Décision

1.                 Pierre Dondo poursuit solidairement la Fédération des Caisses Desjardins du Québec (la « Fédération ») et la Caisse Desjardins Charles-Lemoyne (la « Caisse » et, collectivement, « Desjardins »), pour la somme de 15 000 $ à la suite du vol de ses renseignements personnels par un employé de Desjardins et de l’usurpation de son identité par des fraudeurs.
2.                 La somme de 15 000 $ réclamée se détaille comme suit :

1.           6 500 $ pour sa perte de temps;
2.           7 500 $ pour payer les frais de surveillance d’Equifax Canada Co. (« Equifax »), actuellement de 24,95 $ par mois[1], pour les 25 prochaines années;
3.            1 000 $ à titre de dommages-intérêts punitifs.

3.                 M. Dondo a bénéficié du programme de surveillance d’Equifax fourni par la Fédération pendant 5 ans.
4.                 Des actions collectives ont été instituées contre la Fédération, mais M. Dondo s’en est exclu.
5.                 La Fédération et la Caisse ont présenté une défense et une preuve communes. Elles allèguent n’avoir commis aucune faute susceptible d’engager leur responsabilité et, dans l’éventualité où une faute serait prouvée, qu’il n’y a pas de preuve d’un lien de causalité direct entre leur faute et les dommages réclamés. Elles allèguent de plus qu’il n’y a pas de preuve des dommages réclamés, ou qu’ils sont exagérés.

QUESTIONS EN LITIGE

1. La Fédération et la Caisse ont-elles commis une faute susceptible d’engager leur responsabilité en ne s’assurant pas de la protection adéquate des renseignements personnels de M. Dondo?
2. M. Dondo a-t-il fait la preuve des dommages réclamés, soit 14 000 $ en dommages compensatoires et 1 000 $ en dommages-intérêts punitifs?
3. Si oui, y a-t-il un lien de causalité entre le vol des renseignements personnels de M. Dondo et les dommages subis?

ANALYSE

Le contexte

6.                 Lors de l’achat d’un véhicule automobile en 2011, M. Dondo ouvre un compte à la Caisse puisque le financement y est très avantageux.
7.                 Son prêt auprès de la Caisse est complètement remboursé en 2018.
8.                 Par lettre datée du 22 juin 2019, M. Dondo est avisé par la Fédération que ses renseignements personnels ont fait l’objet d’un vol par un employé :

« Une enquête des autorités policières, effectuée en collaboration étroite avec le mouvement Desjardins, a démontré que les renseignements personnels de membres ont été communiqués de manière non autorisée à des personnes situées à l’extérieur de l’organisation. Cette situation est le fruit d’un employé malveillant aujourd’hui congédié.

Dès la détection de l’incident, des mesures de sécurité additionnelles ont été mises en place pour l’ensemble des comptes afin d’assurer une protection accrue des renseignements personnels et financiers de nos membres.

Les vérifications nous indiquent que certains de vos renseignements personnels sont concernés par la situation. Nous regrettons profondément cet incident et vous assurons que vous n’encourrez aucune perte financière si des transactions non autorisées étaient réalisées dans vos comptes Desjardins à la suite de cet événement. » [2]

9.                 M. Dondo n’est pas rassuré par l’assurance donnée par Desjardins selon laquelle il n’encourra « aucune perte financière si des transactions non autorisées étaient réalisées dans [ses] comptes Desjardins » puisque ses comptes bancaires sont à la CIBC depuis plus de 30 ans.
10.            Il active le programme de protection d’Equifax offert dans les 24 heures suivant la réception de la lettre l’informant du vol.

1. La Fédération et la Caisse ont-elles commis une faute susceptible d’engager leur responsabilité en ne s’assurant pas de la protection adéquate des renseignements personnels de M. Dondo?

11.            La Fédération et la Caisse admettent qu’un de leurs employés a communiqué de manière non autorisée des renseignements personnels de membres à des tiers, mais nient avoir commis une faute susceptible d’engager leur responsabilité.
12.            M. Dondo n’a accès ni aux documents internes de Desjardins, ni aux rapports d’enquêtes des autorités policières.
13.            La preuve des faits administrée par ce dernier repose sur les documents publics suivants :

1.      une décision de la Commission d’accès à l’information du Québec (la « Commission ») datée du 11 décembre 2020 signée par Me Cynthia Chassigneux (la « Décision »)[3];
2.      une ordonnance de l’Autorité des marchés financiers (l’« AMF ») datée du 14 décembre 2020 signée par Louis Morisset, président-directeur général (l’« Ordonnance »)[4].

