Décisions de la Cour fédérale

Informations sur la décision

Contenu de la décision

Date : 20230203


Dossier : T-1335-22

Référence : 2023 CF 166

[TRADUCTION FRANÇAISE]

Ottawa (Ontario), le 3 février 2023

En présence de monsieur le juge Roy

ENTRE:

TAMARA JAMES

demanderesse

et

AMAZON.COM.CA, INC.

défenderesse

JUGEMENT ET MOTIFS

I. Aperçu

[1] La Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5 [la LPRPDE], a été créée pour assurer la protection des renseignements personnels. Comme l’énonce l’article 3 de la LPRPDE, la loi vise à établir un équilibre entre la protection des renseignements personnels et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels. L’article 3 est ainsi libellé :

Objet

Purpose

3 La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

3 The purpose of this Part is to establish, in an era in which technology increasingly facilitates the circulation and exchange of information, rules to govern the collection, use and disclosure of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

[2] La demanderesse, qui agit pour son propre compte, invoque la LPRPDE afin d’obtenir l’accès à certains renseignements personnels détenus par la défenderesse, Amazon.com.ca, Inc. (Amazon). Elle affirme qu’il s’agit de ses propres renseignements personnels. Amazon soutient que la LPRPDE l’empêche de communiquer à la demanderesse les renseignements personnels qu’elle détient tant qu’elle n’aura pas été en mesure de confirmer que la personne qui en sollicite l’accès est bien celle qui y a droit. Comme on peut le constater, la triste ironie est que les deux parties se fondent sur la LPRPDE à des fins diamétralement opposées : l’une soutient que la LPRPDE crée une obligation de communication tandis que l’autre fait valoir que la même loi l’empêche de communiquer les renseignements demandés.

[3] La demanderesse, Mme Tamara James, porte son litige avec Amazon devant la Cour aux termes de l’article 14 de la LPRPDE :

Audience de la Cour

Hearing by Court

Demande

Application

14 (1) Après avoir reçu le rapport du commissaire ou l’avis l’informant de la fin de l’examen de la plainte au titre du paragraphe 12.2(3), le plaignant peut demander que la Cour entende toute question qui a fait l’objet de la plainte — ou qui est mentionnée dans le rapport — et qui est visée aux articles 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 ou 4.8 de l’annexe 1, aux articles 4.3, 4.5 ou 4.9 de cette annexe tels qu’ils sont modifiés ou clarifiés par les sections 1 ou 1.1, aux paragraphes 5(3) ou 8(6) ou (7), à l’article 10 ou à la section 1.1.

14 (1) A complainant may, after receiving the Commissioner’s report or being notified under subsection 12.2(3) that the investigation of the complaint has been discontinued, apply to the Court for a hearing in respect of any matter in respect of which the complaint was made, or that is referred to in the Commissioner’s report, and that is referred to in clause 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 or 4.8 of Schedule 1, in clause 4.3, 4.5 or 4.9 of that Schedule as modified or clarified by Division 1 or 1.1, in subsection 5(3) or 8(6) or (7), in section 10 or in Division 1.1.

Délai de la demande

Time for application

(2) La demande est faite dans l’année suivant la transmission du rapport ou de l’avis ou dans le délai supérieur que la Cour autorise avant ou après l’expiration de l’année.

(2) A complainant shall make an application within one year after the report or notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow.

Précision

For greater certainty

(3) Il est entendu que les paragraphes (1) et (2) s’appliquent de la même façon aux plaintes visées au paragraphe 11(2) qu’à celles visées au paragraphe 11(1).

(3) For greater certainty, subsections (1) and (2) apply in the same manner to complaints referred to in subsection 11(2) as to complaints referred to in subsection 11(1).

[4] Dans la décision Miglialo c Banque Royale du Canada, 2018 CF 525 [Miglialo], j’ai formulé les commentaires suivants sur le rôle joué par la Cour dans le contexte d’une demande fondée sur l’article 14 de la LPRPDE et sur le fardeau de la preuve :

[21] Une demande aux termes de l’article 14 de la LPRPDE ne constitue pas un contrôle judiciaire du rapport du Commissaire, mais le rapport peut être déposé comme élément de preuve, comme ce fût le cas en l’espèce. La portée de la demande est prescrite par la loi. La Cour est limitée aux questions ayant fait l’objet de la plainte pour violation des principes ou auxquelles le rapport du Commissaire fait référence. Bien que la demande soit considérée comme une nouvelle action, elle doit être traitée sommairement. La Cour est engagée dans un processus de recherche des faits pour déterminer si la défenderesse a enfreint un ou plusieurs des principes (Randall c. Nubody’s Fitness Centres, 2010 CF 681 [Randall]). Une fois qu’une violation a été établie, la Cour a le pouvoir discrétionnaire, en vertu de l’article 16 de la LPRPDE, d’accorder des dommages-intérêts en se fondant sur certains principes considérés comme justes et appropriés dans les circonstances (Nammo c. TransUnion of Canada Inc., 2010 CF 1284 [Nammo]). Le fardeau de la preuve incombe à la demanderesse.

[22] Cela signifie que dans les circonstances de l’espèce, la demanderesse doit établir les dommages subis et démontrer qu’ils découlent de la violation (Biron c. RBC Banque Royale, 2012 CF 1095 [Biron], au paragraphe 38). En l’espèce, la demanderesse affirme qu’il y a eu utilisation non autorisée de ses renseignements financiers et que ces renseignements ont été divulgués. RBC reconnaît qu’il y a eu une utilisation non autorisée le 24 février 2013. Par conséquent, la demanderesse doit démontrer qu’il y a eu divulgation des renseignements si elle veut l’emporter sur ce point. Il incombe également à la défenderesse de satisfaire la Cour relativement aux préjudices qu’elle prétend avoir subis en raison de la violation.

Par conséquent, il incombe à la demanderesse de présenter des éléments de preuve clairs et convaincants pour démontrer, selon la prépondérance des probabilités, l’existence d’un manquement à la LPRPDE. Les litiges concernent généralement la communication non autorisée de renseignements personnels, mais ce n’est pas le cas en l’espèce.

[5] En outre, la capacité de la Cour d’entendre une affaire au titre de l’article 14 est limitée par l’article lui‑même (Miglialo, au para 31). L’affaire doit porter sur une question qui a fait l’objet de la plainte déposée auprès du commissaire à la protection de la vie privée ou qui est mentionnée dans le rapport du commissaire. Il serait mal avisé pour un demandeur d’essayer d’outrepasser les paramètres de l’article 14.

II. Les faits

[6] La demanderesse, Mme Tamara James, soutient qu’elle est devenue une cliente de la défenderesse après avoir ouvert un compte en ligne sur le site d’Amazon (le compte).

[7] La défenderesse est une détaillante en ligne au Canada. Elle fait des affaires à titre de filiale de sa société affiliée américaine, Amazon.com, Inc. Amazon.com, Inc. est constituée sous le régime des lois du Delaware et son siège social est situé à Seattle, dans l’État de Washington (dossier de la demanderesse, à la p 162).

[8] La demanderesse affirme que, le 15 août 2020, elle a utilisé son compte pour souscrire un abonnement à Amazon Prime, renouvelable sur une base mensuelle (dossier de la demanderesse, à la p 19). Il appert que la demanderesse a oublié le mot de passe associé au compte.

[9] Le 31 août 2020, la demanderesse a communiqué avec Amazon par téléphone après avoir tenté de se connecter à son compte à plusieurs reprises. Un représentant d’Amazon lui a expliqué que son identité ne pouvait pas être confirmée puisque le nom, le courriel et l’adresse postale qu’elle fournissait ne correspondaient pas aux renseignements consignés sur le serveur d’Amazon (dossier de la demanderesse, à la p 14). Le même jour, elle a envoyé un courriel au portail du service à la clientèle pour demander de l’aide afin d’accéder à son compte. Elle a aussi tenté de changer son mot de passe et d’annuler son abonnement à Amazon Prime (dossier de la demanderesse, à la p 19).

[10] Le 1er septembre 2020, la demanderesse a essayé de récupérer son mot de passe à deux reprises au moyen du service d’authentification à deux facteurs d’Amazon. Pour ce faire, elle devait solliciter un mot de passe à usage unique par l’intermédiaire de l’adresse courriel associée au compte (dossier de la demanderesse, aux pp 21-22). La demanderesse affirme que, lorsqu’elle a saisi son mot de passe à usage unique afin de confirmer son identité, un message s’est affiché indiquant qu’elle devait appeler un représentant du service à la clientèle (dossier de la demanderesse, à la p 14).

[11] Le 2 septembre 2020, la demanderesse a envoyé une lettre par courriel au portail des services à la clientèle et par courrier régulier au siège social de la société à Seattle (Washington) (dossier de la demanderesse, aux pp 24-25). Dans sa lettre, la demanderesse sollicitait l’accès aux éléments suivants : 1) l’ensemble des renseignements associés au compte; 2) les reçus des transactions passées au compte entre le 10 août 2020 et le 26 août 2020; 3) les enregistrements audio de tous ses appels antérieurs avec des représentants du service à la clientèle d’Amazon (dossier de la demanderesse, à la p 25). Le même jour, un représentant d’Amazon lui a répondu par courriel et l’a invitée à consulter les reçus demandés en se connectant à son compte. Il lui a aussi indiqué qu’Amazon ne transmet pas les enregistrements des appels téléphoniques passés avec ses clients (dossier de la demanderesse, à la p 26).

[12] Dans un courriel daté du 22 octobre 2020, la demanderesse a fait savoir à Amazon que celle-ci avait 30 jours pour répondre à sa demande d’accès aux renseignements (dossier de la demanderesse, à la p 28). Le même jour, un représentant d’Amazon a répondu à son courriel et lui a demandé de fournir des renseignements supplémentaires concernant ses achats antérieurs (dossier de la demanderesse, à la p 29). Il n’y a rien dans le dossier qui indique que la demanderesse ait répondu à cette demande.

[13] Le 2 novembre 2020, la demanderesse a déposé une plainte officielle auprès du Commissariat à la protection de la vie privée du Canada (le Commissariat). Elle a résumé sa plainte de la façon suivante :

[traduction]
Amazon.com Inc. refuse de me donner accès à mes renseignements personnels et de me transmettre les reçus de mes achats en ligne, que j’ai demandés par écrit le 2 septembre 2020.

(Dossier de la demanderesse, à la p 33.)

