Vincent Gautrais

Charles Gaudreau est étudiant dans le cadre du cours DRT6903 (Droit du commerce électronique – Automne 2025)  

Le 9 octobre dernier, une demande d’autorisation d’exercer une action collective a été déposée au Palais de justice de Montréal contre Bleu-K inc. Au cœur de cette affaire, l’application HopHop créée par l’entreprise lavalloise. Cette application permet de faciliter et synchroniser la sortie des enfants dans certains milieux de garde avec l’heure d’arrivée annoncée à distance par le parent qui s’est procuré un abonnement annuel.

Dans ce blogue, nous identifierons et commenterons certains des enjeux juridiques relatifs aux dommages punitifs qui pourraient être étudiés si le tribunal autorise l’action collective.

Mise en contexte

Lors de la dernière rentrée des classes, Thi Cam Tu Quach reçoit une communication de l’école de son enfant présentant l’application HopHop utilisée au service de garde. Considérant les avantages de ce service et les représentations de l’entreprise indiquant que l’application est sécuritaire, madame Quach souscrit à un abonnement annuel moyennant une trentaine de dollars.

Toutefois, quelques semaines après son achat, des articles et reportages dans les médias révèlent que les informations personnelles de la clientèle et des enfants sont accessibles à des personnes sans autorisation sur le web. C’est un parent œuvrant dans le domaine de la cybersécurité qui a sonné l’alarme après avoir mené quelques tests sur l’application utilisée par le service de garde de l’école de ses enfants. Avec quelques manipulations informatiques, il a démontré la vulnérabilité de l’application. Il était possible pour lui, et donc pour des tiers non autorisés, d’accéder à des informations sensibles détenues par l’application. Parmi les données à portée de clavier, les noms des enfants, les noms des parents ainsi que leurs photos, numéros de téléphone et adresses courriel. Il était même en mesure d’accéder au bouton permettant d’aviser les responsables de l’arrivée du parent pour récupérer son enfant.

Action et réclamation dans le cadre de l’action collective

En prenant connaissance de cette nouvelle, madame Quach dépose une demande d’autorisation d’exercer une action collective. Elle souhaite obtenir, pour elle et les milliers de parents concernés, la nullité du contrat, le remboursement des frais d’abonnement à l’application ainsi que des dommages punitifs.

Elle fonde sa réclamation sur les articles 40, 41, 219, 228 et 272 de la Loi sur la protection du consommateur (LPC), ainsi que sur la violation de l’article 1458 du Code civil du Québec (C.c.Q.) sur la responsabilité contractuelle, des articles 10, 13, 14 et 17 de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et de l’article 5 de la Charte des droits et libertés des personnes (CDLP) protégeant le droit à la vie privée.

Analyse et commentaires

A – La demande en nullité

Pour ce qui est de réclamer la nullité du contrat et le remboursement du montant payé pour l’abonnement, la question est plutôt standard en matière de droit de la protection du consommateur ou de responsabilité contractuelle. En effet, selon l’article 272 LPC, il est possible de demander la nullité du contrat en cas de fausses représentations. Si les prétentions de la demanderesse sont exactes, les représentations de l’entreprise à l’effet que l’application était « sécuritaire » l’ont trompée et elle n’aurait pas acheté cet abonnement ni utilisé le service n’eût été cette affirmation du commerçant ou si elle avait pu soupçonner des risques pour la sécurité de ses données ou de celles de son enfant.

Il est intéressant de noter dans cette affaire que des obligations prévues par la LPRPSP semblent mobilisées afin de jeter les bases de ce qu’est une application « sécuritaire ». S’il est démontré que l’entreprise ne respectait pas les articles 10, 13, 14 et 17 de la LPRPSP, il sera plus facile d’accepter la position selon laquelle l’entreprise a fait de fausses représentations en affirmant que son application était « simple et sécuritaire ». Autrement, le débat sur le caractère « sécuritaire » pourrait être plus complexe, ne sachant pas ce qu’est une application « sécuritaire ». Le recours à la LPRPSP simplifie le tout en permettant de fonder l’argument sur le fait que l’entreprise n’a pas respecté ses obligations légales de sécurité. La partie demanderesse peut ainsi démontrer que l’entreprise a fait de fausses représentations ou a passé sous silence un fait important, des pratiques interdites par les articles 219 et 228 LPC donnant ouverture au recours de l’article 272 LPC pour obtenir la nullité du contrat et la restitution des prestations. 

B – Le cas spécifique des dommages punitifs

En matière contractuelle, des dommages punitifs peuvent être prévus au contrat. Nous passons cet aspect puisqu’il ne s’agit pas d’un des motifs de réclamation en l’espèce et qu’il serait extrêmement étonnant qu’une entreprise technologique s’engage, dans son propre contrat, à payer des dommages punitifs en cas de problème. Nous nous intéresserons donc aux possibles dommages punitifs en vertu des lois mentionnées à la demande d’autorisation. Il convient de rappeler qu’en droit civil québécois, contrairement à la common law, les dommages punitifs ne peuvent être accordés que lorsque la loi les prévoit expressément (art. 1621 C.c.Q.). Ils dérogent aux règles générales de responsabilité civile selon lesquelles une partie est uniquement tenue de réparer le préjudice qu’elle a causé par sa faute.