14.            Desjardins n’a pas nié les faits allégués dans la Décision et l’Ordonnance, lesquels sont le fruit d’un travail sérieux de deux organismes étatiques chargés de la protection du public.
15.            Ainsi, le vol s’est produit sur une période de 26 mois avant que le service de police de Laval en informe Desjardins.
16.            Le 27 mai 2019, Desjardins déclare le vol à la Commission, laquelle déclenche alors sa propre enquête.
17.            La Commission veille notamment au respect des droits et obligations de la Loi sur le privé, laquelle établit des règles relatives à la collecte, à l’utilisation, à la détention et à la communication de renseignements personnels à l’occasion de l’exploitation d’une entreprise.
18.            L’incident de sécurité, initialement déclaré par Desjardins comme affectant environ 16 000 personnes a, finalement, touché quelque 9,7 millions de personnes. Les personnes visées sont des individus et des entreprises détenant des comptes actifs et inactifs[5].
19.            L’enquête de la Commission porte sur les causes et circonstances ayant mené à l’incident de sécurité, et non sur le parcours des renseignements personnels à la suite du vol, ni sur leur utilisation possible à des fins illégitimes.
20.            Le vol concerne les renseignements personnels suivants[6] :

1.             nom et prénom;
2.             date de naissance;
3.              numéro d’assurance sociale;
4.             adresse de résidence;
5.             numéro de téléphone;
6.               adresse de courriel;
7.             renseignements relatifs aux habitudes transactionnelles, tels que le type de produit, les soldes, le nombre de cartes et d’hypothèques.

21.            Au terme de son enquête, la Commission conclut que les mesures mises en place par Desjardins n’étaient pas efficaces[7], en raison des éléments suivants:

• Desjardins n’a pas limité l’accès aux seuls renseignements nécessaires à l’exercice des fonctions des employés;
• Desjardins n’a pas mis en place un système de contrôle des mesures prises afin d’assurer la sécurité des renseignements personnels qu’elle détient relativement à ses clients actifs et inactifs;
• une fois l’objet du dossier accompli, Desjardins ne disposait d’aucune procédure pour limiter ou cesser l’utilisation de renseignements personnels par ses employés.

22.            Selon la Commission, le vol s’est produit sur une période de 26 mois sans que Desjardins ne le détecte, car elle a failli à son obligation de mettre en place avec diligence des mesures de protection et de détection proportionnelles à la sensibilité et à la quantité de renseignements personnels qu’elle détenait, et ce, malgré qu’elle ait été informée de vulnérabilités susceptibles d’affecter la protection de ces renseignements[8].
23.            Ainsi, « [l]a Commission considère que Desjardins n’a pas respecté les articles 10, 12 et 20 de la Loi sur le privé en ce qui a trait au contrôle des mesures de sécurité, à l’accessibilité aux renseignements personnels et à l’utilisation faite de ceux-ci une fois l’objet du dossier accompli. »[9]
24.            Quant à l’AMF, qui est un organisme qui encadre le secteur financier québécois, elle fait les constats suivants relativement au vol de données[10] :

• les recommandations découlant de ses travaux de surveillance antérieurs n’avaient été suivies qu’en partie au moment de la survenance de l’incident, et ce, en dépit des statuts d’avancement fournis par le Mouvement Desjardins à l’effet contraire;
• la Fédération a failli à son obligation de suivre des pratiques de gestion saine et prudente, assurant notamment une saine gouvernance et le respect des lois régissant ses activités, et ce, malgré les multiples constats et recommandations de l’AMF et des auditeurs internes du Mouvement Desjardins à cet égard;
• la Fédération a manqué à son obligation de suivre et de faire respecter des pratiques de gestion saine et prudente, le tout en contravention de l’article 66 de la Loi sur les coopératives.

25.            Vu ce qui précède, Desjardins n’a pas pris les mesures nécessaires afin d’assurer une protection adéquate des renseignements personnels qu’elle détenait et, ce faisant, a commis une faute susceptible d’engager sa responsabilité.

2. M. Dondo a-t-il fait la preuve des dommages réclamés, soit 14 000 $ en dommages compensatoires et 1 000 $ en dommages-intérêts punitifs?