[14] À la question [traduction] « À votre avis, qu’est-ce qui permettrait de régler votre plainte? », la demanderesse a répondu : [traduction] « La communication des renseignements que j’ai demandés, y compris des copies de tous les reçus et de tous les renseignements personnels détenus par Amazon.com Inc. à mon sujet » (dossier de la demanderesse, à la p 33).

[15] La demanderesse a joint quatre documents à sa plainte officielle. Deux d’entre eux sont des copies du courriel et de la lettre datés du 2 septembre 2020, dans lesquels Mme James a présenté sa demande d’accès aux renseignements associés au compte. Le troisième document est le courriel envoyé par le représentant du service à la clientèle d’Amazon en réponse à cette demande, que la demanderesse a reçu le 2 septembre à 10 h 29. Le dernier document est le courriel de suivi de la demanderesse, daté du 10 octobre 2020, dans lequel elle a informé Amazon que celle-ci disposait de 30 jours pour répondre à sa demande.

[16] Le 10 novembre 2020, la demanderesse a reçu une lettre du Commissariat dans laquelle elle a reçu instruction de transmettre sa demande à l’agent de protection de la vie privée d’Amazon avant de donner suite à sa plainte devant le Commissariat (dossier de la demanderesse, à la p 35). Le Commissariat a transmis à la demanderesse l’adresse postale du chef de la protection de la vie privée d’Amazon et a indiqué que, si le problème n’était pas réglé à sa satisfaction, elle pourrait toujours aller de l’avant avec sa plainte auprès du Commissariat, à condition de lui transmettre des copies de sa correspondance avec l’agent de protection de la vie privée d’Amazon (dossier de la demanderesse, à la p 35).

[17] Le 13 novembre 2020, la demanderesse a présenté sa demande à l’agent de protection de la vie privée d’Amazon par l’intermédiaire de l’adresse fournie par le Commissariat (dossier de la demanderesse, à la p 37). Le dossier n’indique pas si Amazon lui a répondu.

A. La transaction par carte de crédit CIBC contestée

[18] Dans un affidavit déposé à l’appui de sa demande fondée sur l’article 14 (dossier de la demanderesse, à la p 15), Mme James affirme que, le 22 novembre 2020, elle a contesté [traduction] « toutes les transactions par carte de crédit » en lien avec ses abonnements Amazon entre septembre et novembre 2020 (dossier de la demanderesse, à la p 15, au para 14). Le dossier ne précise pas comment elle a fait part de ses préoccupations à la CIBC ou quelle était la nature des achats contestés. Mme James a joint une pièce de sept pages (la pièce H) à cette section de son affidavit, qui semble contenir des pages tirées de plusieurs documents en lien avec un achat qu’elle a contesté auprès de la CIBC (dossier de la demanderesse, aux pp 39-45).

[19] Les deux premières pages de la pièce H consistent en une lettre de la CIBC adressée à « Tashesha James » et datée du 11 décembre 2020. La CIBC a écrit qu’elle donnait suite à la contestation, par la demanderesse, d’un achat de 17,32 $ concernant un produit ayant été facturé sur sa carte de crédit CIBC le 22 novembre 2020. La CIBC a informé la demanderesse qu’elle rembourserait temporairement le montant dans son compte et a joint une copie du reçu de la transaction qu’Amazon avait transmise à la CIBC à sa demande. La CIBC a donné deux choix à Mme James. Elle pouvait contester la transaction en remplissant la [traduction] « lettre de contestation » en pièce jointe avant le 26 décembre 2022, ou elle pouvait ne rien faire, auquel cas la CIBC jugerait l’affaire comme résolue et rétablirait l’achat sur sa carte de crédit (dossier de la demanderesse, à la p 39). Le dossier n’indique pas comment la situation a évolué.

[20] Les trois pages suivantes de la pièce H semblent être des copies du relevé bancaire de la demanderesse et du reçu de commande de marchandise d’Amazon (le reçu) relatif à la transaction en cause. Ce document fait ressortir un détail. Le reçu indique que le client qui a acheté le produit est celui qui a passé la commande d’abonnement relative au produit le 7 novembre 2020 :

[traduction]
La présente commande a été placée de façon automatique par l’intermédiaire d’un abonnement au programme Économisez en vous abonnant auquel le client s’est inscrit [le samedi 7 novembre 2020]. (Dossier de la demanderesse, à la p 42.)

Date et heure où la commande a été passée : Samedi 7 novembre 2020 à 14 h 41 HNP. (Dossier de la demanderesse, à la p 43.)

[Non souligné dans l’original.]

[21] Bien qu’il soit manifeste que la demanderesse s’est abonnée le 7 novembre 2020, la transaction relative à la commande semble avoir été réalisée le 22 novembre 2020, soit le jour même où la commande a été expédiée à la résidence de la demanderesse. Le produit a été livré à la résidence de la demanderesse le 23 novembre 2020.

[22] La preuve présentée par la demanderesse au sujet de cette transaction est peu étoffée. À l’audience et dans son mémoire (au para 32), la demanderesse a soutenu qu’elle avait souscrit l’abonnement mensuel avant que l’accès à son compte lui soit refusé (c.‑à‑d. avant le 31 août 2020). C’est peut-être le cas. Toutefois, rien dans les documents à l’appui de la demanderesse n’étaye cette affirmation. De plus, aucune preuve selon laquelle Amazon a facturé la demanderesse sur une base régulière (avant ou après le 22 novembre 2020) n’a été présentée. La demanderesse n’a pas donné d’explication à savoir comment elle avait été en mesure de [traduction] « souscrire » l’abonnement le 7 novembre 2020, comme il est indiqué dans le document présenté en preuve, étant donné que son accès au compte était à ce moment-là bloqué. En d’autres termes, la preuve est incomplète et imprécise en ce qui concerne cette transaction. De plus, la question de savoir si la demanderesse a transmis la transaction contestée à un niveau supérieur, conformément aux directives énoncées par la CIBC dans sa lettre, et celle de savoir quel rôle la défenderesse a joué dans le règlement du différend, le cas échéant, demeurent sans réponse.

[23] Le reçu indique aussi qu’Amazon a livré avec succès la marchandise au titulaire de la carte. La section [traduction] « Remarques » du reçu énonce ce qui suit (dossier de la demanderesse, à la p 42) :

[traduction]
La marchandise a été livrée à l’adresse vérifiée du titulaire de la carte. Les renseignements de facturation du titulaire de la carte correspondent à l’information présentée au moment où la commande a été passée. Veuillez passer en revue cette information avec votre client, car cette commande semble avoir été passée par une personne disposant d’un accès autorisé au compte.

Le client a utilisé avec succès cette adresse d’expédition en lien avec huit commandes traitées antérieurement et qui n’ont pas été contestées, ce qui laisse croire que l’adresse est autorisée par le client.

Dans les faits, il est difficile de savoir ce que cette preuve démontre mis à part le fait qu’Amazon a joué un rôle important dans la livraison d’un produit à une personne résidant à l’adresse désignée. Il semble que la CIBC ait communiqué avec « Tashesha James », qui détient une carte de crédit CIBC. L’identité de la personne ayant commandé le produit facturé sur la carte de crédit est inconnue, même si le reçu d’expédition indique que l’adresse de facturation est celle de « Tashesha James » et que l’adresse d’expédition est celle de « Tamara James » : il s’agit de la même adresse. À l’audience, la demanderesse a indiqué qu’elle utilise les deux noms. Néanmoins, la documentation présentée en preuve mentionne précisément que le titulaire de la carte est le client qui a fourni l’adresse de facturation. Tashesha James est la cliente. En l’absence de renseignements supplémentaires au sujet du différend, comme l’identité de la personne ayant passé la commande et le moment où elle l’a fait, l’identité du titulaire de la carte et les directives qui ont été données, l’information présentée par la demanderesse quant au rôle joué par Amazon est peu utile. En fait, cette information ne permet pas d’éclairer le juge des faits.

B. La plainte concernant la protection de la vie privée en cause

[24] Le 10 novembre 2020, le Commissariat a répondu à la plainte déposée le 2 novembre 2020 (dossier de la demanderesse, à la p 35). Dans cette réponse, la demanderesse a été invitée à communiquer avec l’agent de protection de la vie privée d’Amazon. Cette réponse semble conforme à l’article 12 de la LPRPDE. La demanderesse a par la suite envoyé une lettre au chef de la protection de la vie privée d’Amazon le 13 novembre 2020.

[25] Puisque la demanderesse avait été invitée à communiquer avec l’agent de protection de la vie privée d’Amazon en novembre 2020, une enquêtrice à la protection de la vie privée a communiqué avec la demanderesse le 9 juin 2021 pour savoir si elle avait toujours l’intention de donner suite à sa plainte contre Amazon. La demanderesse a confirmé que c’était le cas. Il semble que, mis à part la lettre envoyée au chef de la protection de la vie privée d’Amazon le 13 novembre 2020, le Commissariat n’était pas au courant de l’évolution du dossier, le cas échéant, entre novembre 2020 et juin 2021.

[26] Le 23 juin 2021, la demanderesse a reçu un courriel ainsi qu’un appel téléphonique de la part d’Eugenia S., la représentante du service à la clientèle d’Amazon à qui son dossier avait été confié (dossier de la demanderesse, à la p 52). Il semble que la demanderesse a répondu à ce courriel deux mois plus tard, soit le 31 août 2021 (dossier de la demanderesse, à la p 52). Elle a joint à sa réponse la lettre du 13 novembre 2020 dans laquelle elle demandait l’accès aux renseignements personnels associés au compte.

[27] Entre le 15 septembre 2021 et le 22 septembre 2021, la demanderesse a correspondu avec deux membres de l’équipe responsable du service à la clientèle d’Amazon. Elle leur a dit que le différend relatif à ses [traduction] « factures » avait été réglé (dossier de la demanderesse, à la p 54). Les détails de ce règlement, y compris en ce qui concerne la possible participation d’Amazon, ne sont pas précisés. Cependant, la demanderesse demandait toujours l’accès aux renseignements personnels détenus par Amazon concernant le compte et a de nouveau demandé des copies des enregistrements audio des conversations qu’elle avait eues avec des représentants du service à la clientèle d’Amazon (dossier de la demanderesse, à la p 54).

