Uber encore visé par une action collective

La Cour supérieure a autorisé une action collective contre Uber Canada en lien avec un piratage informatique survenu en 2016.

Cette demande de recours collectif a été enclenchée par Pierre-Olivier Fortier. Elle vise Uber Canada inc., Uber Technologies inc, Uber B.V., Rasier operations B.V. et Uber Portier B.V.

Me Laurence Rousseau-Dumont et Me Sarah Woods du cabinet Woods représentent le demandeur dans cette affaire.

Me Gabriel Querry, Me François Giroux, Me Kristian Brabander et Me Mathieu Bernier-Trudeau du cabinet McCarthy Tétrault représentent les parties défenderesses.

M. Fortier allègue qu’Uber Canada n’a pas informé ses membres sur la fuite des renseignements personnels, n’a pas pris les mesures de sécurité nécessaires pour protéger les renseignements de ses membres et a intentionnellement dissimulé le piratage informatique pendant plus d’un an.

Il reproche également aux défenderesses d’avoir fait passer leurs intérêts avant ceux des utilisateurs, d’avoir contrevenu à leurs obligations légales et à la Loi sur la protection du consommateur ainsi que d’avoir violé un droit fondamental de la Charte des droits et libertés de la personne.

Les premiers membres visés par cette action collective sont « toutes les personnes résidant au Québec qui ont, à titre d’usagers, fourni des renseignements personnels à Uber collectés, détenus, conservés et utilisés par Uber et communiqués de façon non autorisée à un tiers, et ce, en date d’octobre, 2016 ».

Aussi, le deuxième groupe visé rassemble « toutes les personnes résidant au Québec qui ont, à titre de chauffeurs, fourni des renseignements personnels à Uber collectés, détenus, conservés et utilisés par Uber et communiqués de façon non autorisée à un tiers, et ce, en date d’octobre, 2016.

Dans le jugement rendu par l’honorable Gary D.D. Morrison, la Cour Supérieure a autorisé l’action collective contre Uber Canada inc. et M. Fortier s’est vu attribuer le statut de représentant des deux groupes.

Ainsi, la Cour supérieure a condamné les défenderesses à payer une somme à titre de dommages pécuniaires et non-pécuniaires au demandeur et aux membres visés. De plus, elle les a condamnées à leur payer un total de 10 millions de dollars à titre de dommages punitifs.

Retour sur les faits

Les usagers et les chauffeurs doivent fournir sur les applications Uber des renseignements personnels, notamment des renseignements financiers.

Ils doivent également satisfaire certaines conditions comme être âgé de plus de 18 ans, respecter les conditions générales d’utilisation et inscrire leurs coordonnées dont nom, numéro de téléphone, adresse courriel, informations financières (cartes de crédits) dans les applications.

Or, M. Fortier allègue qu’« Uber collecte, détient, conserve et utilise ces renseignements personnels ».

En mai 2014, il y aurait eu un premier piratage informatique touchant ainsi de nombreux chauffeurs mais Uber n’en a jamais avisé ses utilisateurs.

En octobre 2016, deux pirates informatiques auraient accédé illégalement aux renseignements personnels fournis par environ 57 millions d’individus dans le monde.

« Il allègue aussi qu’Uber a été avisée du piratage peu après sa survenance mais au lieu d’informer ses clients et ses chauffeurs, elle a délibérément choisi de dissimuler l’événement à Fortier, aux membres du groupe et aux autorités réglementaires, le tout afin d’éviter les répercussions associées à un tel dévoilement », est-il mentionné dans la décision rendue le 28 septembre dernier.

Selon lui, Uber n’aurait jamais divulgué volontairement le piratage mais les médias ont dévoilé l’information en novembre 2017. L’entreprise aurait finalement « admis publiquement avoir fait l’objet d’un piratage informatique remontant à octobre 2016 ».

En décembre 2017, le Commissariat à la protection de la vie privée du Canada a ouvert une enquête formelle et l’entreprise a annoncé que 815 000 usagers et chauffeurs canadiens « avaient pu être touchés par ce piratage ».

En mars 2018, Uber a informé par courriel les usagers et chauffeurs du piratage mais sans effectuer d’autres procédures.

Les audiences concernant la demande d’autorisation d’action collective se sont déroulées les 29 et 30 avril 2021.

Contactées par Droit-Inc, les parties n’ont pas souhaité émettre de commentaires.