Décision

1.                 La Cour est saisie d’un appel principal et de deux appels incidents à l’encontre d’un jugement de la Cour supérieure du 1er août 2023 et rectifié le 10 août 2023 (l’honorable Bernard Tremblay)[1], lequel accueille partiellement la demande d’autorisation d’une action collective découlant de l’accès non autorisé aux renseignements confidentiels fournis aux intimées, Capital One Bank (Canada Branch), Capital One Financial Corporation et Capital One Bank (USA) National Association (le groupe « Capital One ») dans le cadre de demandes de cartes de crédit. Ces informations étaient hébergées sur les serveurs des intimées, Amazon.com.ca Inc., Amazon.com Inc., Amazon Web Services Canada Inc., Amazon Web Services Inc. et Amazon Technologies Inc. (le groupe « Amazon »).
2.                 Le contexte est le suivant.
3.                 Le groupe Capital One forme un conglomérat de services financiers opérant dans le commerce des cartes de crédit, alors que le groupe Amazon oeuvre dans le commerce électronique notamment, aux fins du présent dossier, en offrant un service de stockage infonuagique de données personnelles.
4.                 Comme la plupart des institutions bancaires, le groupe Capital One conservait les données confidentielles résultant de demandes de cartes de crédit sur un serveur qui lui était propre. En 2015, il procède à une migration de ces données vers un serveur du groupe Amazon.
5.                 Les 22 et 23 mars 2019, Paige A. Thompson, une ex-employée d’Amazon, exploite une faille de sécurité qui lui permet d’accéder illégalement aux données personnelles d’environ 100 millions d'Américains et 6 millions de Canadiens, collectées par le groupe Capital One sur une période de 14 ans, puis les stocke sur un serveur personnel. Selon les allégations tenues à cette étape pour avérées, la brèche reste indétectée par les groupes Amazon et Capital One jusqu’au moment où ce dernier reçoit, le 17 juillet 2019, un message d’un autre hacker l’informant de l’existence de la fuite, selon ce qui se retrouve sur la plateforme GitHub, un site de partage de codes informatiques. Cela démontrerait, selon les allégations de l’appelant, l’inefficacité du système de surveillance « Cloud Custodian » développé conjointement par les intimées.
6.                 Le 29 juillet 2019, le groupe Capital One publie un communiqué de presse informant sa clientèle de la brèche de sécurité. Il écrit ensuite aux clients touchés, dont l’appelant, et, après s’être désolé d’être à la source d’une inquiétude compréhensible, leur offre deux ans de services de surveillance de crédit (credit monitoring) et d’assurance contre le vol d’identité[2].
7.                 Dès le 30 juillet 2019, l’appelant dépose une demande d’autorisation d’exercer une action collective à la Cour supérieure contre le groupe Capital One. Cette demande est par la suite modifiée à quelques reprises, entre autres pour y ajouter comme défendeur les entités qui composent le groupe Amazon, et le juge d’instance fonde son jugement sur la quatrième version du 25 avril 2022. Cette demande est d’une longueur qui impressionne et fourmille de détails et de disgressions de toutes sortes mais, paradoxalement, est laconique, voire anémique, sur les éléments clés de la demande de l’appelant. Nous y reviendrons. À tous égards, le juge d’instance résume bien la faute reprochée aux intimées :

[18] Essentiellement, ils reprochent aux défenderesses d’avoir fait preuve de négligence, d’abord en ayant failli à leurs obligations de protéger adéquatement les renseignements personnels qu’elles ont recueillis auprès d’eux et des membres putatifs sur une période de plusieurs années, d’avoir conservé trop longtemps ces renseignements, incluant ceux de membres dont la demande de crédit avait pourtant été refusée, et puis d’avoir fait défaut d’héberger ces renseignements au sein d’un environnement sécuritaire au plan informationnel et adéquatement protégé contre les intrusions.

[19] Plus spécifiquement, les demandeurs, qui sont titulaires chacun depuis plusieurs années d’une carte de crédit Costco émise par Capital One, blâment les défenderesses du groupe Capital One d’avoir effectué vers l’année 2015, la migration des renseignements personnels appartenant à leurs très nombreux clients et qui sont conservés sur leurs serveurs, vers un site d’hébergement moins sécuritaire, public et exploité commercialement par les défenderesses du groupe Amazon, permettant ainsi à Paige A. Thompson d’avoir accès à un nombre colossal de renseignements personnels leur appartenant.

[20] Les demandeurs incriminent également les défenderesses parce qu’elles n’auraient pas pris les mesures et les moyens pour prévenir cet accès non autorisé, et qu’elles auraient tardé à le découvrir, puis d’en informer les membres, et enfin, d’avoir fait défaut de ne pas corriger par la suite la problématique à l’origine de cette intrusion à ces fort nombreux renseignements personnels.

8.                 Quant au préjudice réclamé, le juge le résume ainsi :

[26] Les dommages réclamés par les demandeurs comportent onze (11) chefs distincts et sont décrits au paragraphe 6 de la Demande.

[27] Ils sont de trois ordres : pécuniaires, non pécuniaires et punitifs.

[28] D’une part, les demandeurs réclament des dommages pécuniaires, non quantifiés et pour la plupart, essentiellement à prévoir ou à anticiper, pour eux-mêmes et pour tous les membres putatifs, dont la perte de la valeur patrimoniale de leurs renseignements personnels et qui découle de cette atteinte à leur caractère privé, ainsi que les coûts d’adhésion trop élevés pour les services offerts par Capital One et obtenus de celle-ci en ce qu’ils ne répondent plus à leurs représentations sur le plan de la sécurité informationnelle.

[29] Ils réclament aussi, à ce titre, les coûts qu’ils devront engager pour assurer une vérification et une surveillance régulières de leurs comptes et relevés, sur une plus longue période de temps que celle de deux (2) ans durant laquelle de tels services leur ont été offerts gratuitement par Capital One, ainsi que les coûts qu’ils devront engager afin de faire face à une éventuelle fraude résultant d’un vol de leur identité dont les coûts nécessaires pour identifier et mettre sous les verrous l’auteur d’une telle fraude, et les coûts pour annuler les services offerts par Capital One et les remplacer par ceux d’une autre institution financière, puis ceux à encourir pour récupérer les sommes diverties et enfin, le montant correspondant à la perte de leur cotation aux fins d’obtenir du crédit auprès du marché financier résultant de cette intrusion.

