'une violation de données parce qu'il n'y avait aucune preuve de préjudice ou de perte.

Ce recours collectif faisait suite à un événement de piratage, dans lequel les pirates ont obtenu les noms, les numéros de téléphone et les adresses e-mail des utilisateurs d'Uber à partir du cloud. Uber n'a pas initialement révélé la violation de données aux membres du groupe, aux régulateurs ou à la police. Au cours des trois années qui ont suivi l'incident, il n'y avait aucune preuve de fraude, de vol d'identité ou de toute autre perte économique. Au contraire, la preuve a montré que la perte ou le préjudice était « totalement inexistant ». En examinant les questions de préjudice ou de perte, la Cour a tenu compte de la nature des renseignements personnels, notant que l'obligation et la norme de diligence applicables varieront en fonction de la sensibilité de ces renseignements. En l'espèce, Uber a fait valoir avec succès que les informations qui avaient été divulguées étaient déjà dans le domaine public. 

Pour réussir à certifier un recours collectif en matière de protection de la vie privée, les demandeurs doivent fournir une preuve de perte ou de dommages. Tout ce qu'il faut, c'est un « fondement factuel » avant que la certification ne soit accordée. D'après les faits dont la Cour était saisie en l'espèce, il n'y avait aucune preuve que l'une ou l'autre des données avait été divulguée au-delà des pirates informatiques. Dans la mesure où les demandeurs soutenaient un préjudice futur résultant d'une mauvaise utilisation future, la Cour a noté que si les données piratées devaient être utilisées d'une manière ou d'une autre à l'avenir et que des preuves réelles de préjudice ou de dommage pouvaient être démontrées, cela pourrait appuyer une nouvelle cause d'action. 

En examinant d'autres cas impliquant des recours collectifs proposés résultant d'atteintes à la protection des données, la Cour a noté que des attestations ont été accordées lorsque les atteintes sont directement liées à un préjudice individuel. D'autre part, la certification a été refusée lorsque la violation a simplement nécessité la modification d'un mot de passe ou l'embarras des pourriels envoyés à des amis.

La Cour a également noté que toute évaluation des dommages-intérêts, si l'affaire avait été certifiée, aurait nécessité des procès individuels étant donné que toute réclamation serait liée à la question de savoir si les renseignements divulgués avaient été tenus à huis clos par la personne et au préjudice associé à cette réparation. Dans ce cas, la Cour a conclu qu'un recours collectif pourrait ne pas être la procédure préférable. La Cour a également perçu que les procès individuels, compte tenu des dommages-intérêts nominaux, seraient une fonction de gardien précieux, en ce que la Cour croyait que cela dissuaderait les demandeurs individuels de poursuivre des réclamations inefficaces.  
Cette décision fait suite à d'autres décisions récentes soulignant l'importante fonction de gardien de la Cour qui est d'assurer l'économie judiciaire lors de l'examen des recours collectifs.

Si vous souhaitez obtenir de plus amples renseignements sur les questions abordées ici ou sur d'autres questions relatives aux recours collectifs canadiens ou aux questions de protection de la vie privée, veuillez communiquer avec un membre de notre groupe de litige Class Action Litigation group ou notre groupe Parcprivacy & Data Protection group.