[28] La demanderesse a eu un certain nombre d’interactions avec Amazon, y compris avec une avocate de la société chargée des questions relatives à la protection de la vie privée. Ainsi, le dossier de la défenderesse indique que l’avocate d’Amazon a envoyé deux courriels à Mme James le 22 septembre 2021 dans le but de tenter de régler le différend. Le premier courriel a été envoyé à 14 h 22 :

[traduction]
Je comprends que des représentants de notre service à la clientèle ont communiqué avec vous au sujet de votre demande d’accès. Je tenais à communiquer avec vous personnellement pour vous faire savoir que je travaille étroitement avec l’équipe du service à la clientèle pour voir dans quelle mesure je pourrais vous aider. Si je comprends bien, vous souhaitez toujours avoir accès à vos renseignements personnels, mais n’avez pas été en mesure de confirmer votre identité afin d’accéder à votre compte?

Le deuxième courriel a été envoyé à 17 h 02 :

[traduction]
Mon équipe est responsable de la protection de la vie privée. Je suis une avocate qui appuie Amazon.ca et Amazon.com. Nicole du CPVP nous a fait parvenir votre lettre, et nous tentons d’effectuer un suivi avec vous au sujet de votre demande. Nous serons très heureux de vous aider, mais nous devons d’abord vérifier votre identité à des fins de sécurité et de protection de la vie privée avant de vous donner accès à vos renseignements personnels. Aimeriez-vous que l’on planifie un appel entre vous, moi et un représentant du service à la clientèle afin de lancer ce processus? Faites-moi savoir à quel moment vous seriez disponible la semaine prochaine et c’est avec plaisir que je planifierai un rendez-vous.

(Dossier de la défenderesse, à la p 15.)

[29] Comme on peut le constater dans le deuxième courriel du 22 septembre 2021, la demanderesse a reçu un courriel d’une agente de protection de la vie privée d’Amazon, qui fait partie de son équipe juridique, et qui a proposé de planifier un appel entre elle-même, la demanderesse et un représentant du service à la clientèle. L’agente de protection de la vie privée a indiqué ce qui suit :

[traduction]
Nous serons très heureux de vous aider, mais nous devons d’abord vérifier votre identité à des fins de sécurité et de protection de la vie privée avant de vous donner accès à vos renseignements personnels.

(Dossier de la demanderesse, à la p 62.)

[30] Un appel a été fixé au 29 septembre 2021 et a eu lieu à cette date. Au cours de l’appel, la demanderesse a été informée du fait que, puisqu’elle avait oublié son mot de passe, elle pourrait obtenir l’accès à son compte en réinitialisant son mot de passe, un processus dans le cadre duquel elle devrait accepter les conditions de service mises à jour d’Amazon. Dans un courriel envoyé par la demanderesse au Commissariat en fin d’après-midi le 12 octobre 2021, après qu’elle eut été informée plus tôt ce jour-là que le Commissariat ne donnerait pas suite à sa plainte, la demanderesse a décrit sa version des faits de la façon suivante :

[traduction]
Le 29 septembre 2021, à 13 h 30 précisément, j’ai parlé de cette affaire avec un représentant d’Amazon. Cette conversation a été enregistrée et devrait être accessible sur demande. Le représentant m’a demandé mon mot de passe, que je n’ai pas été en mesure de fournir puisque j’ai oublié le mot de passe associé au compte. Afin de pouvoir accéder au compte en question à ce moment-ci, il me faudrait consentir aux conditions de service mises à jour d’Amazon. Mon refus d’accepter qu’Amazon continue à recueillir mes données personnelles ne constitue pas une raison valable pour me refuser l’accès à des données déjà existantes.

(Dossier de la demanderesse, à la p 66.)

[Non souligné dans l’original.]

[31] Comme je le mentionne plus loin, on ne sait pas pourquoi les conditions de service posent problème. L’agente de protection de la vie privée de la défenderesse a expliqué, dans un long courriel adressé à la demanderesse et daté lui aussi du 12 octobre (dossier de la demanderesse, à la p 64), qu’Amazon ne pouvait pas transmettre les renseignements demandés parce que la demanderesse n’était pas en mesure d’authentifier le nom exact du titulaire du compte ainsi que les adresses postale et de facturation associées à celui-ci. L’agente de protection de la vie privée a aussi fait remarquer qu’au cours de l’appel téléphonique du 29 septembre 2021, la demanderesse avait refusé de transmettre des renseignements supplémentaires, avait indiqué qu’elle ne voulait pas qu’un représentant du service à la clientèle la rappelle, et ne souhaitait pas recourir à l’option de libre-service. L’agente de protection de la vie privée a offert son aide à la demanderesse. Elle a conclu son courriel du 12 octobre 2021 en lui transmettant un hyperlien sur lequel la demanderesse pouvait cliquer afin de réinitialiser son mot de passe, si elle voulait se prévaloir de cette option. La demanderesse a été informée du fait qu’elle pourrait fermer son compte et supprimer ses renseignements une fois qu’elle aurait réussi à obtenir ses renseignements personnels. Les trois paragraphes qui suivent sont tirés de ce courriel :

[traduction]
Je vous écris en réponse à vos lettres datées du 13 novembre 2020 et du 22 septembre 2021, dans lesquelles vous avez demandé l’accès aux renseignements personnels associés à l’adresse électronique CAVIARDÉ. Tout d’abord, je tiens à m’excuser pour la confusion, la frustration ou les difficultés que vous avez éprouvées. Je comprends que votre expérience a été très négative et je tiens à vous assurer que nous avons pris en compte vos commentaires et que nous cherchons des façons d’améliorer l’expérience client en matière de demandes de renseignements.

Malheureusement, nous ne pouvons pas vous donner accès aux renseignements que vous avez demandés puisqu’il nous est impossible de vérifier votre identité. Lors de vos appels avec les représentants de notre service à la clientèle, vous n’avez pas été en mesure de vérifier le nom du titulaire du compte ainsi que les adresses postale ou de facturation associées au compte. Lors de notre entretien du 29 septembre, vous avez affirmé que vous ne souhaitiez pas transmettre de renseignements supplémentaires, que vous ne vouliez pas qu’un représentant du service à la clientèle vous rappelle, et que vous ne souhaitiez pas recourir à nos options de libre-service. C’est avec plaisir que je vous aiderai si vous changez d’avis.

À titre indicatif, vous pouvez modifier le mot de passe associé à votre compte à l’aide de votre adresse électronique en suivant les instructions suivantes. Une fois que votre mot de passe aura été modifié et que vous serez en mesure de vous connecter à votre compte, rendez-vous sur la page Demander vos informations personnelles et suivez les directives afin qu’une copie de vos renseignements personnels vous soit envoyée par courriel. Vous pouvez également demander la fermeture de votre compte et la suppression de vos renseignements personnels.

[Souligné dans l’original.]

[32] L’enquêtrice du Commissariat était en copie conforme du courriel envoyé par Amazon à la demanderesse le 12 octobre 2021. C’est après la réception de ce courriel qu’elle a informé la demanderesse que le Commissariat ne donnerait pas suite à sa plainte. À la lumière du fait que la demanderesse n’était pas en mesure de transmettre les renseignements demandés par Amazon, l’enquêtrice du Commissariat a jugé qu’il était [traduction] « équitable et raisonnable pour une organisation de vérifier l’identité d’une personne avant de lui transmettre des renseignements au sujet d’un compte » (dossier de la demanderesse, à la p 66). Le courriel envoyé par l’enquêtrice le 12 octobre énonce ce qui suit : [traduction] « Malheureusement, puisque vous n’avez pas été en mesure de transmettre l’information demandée, nous ne donnerons pas suite à la présente plainte. » Le 13 octobre 2021, l’enquêtrice du Commissariat a envoyé un courriel de suivi en réponse au courriel envoyé par la demanderesse la veille en fin d’après-midi (dont il est question au paragraphe 30 des présents motifs), dans lequel elle proposait à la demanderesse de collaborer avec Amazon afin de réinitialiser son mot de passe et d’obtenir l’accès à ses renseignements personnels (dossier de la demanderesse, à la p 67). Le courriel du 13 octobre est ainsi libellé :

[traduction]
Suivant la réception du courriel que vous m’avez envoyé hier, j’ai parlé au téléphone aujourd’hui avec l’agente de protection de la vie privée d’Amazon. Elle a affirmé qu’elle vous avait expliqué personnellement la raison pour laquelle il était impossible de vérifier votre identité, et ce, à l’occasion d’une conversation au cours de laquelle elle avait utilisé son téléphone cellulaire personnel puisqu’elle travaille de la maison (appel non enregistré). Elle a confirmé que l’information que vous aviez transmise à son collègue ne concordait pas avec celle qui était consignée au dossier, de sorte qu’ils n’ont pas été en mesure de vérifier votre identité. Puisque ces renseignements ne concordaient pas, ils vous ont demandé votre mot de passe, dont vous ne vous souveniez plus. Pour cette raison, ils ont proposé que vous réinitialisiez votre mot de passe, tel qu’il est indiqué dans le courriel qui vous a été envoyé le 28 septembre 2021.

Madame James, nous vous suggérons de collaborer avec Amazon et de réinitialiser votre mot de passe dans le but d’accéder à vos renseignements personnels. Le Commissariat convient que les organisations doivent vérifier l’identité des gens afin de les protéger au cas où des tiers tentaient d’accéder à leurs renseignements personnels.

[33] Dans un courriel daté du 16 octobre 2021, la demanderesse a avisé l’enquêtrice du Commissariat qu’elle solliciterait un nouvel examen de la décision du Commissariat. Je reproduis dans son intégralité le courriel envoyé par la demanderesse à l’enquêtrice. Il semble résumer le point de vue de la demanderesse :

[traduction]
Depuis septembre 2020, j’ai tenté à de nombreuses reprises de valider mon identité en transmettant des renseignements permettant de m’identifier et qui sont associés au compte en question, y compris mon nom complet, mes adresses postales actuelle et antérieure, mon numéro de téléphone et mon adresse courriel.

Le 11 décembre 2020, Amazon a résolu un différend relatif à une transaction par carte de crédit en prouvant à l’émetteur de ma carte qu’un article avait bien été livré à Tamara James, à l’adresse même qu’Amazon affirme maintenant à tort qu’elle ne peut pas authentifier. Si l’information consignée au compte a été modifiée d’une quelconque façon, cela a été fait à mon insu et il s’agit probablement d’une erreur de la part d’Amazon.