[30] D’autre part, les demandeurs réclament des dommages moraux et non pécuniaires consistant en du stress, et autres troubles et inconvénients de cette nature, et qu’ils auraient subis et continueront de subir en raison de cet accès non autorisé à leurs renseignements personnels, et découlant, en substance, de leur crainte et de leur anxiété générée par l’idée omniprésente de vivre encore longtemps avec le risque d’être éventuellement victimes d’une fraude.

9.                 À cela s’ajoute une réclamation de dommages punitifs tant aux termes de l’article 49 de la Charte des droits et libertés de la personne[3] (« Charte québécoise ») que de l’article 272 de la Loi sur la protection du consommateur[4] (« LPC »).

* * *

10.            Le juge conclut à la démonstration suffisante d’une faute contractuelle du groupe Capital One, notamment d’avoir fait défaut de protéger adéquatement les renseignements personnels, d’avoir tardé à prendre connaissance de la fuite et d’en informer ses clients ainsi que d’avoir conservé pour une durée déraisonnable les données de certaines personnes, notamment celles dont la demande de carte de crédit avait été refusée[5]. Le juge retient une démonstration suffisante de la faute extracontractuelle du groupe Amazon, notamment sur le fondement des articles 3 et 10 de la Loi sur la protection des renseignements personnels dans le secteur privé[6] et en raison du partenariat conclu entre celui-ci et le groupe Capital One pour mettre en place, à des fins commerciales et financières, un logiciel nommé Cloud Custodian. Ces conclusions ne sont pas remises en question devant la Cour et l’appel ne porte que sur les dommages compensatoires réclamés contre les intimées et sur les dommages punitifs réclamés contre le groupe Capital One.
11.            Quant aux dommages compensatoires, le juge qualifie la jurisprudence en matière d’accès non autorisé à des renseignements personnels comme « plutôt restrictive »[7], celle-ci exigeant que les dommages allégués excèdent « […] que ces ennuis ordinaires, ou que cette anxiété et la peur que peuvent vivre normalement les gens en de telles circonstances, les dommages incertains, futurs ou hypothétiques ne constituant pas un préjudice indemnisable »[8].
12.            Après avoir constaté l’absence d’allégation quant à un vol d’identité ou de démarches ou débours effectués, le juge conclut que l’appelant n’a établi ni une perte de valeur des renseignements fuités, ni une perte correspondant à la réduction de la valeur des services offerts par le groupe Capital One ni, encore, une perte associée à des difficultés liées à des demandes de crédit ultérieures. Il rejette aussi la possibilité que le délai entre, d’une part, l’événement et, d’autre part, sa connaissance par le groupe Capital One (17 juillet 2019) ou l’information aux personnes concernées (29 juillet 2019) ait causé un préjudice.
13.            Il en va différemment pour les coûts liés à la surveillance de crédit. Le juge retient que la surveillance accrue des opérations bancaires rendue nécessaire à la suite d’une fuite de données peut être la source d’un inconvénient indemnisable. Le groupe Capital One ayant offert une telle surveillance pour deux ans, c’est, pour le juge, la question de la suffisance de cette durée qui se pose[9]. Il conclut, à l’instar d’autres affaires[10], que cette question relève du juge du fond[11] et autorise donc l’action collective pour ce seul dommage qu’il décrit ainsi au paragraphe 248(d) de son jugement :

[248] IDENTIFIE comme suit les questions communes devant être débattues dans le cadre de cette action collective :

[…]

d) Les défenderesses du Groupe Capital One et du Groupe Amazon sont-elles tenues de payer aux membres des coûts pour la surveillance de leurs comptes et relevés de leurs cartes de crédit Capital One pour une durée supérieure à deux ans, et dans l’affirmative, déterminer ces coûts pouvant être réclamés?

14.            En appel, toutes les parties contestent cette conclusion. L’appelant reproche au juge d’avoir limité les dommages à ce seul chef, et plus spécifiquement d’avoir écarté le préjudice moral, et les intimées, dans leur appel incident, reprochent au juge d’avoir permis ce chef de dommages alors que le représentant n’a pas déboursé de tels frais.
15.            Quant aux dommages punitifs, le juge conclut que les allégations de la demande d’autorisation sont suffisantes pour les autoriser à l’encontre du groupe Capital One, mais non à l’encontre du groupe Amazon. La première des conclusions est remise en cause dans le cadre de l’appel incident du groupe Capital One, alors que l’appelant ne se pourvoit pas de la seconde dans le cadre de son appel principal.

