Vol de données: action collective non autorisée contre Yahoo!

(Montréal) Une juge a refusé de donner le feu vert à une action collective visant à condamner Yahoo ! pour des cyberattaques ayant porté atteinte à la confidentialité des données de ses usagers.

La juge Chantal Tremblay de la Cour supérieure n’a pas autorisé cette action, ce qui l’empêche de procéder.

Les faits à l’origine de ce litige sont les suivants : en septembre 2016, Yahoo ! a publié un communiqué de presse annonçant que près de 500 millions de ses usagers auraient été victimes d’une cyberattaque remontant à 2014 et que leurs données ont été volées. En décembre 2016, la compagnie informe ses usagers d’une autre cyberattaque qui aurait eu lieu en 2013. En février 2017, les usagers sont informés du fait que l’utilisation de cookies falsifiés aurait permis à un tiers d’accéder aux renseignements contenus dans leur compte entre 2015 et 2016. L’information volée comprend des noms d’utilisateurs, des adresses courriel, des numéros de téléphone, des dates de naissance, des mots de passe cryptés et dans certains cas, des questions de sécurité et leurs réponses, en version cryptée ou non.

Suite à cela, une demande d’autorisation d’action collective a été déposée au Québec en 2017.

Celle qui voulait être représentante du groupe de victimes pour cette action, Brigitte Bourbonnière, possède un compte courriel avec Yahoo !. Elle voulait que soient indemnisées toutes les personnes dont les informations personnelles ou financières ont été subtilisées auprès de Yahoo ! lors des cyberattaques.

Elle reproche à Yahoo ! inc et à Yahoo Canada d’avoir été négligentes et de ne pas avoir protégé adéquatement ses données personnelles.

Elle soutient que tous ceux dont les données ont été volées ont vécu des inconvénients, de la détresse et des pertes économiques. Elle réclamait aussi des dommages punitifs. Dans son cas, son compte a été piraté, mais elle ignore quelles informations ont été subtilisées. Elle craint un vol de son identité et a peur de se faire frauder en raison de la vente possible de ses renseignements sur le marché noir et de leur utilisation par des criminels. Elle aurait également été embarrassée puisque certains de ses amis auraient reçu des pourriels en son nom, tentant de leur extorquer de l’argent, est-il résumé dans le jugement.

Pour la Cour supérieure, ce n’est pas suffisant.

La juge Tremblay retient du témoignage de M^me Bourbonnière qu’elle n’a aucune raison de croire qu’elle a été victime d’un vol d’identité ou d’une fraude : elle n’a rien vu de suspect dans ses comptes. De plus, la juge relève qu’elle continue à utiliser son compte Yahoo ! et a admis ne pas avoir acheté de services de protection de l’identité tels que la surveillance du crédit.

Bref, le seul préjudice qu’elle aurait subi est d’avoir dû changer ses mots de passe et les inconvénients d’avoir dû expliquer à ses amis les courriels d’extorsion qu’ils recevaient.

Pour franchir cette étape de l’autorisation d’une action collective, M^me Bourbonnière doit démontrer que les faits allégués paraissent justifier les conclusions recherchées. La Cour doit distinguer les allégations factuelles des arguments, des opinions, des inférences et des hypothèses non étayées, ainsi que des affirmations peu plausibles ou fausses, explique M^e Myriam Brixi, une avocate spécialisée en action collective qui pratique au sein du cabinet montréalais Lavery De Billy, qui s’est intéressée à ce jugement.

« Il faut faire la démonstration d’un préjudice indemnisable. Et pour atteindre le préjudice indemnisable, il faut dépasser la simple contrariété », a-t-elle expliqué en entrevue

Et dans le cas précis de ce dossier, il y avait des contradictions entre les allégations écrites dans la procédure judiciaire et les réponses de M^me Bourbonnière lors de son interrogatoire, a ajouté l’avocate.

Dans certains cas, des victimes de vols de données ont payé pour obtenir une protection de leur dossier financier et cela pouvait constituer un préjudice indemnisable. Mais ce n’était pas le cas de M^me Bourbonnière.

« Un dommage indemnisable doit être “sérieux et prolongé” et aller au-delà des désagréments ordinaires, de l’anxiété et des peurs qu’une personne vivant en société peut expérimenter », écrit la juge Tremblay, en refusant d’autoriser l’action.

La jurisprudence sur le vol de données devient de plus en plus étoffée, constate M^e Brixi. « Les recours pour atteinte à la protection des données ont augmenté de façon exponentielle au cours des dernières années. Le cybercrime est devenu le deuxième type de fraude financière le plus courant », écrit-elle d’ailleurs dans un récent bulletin d’information de son cabinet.