Uber : Un tribunal albertain refuse d’autoriser une action collective en matière d’atteinte à la vie privée

À une époque où les données sont de plus en plus précieuses, la protection des renseignements personnels confidentiels et la cybersécurité sont devenues des préoccupations prioritaires pour bon nombre de sociétés. De plus, le volume des données s’accroît à un rythme exponentiel. Selon les estimations les plus récentes, il existerait à l’heure actuelle plus de 40 billions de gigaoctets (soit 40 zettaoctets) de données. Compte tenu du risque croissant que présentent les cybermenaces, les tribunaux sont confrontés à la question de déterminer le recours adéquat dans les cas d’atteinte à la protection des données de grande envergure.

Un nombre croissant de demandeurs ont recours aux actions collectives pour régler des réclamations liées à des atteintes à la vie privée. Par contre, dans plusieurs de ces cas, les tribunaux ont refusé d’autoriser les actions collectives (voir notre Bulletin Blakes intitulé Proposed Privacy Class Action “Collapses in its Entirety” on Commonality). Dans sa décision rendue récemment dans l’affaire Setoguchi v Uber CV, 2021 ABQB 18 (l’« affaire Setoguchi »), le juge en chef adjoint de la Cour du Banc de la Reine de l’Alberta (la « Cour ») a refusé d’autoriser une action collective putative relative à une atteinte à la vie privée. La Cour a ainsi réitéré l’important rôle de gardien que jouent les tribunaux pour écarter, à une étape préliminaire, les demandes dénuées de fondement. Elle a souligné notamment qu’il devait y avoir une preuve significative de préjudice ou de dommage découlant de l’atteinte alléguée à la vie privée.

Bien qu’on puisse s’attendre à ce que, dans un avenir rapproché, les actions collectives putatives demeurent chose courante au Canada pour régler les atteintes alléguées à la vie privée, la décision dans l’affaire Setoguchi met en évidence la volonté croissante des tribunaux d’examiner les réclamations des demandeurs afin de déterminer si une action collective constitue le meilleur moyen pour régler un litige en matière d’atteinte à la protection des données de grande envergure.

LA DÉCISION

Le représentant proposé des demandeurs et les membres du groupe national proposé étaient des clients et des conducteurs d’Uber qui avaient utilisé la plateforme d’Uber. Certains de leurs renseignements personnels avaient donc été stockés auprès de diverses sociétés d’Uber.

La véritable question en l’espèce était de déterminer si, même en supposant qu’il existait une responsabilité fondée sur une cause d’action prouvable (par exemple, la violation d’un contrat ou d’une loi, ou la négligence), il y avait une certaine preuve ou un certain fondement factuel démontrant un préjudice réel, un dommage réel ou une perte réelle résultant des violations alléguées de la common law ou de la loi. Bien qu’Uber ait reconnu qu’un manquement allégué à la norme de diligence puisse engager sa responsabilité, elle a soutenu qu’il devait y avoir une preuve de préjudice ou de perte pour que ces réclamations soient acceptées.

Dans son examen des données atteintes, le juge en chef adjoint Rooke a souligné que l’information ayant fait l’objet d’un accès illicite était privée, mais elle n’était pas nécessairement confidentielle, car elle comportait des éléments qui auraient été accessibles autrement dans un annuaire téléphonique typique du passé.

Plus important encore, la Cour a conclu non seulement qu’il n’existait en l’espèce aucune preuve de préjudice ou de perte, mais aussi que le dossier révélait que le groupe présumé n’avait subi ni préjudice, ni perte. Cette conclusion a ainsi sonné le glas de la demande d’autorisation. Comme l’a indiqué la Cour, il doit y avoir une preuve ou un fondement factuel relativement aux pertes ou aux dommages allégués. Le représentant des demandeurs doit démontrer que les réclamations s’appuient sur un fondement significatif avant que l’autorisation ne soit accordée. Autrement, a fait observer la Cour, la barre serait si basse que pratiquement toute société ayant subi une atteinte à la protection des données pourrait faire l’objet d’une action collective sans que les demandeurs aient à prouver l’existence d’un préjudice.

La Cour a procédé à un examen approfondi de la jurisprudence relative aux atteintes à la protection des données et s’est appuyée sur un certain nombre de principes bien établis pour refuser l’autorisation. Elle s’est appuyée aussi sur le principe de proportionnalité énoncé par la Cour suprême du Canada dans l’affaire Hryniak c. Mauldin, 2014 CSC 7 (l’« arrêt Hryniak ») pour conclure qu’une action collective ne constituait pas la meilleure procédure en l’espèce. L’arrêt Hryniak et les décisions qui en ont découlé soulignent l’importance du rôle de gardien que joue le tribunal pour écarter les demandes dénuées de fondement à une étape préliminaire. En s’appuyant sur l’arrêt Hryniak, la Cour a statué qu’elle devait prendre au sérieux son rôle de gardien et mettre fin dès lors à ce litige en tant qu’action collective.

PRINCIPAUX POINTS À RETENIR

La décision rendue dans l’affaire Setoguchi met en valeur le rôle de gardien que jouent les tribunaux dans l’examen des actions collectives putatives et établit qu’une analyse plus rigoureuse de ces demandes doit être effectuée à un stade préliminaire. La décision tient compte notamment des fondements de l’arrêt Hryniak, y compris la nécessité d’écarter à un stade préliminaire les demandes dénuées de fondement et de minimis. De plus, la décision établit que des preuves suffisantes doivent être présentées pour démontrer un préjudice ou une perte indemnisable pour toute violation alléguée afin d’appuyer l’autorisation d’une action collective.

Compte tenu des enjeux considérables liés à la cybersécurité et des risques croissants associés aux atteintes à la protection des données, l’approche des tribunaux à l’égard des actions collectives est devenue une question de plus en plus importante. L’approche adoptée par la Cour dans l’affaire Setoguchi laisse entendre que les demandes d’autorisation d’actions collectives pourraient faire l’objet d’un examen encore plus rigoureux à cet égard.

Pour en savoir davantage, communiquez avec :

Claude Marseille                         514-982-5089
Sunny Handa                              514-982-4008
Dalton W. McGrath, c.r.              403-260-9654
Birch Miller                                  403-260-9613
Michael O’Brien                          403-260-9753
 

ou un autre membre de nos groupes Actions collectives ou Cybersécurité.