Après avoir refusé pendant plusieurs mois de répondre à ma demande d’accès, Amazon me demande maintenant de réinitialiser le mot de passe associé au compte et d’adhérer à ses conditions de service mises à jour pour valider mon identité et accéder à l’information demandée. Toutefois, puisque je ne souhaite aucunement utiliser les services d’Amazon.com, je ne puis accepter les conditions mises à jour ou consentir à ce qu’Amazon.com continue à recueillir mes renseignements personnels.

Ainsi, Amazon soutient, et le CPVP en convient, que je ne peux pas accéder à mes renseignements personnels à moins d’accepter d’utiliser le service en ligne automatisé d’Amazon; pour accéder à ce service, je dois valider mon identité en utilisant seulement un mot de passe, et pour obtenir ce mot de passe, je dois d’abord valider mon identité, ce que je ne suis pas en mesure de faire puisqu’Amazon continue d’affirmer qu’aucun des renseignements que j’ai transmis ne peut être authentifié.

Comme le CPVP ne comprend pas les lacunes inhérentes à la politique d’Amazon concernant la protection des renseignements personnels et l’accès à l’information et qu’il refuse d’examiner la plainte sans motif valide aux termes du paragraphe 12(1) de la LPRPDE, je solliciterai un nouvel examen de la décision. Merci.

(Dossier de la demanderesse, à la p 68.)

La demanderesse n’a pas expliqué comment les conditions de service sont en cause puisque l’agente de protection de la vie privée d’Amazon a indiqué, dans son dernier courriel envoyé à la demanderesse le 12 octobre, que celle-ci pouvait demander la fermeture de son compte et la suppression de ses renseignements personnels. Elle n’explique pas non plus comment le différend relatif aux montants portés à sa carte de crédit a été réglé.

[34] Le 9 novembre 2021, la demanderesse a présenté une demande de réexamen de la décision par laquelle le Commissariat a refusé d’examiner sa plainte (dossier de la demanderesse, aux pp 70 à 73). Rien n’indique que la décision a été réexaminée.

III. Le contenu de la plainte

[35] Comme je le mentionne plus haut, le contenu d’une plainte est un paramètre essentiel en ce qui concerne la compétence de la Cour d’entendre une affaire aux termes de l’article 14 de la LPRPDE. La plainte déposée auprès du Commissariat (article 12 de la LPRPDE) a été formulée de la façon suivante (dossier de la demanderesse, aux pp 32-33). Le formulaire rempli par Mme James, qui constitue la plainte, mentionne expressément qu’Amazon.com, Inc., dont le siège social est situé à Seattle (Washington), lui a refusé l’accès à ses renseignements personnels. Mme James indique qu’elle a présenté des demandes à trois occasions : le 31 août 2020, le 2 septembre 2020 et le 22 octobre 2020. Il semble que la date la plus importante est celle du 2 septembre puisque la demanderesse résume ainsi sa plainte déposée auprès du Commissariat : [traduction] « Amazon.com Inc. refuse de me donner accès à mes renseignements personnels et de me transmettre les reçus de mes achats en ligne, que j’ai demandés par écrit le 2 septembre 2020. » Comme l’indique le dossier, il semble qu’il s’agit de l’essentiel de sa plainte.

[36] La partie de la plainte qui porte sur les efforts déployés en vue de régler le différend fournit quelques détails. Ainsi, la demanderesse soutient qu’elle a essayé de communiquer avec Amazon dès le 28 août 2020 afin d’accéder aux renseignements détenus par la société, mais qu’on lui a répondu qu’il était impossible de vérifier son adresse postale. Le 2 septembre 2020, la demanderesse a écrit au siège social d’Amazon, à Seattle, pour demander des copies de reçus d’achats effectués entre le 10 août 2020 et le 26 août 2020, ainsi que les enregistrements audio d’appels téléphoniques passés entre le 30 août 2020 et le 1er septembre 2020 avec l’équipe du service à la clientèle d’Amazon. La demanderesse a fait référence à une adresse courriel en particulier. Elle a aussi mentionné directement le neuvième principe de la LPRPDE ainsi que l’obligation qui incombe aux organisations comme Amazon de communiquer les renseignements personnels dans un délai de 30 jours.

[37] La demanderesse reconnaît qu’elle a reçu une réponse d’Amazon le jour même où elle a présenté sa demande d’accès aux renseignements personnels (le 2 septembre 2020). Il semble que le courriel concernait le fait que l’adresse postale fournie par la demanderesse à Amazon à des fins de vérification avant qu’Amazon puisse lui donner accès à son compte ne permettait pas de vérifier son identité de façon adéquate. Le 22 octobre 2020, la demanderesse a de nouveau transmis ses adresses (son adresse actuelle et une adresse antérieure). Amazon a répondu à son courriel. Dans sa plainte déposée auprès du Commissariat, la demanderesse fait valoir qu’il [traduction] « est de notoriété publique qu’Amazon.com, Inc. recueille et conserve de nombreuses données sur tous ses clients. Il est tout à fait impossible qu’Amazon.com, Inc. ne soit pas en mesure de retrouver mes renseignements personnels par l’intermédiaire du courriel ou de l’adresse postale que j’ai fournis ». Je fais remarquer que, dans sa réponse envoyée par courriel, Amazon sollicitait [traduction] « des renseignements relatifs à la commande comme (le numéro de la commande, le nom du produit, la date de la commande et le montant de la commande) afin [qu’elle puisse] facilement retrouver la commande » (dossier de la demanderesse, à la p 29). Dans sa plainte, Mme James affirme qu’elle ne disposait pas de ces renseignements puisqu’elle [traduction] « n’a[vait] reçu aucune confirmation par courriel de [s]a commande et qu’aucun reçu de la transaction ne [lui avait] été transmis ».

IV. La preuve de la demanderesse

[38] Mme James sollicite notamment une déclaration ayant pour objet de contraindre la défenderesse à se conformer aux articles 4.6.1, 4.6.3, 4.9.4 et 4.9.5 de l’annexe 1 de la LPRPDE. La demanderesse soutient que deux principes ont été enfreints, soit celui concernant l’accès à ses renseignements personnels et celui concernant le droit à des renseignements exacts. Elle sollicite aussi le paiement de 218,12 $ à titre de dommages-intérêts compensatoires, mais il s’agit en réalité de ses débours. Elle a demandé des dommages-intérêts exemplaires correspondant à 0,001 % du revenu net de la défenderesse pour le trimestre qui s’est terminé le 30 juin 2022 en raison des [traduction] « pratiques éthiques et délibérément trompeuses [de la défenderesse] en matière de protection de la vie privée ». Aucune des parties n’a été en mesure d’indiquer à la Cour à combien s’élève ce montant. Quoi qu’il en soit, la demanderesse a laissé tomber cette réclamation à l’audience.

[39] Même si l’avis de demande ne renvoie pas précisément au paragraphe 8(3) de la LPRPDE, qui établit une limite de 30 jours pour répondre à une demande, ou au paragraphe 8(4), qui prévoit la possibilité que ce délai soit prorogé, il fait référence, de façon générale, à la section 1 de la LPRPDE, dans laquelle figure l’article 8. En outre, certains documents annexés à la plainte formelle font référence à la question du délai.

[40] La demanderesse fait valoir qu’elle n’a pas reçu ses renseignements personnels dans un délai raisonnable (article 4.9.4 de l’annexe 1 de la LPRPDE) ou dans les trente jours suivant la réception de la demande (paragraphe 8(3) de la LPRPDE) en l’absence d’une prorogation de délai aux termes du paragraphe 8(4).

[41] La demanderesse fait remarquer qu’elle a présenté trois demandes par écrit au fil du temps (le 2 septembre 2020; le 13 novembre 2020 et le 22 septembre 2021) en vue d’accéder à ses renseignements personnels. Les trois lettres sont identiques à l’exception du bloc de signature de la dernière lettre, qui indique le nom « Tashesha Tamara James ». Ce changement n’a pas été expliqué. Comme je l’ai déjà affirmé, Mme James a confirmé à l’audience qu’elle utilise les deux noms. Dans les faits, un examen du dossier révèle que la demanderesse semble également avoir utilisé deux adresses courriel différentes pour communiquer avec la défenderesse. Il semble qu’elle a changé d’adresse à un moment donné.

[42] En fait, Mme James a communiqué avec des représentants du service à la clientèle très peu de temps après qu’elle eut présenté sa demande initiale en septembre 2020. Cependant, le dossier montre que, tout au long du processus, la défenderesse n’a pas été en mesure de confirmer que la demanderesse était en droit d’accéder aux renseignements personnels qu’elle détenait relativement au compte en question. J’ai déjà fait allusion au fait que le dossier n’indique pas pourquoi il en était ainsi. Aucune des parties n’a présenté de renseignements en ce qui concerne la nature des diverses interactions entre la demanderesse et les représentants de la défenderesse. C’est toujours un mystère. Néanmoins, dans les faits, la demanderesse a reçu une réponse dans les 30 premiers jours. Sa demande n’est donc pas restée sans réponse. Toutefois, elle n’a pas reçu les renseignements demandés.

[43] La demanderesse fait valoir [traduction] « [qu’]aucun des représentants du service à la clientèle ayant communiqué avec [elle] n’était désigné pour agir à titre d’agent de protection de la vie privée ni même ne connaissait les politiques et procédures de l’organisation relatives au traitement des demandes par écrit » (mémoire des faits et du droit, au para 23). La demanderesse affirme que c’est la raison pour laquelle ces interactions ne constituent pas une réponse légitime à la plainte. Aucune jurisprudence n’a été présentée à l’appui de cette thèse.

[44] Ensuite, la demanderesse fait valoir que la défenderesse ne s’est pas conformée au sixième principe, qui porte sur l’exactitude des renseignements personnels. Mme James a raison de dire que les principes énoncés dans la norme nationale du Canada intitulée Code type sur la protection des renseignements personnels, qui figurent à l’annexe 1 de la LPRPDE (article 5 de la LPRPDE), doivent être respectés. L’article 14 de la LPRPDE vise entre autres les manquements au sixième principe. Comme je l’ai mentionné à l’audience, il va de soi que la LPRPDE met l’accent sur la protection des renseignements personnels, mais elle exige aussi que les renseignements soient exacts. La demanderesse a cherché à se fonder sur le sixième principe. Je le reproduis dans son intégralité :

4.6 Sixième principe — Exactitude

4.6 Principle 6 — Accuracy

Les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.

Personal information shall be as accurate, complete, and up-to-date as is necessary for the purposes for which it is to be used.

