Homsy c. Google, 2023 QCCA 1220 : Fardeau de preuve d’une action collective pour la collection de données biométriques faciales faite sans consentement

Par Ivan da Fonseca, avocat et Nayla El Zir, Avocate

Que doit prouver un demandeur qui souhaite exercer une action collective contre Google en raison de la collection de données biométriques sans le consentement des personnes concernées? Dans l’arrêt Homsy c. Google, 2023 QCCA 1220, la Cour d’appel corrige le fardeau imposé par le juge de première instance, qui rejetait la demande d’autorisation, et rouvre la porte à l’action collective proposée.

Contexte

Selon les allégations du représentant du groupe proposé, M. Homsy, Google Photos est une application mobile préinstallée dans les téléphones intelligents dotés du système Android et téléchargeables dans d’autres types d’appareils. Cette application regroupe des photos selon les visages des personnes qui y figurent. Pour ce faire, l’application téléverse les photos du téléphone aux serveurs de Google et convertit en données numériques les caractéristiques faciales de chacune des personnes photographiées, communément appelées données biométriques faciales. Ces données sont propres à chaque individu, comme des empreintes digitales ou un profil ADN.

Selon M. Homsy, ce traitement de données personnelles viole le droit à la vie privée des personnes figurant sur les photos en raison de l’absence d’information fournie par Google aux personnes concernées, soit l’absence d’un préavis suffisant, de l’obtention du consentement éclairé et d’une politique de conservation de données biométriques. Le comportement de Google contreviendrait donc au Code civil du Québec, à la Charte des droits et libertés de la personne, RLRQ, c. C-12, à la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 (la « LPRPSP »), et à la Loi sur la protection du consommateur, RLRQ c. P-40.1.

Le juge de première instance rejette la demande d’autorisation d’action collective au motif que les prétentions d’actes illicites formulées contre Google découlent de simples affirmations, sans aucune assise factuelle et, par conséquent, que le fardeau de preuve exigé par la jurisprudence n’est pas rempli.

Décision

Les juges Morissette et Sansfaçon rédigent chacun sa propre série de motifs concordants, tous deux avec l’accord de la juge Lavallée.

Les deux séries de motifs concluent à l’erreur commise par le premier juge en ce qui concerne le fardeau applicable. L’ensemble du banc indique que, à la lumière de l’arrêt Oratoire Saint-Joseph[1], certains éléments de preuve ne sont requis que si les allégations sont vagues, générales ou imprécises. Aucune preuve n’est requise si les faits allégués sont suffisamment clairs, précis et spécifiques, comme c’est le cas en l’espèce.

Le juge Morissette rappelle les enseignements de la Cour suprême du Canada, selon lesquels l’étape de l’autorisation constitue un simple mécanisme de filtrage, lors duquel le demandeur a le « simple fardeau de “démonstration” du caractère soutenable du “syllogisme juridique” »[2]. Les faits allégués doivent être tenus pour avérés et les pièces produites servent à étayer le caractère soutenable des prétentions plutôt qu’à établir ou prouver l’existence d’un fait quelconque.

En commentant un extrait de l’arrêt Infineon[3],le juge Morissette propose une distinction entre une « preuve absolue », soit une preuve concluante qui vide la question dès qu’elle est jugée recevable; une preuve « selon la prépondérance des probabilités », soit une preuve jugée concluante à l’issue du procès ou, à la rigueur, une preuve vraisemblable non-contredite qui satisfait à la norme civile de la prépondérance de la preuve; et des « éléments de preuve prima facie », soit des éléments probants jusqu’à preuve du contraire. Seul ce dernier est applicable lors d’une demande d’autorisation d’action collective, mais dans les seuls cas où les allégations sont vagues, générales ou imprécises.

Le juge Sansfaçon revoit en plus grand détail les allégations de M. Homsy et leur caractère clair, précis et spécifique. Il rejette le raisonnement du juge de première instance selon lequel M. Homsy serait tenu de prouver le fonctionnement détaillé de l’application. Notamment, le débat survenu en première instance quant au programme spécifique de reconnaissance faciale utilisé par Google Photos, à savoir s’il s’agissait ou non du programme FaceNet, est sans pertinence à ce stade des procédures. Pareillement, l’utilisation des données recueillies par Google à des fins commerciales ou non, ou encore la durée de temps de conservation des données, qu’elle soit momentanée ou permanente, ne sont pas des éléments fondamentaux au recours.

Les allégations quant à l’existence du programme Google Photos et de sa fonctionnalité de captage de données biométriques faciales sont donc suffisamment précises. Cependant, la cause d’action du recours ne repose pas sur les seules extraction, collecte, conservation et utilisation des données biométriques faciales, mais plutôt sur la survenance de ces faits dans l’absence de consentement des utilisateurs de l’application et des personnes photographiées. Or, aucune analyse par le premier juge n’a été faite concernant la deuxième partie du syllogisme requis pour l’action collective, soit l’absence d’autorisation expresse.

Pour ces motifs, la Cour d’appel retourne le dossier au premier juge afin qu’il dispose des questions non traitées.

Commentaire

Le jugement de la Cour d’appel a été rendu à la suite de l’entrée en vigueur de la Loi 25 modifiant la Loi sur la protection des renseignements personnels dans le secteur privé. À titre de rappel, la LPRPSP fait référence aux renseignements personnels sensibles de nature « biométrique » sans proposer de définition. De l’autre côté, la Loi concernant le cadre des technologies de l’information (la « LCCJTI ») définit, quant à elle, indirectement les renseignements biométriques comme étant les caractéristiques ou les mesures biométriques saisies au moyen d’un procédé pour vérifier ou confirmer l’identité d’une personne, mais ne donne pas plus de détails ou d’exemples. Par ailleurs, la Commission d’accès à l’information (la « CAI ») classe la biométrie en trois grandes catégories, dont la biométrie morphologique qui se base sur l’identification de traits physiques particuliers (ex. : reconnaissance du visage).

Il semblerait que selon la CAI et la LCCJTI, un renseignement est biométrique s’il sert à identifier une personne. La LPRPSP semble adopter une approche plus large où les renseignements sont considérés biométriques même s’ils ne servent pas à identifier quiconque. Il est donc intéressant de se pencher sur la définition que la Cour d’appel donne aux renseignements biométriques, dans cette décision. En l’occurrence, « les caractéristiques de leur visage (les données biométriques faciales) des personnes photographiées » sont les renseignements personnels biométriques qui font l’objet du litige. En première instance, la Cour supérieure y réfère comme « renseignements personnels sensibles sous forme de données biométriques faciales ». Considérant les violations invoquées en l’espèce, les deux cours se fondent sur les définitions données par la LPRPSP, sans références à la définition de la LCCJTI.

Le texte intégral de la décision est disponible ici.

---

[1] L’Oratoire Saint-Joseph du Mont-Royal c. J.J., 2019 CSC 35, paragr. 59 

[2] L’Oratoire Saint-Joseph du Mont-Royal c. J.J., 2019 CSC 35, paragr. 58, citant Pharmascience inc. c. Option Consommateurs, 2005 QCCA 437, paragr. 25 

[3] Infineon, supra, note 7, paragr. 94