Atteinte à la sécurité des données : points à retenir du recours collectif contre Home Depot

La Cour supérieure de justice de l’Ontario a récemment approuvé une entente de règlement dans le cadre du recours collectif Lozanski c The Home Depot1, décision qui souligne le fait qu’une protection et une réponse adéquates à une atteinte à la sécurité des données pouvaient réduire les risques juridiques suivant un tel événement. Ce recours collectif avait été intenté par suite d’une atteinte à la sécurité des données du système de paiement par carte qui a donné aux pirates informatiques accès aux renseignements personnels des clients, comme les noms, les numéros de carte de crédit, les dates d’expiration et les codes de vérification provenant du système de paiement par carte de Home Depot pendant une période de six mois.

Le point à retenir de cette décision est la conclusion du juge Perell selon laquelle les chances que Home Depot soit potentiellement tenue responsable allaient de négligeables à faibles en raison de la réponse très rapide et rigoureuse qu’elle avait apportée à l’atteinte à la sécurité des données, du fait qu’elle avait dépensé plusieurs millions de dollars pour répondre aux préoccupations en matière de protection des renseignements personnels de ses clients et du fait qu’elle ne pouvait pas être tenue responsable de la survenance de cet événement. Le tribunal a également mentionné l’absence de dommages importants subis par les demandeurs.

Absence de dommages importants

Pour justifier ses honoraires, les procureurs dans le cadre du recours collectif ont invoqué que le montant du règlement dépassait le million de dollars en indemnités pour les membres du groupe. Cependant, après avoir rappelé aux parties que l’approbation des honoraires devait être examinée dans une optique d’économie judiciaire et que Home Depot avait des arguments de taille pour prouver qu’elle n’aurait jamais dû être visée par un recours collectif, le juge Perell a réévalué la valeur du règlement en faveur des membres du groupe. Pour ce faire, il a analysé les trois chefs de dommages soulevés par le demandeur par suite de l’atteinte à la sécurité des données du système de paiement par carte : 1) le risque que des frais frauduleux soient portés à une carte de crédit; 2) le risque de vol d’identité; et 3) les inconvénients liés à la vérification des relevés de cartes de crédit.

Il a considéré que la preuve de dommages accessoires allait de négligeable à faible. En ce qui concerne les premier et deuxième chefs de dommages, rien ne pouvait prouver qu’un membre du groupe avait dû payer des frais frauduleux ou que l’atteinte à la sécurité des données avait augmenté le risque de vol d’identité compte tenu du fait que les données volées étaient insuffisantes à cette fin. En ce qui concerne le dernier chef de dommages, le juge Perell a conclu qu’aucun dommage pour inconvénients n’avait été subi puisque les titulaires de carte de crédit ont déjà l’obligation de vérifier leurs relevés pour s’assurer qu’aucun achat frauduleux n’a été effectué.

La Cour supérieure du Québec avait appliqué le même raisonnement dans les affaires suivantes : Sofio c Organisme canadien de réglementation du commerce des valeurs mobilières2 et Mazzonna c DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc.3 Les tribunaux ont déclaré que la surveillance des relevés de carte de crédit dans l’objectif de s’assurer qu’aucune activité frauduleuse n’a eu lieu est un inconvénient ordinaire faisant partie des responsabilités quotidiennes du titulaire de carte et qu’il ne justifiait pas une indemnisation. Ils se sont tous les deux fondés sur l’affaire de la Cour suprême Mustapha c Culligan du Canada Ltée4, dans le cadre de laquelle il a été conclu que le « préjudice doit être grave et de longue durée, et qu’il ne doit pas s’agir simplement des désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter […] ».

Réponse de Home Depot

Un facteur décisif dans l’approbation du règlement est la réponse de Home Depot à la suite de l’atteinte à la sécurité des données. Le tribunal a jugé que la réponse de Home Depot avait été « responsable, rapide, généreuse et exemplaire ». Elle a publié un communiqué de presse dans les meilleurs délais, envoyé un courriel d’information à ses clients et offert un contrôle du crédit gratuit ainsi qu’une assurance contre le vol d’identité. Compte tenu de la réponse exhaustive et transparente de Home Depot, le juge Perell a mentionné qu’il aurait approuvé l’abandon du recours collectif proposé par M. Lozanski.

Par conséquent, si l’on tient compte du fait que l’abandon du recours collectif aurait entraîné l’absence d’indemnités pour les membres du groupe, il était facile pour lui de conclure que le règlement, qui s’établissait tout au plus à environ 400 000 $, pouvait être considéré comme étant équitable, raisonnable et dans l’intérêt des membres du groupe.

En ce qui a trait à l’approbation des honoraires, le juge Perell a souligné le fait que cette question devait être examinée dans l’optique de l’accès à la justice, de la modification des comportements et de l’économie judiciaire. Cependant, il n’y avait aucune raison de croire que Home Depot devait modifier son comportement. Après la découverte de l’atteinte à la sécurité des données, Home Depot n’a nullement tenté de cacher l’affaire et est intervenue comme une « bonne citoyenne » doit le faire dans une telle situation. Selon cette évaluation des indemnités versées aux membres du groupe, les tribunaux ont réduit le montant des honoraires des conseillers juridiques qui avaient déjà été convenus, les faisant passer de 406 800 $ à 120 000 $.

Notre opinion

Le recours collectif contre Home Depot fait ressortir le fait qu’une prévention, une détection et une réaction adéquates peuvent réduire considérablement les risques juridiques et la responsabilité pouvant découler d’atteintes à la sécurité des données. Les mesures préventives et compensatoires sont reconnues par les tribunaux comme étant des moyens de réduire ou d’éliminer les dommages potentiels.

L’auteure désire remercier Camille Nadeau, étudiante en droit, pour son aide dans la préparation de cette actualité juridique.

Notes

1 2016 ONSC 5447.

2 2014 QCCS 4061.

3 2012 QCCS 958.

4 2008 CSC 27.

Personne-ressource


Publications récentes

Abonnez-vous et restez à jour avec les dernières nouvelles juridiques, informations et événements ..