4.6.1

4.6.1

Le degré d’exactitude et de mise à jour ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet.

The extent to which personal information shall be accurate, complete, and up-to-date will depend upon the use of the information, taking into account the interests of the individual. Information shall be sufficiently accurate, complete, and up-to-date to minimize the possibility that inappropriate information may be used to make a decision about the individual.

4.6.2

4.6.2

Une organisation ne doit pas systématiquement mettre à jour les renseignements personnels à moins que cela ne soit nécessaire pour atteindre les fins auxquelles ils ont été recueillis.

An organization shall not routinely update personal information, unless such a process is necessary to fulfil the purposes for which the information was collected.

4.6.3

4.6.3

Les renseignements personnels qui servent en permanence, y compris les renseignements qui sont communiqués à des tiers, devraient normalement être exacts et à jour à moins que des limites se rapportant à l’exactitude de ces renseignements ne soient clairement établies.

Personal information that is used on an ongoing basis, including information that is disclosed to third parties, should generally be accurate and up-to-date, unless limits to the requirement for accuracy are clearly set out.

[45] La demanderesse semble faire valoir que les renseignements détenus par Amazon sont inexacts puisqu’elle n’est pas en mesure d’authentifier le lien qui l’unit au compte Amazon en cause. La demanderesse soutient que cela constitue une violation du sixième principe.

[46] Au vu du dossier, et sur le plan purement factuel, il n’y a rien dans la preuve qui étaye ce qu’on pourrait appeler les hypothèses de la demanderesse. Dans les faits, Mme James émet l’hypothèse selon laquelle son incapacité à accéder au compte Amazon qui est, selon elle, le sien, est imputable au fait que les renseignements dont dispose la défenderesse sont inexacts. Il est certainement possible que les renseignements détenus par Amazon soient inexacts. Cependant, la preuve à l’appui n’a pas été versée au dossier. Dans son mémoire des faits et du droit, la demanderesse indique qu’elle a demandé de l’aide pour savoir lesquels de ses renseignements personnels avaient été modifiés, quand et par qui, et pour corriger les erreurs (au para 31). J’ai examiné les paragraphes de l’affidavit de la demanderesse qu’elle cite à l’appui de la déclaration contenue dans son mémoire ainsi que les pièces associées à ces paragraphes (8 à 13) de l’affidavit. Ils n’apportent aucune preuve susceptible d’étayer son argument.

[47] En outre, la demanderesse cherche à s’appuyer sur le fait qu’Amazon a livré un article à une adresse qui, selon Amazon, ne correspondait pas aux renseignements associés au compte. La demanderesse soutient qu’il s’agit là de la preuve qu’elle est bien la personne qui est en droit d’accéder aux renseignements personnels.

[48] Comme je le mentionne plus haut, il est très difficile de savoir ce que ce fait établit. Il semble qu’une transaction effectuée avec une carte de crédit détenue par « Tashesha James » ait été contestée. La transaction a vraisemblablement été effectuée sur le site d’Amazon. La preuve documentaire indique que le produit a été livré à une [traduction] « adresse fournie par le client au moment où la commande a été passée ». Le client est le titulaire du compte Amazon. Cependant, la documentation précise que le client et l’adresse postale sont deux choses différentes. Un des documents à l’appui énonce ce qui suit :

[traduction]
La marchandise a été expédiée à l’adresse de facturation vérifiée du titulaire de la carte. Veuillez demander à votre client d’examiner attentivement la documentation fournie, car cette commande semble avoir été passée par une personne disposant d’un accès autorisé au compte.

REMARQUE :

® La marchandise a été livrée à l’adresse vérifiée du titulaire de la carte. Les renseignements de facturation du titulaire de la carte correspondent à l’information présentée au moment où la commande a été passée. Veuillez passer en revue cette information avec votre client, car cette commande semble avoir été passée par une personne disposant d’un accès autorisé au compte.

® Le client a utilisé avec succès cette adresse d’expédition en lien avec huit commandes traitées antérieurement et qui n’ont pas été contestées, ce qui laisse croire que l’adresse est autorisée par le client.

(Dossier de la demanderesse, aux p 42-43.)

[49] Ces remarques laissent entendre qu’il ne faut pas tenir pour acquis le fait que l’adresse de livraison (ou l’adresse de facturation) est celle du client qui a un accès autorisé au compte. Cette observation est formulée à quatre reprises. J’ajoute qu’il n’y a aucune explication à savoir pourquoi cette commande a été contestée ni aucune précision quant aux modalités relatives au règlement du différend.

[50] En fin de compte, cette information partielle ne permet pas d’établir le lien entre la demanderesse et le compte Amazon. En effet, on ne sait pas grand-chose concernant la transaction et la contestation. L’absence de preuve entrave la capacité de la demanderesse de se fonder sur la transaction qui aurait été effectuée avec une carte de crédit CIBC.

[51] Mme James avance la proposition suivante au paragraphe 36 de son mémoire des faits et du droit : [traduction] « Dans le cas où l’incapacité de la demanderesse à accéder au compte est réellement causée par des données inexactes en matière d’identité, le refus d’Amazon d’examiner la question de l’inexactitude constitue une violation claire et délibérée du principe d’exactitude. » La demanderesse a raison de faire preuve de prudence dans sa proposition : elle affirme que le principe d’exactitude pourrait s’appliquer dans le cas où son incapacité à accéder au compte est attribuable à [traduction] « des données inexactes en matière d’identité ». Cependant, il s’agit là de la question même qui doit être résolue : les renseignements personnels sont-ils inexacts? C’est probable, car il n’a pas été établi que la demanderesse a été déconnectée de son compte en raison de données inexactes en matière d’identité. En fin de compte, nous ne savons pas pourquoi le compte a été bloqué.

[52] La demanderesse soulève ensuite l’argument selon lequel la défenderesse aurait enfreint le neuvième principe. Il s’agit en fait du manquement dont il est directement question dans la plainte et qui est traité dans le rapport des conclusions. Dans son avis de demande, la demanderesse fait notamment référence aux articles 4.9.4 et 4.9.5 de l’annexe 1. Je reproduis ci‑dessous le principe général relatif à l’accès ainsi que les articles 4.9.4 et 4.9.5 de l’annexe 1. Le neuvième principe est cité en entier à l’annexe A des présents motifs.

4.9 Neuvième principe — Accès aux renseignements personnels

4.9 Principle 9 — Individual Access

Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

Upon request, an individual shall be informed of the existence, use, and disclosure of his or her personal information and shall be given access to that information. An individual shall be able to challenge the accuracy and completeness of the information and have it amended as appropriate.

Note : Dans certains cas, il peut être impossible à une organisation de communiquer tous les renseignements personnels qu’elle possède au sujet d’une personne. Les exceptions aux exigences en matière d’accès aux renseignements personnels devraient être restreintes et précises. On devrait informer la personne, sur demande, des raisons pour lesquelles on lui refuse l’accès aux renseignements. Ces raisons peuvent comprendre le coût exorbitant de la fourniture de l’information, le fait que les renseignements personnels contiennent des détails sur d’autres personnes, l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire.

Note: In certain situations, an organization may not be able to provide access to all the personal information it holds about an individual. Exceptions to the access requirement should be limited and specific. The reasons for denying access should be provided to the individual upon request. Exceptions may include information that is prohibitively costly to provide, information that contains references to other individuals, information that cannot be disclosed for legal, security, or commercial proprietary reasons, and information that is subject to solicitor-client or litigation privilege.

[…]

4.9.4

4.9.4

Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.

An organization shall respond to an individual’s request within a reasonable time and at minimal or no cost to the individual. The requested information shall be provided or made available in a form that is generally understandable. For example, if the organization uses abbreviations or codes to record information, an explanation shall be provided.

4.9.5

4.9.5

Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.

When an individual successfully demonstrates the inaccuracy or incompleteness of personal information, the organization shall amend the information as required. Depending upon the nature of the information challenged, amendment involves the correction, deletion, or addition of information. Where appropriate, the amended information shall be transmitted to third parties having access to the information in question.

 

[53] Il semble que l’argument de la demanderesse est que le refus, par Amazon, de lui donner accès aux renseignements personnels constitue une violation du neuvième principe. La demanderesse soutient qu’elle ne peut pas contester l’exactitude des renseignements détenus par la défenderesse puisque l’accès à son compte lui est refusé. La demanderesse n’a pas parlé de la « Note » figurant dans le chapeau du neuvième principe. Cette note énonce des exceptions au principe relatif à l’accès aux renseignements personnels, notamment dans le cas où la communication ne peut être réalisée compte tenu de « l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et [du] fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire ». La demanderesse n’a clairement pas eu ce qu’elle a demandé. Elle soutient qu’il s’agit d’une violation de son droit d’accéder aux renseignements personnels qui sont, selon elle, les siens. Toutefois, elle n’a pas traité de la question de savoir si les exceptions s’appliquent à sa situation.

[54] Sous la rubrique [traduction] « Amazon n’a pas répondu aux questions soulevées dans la plainte », la demanderesse cherche à invoquer une question qui ne relève pas du cadre de l’article 14 : elle soutient qu’Amazon utilise un [traduction] « système automatisé de demande de données » afin de prendre des décisions importantes qui devraient incomber à un décideur humain. Son défaut à cet égard constitue en quelque sorte un manquement à ses obligations.

[55] La demanderesse sollicite une déclaration selon laquelle le [traduction] « processus de demande de données fondé sur l’intelligence artificielle (IA) et la prise de décisions automatisée (PDA) de la défenderesse n’est pas conforme à la LPRPDE ». Il s’agit d’une tentative d’expliquer pourquoi la défenderesse n’était pas en mesure de vérifier son identité.

[56] Les questions soulevées sous cette rubrique générale devraient être tranchées rapidement. Cette question précise ne saurait faire l’objet d’un recours aux termes de l’article 14 de la LPRPDE. Non seulement elle n’est pas visée par l’article 14, mais elle n’a pas été soulevée dans la plainte ni examinée par le Commissariat, et rien dans le dossier n’étaye un argument selon lequel l’accès aux renseignements a été refusé à la demanderesse en raison de l’intelligence artificielle.