* * *

16.            Avant de discuter du fond de l’appel, deux remarques préliminaires s’imposent.
17.            La première porte sur le manque de rigueur et de précision de la demande d’autorisation, malgré sa longueur impressionnante. Il fait peu de doute que le présent appel aurait pu être évité si la demande d'autorisation avait contenu des allégations plus précises sur les faits justifiant les dommages réclamés et, plus spécifiquement, sur la cause personnelle de l'appelant, alors qu'il s'agit de la seule cause devant être prise en compte au stade de la demande d'autorisation, l'action collective n'existant pas encore[12]. Certes, comme le rappelait la Cour, il ne s’agit pas d’inviter les demandeurs à dramatiser le descriptif de leur préjudice[13] ni à s’engager dans des envolées littéraires dans le but d’épater le lecteur, mais simplement d’exiger du représentant qu’il expose d’une manière synthétique et maîtrisée tout ce qui est nécessaire à la théorie de sa cause. Force est de constater, et l’on peut s’en désoler, que tel n’est pas le cas en l’espèce, la demande d’autorisation, qui fait pourtant 50 pages, fourmillant de disgressions inutiles, tout en présentant de sérieuses lacunes quant au cœur de ce qui devait s’y retrouver.
18.            La seconde remarque porte sur le droit applicable et l’usage que fait l’appelant du droit étranger, qu’il s’agisse d’arrêts de common law des autres provinces canadiennes ou, plus encore, du droit américain. Le propos n’est pas, comme le soulignait à juste titre le juge d’instance[14], de nier l’intérêt que peut présenter, sur un plan intellectuel, le droit comparé. Loin de là. En matière de fuite de données, comme devant bien d’autres phénomènes sociaux, les systèmes de droit font face à des réalités similaires et doivent composer avec les mêmes difficultés et tensions. Les solutions adoptées ailleurs peuvent donc présenter une pertinence certaine et aider à la réflexion. Il convient toutefois de rappeler que le droit civil québécois, tout particulièrement en matière de responsabilité civile, participe de sa propre logique et technique qui se distinguent de celles du système de torts de la common law. Dès lors, l’on doit être plus que prudent avant d’adopter un raisonnement propre à la technique de la common law. Si le résultat peut parfois – mais pas toujours – concorder, la façon d’y parvenir variera.
19.            Un exemple de cela se trouve dans l’utilisation, discutée par les parties et retenue par le juge d’instance, de l’arrêt Mustapha de la Cour suprême[15]. Dans cette affaire, le demandeur avait intenté une action pour le préjudice psychiatrique qu’il aurait subi par la vision de mouches mortes dans une bouteille d’eau encore scellée, vendue par la défenderesse. Dans son arrêt, la Cour suprême rappelle que, pour constituer un préjudice personnel, le trouble psychologique doit se distinguer de la simple contrariété passagère[16]. Cet enseignement, parfois repris par la jurisprudence québécoise[17], se retrouve aisément dans les principes du droit québécois de la responsabilité civile, si ce n'est par la notion même de préjudice compensable ou, encore, par l’application de l’adage de minimis non curat lex[18]. La référence à l’arrêt Mustapha pour justifier ce principe, si elle n’est pas fausse, se révèle ainsi inutile.
20.            Mais ce commentaire de la Cour suprême dans Mustapha constituait un obiter puisque la preuve établissait que M. Mustapha avait subi des troubles dépressifs graves accompagnés de phobies et d’anxiété[19]. Il y avait donc des conséquences qui dépassaient, de beaucoup, l’inconvénient normal. Si l’action en dommages a été rejetée dans cette affaire, ce n’est donc pas en raison de l’inexistence du dommage, mais parce que le manquement à l’obligation de diligence n’était pas la cause en droit de ce préjudice. Pour parvenir à cette conclusion, la Cour suprême applique le critère de la prévisibilité raisonnable du préjudice et la notion de résilience ordinaire de la victime, qui en est un aspect intrinsèque, et conclut au caractère trop éloigné du préjudice[20]. Sans préjuger de ce qu’aurait été la solution en droit québécois, l’approche adoptée n’aurait pas été la même.
21.            Or, non seulement le juge d’instance réfère-t-il au caractère non indemnisable de l’inconvénient usuel ou normal, mais il renvoie aussi au caractère éloigné du préjudice en reproduisant le paragraphe 14 de l’arrêt Mustapha. Cette référence découle pour beaucoup de la démarche du procureur de l’appelant, lequel invoque les principes établis dans des juridictions de common law de manière indifférenciée et sur un même plan comme s’ils s’appliquaient en droit québécois ou comme si le résultat donné par d’autres juridictions à des demandes d’action collective découlant de la même fuite de données devait être adopté par le tribunal québécois[21]. Une telle façon de faire, qui participe d’une approche quantitative de collage désordonné de précédents de toutes sortes doit, avec égards, être évitée.
22.            Qu’en est-il maintenant du fond des appels? Rappelons d’abord les principes applicables pour ensuite traiter des dommages compensatoires et enfin des dommages punitifs.

• Principes applicables

23.            La Cour suprême a établi dans l’arrêt Infineon Technologies AG c. Option consommateurs que l’autorisation d’une action collective n’est pas l’occasion de faire un procès sur le fond, mais plutôt d’exercer un rôle de filtrage en écartant les recours frivoles ou manifestement mal fondés[22].  Le seuil pour le représentant est donc peu élevé. Il lui suffit de démontrer une « cause défendable », une simple « possibilité » d’avoir gain de cause sur le fond suffit et non une possibilité « réaliste ou raisonnable »[23]. De même, ces critères doivent être interprétés de manière large et généreuse afin de favoriser les objectifs de l’action collective que sont l’accès à la justice[24], la dissuasion des comportements néfastes et l’indemnisation des victimes[25].
24.            Pour assurer ce filtrage, la demande doit alléguer des faits « concrets, précis ou palpables » qui soutiennent de manière prima facie les prétentions du représentant et justifient les réclamations recherchées[26]. Le juge peut prendre en considération tous les éléments de preuve déposés au dossier, notamment la preuve documentaire[27] et si les faits du demandeur doivent être tenus pour avérés, celui-ci ne peut se contenter de fournir des affirmations non corroborées[28]  ou encore se satisfaire d’allégations vagues, générales et imprécises[29].
25.            Bien que l’on puisse espérer que la demande d’autorisation soit rédigée avec soin et démontrer une vision maîtrisée et précise du recours intenté, l’on ne peut toutefois faire de la qualité rédactionnelle ou formelle de la procédure, laquelle découle du travail de l’avocat, un élément déterminant sans, dès lors, adopter une approche indûment formaliste et préjudiciable aux membres. L’on ne doit pas, en effet, adopter une lecture textuelle de la procédure, mais contextuelle[30]. Le tribunal doit savoir « lire entre les lignes » de la demande d’autorisation, c’est-à-dire passer outre le caractère imparfait de certaines allégations dont le sens véritable ressort néanmoins[31].
26.            La Cour suprême met donc en garde les juges autorisateurs contre les excès de littéralisme et de rigorisme dans l’analyse d’une demande d’autorisation qui ne correspond pas à la démarche souple, libérale et généreuse préconisée au stade des conditions d’autorisation[32]. Il convient d’évaluer l’ensemble de la demande d’autorisation, plutôt que de s’arrêter sur un paragraphe ou un mot malencontreux, pour saisir le « sens véritable » de ses allégations[33]. Les juges autorisateurs doivent ainsi « prêter une attention particulière, non seulement aux faits allégués, mais aussi aux inférences ou présomptions de fait ou de droit qui sont susceptibles d’en découler et qui peuvent servir à établir l’existence d’une “cause défendable” »[34]. Cette analyse ne libère pas la partie requérante de son fardeau de démonstration et ne permet pas « d’inventer des parties du texte qui n’y sont pas », mais prévient que la forme de procédure l’emporte sur le fond[35].
27.            Rappelons également qu’au stade de l’autorisation, la suffisance du syllogisme doit être évaluée en fonction de la cause personnelle du représentant puisque le recours dans sa dimension collective n’existe pas encore[36]. Si le représentant ne réussit pas à démontrer qu’il satisfait à cette exigence, la demande doit être rejetée sur ce fondement et sur son absence d’intérêt d’agir, lequel participe aussi de la condition de 575(4) C.p.c. qui, sur ce point, se recoupe[37]. À l’inverse, si le représentant justifie suffisamment de la possibilité qu’il ait subi un préjudice, l’autorisation peut être donnée pour tout chef de dommages que lui mais aussi d’autres victimes peuvent avoir subi, le recours personnel du représentant ne devant pas être un modèle type de celui de tous les membres ou même de la majorité de ceux-ci[38].
28.            Quant au rôle de la Cour d’appel, il est reconnu que le juge autorisateur possède une « importante marge de manœuvre »[39] dans l’évaluation des conditions d’autorisation d’une action collective et qu’en conséquence, la Cour doit faire preuve d’une grande déférence à son endroit[40]. Elle n’interviendra donc qu’en présence d’une erreur de droit ou d’une appréciation manifestement mal fondée des critères d’autorisation[41]. Le fait d’outrepasser le rôle de filtrage au stade d’autorisation et de se prononcer, tel un juge du fond, sur la valeur probante de la preuve présentée en demande constitue une erreur de droit donnant ouverture à une intervention de la Cour[42].
29.            Voyons ce qu’il en est pour les dommages compensatoires puis pour les dommages punitifs.

