Signalement(s)
Une action collective est autorisée contre Flo Health Inc. au nom des personnes au Québec qui ont utilisé l'application de suivi de cycle menstruel, de l'ovulation et de la fertilité «Flo» offerte par cette dernière entre le 1er juin 2016 et le 23 février 2019.
La Cour supérieure autorise l'exercice d'une action collective au nom des personnes au Québec qui ont utilisé l'application de suivi de cycle menstruel, de l'ovulation et de la fertilité «Flo» offerte par Flo Health Inc. entre le 1er juin 2016 et le 23 février 2019.
Dans le contexte d'une demande d'autorisation d'exercer une action collective, la membre désignée ne peut se plaindre de fausses représentations au sens de l'article 219 de la Loi sur la protection du consommateur ou d'omissions dans le cadre d'une représentation au sens de l'article 228 de la loi puisqu'elle a admis ne pas avoir lu la politique de confidentialité de Flo Health Inc. avant de l'accepter.
L'action collective à l'encontre de Flo Health Inc. lui reprochant d'avoir transféré à des tiers des renseignements personnels des utilisateurs de son application «Flo» est autorisée; la demanderesse a démontré l'apparence de droit de son recours en dommages punitifs en raison de la violation du droit à la vie privée garanti par la Charte des droits et libertés de la personne.
Résumé
Demande d'autorisation d'exercer une action collective. Accueillie en partie.
En 2016, la défenderesse a lancé une application nommée «Flo», qui permet aux femmes de suivre leur cycle menstruel et leurs périodes d'ovulation. Une fois l'application téléchargée, les utilisatrices peuvent y inscrire leur nom et leur adresse courriel ainsi que des données personnelles. La membre désignée, Turon-Lagot, a téléchargé l'application en mai 2017 et elle y a régulièrement inscrit des renseignements personnels et de nature délicate. Le 23 février 2019, le quotidien américain Wall Street Journal (WSJ) a publié un article à la suite d'une enquête qui a révélé que des renseignements personnels et intimes non cryptés et identifiables étaient transmis par la défenderesse à Facebook. Dès le lendemain, la défenderesse a modifié sa politique de confidentialité, indiquant qu'elle ne transmettrait aucune donnée personnelle à des tiers. La demanderesse désire être autorisée à intenter une action collective contre la défenderesse au nom des personnes au Québec qui ont utilisé l'application Flo entre le 1er juin 2016 et le 23 février 2019. Elle allègue que la défenderesse a contrevenu à ses obligations contractuelles et statutaires quant à la préservation des renseignements personnels des membres. S'appuyant sur la jurisprudence rendue en matière de droit à l'image, elle réclame des dommages matériels d'une somme égale à la valeur des renseignements personnels communiqués à des tiers à des fins commerciales. Elle réclame aussi des dommages punitifs, alléguant des violations de la Charte des droits et libertés de la personne et de la Loi sur la protection du consommateur.
Décision
La demanderesse a expliqué avec précision les étapes qui mènent à ce qu'elle prétend être de la divulgation de renseignements personnels. Bien qu'elle tire cette information de l'article du WSJ et de la plainte de la Federal Trade Commission qui a été déposée contre la défenderesse à la suite de la publication de cet article, l'utilisation de ces sources n'est nullement proscrite au stade de l'autorisation et peut remplir le fardeau de démonstration qui lui incombe. D'autre part, la défenderesse a admis avoir transféré des renseignements qu'elle a colligés sur l'identifiant unique d'appareil («unique device identifier»), lequel permet de relier l'information à une utilisatrice de son application. Par ailleurs, la défenderesse a modifié sa politique de confidentialité le lendemain de la parution de l'article du WSJ quant à l'information transmise et à l'utilisation qu'en feraient les tiers, pour la remplacer par un libellé limpide. Il n'est donc pas hypothétique ni spéculatif de dire que des renseignements personnels et de nature hautement délicate ont été transmis à des tiers qui en ont fait usage ou qui pourraient en faire usage autrement qu'à la seule fin d'assurer le fonctionnement technique de l'application Flo. Dans la mesure où la politique de confidentialité de la défenderesse n'empêchait pas la divulgation de l'information, il est défendable comme position d'affirmer que le transfert de renseignements, cumulé au transfert de l'identifiant unique d'appareil, a contrevenu à l'article 1457 du Code civil du Québec (C.C.Q.) en ce que les normes de conduite statutaires n'ont pas été respectées. Il est aussi possible de soutenir qu'il y a eu atteinte illicite au droit protégé par l'article 5 de la charte. Si, au contraire, une interprétation raisonnable de la politique amenait un tribunal à conclure que le comportement de la défenderesse constituait une violation de ses engagements contenus à ses politiques aux sections «Personal Information» ou «Personal Data», il est alors possible qu'il y ait eu violation des obligations contractuelles entraînant sa responsabilité sous l'article 1458 C.C.Q. et sous les articles 40 et 41 de la Loi sur la protection du consommateur. Il appartiendra au juge du fond de décider, à la lumière de la preuve qui sera faite, s'il s'agit d'une faute contractuelle ou extracontractuelle. De plus, si l'on tient les faits pour avérés, on peut défendre la position selon laquelle la défenderesse a porté atteinte de façon illicite au droit à la vie privée en transmettant des renseignements personnels sans obtenir un consentement explicite, libre et éclairé des membres. Cependant, puisque la membre désignée a admis ne pas avoir lu la politique avant de l'accepter, elle ne peut se plaindre de fausses représentations au sens de l'article 219 de la Loi sur la protection du consommateur ou d'omissions dans la cadre d'une représentation au sens de l'article 228 de la loi. Il ne peut non plus y avoir violation de l'article 52 de la Loi sur la concurrence.

Quant au préjudice matériel, il n'est pas frivole ni manifestement mal fondé d'affirmer que les renseignements que l'on confie au fournisseur de services gérant une application ont un «aspect patrimonial». D'ailleurs, l'analogie que la demanderesse propose a été jugée recevable au stade de la demande d'autorisation dans Option Consommateurs c. Google (C.S., 2022-06-28), 2022 QCCS 2308, SOQUIJ AZ-51862774, 2022EXP-1863. Il est donc également défendable comme position de soutenir qu'un préjudice matériel a été subi et que des dommages compensatoires doivent être versés. En ce qui concerne la réclamation de dommages punitifs, elle prend appui sur l'article 49 de la charte et l'article 272 de la Loi sur la protection du consommateur. Les critères énoncés à l'article 575 du Code de procédure civile étant remplis, l'exercice d'une action collective contre la défenderesse est autorisé.