[57] En outre, sous la même rubrique générale, Mme James s’attaque à ce qu’elle qualifie de [traduction] « politique d’Amazon relative aux demandes de données », qui n’est pas conforme à la LPRPDE selon elle. La [traduction] « Politique » prétendue est présentée de la façon suivante au paragraphe 52 du mémoire des faits et du droit de la demanderesse : [traduction] « [...] la politique d’Amazon relative aux demandes de données requiert que toutes les demandes en matière de données soient effectuées numériquement par l’intermédiaire de son processus automatisé ». La demanderesse ne précise pas la source de son affirmation concernant l’existence d’une telle politique. Au contraire, divers représentants ont communiqué avec la demanderesse au fil du temps. Dans les faits, pour garantir la protection des renseignements personnels, la loi dispose expressément que « [l]es méthodes de protection devraient comprendre [...] des mesures techniques, par exemple l’usage de mots de passe et du chiffrement » (alinéa 4.7.3c) de l’annexe 1). Ces questions sortent du cadre de l’article 14, compte tenu du dossier soumis à la Cour.

[58] Au paragraphe 53 de son mémoire des faits et du droit, la demanderesse affirme [traduction] « [qu’]en dépit de l’affirmation d’Amazon selon laquelle la demanderesse n’est pas autorisée à accéder au compte étant donné qu’Amazon ne peut pas vérifier son identité, l’agente de protection de la vie privée [d’Amazon] a laissé entendre que la demanderesse était tout de même autorisée à réinitialiser le mot de passe ». Il s’agit d’une autre question qui peut être examinée et réglée rapidement. En toute déférence, ce n’est pas ce que la défenderesse a affirmé. Aucune autorisation n’a été accordée. L’utilisation d’un mot de passe n’est qu’un moyen pour parvenir à une fin, c’est-à-dire obtenir l’accès au compte. L’accès aux renseignements personnels n’est accordé qu’une fois que l’identité de la personne a été vérifiée. Cette vérification faite, l’accès est accordé. Amazon n’a pas autorisé la réinitialisation du mot de passe. Elle a indiqué que la réinitialisation du mot de passe permettrait d’accéder au compte. Je rappellerais simplement aux parties le courriel que l’agente de protection de la vie privée de la défenderesse a envoyé à Mme James le 12 octobre 2021. Par souci de commodité, je reproduis à nouveau le courriel dans son intégralité :

[traduction]
Je vous écris en réponse à vos lettres datées du 13 novembre 2020 et du 22 septembre 2021, dans lesquelles vous avez demandé l’accès aux renseignements personnels associés à l’adresse électronique CAVIARDÉ. Tout d’abord, je tiens à m’excuser pour la confusion, la frustration ou les difficultés que vous avez éprouvées. Je comprends que votre expérience a été très négative et je tiens à vous assurer que nous avons pris en compte vos commentaires et que nous cherchons des façons d’améliorer l’expérience client en matière de demandes de renseignements.

Malheureusement, nous ne pouvons pas vous donner accès aux renseignements que vous avez demandés puisqu’il nous est impossible de vérifier votre identité. Lors de vos appels avec les représentants de notre service clientèle, vous n’avez pas été en mesure de vérifier le nom du titulaire du compte ainsi que les adresses postale ou de facturation associées au compte. Lors de notre entretien du 29 septembre, vous avez affirmé que vous ne souhaitiez pas transmettre de renseignements supplémentaires, que vous ne vouliez pas qu’un représentant du service à la clientèle vous rappelle, et que vous ne souhaitiez pas recourir à nos options de libre-service. C’est avec plaisir que je vous aiderai si vous changez d’avis.

À titre indicatif, vous pouvez modifier le mot de passe associé à votre compte à l’aide de votre adresse électronique en suivant les instructions suivantes. Une fois que votre mot de passe aura été modifié et que vous serez en mesure de vous connecter à votre compte, rendez-vous sur la page Demander vos informations personnelles et suivez les directives afin qu’une copie de vos renseignements personnels vous soit envoyée par courriel. Vous pouvez également demander la fermeture de votre compte et la suppression de vos renseignements personnels.

(Dossier de la demanderesse, à la p 64.)

La demanderesse aurait pu obtenir de l’aide, mais a choisi de ne pas s’en prévaloir.

[59] Il convient de mentionner que, dans son rapport des conclusions du 15 février 2022, le Commissariat a expressément conclu qu’Amazon avait communiqué avec la demanderesse pour voir si elle pouvait authentifier le compte par d’autres moyens, mais n’avait pas reçu les renseignements demandés.

V. La preuve de la défenderesse

[60] Amazon sollicite le rejet de la demande de Mme James, avec dépens.

[61] Selon sa version des faits, Amazon a agi conformément à ses obligations aux termes de la LPRPDE lorsqu’elle a refusé de transmettre à Mme James les renseignements associés au compte en question. Elle soutient que la principale question en litige concerne l’authentification. En d’autres termes, Amazon a mis en place des mesures de sécurité afin de prévenir les accès non autorisés aux comptes. En dépit des tentatives de la demanderesse en vue de se connecter au compte, son incapacité à vérifier les renseignements associés à ce compte a porté un coup fatal à sa demande d’accès aux renseignements. À l’audience, l’avocate de la défenderesse a énoncé la position de sa cliente de la façon suivante : [traduction] « Le fait que la demanderesse se soit montrée insistante ne signifie pas que son identité a été vérifiée. »

[62] Amazon soulève une objection préliminaire en ce qui concerne la compétence de la Cour pour entendre la majorité des allégations avancées par la demanderesse (mémoire de la défenderesse, au para 13). Amazon soutient que Mme James demande à la Cour d’examiner de nouvelles questions qui ne figuraient pas dans la plainte qu’elle a déposée auprès du Commissariat et qui dépassent donc le cadre du rapport des conclusions. La défenderesse se fonde sur le libellé et l’interprétation de l’article 14 de la LPRPDE pour faire valoir que seules les questions à l’origine de la plainte et les questions soulevées dans le rapport des conclusions peuvent faire l’objet d’une demande de contrôle judiciaire aux termes de l’article 14.

[63] Pour ce motif, Amazon soutient que la Cour n’a pas compétence pour examiner les [traduction] « nouvelles questions » suivantes :

  1. le défaut allégué d’Amazon de répondre à la demande d’accès aux renseignements de la demanderesse dans un délai de 30 jours (mémoire de la défenderesse, au para 20);

  2. la violation alléguée, par Amazon, du sixième principe de la LPRPDE (le principe d’exactitude) (mémoire de la défenderesse, au para 25);

  3. l’utilisation alléguée, par Amazon, de l’intelligence artificielle et de systèmes de prise de décisions automatisée (mémoire de la défenderesse, au para 41).

[64] La défenderesse demande à la Cour de refuser de se prononcer sur la question de savoir si Amazon a omis de répondre à la demande de la demanderesse dans le délai prévu de 30 jours (mémoire de la défenderesse, au para 20). Elle se fonde sur le libellé de l’article 14 de la LPRPDE pour faire valoir que la demanderesse cherche à élargir la portée de la procédure en introduisant cette question, qui n’a été mentionnée ni dans la plainte, ni dans le rapport des conclusions. La défenderesse se fonde aussi sur le paragraphe 31 de la décision Miglialo, où la Cour a fait remarquer qu’elle « n’a pas compétence si les questions soulevées sortent du cadre de l’article 14 ».

[65] De la même façon, la défenderesse conteste la compétence de la Cour pour examiner la violation alléguée du sixième principe de la LPRPDE par Amazon (mémoire de la défenderesse, au para 25). Mme James n’a pas soulevé la question du principe d’exactitude dans sa plainte initiale. Ainsi, cette question n’a pas été traitée dans le rapport des conclusions, et la Cour devrait donc refuser d’exercer sa compétence à cet égard.

[66] Finalement, Amazon soutient que toute allégation concernant le fait qu’elle aurait recours à l’intelligence artificielle et à des systèmes de prise de décisions automatisée sort carrément du cadre de l’article 14 (mémoire de la défenderesse, aux para 41-42).

[67] Si la Cour juge qu’elle a compétence pour examiner ces trois questions, Amazon fait valoir, à titre subsidiaire, qu’aucune de ses actions n’a donné lieu à une violation de la LPRPDE. Pour chaque question, la défenderesse fait valoir que Mme James ne s’est pas acquittée de son fardeau d’établir, selon la prépondérance des probabilités, qu’Amazon a enfreint la LPRPDE. En particulier, elle n’a pas satisfait à la norme de preuve requise, soit celle de présenter [traduction] « des éléments de preuve suffisamment clairs et convaincants » en ce qui concerne le manquement allégué (mémoire de la défenderesse, au para 14).

[68] En ce qui concerne la première question, c.‑à‑d. le fait qu’Amazon n’aurait pas répondu à la demande de la demanderesse dans un délai de 30 jours, la défenderesse soutient que le délai prévu au paragraphe 8(3) de la LPRPDE ou à l’article 4.9.4 de l’annexe 1 n’a jamais commencé à courir (mémoire de la défenderesse, au para 24). Les tentatives répétées d’Amazon en vue de vérifier l’identité de la demanderesse devraient être considérées comme une condition préalable au processus de demande d’accès (mémoire de la défenderesse, au para 23).

[69] En ce qui concerne la deuxième question, à savoir si Amazon a enfreint le principe d’exactitude énoncé à l’article 4.6 de l’annexe 1, Amazon réitère qu’aucune preuve au dossier ne permet d’étayer l’affirmation selon laquelle les problèmes d’authentification découlent de données [traduction] « erronées » ou « défaillantes », ou de l’existence d’une « atteinte à la vie privée » (mémoire de la défenderesse, au para 29). La demanderesse n’a pas non plus essayé de corriger ou de modifier les renseignements personnels associés au compte (mémoire de la défenderesse, au para 32). Amazon soutient que la vérification de l’identité du titulaire d’un compte est une condition préalable à la modification ou à la correction des renseignements personnels de cette personne (mémoire de la défenderesse, au para 30). Par conséquent, et en tout état de cause, même si la demanderesse avait demandé à apporter une correction au compte, elle aurait d’abord dû confirmer son identité en tant que titulaire du compte (mémoire de la défenderesse, au para 32).

[70] Enfin, en ce qui concerne le recours allégué à l’intelligence artificielle et à des systèmes de prise de décisions automatisée par Amazon, celle-ci affirme qu’aucune preuve n’a été présentée à cet égard et que toute décision sur la question serait donc sans fondement (mémoire de la défenderesse, aux para 43, 47). J’ai déjà statué sur ces arguments et il n’est pas nécessaire d’y revenir.