• Dommages compensatoires

30.            Selon l’appelant, dès lors que le juge reconnaissait un préjudice indemnisable – les frais de surveillance – les principes exposés ci-dessus auraient dû l’amener à autoriser l’action collective pour tous les chefs de dommages. À l’inverse, les intimées soutiennent que la condition de l’article 575(2) C.p.c., selon laquelle les faits allégués paraissent justifier les conclusions recherchées, ne serait pas satisfaite au motif de l’insuffisance des allégations en lien avec la cause personnelle de l’appelant et du fait que ce dernier n’a pas déboursé de frais de surveillance pourtant seul chef de dommages autorisé.
31.            Sur ce dernier point, les intimées ont raison. Puisque le juge limite les dommages compensatoires à la seule réclamation des coûts pour la surveillance des comptes et relevés des cartes de crédit[43], écartant ainsi tous les autres chefs de dommages énumérés au paragraphe 6, l’appelant devait, afin de détenir une cause personnelle sur ce chef bien spécifique, avoir déboursé de tels frais à compter du moment où ont expiré les services d’une durée de deux ans offerts par le groupe Capital One. Or, ce n’est pas le cas[44]. Le juge ne pouvait donc pas conclure à l’existence d’une cause personnelle de l’appelant pour ce chef de dommages bien spécifique et puisqu’il était le seul chef autorisé, cela aurait dû mener au rejet de la demande. Mais cette erreur ne suffit pas à sceller le sort ni de l’appel principal ni des appels incidents. Il convient de se demander si le juge a eu raison, à ce stade, de limiter l’action collective à un seul chef de dommages.
32.            Il est vrai que les paragraphes de la demande d’autorisation portant sur la cause personnelle de l’appelant, et plus spécifiquement sur son préjudice, sont particulièrement pauvres. On ne doit toutefois pas faire une lecture en silo de la procédure. Si les paragraphes 13 et 14 portant sur la cause de l’appelant se limitent à alléguer d’une manière générique les dommages subis par celui-ci, ils doivent être lus conjointement avec les paragraphes 6 et 10.73.2 à 10.73.16 de la demande en autorisation qui énumèrent tous les chefs de dommages et en exposent certains détails.
33.            À cela, les intimées, à juste titre, répondent que l’appelant n’a pas souffert de tous les chefs de dommages énumérés au paragraphe 6. Par exemple, il n’est aucunement allégué qu’il a été victime d’un vol d’identité (6(e)), ou encore que des charges non autorisées ont été portées à son compte (6(g)). Les intimées soumettent donc qu’il n’est pas suffisant de référer de manière générale à l’ensemble de ces paragraphes en laissant au juge le soin d’imaginer quels chefs de dommages s’appliquent à l’appelant.
34.            Bien que cet argument ne soit pas sans valeur, il ne peut suffire à conclure au rejet de la demande au motif que l’appelant n’a pas de cause personnelle. Ce serait en fait lui reprocher de ne pas avoir ajouté un paragraphe ciblant les chefs de dommages qu’il a personnellement subis. Or, une telle approche serait indûment formaliste au regard des enseignements de la Cour suprême. Une lecture globale et contextuelle de même que le recours aux inférences ou aux présomptions pouvant en découler[45] permettent de satisfaire aux exigences au stade de l’autorisation, c'est-à-dire à la possibilité que l’administration d’une preuve établisse que l’appelant a subi au moins l’un des chefs de dommages énumérés, qu’il s’agisse simplement de troubles et inconvénients visés au paragraphe 6(a) de la demande d’autorisation.
35.            En l’espèce, l’action collective vise la compensation du préjudice découlant de la violation de la confidentialité de données personnelles. Il s’agit là d’une atteinte à la vie privée protégée tant par la Charte québécoise que par la Loi sur la protection des renseignements personnels dans le secteur privé. La jurisprudence constante reconnaît que la seule violation d’un droit protégé par la Charte québécoise ne suffit pas pour engager la responsabilité civile de la personne qui en est à la source, encore faut-il qu’il y ait eu une faute – ce qui n’est pas remis en cause ici – et des conséquences indemnisables qui en aient découlé[46]. Ce dernier élément soulève la distinction entre, d’une part, le préjudice, c’est-à-dire le lieu de l’atteinte – ici la vie privée – et, d’autre part, les conséquences qui s’ensuivent, soit les pertes (ou dommages) pécuniaires et non pécuniaires subies qui se cristallisent ou se déclinent en chefs de dommages[47].
36.            L’article 1607 C.c.Q. pose une classification tripartite du préjudice. Celui-ci est corporel, moral ou matériel selon la nature de l’atteinte (au corps, à l’esprit ou au bien). En l’espèce, il n’est pas requis aux fins du présent arrêt de qualifier la nature du préjudice, c'est-à-dire l’atteinte initiale, soit la violation du caractère confidentiel des données personnelles[48]. Limitons-nous à dire qu’il s’agit là d’un préjudice moral ou matériel et que la question pourra éventuellement être d’intérêt au fond lorsqu’il s’agira de déterminer si, comme le prétend l’appelant[49], les données ont en soi une valeur économique qui aurait pu être affectée par l’atteinte à leur confidentialité.
37.            Ce que l’appelant recherche, c’est donc l’indemnisation de toutes les conséquences qui découlent de l’atteinte à la sécurité de ses données confidentielles et de leur mise en danger, que ce soit les pertes pécuniaires (frais engagés pour la surveillance – credit monitoring – ou la sécurisation des données, pertes de revenu en raison du temps consacré, pertes subies à la suite d’une fraude rendue possible par cette fuite) ou non pécuniaires (souffrances, anxiétés, stress et inconvénients). Toute violation de la confidentialité – donc tout atteinte, même illicite à la vie privée – n’emportera pas nécessairement de telles conséquences indemnisables. Encore une fois, l’atteinte ne suffit pas. Pour prendre un exemple simple, la fuite de l’année de naissance, voire de la date de naissance, ne sera fort probablement pas indemnisable, alors que sa condition médicale le sera plus aisément. C’est la nature des informations fuitées, l’ampleur de celles-ci, l’utilisation ou encore leur diffusion ou, comme ici, la diffusion de la faille de sécurité, qui détermineront l’existence ou non de pertes indemnisables et les différents chefs de dommages qui en découlent.
38.            Les parties ont beaucoup insisté sur le caractère futur ou non du préjudice, l’appelant faisant valoir que le risque de vol d’identité est un événement futur certain – ou probable – alors que les intimées font valoir qu’il s’agissait là d’un événement hypothétique, voire spéculatif. Sur ce point, les intimées ont raison. Le vol d’identité ne s’étant pas à ce jour réalisé – du moins aucune allégation ne va en ce sens – la seule possibilité qu’il se produise dans le futur et les conséquences qui en résulteraient est hypothétique, voire spéculative[50]. Les pertes qui pourraient découler d’un tel vol hypothétique – de nouveaux frais de surveillance, par exemple – ne peuvent être réclamées que s’il intervient.
39.            Mais notre Cour a déjà établi dans l’arrêt Sofio[51] que l’existence d’un vol d’identité n’était pas une condition préalable à l’existence d’un préjudice en cas de fuite de données personnelles. Si l’hypothèse d’un vol à venir est un événement trop incertain pour justifier une indemnisation selon l’article 1611 C.c.Q., la mise en danger de la sécurité financière découlant de la diffusion ou de la disponibilité d’informations sensibles, si tant est qu’elle existe, ce qu’il reviendra au juge du fond de déterminer, est un événement actuel dont les conséquences pécuniaires et non pécuniaires peuvent être bien réelles et dépasser les inconvénients usuels. Comme l’écrivait le juge Morrison[52] :