Dans son état actuel, la demande d’autorisation ne précise pas en vertu de quelle disposition des dommages punitifs sont réclamés. Parmi les articles mentionnés, seul l’article 272 LPC prévoit des dommages punitifs. Toutefois, plusieurs des lois mobilisées comprennent des dispositions punitives. En plus de la LPC, c’est le cas de la LPRPSP et de la CDLP.

Notons que, même si la demanderesse n’a pas précisé le fondement de son recours en dommages punitifs, il sera possible de le faire ultérieurement. Dans la décision Harguindeguy c. Suncor Énergie inc. (Petro-Canada), une autre action collective portant sur des enjeux de cybersécurité et de vie privée, le juge a autorisé le demandeur à invoquer tardivement l’application d’une disposition punitive puisque le recours reposait en partie sur la loi le prévoyant.

• De la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP)

À l’instar de l’affaire Harguindeguy, la demande d’autorisation s’appuie sur le non-respect d’une série d’articles de la LPRPSP. L’article 93.1 de cette loi prévoit la possibilité d’obtenir des dommages punitifs en cas d’atteinte préjudiciable et illicite à un droit qu’elle confère si l’atteinte est intentionnelle ou résulte d’une faute lourde. Toutefois, comme les modifications à la LPRPSP sont entrées en vigueur il y a à peine deux ans, l’article 93.1 ne semble pas encore avoir été appliqué par les tribunaux québécois dans une décision de fond. Les critères et conditions de sa mise en œuvre appellent encore à des précisions jurisprudentielles. Cette action collective pourrait donc être l’occasion d’en clarifier la portée et l’application.

L’un des aspects particulièrement intéressants de l’article 93.1, surtout dans le cadre d’une action collective, est qu’il prévoit un montant minimal de 1 000 $ en matière de dommages punitifs. Or, les recours punitifs de la CDLP et de la LPC ne prévoient pas de montant minimal.

• De la Charte québécoise des droits et libertés de la personne (CDLP)

En l’occurrence, la demanderesse allègue une atteinte à son droit à la vie privée, protégé par l’article 5 de la CDLP. Lorsqu’un des droits reconnus est atteint de manière illicite, le deuxième alinéa de l’article 49 CDLP prévoit la possibilité pour le tribunal d’octroyer des dommages punitifs. Pour qu’une atteinte soit considérée comme illicite, il faut toutefois un degré de faute supérieure à une simple insouciance, comme enseigné dans l’arrêt Québec (Curateur public) c. Syndicat national des employés de l’hôpital St-Ferdinand (paragraphe 121) :

« … il y aura atteinte illicite et intentionnelle au sens du second alinéa de l’art. 49 de la Charte lorsque l’auteur de l’atteinte illicite a un état d’esprit qui dénote un désir, une volonté de causer les conséquences de sa conduite fautive ou encore s’il agit en toute connaissance des conséquences, immédiates et naturelles ou au moins extrêmement probables, que cette conduite engendrera. »

C’est précisément ce qui est reproché à Bleu-K aux paragraphes 59 et 61 de la demande d’autorisation. La demanderesse y prétend que l’atteinte illicite est « intentionnelle » et « qu’elle a été commise en toute connaissance des conséquences immédiates et naturelles, ou au moins extrêmement probables ». Si cette avenue est retenue, il pourrait toutefois être difficile de faire la preuve d’une conduite suffisamment fautive pour mener à des dommages punitifs.

• De la Loi sur la protection du consommateur (LPC)

La LPC ayant pour objectif de protéger les consommateurs dans leurs rapports avec les commerçants, il peut être avantageux et plus simple de baser son recours sur cette loi. En l’espèce, la demanderesse reproche à Bleu-K une description non-conforme du service (art. 40 et 41 LPC), des pratiques de commerces interdites par la LPC en faisant des représentations fausses ou trompeuses (art. 219 LPC) et en passant sous silence un fait important (art. 228 LPC). En raison de ces manquements, elle peut donc réclamer les dommages punitifs prévus à l’article 272 de la LPC selon les critères d’octroi établis dans l’arrêt Richard c. Time (paragraphe 180). 

Conclusion : deux lois vers un recours simplifié en dommages punitifs

 Cette demande d’autorisation d’exercer une action collective est particulièrement intéressante en raison de la stratégie qui pourrait être envisagée pour solliciter des dommages punitifs.

Comme l’article 49 CDLP exige un préjudice ainsi que la démonstration d’une atteinte intentionnelle, voire malveillante, et que l’article 93.1 LPRPSP nécessite la preuve d’une conduite hautement fautive, la LPC semble le choix le plus logique pour l’obtention de dommages punitifs. Les violations alléguées des articles 10, 13, 14 et 17 LPRPSP pourraient donc être utilisées par la demanderesse afin d’appuyer son argument de fausses représentations sur le caractère « sécuritaire » de l’application HopHop. Le non-respect d’une exigence légale de protection des données aura sans doute davantage de poids que les arguments reposant sur la simple définition de ce que signifie « sécuritaire » pour une application technologique. La LPRPSP pourrait donc faciliter un recours fondé sur la LPC, même lorsque sa propre disposition sur les dommages punitifs ne trouve pas application.

Cette demande est aussi un rappel important aux organisations : en matière de sécurité numérique, il est beaucoup plus judicieux et réaliste d’assurer aux justiciables le respect de la LPRPSP et de garantir la mise en œuvre d’une norme de sécurité ou des meilleures pratiques de l’industrie qu’une simple et totale « sécurité ».

Ce contenu a été mis à jour le 26 novembre 2025 à 23 h 22 min.