[71] La défenderesse ne conteste pas la compétence de la Cour d’examiner l’allégation de la demanderesse au titre de l’article 4.9.1 de l’annexe 1. Cette allégation porte sur la décision par laquelle Amazon a refusé d’accorder à Mme James l’accès aux renseignements associés au compte (mémoire de la défenderesse, au para 26). Toutefois, Amazon soutient que l’allégation de Mme James ne saurait être accueillie puisqu’elle avait raison d’exiger qu’une personne présente des renseignements suffisants pour vérifier son identité (au para 37).

4.9.2

4.9.2

Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.

An individual may be required to provide sufficient information to permit an organization to provide an account of the existence, use, and disclosure of personal information. The information provided shall only be used for this purpose.

[72] En termes généraux, selon la thèse d’Amazon, le droit d’une personne d’accéder à ses renseignements personnels doit être mis en balance avec l’obligation légale d’une organisation de protéger ces renseignements contre la consultation et l’utilisation illicites. La défenderesse soutient qu’elle s’est acquittée de ses obligations de protéger les renseignements personnels contre la consultation, l’utilisation ou la modification non autorisées conformément au septième principe (mémoire de la défenderesse, au para 37).

[73] Amazon se fonde sur deux résumés de conclusions d’enquête tirées en vertu de la LPRPDE dans lesquelles le Commissariat a conclu qu’une organisation qui exige une pièce d’identité avant de répondre à une demande d’accès à des renseignements personnels n’enfreint pas le neuvième principe (voir : Résumé de conclusions d’enquête en vertu de la LPRPDE no 334, Une banque exige une pièce d’identité avant de répondre à une demande d’accès à des renseignements personnels, 2006 CanLII 29536; Résumé de conclusions d’enquête en vertu de la LPRPDE no 324, Un consommateur se plaint de devoir fournir des pièces d’identité afin d’obtenir son rapport de solvabilité, 2006 CanLII 18528). Amazon fait remarquer qu’il est raisonnable de sa part de continuer de refuser l’accès à la demanderesse en vertu de l’article 4.9.2 de l’annexe 1, puisque celle-ci n’a pas confirmé son identité à titre de personne ayant le droit d’accéder aux renseignements personnels associés au compte.

[74] En tout état de cause, Amazon affirme que l’allégation de la demanderesse selon laquelle elle a enfreint l’article 4.9.1 de l’annexe 1 n’est pas fondée (mémoire de la défenderesse, au para 35). En particulier, Amazon soutient que la preuve au dossier n’est pas suffisante pour étayer l’allégation de la demanderesse selon laquelle Amazon lui a refusé l’accès au compte [traduction] « même si elle savait » qu’elle en était la titulaire (mémoire de la défenderesse, au para 36). Au contraire, Amazon cite les diverses interactions entre Mme James et ses représentants pour démontrer sa volonté de prendre des mesures supplémentaires afin de vérifier l’identité de Mme James.

VI. Rapport des conclusions

[75] Le 15 février 2022, le Commissariat a publié un rapport des conclusions dans lequel il a confirmé sa décision antérieure de mettre fin à l’examen de la plainte de la demanderesse (dossier de la demanderesse, à la p 10).

[76] Contrairement à l’allégation de la demanderesse selon laquelle Amazon lui a refusé l’accès aux renseignements associés à son compte, le Commissariat a conclu qu’Amazon avait répondu à la plainte de façon [traduction] « équitable et raisonnable » (dossier de la demanderesse, à la p 11). Les trois paragraphes les plus importants sont les suivants :

[traduction]
Au cours de notre examen, nous avons appris qu’Amazon avait rejeté vos demandes d’accès aux renseignements parce qu’elle n’était pas en mesure de vérifier votre identité. En particulier, comme Amazon l’a indiqué dans le courriel qu’elle vous a envoyé le 12 octobre 2021, le nom du titulaire du compte ainsi que les adresses postale et de facturation que vous avez transmis ne correspondaient pas aux renseignements consignés au dossier pour le compte en question. À la suite de l’intervention du Commissariat, Amazon a communiqué avec vous afin d’établir si elle pouvait authentifier le compte par d’autres moyens, mais elle n’a pas reçu les renseignements demandés.

Amazon a aussi informé le Commissariat du fait que rien n’indiquait que le compte ait été piraté, et que vous pouviez réinitialiser votre mot de passe au moyen de l’option libre-service. Vous avez indiqué au Commissariat que vous ne souhaitiez pas réinitialiser votre mot de passe à l’aide de cette méthode, car vous refusiez de consentir aux conditions de service d’Amazon. Bien que la décision de consentir ou non aux conditions de service d’une organisation vous appartienne, nous sommes d’avis que le refus d’Amazon de vous accorder l’accès aux renseignements personnels alors qu’elle n’était pas en mesure de vérifier votre identité était conforme à ses obligations au titre de la LPRPDE.

Le septième principe de la LPRPDE (article 4.7 de l’annexe 1) prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. L’article 4.7.1 de l’annexe 1 requiert en outre que les mesures de sécurité protègent les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Par conséquent, nous sommes d’avis qu’Amazon a répondu à votre demande d’accès de façon équitable et raisonnable compte tenu du fait qu’elle ne pouvait pas vérifier votre identité.

[77] La rapport des conclusions, qui confirme la décision du 2 novembre 2020 par laquelle le Commissariat a décidé de ne pas poursuivre son examen de la plainte, met l’accent sur l’incapacité d’Amazon à vérifier l’identité de la personne ayant sollicité l’accès aux renseignements personnels. Le rapport établit que le refus d’Amazon était justifié.

[78] Le Commissariat ajoute que la LPRPDE exige que les renseignements personnels soient protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité (septième principe). Le rapport des conclusions fait expressément référence à l’article 4.7.1 de l’annexe 1, qui énonce ce qui suit :

4.7.1

4.7.1

Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

The security safeguards shall protect personal information against loss or theft, as well as unauthorized access, disclosure, copying, use, or modification. Organizations shall protect personal information regardless of the format in which it is held.

[Non souligné dans l’original.]

Comme on peut le constater, les mesures de sécurité doivent protéger les renseignements personnels contre divers usages abusifs, y compris contre la modification des renseignements personnels. Il s’agit d’une disposition impérative. En effet, l’alinéa 4.7.3c) de l’annexe 1 dispose en particulier que « [l]es méthodes de protection devraient comprendre [...] des mesures techniques, par exemple l’usage de mots de passe et du chiffrement ». [Non souligné dans l’original.]

[79] Au cours de l’audience, la demanderesse a insisté à de nombreuses reprises sur le fait qu’elle ne s’opposait pas à l’utilisation d’un mot de passe. Le problème, selon elle, c’est plutôt qu’Amazon était tenue de lui transmettre les renseignements personnels associés à son compte. De toute évidence, Amazon était également tenue de protéger les renseignements personnels aux termes de la LPRPDE. L’article 11 de la Loi d’interprétation, LRC 1985, c I‑21, est sans équivoque : « L’obligation s’exprime essentiellement par l’indicatif présent du verbe porteur de sens principal et, à l’occasion, par des verbes ou expressions comportant cette notion. L’octroi de pouvoirs, de droits, d’autorisations ou de facultés s’exprime essentiellement par le verbe “pouvoir” et, à l’occasion, par des expressions comportant ces notions. » En termes simples, la loi oblige les organisations à protéger les renseignements personnels, et le recours aux mots de passe est l’un des outils expressément mentionnés pour ce faire. L’exigence relative au mot de passe est pertinente en ce qui concerne la plainte déposée par Mme James.

[80] Le Commissariat indique que l’accès a été refusé au motif que la défenderesse n’était pas en mesure de vérifier l’identité de la demanderesse. Le Commissariat a directement fait référence au dernier courriel d’Amazon, daté du 12 octobre 2021, lorsqu’il a fait remarquer que [traduction] « le nom du titulaire du compte ainsi que les adresses postale et de facturation que vous avez transmis à Amazon ne correspondaient pas aux renseignements consignés au dossier pour le compte en question ». Le rapport mentionne [traduction] « [qu’]Amazon a aussi informé le Commissariat du fait que rien n’indiquait que le compte ait été piraté ».

[81] Le Commissariat fait remarquer que, à la suite de son intervention, la défenderesse a communiqué avec la demanderesse [traduction] « afin d’établir si elle pouvait authentifier le compte par d’autres moyens, mais [qu’]elle n’a pas reçu les renseignements demandés ».

[82] Réinitialiser le mot de passe n’était pas une option pour la demanderesse, « car [elle refusait] de consentir aux conditions de service d’Amazon ». Le Commissariat reconnaît par la suite qu’un demandeur peut refuser d’adhérer aux conditions, mais il n’en reste pas moins que le refus d’Amazon d’autoriser l’accès aux renseignements personnels lorsqu’elle n’est pas en mesure de vérifier l’identité du demandeur est conforme à ses obligations aux termes de la LPRPDE.

[83] Le Commissariat fait remarquer que, conformément au septième principe, les renseignements personnels doivent être protégés contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Par la suite, le Commissariat affirme ce qui suit : [traduction] « Par conséquent, nous sommes d’avis qu’Amazon a répondu à votre demande d’accès de façon équitable et raisonnable compte tenu du fait qu’elle ne pouvait pas vérifier votre identité. »

[84] Le Commissariat a mis fin à l’examen de la plainte en application de l’alinéa 12.2(1)c) de la LPRPDE.

VII. Analyse

[85] La présente affaire repose d’abord et avant tout sur l’allégation de violation du neuvième principe, qui exige que toute personne soit en mesure de consulter ses renseignements personnels. Toutefois, la LPRPDE prévoit qu’avant d’accorder l’accès aux renseignements personnels, « [u]ne organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels » (article 4.9.2 de l’annexe 1). Cette exigence est conforme à l’objet de la loi, qui est « de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent [...] » (article 3 de la LPRPDE). Non seulement le législateur n’a pas fait abstraction de l’existence des nouvelles technologies, mais il a créé un texte législatif visant à protéger la vie privée au regard de celles‑ci. Il n’est donc pas surprenant que l’alinéa 4.7.3c) de l’annexe 1 prévoie l’usage de mots de passe et du chiffrement afin de protéger les renseignements personnels.