[58]        C’est plus d’un an après que le piratage est devenu public que Fortier et les membres putatifs apprennent d’Uber par courriel que leurs renseignements personnels ont été volés. Le Tribunal estime que ce n’est pas une situation de si peu d’importance qu’il doit exclure automatiquement à ce stade toute réclamation en dommages moraux comme n’étant pas défendable.

40.            Il va sans dire que chaque situation est un cas d’espèce. C’est ainsi que le présent dossier s’éloigne de l’affaire Sofio où il s’agissait de la perte d’un ordinateur contenant des renseignements personnels. Cela se distingue du vol visant spécifiquement des données comme ici. De même, dans Sofio, aucune allégation ne référait à la dissémination potentielle des informations, voire à la connaissance de l’existence de celles-ci par une tierce personne qui aurait pu mettre la main sur l’ordinateur perdu. En l’espèce, les allégations réfèrent à un vol visant spécifiquement les données et au partage de la faille de sécurité (la recette) sur un site Internet de partage de codes et données informatiques. Une telle situation peut objectiver le risque quant à la sécurité des données exigeant ainsi des mesures, de même que susciter une crainte dépassant alors le seuil des inconvénients normaux[53].
41.            En autorisant l’action pour un chef de dommages – les frais de surveillance – le juge accepte en réalité qu’il y a, à ce stade, suffisamment d’éléments dans la déclaration ou les pièces en support pour conclure que l’atteinte initiale peut donner lieu à indemnisation. Cette conclusion mérite déférence et force est d’admettre qu’elle s’avère raisonnable eu égard aux allégations relatives aux circonstances de la fuite, l’ampleur de celle-ci, la présence d’informations concernant la faille de sécurité sur un site de partage de codes et données informatiques, au manque de réactivité des intimées ou encore du message reçu par l’appelant et déposé comme pièce R-28, par lequel le groupe Capital One admet que la situation a pu créer une inquiétude compréhensible. Dans un tel cas, un juge ne devrait, en principe, saucissonner les chefs de dommages recouvrables qu’avec une extrême prudence. D’ailleurs, il ressort de la jurisprudence en matière de fuite de données que les jugements autorisant l’action collective laissent au juge du fond le soin d’arbitrer les chefs de réclamations, soit par une phraséologie générale[54] ou en énumérant tous les chefs[55], le jugement entrepris semblant être le premier à arbitrer les chefs de réclamations admissibles au stade de l’autorisation.
42.            Une telle prudence s’impose pour plusieurs raisons. D’abord, les membres du groupe peuvent avoir subi des conséquences découlant de la fuite qui soient différentes de celles subies par le représentant. Rappelons que la cause personnelle du représentant n’a pas à présenter un exemple type de celle de tous les membres ou d’une majorité d’entre eux. Le représentant n’a qu’à démontrer de manière suffisante qu’il a subi au moins un chef de dommages. Cela ne veut pas dire pour autant que l’autorisation doit se limiter à ce seul chef de dommages. Elle devra plutôt viser tout chef ayant été potentiellement subi par au moins un membre du groupe tel que défini. Ensuite, pour une même conséquence, les pertes ne seront pas nécessairement de même nature. C’est ainsi que certains peuvent avoir payé des frais de surveillance alors que d’autres peuvent avoir fait d’autres démarches et engagé d’autres coûts pour assurer la même fin[56]. En ce sens, la lecture que les intimées proposent de la jurisprudence en matière de fuite des données, soit que l’action collective ne sera autorisée que lorsque des frais de surveillance ont été engagés[57], ne peut être avalisée. Si de tels frais peuvent indubitablement constituer un chef de dommages, leur absence n’exclut pas le caractère indemnisable des conséquences de la fuite, pas plus que leur présence en constitue une garantie.
43.            Enfin, quant aux pertes non pécuniaires, les parties ont amplement débattu de leur caractère indemnisable. Encore une fois, il ne convient pas de déterminer, à ce stade, l’existence de pertes non pécuniaires indemnisables. Il s’agit là de questions factuelles qui devraient être laissées au juge du fond. Des circonstances propres à chaque affaire et même aux divers membres peuvent toucher l’existence ou non des différents chefs de dommages et leur qualification[58]. Dès lors que des allégations établissent de manière suffisante la possibilité d’une atteinte fautive ayant résulté en des conséquences indemnisables, il reviendra au juge du fond de les arbitrer.
44.            Il y a donc lieu d’accueillir l’appel principal afin de remplacer le paragraphe 248(d) du jugement entrepris par le suivant :

d)   Les défenderesses du Groupe Capital One et du Groupe Amazon sont-elles tenues de payer aux membres des dommages-intérêts compensatoires et, dans l’affirmative, pour quel montant?