La perte de temps

26.            M. Dondo désire être indemnisé pour son énorme perte de temps causée par le vol de ses renseignements personnels et l’usurpation de son identité.
27.            De fait, les renseignements personnels de M. Dondo ont été utilisés pour l’obtention d’une carte de crédit auprès de la Banque Laurentienne du Canada (« BLC »).
28.            M. Dondo en a été informé lorsque la BLC lui a transmis une mise en demeure datée du 22 juillet 2019, lui réclamant un solde de 25 063,32 $[11].
29.            Après de nombreuses conversations téléphoniques avec des représentants de la BLC, les débours frauduleux ont été annulés.
30.            M. Dondo évalue avoir passé entre 30 et 50 heures au téléphone avec les représentants de la BLC afin de faire annuler les débours frauduleux et fermer la carte de crédit.
31.            De plus, afin de trouver des moyens pour atténuer le risque de fraudes futures, M. Dondo a eu de multiples discussions stratégiques avec les représentants de la CIBC, son institution financière. Il évalue le temps passé avec ces derniers à une dizaine d’heures.
32.            Ainsi, pour tenter de se prémunir de fraudes futures, M. Dondo a :

1.      fait inscrire une marge de crédit hypothécaire sur sa résidence; et
2.      fait bloquer toutes les demandes de crédit à son nom auprès des agences Equifax et TransUnion of Canada inc.

33.            De même, M. Dondo a consacré environ 8 heures pour ses déplacements et ses discussions avec les représentants de la Caisse.
34.            M. Dondo demande une indemnisation au taux horaire de 200 $ pour toutes les heures passées à gérer les conséquences du vol de ses renseignements personnels par un employé de Desjardins.
35.            M. Dondo est avocat. Il a pratiqué le droit des affaires en pratique privée durant de nombreuses années. Il est maintenant président et actionnaire unique d’une clinique médicale.
36.            Selon lui, ce taux horaire de 200 $ est raisonnable puisqu’il représente moins de 50% du taux qu’il facturait à titre d’avocat et de son taux actuel à titre de consultant.
37.            Desjardins conteste le taux horaire réclamé par M. Dondo et soumet qu’un taux de 18 $ l’heure est raisonnable puisque l’entente finale de règlement des actions collectives (l’« Entente de règlement »)[12] prévoit un tel taux, pour une indemnisation maximale de 5 heures, soit 90 $.
38.            Desjardins plaide également que l’indemnité forfaitaire de 1 000 $ octroyée dans le cadre de l’Entente de règlement a été reconnue raisonnable par le Tribunal.
39.            Ainsi, elle soutient que la demande en l’instance est exagérée.
40.            Le rôle du Tribunal appelé à approuver une transaction en matière d’action collective est de s’assurer que l’entente intervenue est juste, équitable et dans l’intérêt supérieur des membres du groupe[13].
41.            Il est important de préciser que l’Entente de règlement est intervenue au début d’un processus judiciaire et qu’elle est le fruit d’une médiation qui s’est déroulée avant même que les demandes d’autorisation d’exercer des actions collectives ne soient entendues et autorisées.
42.            De fait, deux actions collectives ont été instituées devant la Cour supérieure du Québec. La première a été timbrée le jour de la divulgation publique du vol de données par Desjardins, et la seconde, le lendemain. De même, une autre action collective a été instituée devant la Supreme Court of British Columbia le lendemain de la divulgation.
43.            Ainsi, aucune preuve n’a été administrée dans ces dossiers.
44.            De même, dans le Jugement Boulay, la Cour reconnait « qu’il peut exister des situations où le versement d’une telle somme [de 1 000 $] ne compensera pas tous les dommages qu’aurait pu subir la victime » et « qu’elle ne puisse compenser dans certains cas tous les dommages »[14].
45.            Dans le présent dossier, il a été mis en preuve que les renseignements personnels de M. Dondo ont été volés et utilisés par des fraudeurs et, qu’en conséquence, il a passé plus d’une cinquantaine d’heures à discuter avec des représentants des diverses institutions financières.
46.            Durant ce temps, M. Dondo ne s’est pas consacré à son emploi habituel.
47.            Cependant, le taux de 200 $ l’heure réclamé semble trop élevé pour compenser la perte de temps encourue. Dans les circonstances du présent dossier, un taux de 100 $ l’heure est approprié.
48.            Ainsi, et sous réserve du lien de causalité qui sera traité dans le cadre de la dernière question en litige, M. Dondo aurait droit à la somme de 5 000 $ afin de compenser sa perte de temps.

