Signalement(s)

Une action collective est autorisée pour le compte des personnes, entités ou organisations qui résident au Québec et qui ont détenu une carte de crédit émise par Capital One ou qui ont présenté une demande afin d'en obtenir une et dont les renseignements personnels ont fait l'objet d'un accès non autorisé les 22 et 23 mars 2019.

Une action collective est autorisée en lien avec un accès non autorisé à des renseignements personnels détenus par la défenderesse Capital One.

Une action collective est autorisée contre la défenderesse Amazon, dont les services avaient été retenus pour héberger les renseignements personnels des membres du groupe ayant fait l'objet d'un accès non autorisé.

Les demandeurs pourront réclamer des dommages punitifs à l'institution financière défenderesse sur la base des articles 5 et 49 de la Charte des droits et libertés de la personne dans le cadre de leur action collective en lien avec un accès non autorisé à leurs renseignements personnels.

Une action collective est autorisée en lien avec un accès non autorisé à des renseignements personnels détenus par la défenderesse Capital One.

Résumé

Demande d'autorisation d'exercer une action collective. Accueillie en partie.

Se fondant sur un incident touchant la confidentialité des renseignements personnels de nombreux citoyens, les demandeurs soutiennent que les défenderesses du groupe Capital One et celles du groupe Amazon doivent les indemniser solidairement pour le préjudice qu'ils ont subi, à l'instar de tous les membres putatifs du groupe désignés dans le recours. Essentiellement, ils leur reprochent d'avoir fait preuve de négligence, d'abord en ayant failli à leurs obligations de protéger adéquatement les renseignements personnels qu'elles avaient recueillis pendant plusieurs années, puis en omettant d'héberger ces renseignements au sein d'un environnement sécuritaire et adéquatement protégé contre les intrusions.

Décision

Les allégations de la demande révèlent que Capital One a pu commettre envers 1 des demandeurs et les membres putatifs une faute de nature contractuelle à l'origine de l'intrusion non autorisée relativement à leurs renseignements personnels, en 2019.

Capital One n'aurait pas respecté, malgré les termes du contrat conclu avec les membres, les dispositions législatives applicables et les normes reconnues en matière de sécurité informationnelle dans l'industrie. Elle n'aurait pas non plus protégé adéquatement les renseignements personnels de ses clients et leur droit à la protection de leur vie privée. Enfin, elle n'aurait pas déployé tous les moyens requis ni fait preuve de la prudence et de la diligence élémentaires à cette fin, en plus d'avoir fait fi des indications et des alertes provenant de différents acteurs de l'industrie. La demande ne met toutefois pas en lumière de façon précise une représentation fausse ou trompeuse qu'aurait faite Capital One dans le but d'amener les membres à contracter avec elle. Ainsi, même si un contrat de consommation a pu être conclu entre les demandeurs et Capital One, rendant ainsi la Loi sur la protection du consommateur applicable, la preuve présentée et les allégations de la demande sont insuffisantes et trop vagues pour soutenir que Capital One a pu faire aux membres de telles représentations fausses ou trompeuses susceptibles de constituer une pratique interdite selon la loi. Les membres ne peuvent donc s'appuyer sur l'article 272 de la loi pour réclamer des dommages punitifs à ce titre.

Quant à la responsabilité d'Amazon, il est possible que celle-ci ait commis une ou plusieurs fautes engageant sa responsabilité contractuelle envers Capital One dans le cadre d'un éventuel recours en garantie. Quant à une potentielle responsabilité extracontractuelle engagée directement envers les membres putatifs, quoique Amazon cherche à réduire ou à limiter la portée de ses engagements contenus sur son site Internet, elle peut probablement être assimilée à une personne détenant des renseignements personnels au sens des lois en vigueur, engageant par conséquent sa responsabilité envers les membres putatifs malgré l'absence d'un lien contractuel. Par conséquent, il est difficile à ce stade d'écarter la possibilité que ces dispositions légales s'appliquent à Amazon et d'en limiter la portée uniquement à Capital One.

Quant aux dommages pécuniaires et non pécuniaires pouvant être réclamés, les faits allégués à la demande d'autorisation doivent mettre en lumière une cause défendable et établir un préjudice compensable, de sorte que les dommages allégués doivent être plus importants que des ennuis ordinaires ou une anxiété pouvant normalement être vécue par la population dans de telles circonstances. En effet, les dommages incertains, futurs ou hypothétiques ne constituent pas un préjudice indemnisable. Or, en l'espèce, seule la question des coûts de surveillance pourrait servir de base à une réclamation pécuniaire, les demandeurs alléguant notamment que les services de vérification et de surveillance offerts gratuitement pendant 2 ans couvrent une période insuffisante. Il s'agit toutefois du seul chef de dommages pouvant être reconnu comme compensable au stade de l'autorisation du recours collectif. En ce qui a trait aux dommages punitifs, il y a lieu de permettre une réclamation à ce chapitre uniquement à l'égard de Capital One, et ce, sur la base des articles 5 et 49 de la Charte des droits et libertés de la personne et non de l'article 272 de la loi. En effet, Capital One a conservé une masse colossale de données, dont certaines étaient devenues inutiles et auraient dû être détruites rapidement ou, du moins, ne pas avoir été conservées aussi longtemps. En outre, les faits allégués témoignent également, de la part de Capital One, d'une attitude téméraire, nonchalante et peu soucieuse de la protection de la vie privée lors de la migration des données vers les services d'Amazon, alors que Capital One connaissait parfaitement les risques quant à la survenance d'une violation de la confidentialité et les conséquences sérieuses susceptibles d'en résulter pour les membres. Cette conduite se révèle d'autant plus blâmable qu'il est possible d'inférer, en raison d'un manque de diligence et de l'absence de mesures réparatrices mises en place à la suite de l'incident, que Capital One a privilégié ses intérêts commerciaux et financiers en lien avec l'utilisation de ces renseignements personnels. Cette appréciation doit aussi tenir compte des attentes légitimes des membres envers une institution financière d'envergure comme Capital One. Par conséquent, l'action collective est autorisée à l'encontre de Capital One et d'Amazon, mais uniquement à l'égard des chefs de dommages mentionnés.

Historique

Suivi : Requêtes de bene esse pour permission d'appeler hors délai accueillie quant à M. Royer et rejetée quant à M. Abou-Khadra; et requêtes pour permission de déposer un appel incident accueillies quant aux intimées Capital One et Amazon (C.A., 2024- 02-07) 500-09-030707-236, 2024 QCCA 154, SOQUIJ AZ-52002933, 2024EXP-472.