45.            De même que le cinquième alinéa du paragraphe 249 par celui-ci :

CONDAMNER les défenderesses à payer solidairement aux membres du groupe des dommages-intérêts pour toutes pertes pécuniaires ou non pécuniaires causées par leurs fautes;

• Dommages punitifs

46.            Le groupe Capital One, dans son appel incident, se pourvoit à l’encontre de la conclusion du juge qui autorise la réclamation de dommages punitifs contre lui aux termes de l’article 49 de la Charte québécoise. Au soutien de cette conclusion, le juge relève notamment la masse colossale d’informations conservées alors même que plusieurs sont devenues inutiles[59], la conduite nonchalante du groupe Capital One pourtant alerté par certains membres de l’industrie du danger lié à la sécurité des données, son insouciance quant à la protection de la confidentialité lors de la migration en 2015[60], l’absence de mesures réparatrices pour l’avenir une fois l’incident connu[61] et l’importance de l’intérêt commercial et financier de la conservation des données[62], le tout apprécié en fonction des attentes légitimes des clients[63].
47.            Compte tenu du pouvoir discrétionnaire du juge d’instance dans l’évaluation des critères de l’article 575 C.p.c. et de la norme d’intervention reposant sur la présence d’une erreur de droit ou d’une appréciation manifestement mal fondée de ceux-ci[64], il n’y a pas ici matière à révision. Plus encore, aux éléments relevés par le juge, il est permis d’ajouter le délai avant que le groupe Capital One apprenne l’existence de la fuite ou celui de la communication de celle-ci aux clients (près de deux ans plus tard pour certains); l’allégation d’une autre brèche de sécurité antérieure à celle en litige[65] et les allégations selon lesquelles les méthodes de stockage utilisées par le groupe Capital One étaient reconnues comme étant particulièrement risquées. Rappelons ce qu’écrivait notre collègue Mark Schrager au nom d’une Cour unanime dans l’arrêt Lévy[66] :

[37]        It would be premature at this stage to decide that there is no possible basis for the award of punitive damages since the granting of such damages must be based on an analysis of Respondent’s overall conduct. The allegations need only be sufficient in order to comprehend the gist of the proposed narrative. Here, Respondent’s conduct after the data breach as alleged is relevant and could potentially be the source for a condemnation of punitive damages. In any event, doubt as to whether the standard has been met should be interpreted in favour of the plaintiff at the authorization stage.

[Renvois omis]

48.            Ces propos s’appliquent parfaitement au dossier en l’espèce et justifient amplement la conclusion du juge d’instance. L’ensemble des allégations suffisait pour conclure à la possibilité d’une condamnation à des dommages punitifs en application du critère établi par la Cour suprême dans l’arrêt St-Ferdinand, selon lequel il y a atteinte illimitée ou intentionnelle « […] lorsque l'auteur de l’atteinte illicite a un état d’esprit qui dénote un désir, une volonté de causer les conséquences de sa conduite fautive ou encore s’il agit en toute connaissance des conséquences, immédiates et naturelles ou au moins extrêmement probables, que cette conduite engendrera. […] »[67].
49.            Il n’y a donc pas lieu d’intervenir sur ce point.

POUR CES MOTIFS, LA COUR :

50.            ACCUEILLE l’appel principal, avec frais de justice;
51.            INFIRME le jugement à la seule fin de remplacer les paragraphes 248 et 249 du jugement entrepris par les suivants :

[248] IDENTIFIE comme suit les questions communes devant être débattues dans le cadre de cette action collective :

a) Les défenderesses du groupe Capital One ont-elles été fautives envers les membres en vertu du contrat liant les parties en ce qui concerne la protection et la sécurité de leurs renseignements personnels depuis 2004, lors de cette migration de leurs renseignements personnels vers les serveurs des défenderesses Amazon en 2015 et par la suite?

b) La Loi sur la protection des renseignements personnels et les documents électroniques s’applique-t-elle aux défenderesses?

c) Les défenderesses du groupe Capital One et du groupe Amazon ont-elles été fautives envers les membres en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé et en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques entre 2004 et la date de la présente instance?

d) Les défenderesses du Groupe Capital One et du Groupe Amazon sont-elles tenues de payer aux membres des dommages-intérêts compensatoires et, dans l’affirmative, pour quel montant?

e) Les défenderesses du groupe Capital One ont-elles porté atteinte au droit à la vie privée des membres en vertu de la Charte des droits et libertés de la personne?

f) Les défenderesses du groupe Capital One sont-elles tenues à des dommages punitifs aux membres et, dans l’affirmative, pour quel montant?

[249] IDENTIFIE les conclusions recherchées de la façon suivante :

- ACCUEILLIR l’action collective intentée par le demandeur Michael Royer contre toutes les défenderesses;

- DÉCLARER que les défenderesses Capital One Bank (Canada Branch) Capital (Financial Corporation) et Capital One Bank (USA) National Association ont commis une ou plusieurs fautes contractuelles envers les membres;

- DÉCLARER que les défenderesses Capital One Bank (Canada Branch) Capital (Financial Corporation) et Capital One Bank (USA) National Association, Amazon.com inc., Amazon.com.ca inc., Amazon Web Services Canada inc., Amazon Web Services inc. et Amazon Technologies inc. ont enfreint la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques;

- CONDAMNER les défenderesses à payer solidairement aux membres du groupe des dommages-intérêts pour toutes pertes pécuniaires ou non pécuniaires causées par leurs fautes;

- DÉCLARER que les défenderesses Capital One Bank (Canada Branch) Capital (Financial Corporation) et Capital One Bank (USA) National Association, ont porté atteinte au droit à la vie privée des membres du Groupe garanti par l’article 5 de la Charte des droits et libertés de la personne, et CONDAMNER ces dernières, solidairement, à payer aux membres une somme à être déterminée par le Tribunal à titre de dommages punitifs en vertu de l’article 49 de la Charte des droits et libertés de la personne, avec les intérêts au taux légal et l’indemnité additionnelle prévue à la Loi;

- ORDONNER le recouvrement collectif des réclamations des membres du Groupe ou à défaut, le recouvrement individuel de celles-ci;

- LE TOUT avec dépens contre les défenderesses, incluant tous les frais d’expert et de publication des avis requis par la Loi;

52.            REJETTE l’appel incident de Capital One Bank (Canada Branch) Capital (Financial Corporation) et Capital One Bank (USA) National Association, avec frais de justice;
53.            REJETTE l’appel incident de Amazon.com inc., Amazon.com.ca inc., Amazon Web Services Canada inc., Amazon Web Services inc. et Amazon Technologies inc., avec frais de justice.