Les frais de surveillance d’Equifax

49.            Seuls ou combinés, les renseignements personnels volés sont particulièrement sensibles, surtout le numéro d’assurance sociale.
50.            M. Dondo ne bénéficie plus du service de surveillance gratuit d’Equifax fourni par la Fédération depuis le 27 juin 2024[15].
51.            À cet égard, Desjardins plaide que ledit service de surveillance de 5 ans déjà octroyé était suffisant.
52.            Le Tribunal est en désaccord.
53.            Les renseignements personnels de M. Dondo ne sont pas modifiables, ou difficilement.
54.            Ces renseignements personnels sont encore possiblement entre les mains de fraudeurs et disponibles sur le web clandestin (dark web).
55.            À cet égard, le 12 septembre 2019, M. Dondo est informé qu’un individu interpellé par la police était en possession de multiples cartes de crédit, dont au moins une à son nom.
56.            M. Dondo ne bénéficie pas de la « protection à vie contre le vol d’identité »[16] de Desjardins puisque ses comptes bancaires n’y sont pas.
57.            Cependant, la durée de 25 ans demandée est exagérée. Le Tribunal croit qu’une protection additionnelle de 5 ans est appropriée dans les circonstances.
58.            Ainsi, et sous réserve de la question du lien de causalité, le Tribunal accorderait une somme équivalente à une surveillance de 5 ans, soit 1 721,10 $[17].

Les dommages-intérêts punitifs

59.            L’octroi de dommages-intérêts punitifs est exceptionnel et doit être prévu dans la loi.
60.            L’article 49 (2) de la Charte québécoise des droits et libertés[18] prévoit qu’une atteinte illicite et intentionnelle à un droit garanti par cette dernière peut donner droit à des dommages-intérêts punitifs.
61.            En l’espèce, l’atteinte illicite et intentionnelle alléguée se rattache au droit garanti par l’article 5 de la Charte québécoise, soit que « [t]oute personne a droit au respect de sa vie privée. »
62.            Les atteintes illicite et intentionnelle sont définies dans l’arrêt Hôpital St‑Ferdinand[19].

« 116.  Pour conclure à l’existence d’une atteinte illicite, il doit être démontré qu’un droit protégé par la Charte a été violé et que cette violation résulte d’un comportement fautif. Un comportement sera qualifié de fautif si, ce faisant, son auteur transgresse une norme de conduite jugée raisonnable dans les circonstances selon le droit commun ou, comme c’est le cas pour certains droits protégés, une norme dictée par la Charte elle-même (…).

117.  Contrairement aux dommages compensatoires, l’octroi de dommages exemplaires prévu au deuxième alinéa de l’art. 49 de la Charte ne dépend pas de la mesure du préjudice résultant de l’atteinte illicite, mais du caractère intentionnel de cette atteinte.  Or, une atteinte illicite étant, comme je l’ai déjà mentionné, le résultat d’un comportement fautif qui viole un droit protégé par la Charte, c’est donc le résultat de ce comportement qui doit être intentionnel.  En d’autres termes, pour qu’une atteinte illicite soit qualifiée d’« intentionnelle », l'auteur de cette atteinte doit avoir voulu les conséquences que son comportement fautif produira.

118.  Dans cette perspective, afin d’interpréter l’expression « atteinte illicite et intentionnelle », il importe de ne pas confondre le fait de vouloir commettre un acte fautif et celui de vouloir les conséquences de cet acte.  À cet égard, le deuxième alinéa de l’art. 49 de la Charte ne pourrait être plus clair: c'est l'atteinte illicite — et non la faute — qui doit être intentionnelle.  En conséquence, bien que certaines analogies soient possibles, je crois qu'il faille néanmoins résister à la tentation d’assimiler la notion d’« atteinte illicite et intentionnelle» propre à la Charte aux concepts traditionnellement reconnus de « faute lourde », « faute dolosive » ou même « faute intentionnelle ». »

[Caractères gras ajoutés]

63.            À la lumière de la preuve, Desjardins a commis une atteinte illicite au droit à la vie privée de M. Dondo, mais n’a pas commis d’atteinte intentionnelle.
64.            De fait, Desjardins ne désirait pas les conséquences de son laxisme, et il n’y a aucune preuve à cet égard.
65.            Ainsi, la demande de dommages-intérêts punitifs suivant la Charte québécoise doit échouer.
66.            L’article 93.1 de la Loi sur le privé prévoit la possibilité d’obtenir des dommages-intérêts punitifs d’au moins 1 000 $ lorsqu’une atteinte illicite à un droit conféré par ladite loi ou par les articles 35 à 40 du Code civil du Québec (« C.c.Q. ») cause un préjudice et que cette atteinte résulte d’une faute lourde.
67.            Vu que cet article n’était pas entré en vigueur lors des faits de la présente affaire, la demande de dommages-intérêts punitifs suivant la Loi sur le privé doit également échouer.

