•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données : une juge refuse d'autoriser une action collective contre Yahoo!

Le siège social de Yahoo à Sunnyvale, en Californie.

Les cyberattaques en question ont visé les données de quelque 500 millions d'utilisateurs.

Photo : AP/Marcio Jose Sanchez

La Presse canadienne

Une juge a refusé de donner le feu vert à une action collective visant à condamner Yahoo! pour des cyberattaques ayant porté atteinte à la confidentialité des données de ses usagers.

La juge Chantal Tremblay de la Cour supérieure n'a pas autorisé cette action.

Les faits à l'origine de ce litige sont les suivants : en septembre 2016, Yahoo! a publié un communiqué annonçant que près de 500 millions de ses usagers auraient été victimes d'une cyberattaque remontant à 2014 et que leurs données auraient été volées. En décembre 2016, l'entreprise informe ses usagers d'une autre cyberattaque qui aurait eu lieu en 2013.

En février 2017, les usagers sont informés du fait que l'utilisation de témoins (cookies) falsifiés aurait permis à un tiers d'accéder aux renseignements contenus dans leur compte entre 2015 et 2016.

L'information volée comprend des noms d'utilisateurs, des adresses courriel, des numéros de téléphone, des dates de naissance, des mots de passe cryptés et, dans certains cas, des questions de sécurité et leurs réponses, en version cryptée ou non.

À la suite de cela, une demande d'autorisation d'action collective a été déposée au Québec en 2017.

Celle qui voulait être représentante du groupe de victimes pour cette action, Brigitte Bourbonnière, possède un compte courriel avec Yahoo!. Elle voulait que soient indemnisées toutes les personnes dont les informations personnelles ou financières ont été subtilisées auprès de Yahoo! lors des cyberattaques.

Elle reproche à Yahoo! Inc. et à Yahoo Canada d'avoir été négligentes et de ne pas avoir protégé adéquatement ses données personnelles.

Elle soutient que tous ceux dont les données ont été volées ont vécu des inconvénients, de la détresse et des pertes économiques. Elle réclamait aussi des dommages punitifs.

Dans son cas, son compte a été piraté, mais elle ignore quelles informations ont été subtilisées. Elle craint un vol de son identité et a peur de se faire frauder en raison de la vente possible de ses renseignements sur le marché noir et de leur utilisation par des criminels. Elle aurait également été embarrassée, puisque certains de ses amis auraient reçu des pourriels en son nom, tentant de leur extorquer de l'argent, est-il résumé dans le jugement.

Pour la Cour supérieure, ce n'est pas suffisant

La juge Tremblay retient du témoignage de Mme Bourbonnière qu'elle n'a aucune raison de croire qu'elle a été victime d'un vol d'identité ou d'une fraude : elle n'a rien vu de suspect dans ses comptes. De plus, la juge relève qu'elle continue à utiliser son compte Yahoo! et admet ne pas avoir acheté de services de protection de l'identité tels que la surveillance du crédit.

Bref, le seul préjudice qu'elle aurait subi est d'avoir dû changer ses mots de passe, et l'inconvénient, d'avoir dû expliquer à ses amis qu'ils recevaient des courriels d'extorsion.

Pour franchir cette étape de l'autorisation d'une action collective, Mme Bourbonnière aurait dû démontrer que les faits allégués paraissent justifier les conclusions recherchées. La Cour doit distinguer les allégations factuelles des arguments, des opinions, des inférences et des hypothèses non étayées, ainsi que des affirmations peu plausibles ou fausses, explique Me Myriam Brixi, une avocate spécialisée en action collective qui pratique au sein du cabinet montréalais Lavery De Billy et qui s'est intéressée à ce jugement.

« Il faut faire la démonstration d'un préjudice indemnisable. Et pour atteindre le préjudice indemnisable, il faut dépasser la simple contrariété », a-t-elle expliqué en entrevue.

Et dans le cas précis de ce dossier, il y avait des contradictions entre les allégations écrites dans la procédure judiciaire et les réponses de Mme Bourbonnière lors de son interrogatoire, a ajouté l'avocate.

Dans certains cas, des victimes de vols de données ont payé pour obtenir une protection de leur dossier financier et cela pouvait constituer un préjudice indemnisable. Mais ce n'était pas le cas de Mme Bourbonnière.

« Un dommage indemnisable doit être ''sérieux et prolongé'' et aller au-delà des désagréments ordinaires, de l'anxiété et des peurs qu'une personne vivant en société peut expérimenter », écrit la juge Tremblay, en refusant d'autoriser l'action.

La jurisprudence sur le vol de données devient de plus en plus étoffée, constate Me Brixi. « Les recours pour atteinte à la protection des données ont augmenté de façon exponentielle au cours des dernières années. Le cybercrime est devenu le deuxième type de fraude financière le plus courant », écrit-elle d'ailleurs dans un récent bulletin d'information de son cabinet.

Procès et poursuites

Justice et faits divers