[1]  Royer c. Capital One Bank (Canada Branch), 2023 QCCS 2993 [jugement entrepris].

[2]  Dans le courriel reçu par l’appelant, on lit : « We’re deeply sorry for the understandable worry this has caused and are committed to making this right » (Pièce R-28). D’autres clients visés par la fuite seront découverts en février 2021.

[3]  RLRQ, c. C-12.

[4]  RLRQ, c. P-40.1.

[5]  Jugement entrepris, paragr. 121-125.

[6]  RLRQ, c. P-39.1

[7]  Jugement entrepris, paragr. 180.

[8]  Jugement entrepris, paragr. 181.

[9]  Jugement entrepris, paragr. 197-201.

[10]  Zuckerman c. Target Corporation, 2017 QCCS 110 [Zuckerman Target]; Lévy c. Nissan Canada inc., 2019 QCCS 3957 (appel partiellement accueilli sur un autre point : 2021 QCCA 682) ; Zuckerman c. MGM Resorts International, 2022 QCCS 2914 [Zuckerman MGM].

[11]  Jugement entrepris, paragr. 202.

[12]  Sofio c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), 2015 QCCA 1820, paragr. 10 [Sofio]; Bruce Johnston et Yves Lauzon, Traité pratique de l'action collective, Montréal, Éditions Yvon Blais, 2021, p. 96.

[13]  Id., Sofio, paragr. 25.

[14]  Jugement entrepris, paragr. 15.

[15]  Mustapha c. Culligan du Canada Ltée, 2008 CSC 27 [Mustapha].

[16]  Id., paragr. 9.

[17]  Voir notamment, spécifiquement en matière de fuite de données : Lévy c. Nissan Canada inc., 2019 QCCS 3957, paragr. 98 (appel partiellement accueilli sur un autre point : 2021 QCCA 682) ; Mazzonna c. DaimlerChrysler Financial Services Canada Inc./Services financiers DaimlerChrysler inc., 2012 QCCS 958, paragr. 59-61 [Mazzonna]; Zuckerman Target, supra, note 10, paragr. 65-66; Zuckerman MGM, supra, note 10, paragr. 51.

[18]  Fortin c. Mazda Canada inc., 2016 QCCA 31, paragr. 171. Voir aussi Syndicat des cols bleus regroupés de Montréal (SCFP, section locale 301) c. Coll, 2009 QCCA 708, paragr. 96-106.

[19]  Mustapha, supra, note 15, paragr. 10.

[20]  Mustapha, supra, note 15, paragr. 14 et 18.

[21]  C’est ainsi qu’il invoque la certification de l’action collective en Colombie Britannique (Campbell v. Capital One Financial Corporation, 2022 BCSC 928 (CanLII) confirmé par 2024 BCCA 253) ou encore le règlement de l’action collective aux États-Unis. À l’inverse, l’on peut aussi noter que la certification d’une action collective en Ontario a été rejetée : Del Giudice c. Thompson, 2024 ONCA 70.

[22]  Infineon Technologies AG c. Option consommateurs, 2013 CSC 59, paragr. 59, 61 et 65 [Infineon].

[23]  L’Oratoire Saint‑Joseph du Mont‑Royal c. J.J., 2019 CSC 35, paragr. 58 [Oratoire Saint‑Joseph].

[24]  Hollick c. Toronto (Ville), 2001 CSC 68, paragr. 27; Id., Oratoire Saint-Joseph, paragr. 6.

[25]  Oratoire Saint‑Joseph, supra, note 23, paragr. 8 citant Banque de Montréal c. Marcotte, 2014 CSC 55, paragr. 43. Voir aussi : Air Canada c. P.A., 2021 QCCA 873, paragr. 171; Tessier c. Economical, compagnie mutuelle d'assurance, 2023 QCCA 688, paragr. 25.

[26]  Oratoire Saint-Joseph, supra, note 23, paragr. 25.

[27]  Option consommateur c. Bell Mobilité, 2008 QCCA 2201, paragr. 30.

[28]  Infineon, supra, note 22, paragr. 67.

[29]  Oratoire Saint-Joseph, supra, note 23, paragr. 59.

[30]  Oratoire Saint-Joseph, supra, note 23, paragr. 60.

[31]  Voir Asselin c. Desjardins Cabinet de services financiers inc., 2017 QCCA 1673, paragr. 33, confirmé par Desjardins Cabinet de services financiers inc. c. Asselin, 2020 CSC 30, paragr. 14 et 15 [Asselin CSC].

[32]  Asselin CSC., paragr. 16.

[33]  Ibid.

[34]  Oratoire Saint‑Joseph, supra, note 23, paragr. 24, 60. Voir aussi Asselin CSC, supra, note 31, paragr. 17.

[35]  Asselin CSC, supra, note 31, paragr. 19

[36]  Sofio, supra, note 12, paragr. 10.

[37]  Poitras c. Concession A25, 2021 QCCA 1182, paragr. 76 [Poitras].

[38]  Id., paragr. 79; Denis Ferland et Benoît Emery, Précis de procédure civile du Québec, 6e éd. vol. 2, Montréal, Yvon Blais, 2020, no 2-1775.

[39]  Cozak c. Procureur général du Québec, 2021 QCCA 1376, paragr. 4.

[40]  Oratoire Saint-Joseph, supra, note 23, paragr. 10, 11. Voir aussi Asselin CSC, supra, note 31, paragr. 2; Vivendi Canada inc. c. Dell’Aniello, 2014 CSC 1, paragr. 34 [Vivendi]; Harvey c. Vidéotron, 2021 QCCA 1183, paragr. 22; Karras c. Société des loteries du Québec, 2019 QCCA 813, paragr. 18-23.

[41]  Oratoire Saint-Joseph, supra, note 23, paragr. 10; Vivendi, supra, note 40, paragr. 34; Association pour la protection automobile (APA) c. Banque de Montréal, 2021 QCCA 676, paragr. 27; Durand c. Subway Franchise Systems of Canada, 2020 QCCA 1647, paragr. 47; Poitras, supra, note 37, paragr. 36.

[42]  Oratoire Saint-Joseph, supra, note 23, paragr. 22.

[43]  Jugement entrepris, paragr. 248(d).

[44]  Jugement entrepris, paragr. 208. L’appelant semble d’ailleurs l’admettre dans son exposé à titre d’intimé incident dans l’appel d’Amazon.

[45]  Oratoire Saint-Joseph, supra, note 23, paragr. 24.