3. Si oui, y a-t-il un lien de causalité entre le vol des renseignements personnels de M. Dondo et les dommages subis?

68.            En ne prenant pas les mesures nécessaires afin de s’assurer d’une protection adéquate des renseignements personnels qu’elle détenait, Desjardins a commis une faute.
69.            Cette faute a perduré tellement longtemps que l’employé de Desjardins a exfiltré des renseignements personnels durant plus de deux ans.
70.            N’eut été de la découverte du vol par la police, qui sait durant combien de temps le stratagème de cet ancien employé aurait duré.
71.            Desjardins allègue maintenant qu’aucun lien de causalité « direct » n’a été établi entre le vol des renseignements personnels de M. Dondo par son ancien employé et les dommages subis par ce dernier.
72.            En d’autres mots, Desjardins plaide que son laxisme ayant facilité le vol de renseignements personnels par son employé sur une période de 26 mois empêche M. Dondo d’établir précisément que l’usurpation de son identité et les dommages qui en ont découlé proviennent dudit vol.
73.            Cette position simpliste et opportuniste fait fi des présomptions graves, précises et concordantes mises en preuve par M. Dondo.
74.            De fait, M. Dondo a démontré qu’il est une personne très diligente et qu’il fait attention à ses renseignements personnels.
75.            Ses renseignements personnels ont fait l’objet d’un seul vol, soit celui par l’employé de Desjardins.
76.            Les renseignements personnels de M. Dondo volés par l’employé de Desjardins incluent sa date de naissance et son numéro d’assurance sociale.
77.            Ces renseignements sont requis pour l’ouverture de la carte de crédit auprès de la BLC.
78.            Il y a également concomitance dans le temps entre le vol des renseignements personnels de M. Dondo et l’usurpation de son identité par des fraudeurs dans le cadre de l’ouverture et de l’utilisation du crédit auprès de la BLC.
79.            Pour avoir gain de cause, M. Dondo doit faire la preuve des faits qui soutiennent sa prétention par prépondérance des probabilités[20].
80.            Le Tribunal est d’avis que M. Dondo a rencontré son fardeau et établi par prépondérance de preuve le lien de causalité entre le vol de ses renseignements personnels par l’employé de Desjardins et les dommages qu’il a subis.

POUR CES MOTIFS, LE TRIBUNAL :

81.            CONDAMNE solidairement la Fédération des Caisses Desjardins du Québec et la Caisse Desjardins Charles-Lemoyne à payer à Pierre Dondo la somme de 6 721,10 $ plus intérêts au taux légal et l’indemnité additionnelle à compter du 22 juin 2022;
82.            CONDAMNE solidairement la Fédération des Caisses Desjardins du Québec et la Caisse Desjardins Charles-Lemoyne à payer à Pierre Dondo les frais de justice au montant de 201 $.

[1]  Pièce P-9, Extrait du site internet d’Equifax.

[2]  Pièce P-2.

[3]  Pièce P-3, Fédération des caisses Desjardins du Québec, 2020 QCCAI 1020846-S, enquête en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 (la « Loi sur le privé »).

[4]  Pièce P-4, Fédération des caisses Desjardins du Québec, 2020-PDG-0074, suivant l’article 567 de la Loi sur les coopératives de services financiers, RLRQ, c. C-67.3 (la « Loi sur les coopératives »).

[5]  Pièce P-3, par. 11 et 12.

[6]  Pièce P-3, par. 30.

[7]  Pièce P-3, par. 50 et suivants.

[8]  Pièce P-3, par. 8.

[9]  Pièce P-3, par. 86.

[10]  Pièce P-4, par. 28 et suivants.

[11]  Pièce P-1.

[12]  Entente finale de règlement dans le dossier 200-06-000231-194 approuvée par le jugement Boulay c. Fédération des Caisses Desjardins du Québec, 2022 QCCS 2301 (le « Jugement Boulay »).

[13]  Pellemans c. Lacroix, 2011 QCCS 1345, par. 20.

[14]  Jugement Boulay, par. 45 et 47.

[15]  Pièce P-5, Extrait du compte Equifax de M. Dondo.

[16]  Pièce P-4, par. 26.

[17]  24,95 $ x 60 mois, plus taxes.

[18]  RLRQ, c. C-12 (« Charte québécoise »).

[19]  Québec (Curateur public) c. Syndicat national des employés de l’Hôpital St-Ferdinand, [1996] 3 R.C.S. 211.

[20]  Art. 2803 et 2804 C.c.Q.