[46]  Béliveau St-Jacques c. Fédération des employées et employés de services publics inc., [1996] 2 R.C.S. 345, paragr. 121-122; Aubry c. Éditions Vice-Versa inc., [1998] 1 R.C.S. 591, paragr. 66 et s.; Bou Malhab c. Diffusion Métromédia CMR inc., 2011 CSC 9, paragr. 22 et 23; Sofio, supra, note 12, paragr. 21. Cette question est discutée en doctrine : Sophie Morin, Le dommage moral et le préjudice extrapatrimonial, Cowansville, Éditions Yvon Blais, 2011, p. 196 et s.; Adrian Popovici, « De l'impact de la Charte des droits et libertés de la personne sur le droit de la responsabilité civile: un mariage raté? », [1998-1999] Meredith Mem. Lect. 49 ; Mélanie Samson, Les interactions de la Charte des droits et libertés de la personne avec le Code civil du Québec : une harmonie à concrétiser, Cowansville, Yvon Blais, 2013, 273 et s.

[47]  Voir : Id., S. Morin, p. 142 et s. La professeure Morin propose de distinguer l’atteinte des conséquences de celle-ci. Pour elle, la première consiste dans le dommage corporel moral ou matériel alors que la seconde réfère au préjudice patrimonial ou extrapatrimonial. Comme elle le remarque, le législateur québécois a interverti le sens des mots et utilise le terme préjudice à la place du dommage. Cela importe peu, ce qui compte en dernière analyse est la distinction entre l’atteinte (que l’on nommera comme le fait l’article 1607 C.c.Q., préjudice corporel, moral ou matériel) et les conséquences pécuniaires ou non pécuniaires de cette atteinte. Notre Cour a avalisé cette façon de voir dans Dorval c. Montréal (Ville de), 2015 QCCA 1607, paragr. 33. La Cour suprême, sans consacrer explicitement cette façon de faire, distingue aussi l’atteinte de ses conséquences cristallisées par des chefs de dommages (Montréal (Ville) c. Dorval, 2017 CSC 48, paragr. 30). Sur le sens du vocable atteinte dans la Charte québécoise, voir : Mariève Lacroix, « Une conceptualisation novatrice de la diffamation en droit privé à la lueur de la Charte des droits et libertés de la personne et du Code civil du Québec, (2016) 93 R. du B.Can. 675, p. 683 et 684.

[48]  Cinar Corporation c. Robinson, 2013 CSC 73, paragr. 100.

[49]  Demande d’autorisation, paragr. 6(b) : « The lost inherent value of their personal and private information, which they had been unaware was subject to unlawful access and use ».

[50]  Id. paragr. 6(h): Possible future fraud and identity theft and injury flowing therefrom.

[51]  Sofio, supra, note 12.

[52]  Fortier c. Uber Canada inc., 2021 QCCS 4053, paragr. 58 [Fortier]. Il y a également lieu de constater que de tels événements ne sont pas de la même nature que la perte de temps dans la circulation, laquelle perte de temps deviendrait indemnisable simplement parce qu’elle a été causée par un acte fautif (Syndicat des cols bleus regroupés de Montréal (SCFP, section locale 301) c. Coll, 2009 QCCA 708). L’on doit toujours s’attendre à ce qu’il y ait des problèmes de circulation automobile, quelle qu’en soit la cause. Or, on n’a pas à toujours s’attendre qu’un vol de données ou qu’une fuite d’informations confidentielles survienne.

[53]  Une analogie peut être faite avec la présence sur le darkweb d’offre de vente de ces données, facteur qui avait été, à juste titre, pris en compte pour évaluer la suffisance des allégations de pertes non pécuniaires : Zuckerman MGM, supra, note 10, paragr. 59.

[54]  Lévy c. Nissan Canada inc., 2019 QCCS 3957, paragr. 151(e) (appel partiellement accueilli sur un autre point : 2021 QCCA 682):

[151] IDENTIFIE comme suit les principales questions de droit et de fait à être déterminées collectivement :

[…]

e)  comme résultat, Nissan Canada inc. est-elle obligée de payer des dommages-intérêts compensatoires aux membres du groupe? Et si oui, de quels montants?

[55]  Fortier, supra, note 52, p. 16, paragr. i); Sciscente c. Audi Canada inc., 2022 QCCS 2911, paragr. 58(d) [Sciscente]; Zuckerman Target, supra, note 10, paragr. 88, 89, 112 et 132 (3), (4), (5), (6).

[56]  D’ailleurs telle que libellée, il n’est pas clair si la conclusion du juge autorisant « les coûts pour la surveillance » ne vise que les coûts d’un programme, tel que celui offert par le groupe Capital One, ou tous autres frais découlant de la surveillance des comptes.

[57]  Des actions collectives ont été autorisées dans les dossiers suivants : Lévy c. Nissan Canada inc., 2019 QCCS 3957 (appel partiellement accueilli sur un autre point : 2021 QCCA 682); Fortier, supra, note 52; Sciscente, supra, note 55; Zuckerman Target, supra, note 10; Zuckerman MGM, supra, note 10. Tous des cas où il y avait eu des frais de surveillance d’engagés. À l’inverse, les actions collectives n’ont pas été autorisées dans les affaires suivantes où de tels frais n’avaient pas été engagés : Mazzonna, supra, note 17; Bourbonnière c. Yahoo! Inc., 2019 QCCS 2624; Li c. Equifax inc., 2019 QCCS 4340. Il y a lieu de remarquer que, dans les affaires Mazzonna et Bourbonnière, le juge autorisateur avait eu le bénéfice de l’interrogatoire au préalable du représentant, ce qui n’est pas le cas ici.

[58]  Voir par exemple Zuckerman MGM, supra, note 10, paragr. 59 où les informations étaient offertes à la vente sur le darkweb. En l’espèce, il est allégué que la faille de sécurité avait été mise sur un site de partage de codes et données informatiques. Voir aussi : Fortier, supra, note 52, paragr. 44 et s.

[59]  Jugement entrepris, paragr. 223.

[60]  Jugement entrepris, paragr. 224.

[61]  Jugement entrepris, paragr. 225 et 227.

[62]  Jugement entrepris, paragr. 225.

[63]  Jugement entrepris, paragr. 228.

[64]  Oratoire Saint-Joseph, supra, note 23, paragr. 10; Vivendi, supra, note 40, paragr. 34.

[65]  Lévy c. Nissan Canada inc., 2021 QCCA 682, paragr. 36.

[66]  Id., paragr. 37.

[67]  Québec (Curateur public) c. Syndicat national des employés de l'hôpital St-Ferdinand, [1996] 3 R.C.S. 211, paragr. 121.