[86] La demanderesse n’a pas démontré comment on pourrait affirmer que la défenderesse a enfreint son droit d’accéder à ses renseignements personnels avant d’avoir pu vérifier si la demanderesse a le droit ou non d’accéder aux renseignements qu’elle détient. À mes yeux, il semble évident que la défenderesse avait l’obligation de protéger ces renseignements : il s’agit de l’objet même de la LPRPDE. Le neuvième principe prévoit expressément que l’accès aux renseignements peut être refusé pour des raisons d’ordre juridique ou de sécurité. Le septième principe requiert que les renseignements personnels soient protégés : il s’agit d’une obligation légale dont la violation pourrait donner lieu à une audience devant la Cour aux termes de l’article 14 de la LPRPDE. L’article 4.9.2 de l’annexe 1 met l’accent sur l’importance de protéger les renseignements personnels : « Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. » La défenderesse pourrait être blâmée pour avoir communiqué des renseignements personnels sans avoir obtenu l’autorisation nécessaire. Sa décision de refuser d’accorder l’accès aux renseignements personnels alors qu’elle n’était pas en mesure de vérifier l’identité de la personne demandant l’accès était justifiée.

[87] Mme James soutient que son incapacité à accéder aux renseignements personnels qu’elle estime être les siens s’explique par le fait que certains de ses renseignements sont inexacts, de sorte qu’il y a eu violation du sixième principe.

[88] La défenderesse soutient que la Cour n’a pas compétence pour examiner la question de la conformité au sixième principe puisque celle-ci déborde du cadre de la plainte (dossier de la demanderesse, aux pp 32-33) et du rapport des conclusions du Commissariat, et, par conséquent, qu’elle sort du cadre de l’article 14 de la LPRPDE. Un examen attentif de la plainte tend à confirmer l’argument de la défenderesse. Le sixième principe n’a jamais été soulevé. Mme James a écrit ce qui suit dans sa plainte au Commissariat : [traduction] « Amazon.com Inc. refuse de me donner l’accès à mes renseignements personnels ainsi que de me transmettre les reçus de mes achats en ligne, que j’ai demandés par écrit le 2 septembre 2020. » L’explication plus détaillée qui figure dans la plainte ne présente pas un éclairage différent sur cette question. La question soulevée auprès du Commissariat se limitait à l’accès aux renseignements. Le rapport des conclusions du Commissariat ne désigne pas non plus le sixième principe comme étant en cause.

[89] Mais il y a plus. Comme je l’ai déjà mentionné, le dossier dont la Cour est saisie ne comprend aucune preuve susceptible de conférer à la question de l’exactitude une apparence de vraisemblance. Il s’agit plutôt d’un début de tentative d’explication de la part de la demanderesse en ce qui concerne son incapacité à confirmer son identité. Nous sommes loin de la norme de la preuve claire et convaincante à l’appui de la demande. Finalement, j’avais des doutes quant au caractère applicable du sixième principe compte tenu du fait que l’article 4.6.1 de l’annexe 1 prévoit que « [l]es renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision [au sujet de la personne] ». L’objet du sixième principe n’est peut-être pas celui qui est mis de l’avant par la demanderesse. C’est peut-être que les renseignements personnels communiqués doivent être exacts compte tenu du préjudice qui pourrait être causé si des renseignements inexacts étaient communiqués. Cependant, puisque cette question précise n’a pas été soulevée, la Cour ne connaît pas la position des parties à cet égard et ne l’examinera pas de façon plus approfondie.

[90] Mme James a soulevé la question du délai de réponse. La défenderesse a de nouveau allégué que la Cour n’a pas compétence sur cette question puisque celle-ci n’a pas été soulevée dans la plainte déposée auprès du Commissariat. Il est vrai que la plainte elle-même ne mentionne pas l’obligation de répondre dans un délai prescrit. Toutefois, comme l’a fait remarquer Mme James, la plainte comprenait des documents en annexe dont certains mentionnent cette question.

[91] Quoi qu’il en soit, la défenderesse a présenté une réponse dans les délais impartis. Cependant, elle n’a pas été en mesure d’accorder l’accès aux renseignements en l’absence d’une authentification en bonne et due forme. La défenderesse a porté à l’attention de la Cour le résumé de conclusions d’enquête tirées en vertu de la LPRPDE no 334 (2006 CanLII 29536). Non seulement la commissaire adjointe à la vie privée a conclu qu’il était raisonnable d’exiger que le demandeur s’identifie avant que sa demande d’accès soit traitée, mais elle a aussi conclu que le délai de 30 jours commençait à courir au moment de la réception d’une demande jugée complète par l’organisation. La Cour convient que la réception de renseignements suffisants pour permettre la communication des renseignements personnels (article 4.9.2 de l’annexe 1) doit constituer le point de départ pour le calcul du délai de « trente jours suivant [la réception de la demande] », qui est énoncé au paragraphe 8(3) de la LPRPDE. Comme je l’ai souligné à l’audience, il peut arriver que les renseignements exigés par une organisation en vertu de l’article 4.9.2 de l’annexe 1 soient si importants que le délai de 30 jours se trouve prolongé de manière abusive. Ce n’est pas le cas en l’espèce. Par conséquent, la défenderesse n’a pas enfreint l’exigence relative au délai.

[92] Comme je l’ai déjà conclu, les arguments présentés par la demanderesse au sujet du recours allégué d’Amazon à l’intelligence artificielle et à des systèmes de prise de décisions automatisée sortent du cadre de l’article 14 de la LPRPDE.

[93] Par conséquent, la demande doit être rejetée, car la demanderesse n’a pas fait la preuve que les principes relatifs à l’accès et à l’exactitude, ainsi que l’exigence en matière de délai, ont été enfreints dans le présent dossier.

[94] Je tiens à présenter une dernière observation. Le 12 octobre 2021, Amazon a offert de l’aide à la demanderesse afin de vérifier son identité (dossier de la demanderesse, à la p 64). Cette offre a été mentionnée dans le rapport des conclusions du Commissariat. Il semble que Mme James a refusé de réinitialiser son mot de passe parce qu’elle ne voulait pas consentir aux conditions de service d’Amazon. J’ai examiné les conditions de service, qui étaient comprises dans le dossier de la demanderesse (aux pp 131 à 139), notamment les portions qu’elle avait soulignées. Il m’a semblé qu’il n’y avait pas de différence importante entre la version à jour de la « Déclaration de confidentialité d’Amazon.ca (dernière mise à jour le 14 mai 2021) », qui aurait vraisemblablement été appliquée si le mot de passe avait été réinitialisé en octobre 2021, et les conditions d’utilisation, avis et révisions figurant dans la déclaration précédente (dernière mise à jour le 18 mai 2020).

[95] Le problème posé par les conditions de service est loin d’être clair. Quoi qu’il en soit, Amazon a offert son aide à la demanderesse dans son courriel du 12 octobre 2021, en plus d’indiquer clairement qu’une fois qu’elle aurait récupéré ses renseignements personnels, en supposant que son identité ait été authentifiée, elle pourrait [traduction] « également demander la fermeture de [son] compte et la suppression de [ses] renseignements personnels ». Dans ce contexte, la question des conditions de service pourrait constituer une fausse piste. Ce constat pourrait renforcer la conclusion suivante du Commissariat : [traduction] « Bien que la décision de consentir ou non aux conditions de service d’une organisation vous appartienne, nous sommes d’avis que le refus d’Amazon de vous accorder l’accès aux renseignements personnels alors qu’elle n’était pas en mesure de vérifier votre identité était conforme à ses obligations au titre de la LPRPDE. » En d’autres termes, nul ne laisse entendre que la demanderesse devrait poursuivre sa relation avec la défenderesse après avoir obtenu l’accès à ses renseignements personnels, si tel est son souhait, dans le cas où les conditions de service constituent un problème pour elle.

VIII. Conclusion

[96] Il est malheureux qu’une affaire qui aurait pu — et aurait probablement dû — être réglée au moyen d’un dialogue adéquat entre la demanderesse et la défenderesse se retrouve devant la Cour. L’objet de la LPRPDE est de protéger les renseignements personnels contre la communication indue. Il n’y a aucune raison d’insister davantage sur l’importance de la vie privée. Or, il est plutôt inhabituel qu’une personne qui sollicite l’accès à des renseignements personnels qui sont, selon elle, les siens s’en voie refuser l’accès s’il s’agit effectivement de ses renseignements personnels. La présente affaire ne fournit pas les explications nécessaires : la situation n’est tout simplement pas claire. Pourquoi la demanderesse n’a-t-elle pas été en mesure d’accéder à ses renseignements personnels si la défenderesse détient ces renseignements? Pourquoi cette affaire n’a-t-elle pas pu être réglée d’une façon ou d’une autre? Un dialogue plus ouvert aurait-il permis d’éviter que la présente affaire se retrouve devant les tribunaux?

[97] Il n’appartient manifestement pas à la Cour de répondre à ces questions. La compétence de la Cour se limite à entendre, et à trancher sur la base du dossier qui lui a été présenté, toute question qui a fait l’objet de la plainte déposée auprès du Commissariat ou qui est mentionnée dans le rapport des conclusions. La demanderesse a présenté des allégations et la Cour rend une décision à la lumière de celles-ci.

[98] En l’espèce, la demanderesse a soutenu qu’Amazon avait enfreint le sixième principe, qui porte sur l’exactitude des renseignements qu’elle détient, et le neuvième principe, qui porte sur l’incapacité de la demanderesse à accéder à ces renseignements. Elle a aussi fait valoir qu’elle n’avait pas reçu une réponse dans le délai prévu par la loi.

[99] Comme la Cour l’a expliqué, la demanderesse ne s’est pas acquittée de son fardeau de démontrer l’existence d’un manquement aux sixième et neuvième principes, qui sont énoncés aux articles 4.6 et 4.9 de l’annexe 1. En ce qui concerne le délai de réponse, le dossier montre que la demanderesse a reçu une réponse dans le délai prescrit. Toutefois, la défenderesse était tenue de protéger les renseignements personnels contre la communication indue, et la demanderesse devait « fourn[ir] suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels » (article 4.9.2 de l’annexe 1). L’accès aux renseignements a été refusé pour des motifs valides. Par conséquent, je ne puis conclure que la réponse n’a pas été transmise dans le délai prescrit. Une demande de renseignements personnels doit avoir été présentée en bonne et due forme pour que le délai commence à courir.

[100] Mme James émet une hypothèse lorsqu’elle soutient que son incapacité à confirmer son identité est attribuable au fait qu’Amazon détient des renseignements inexacts. La demanderesse a présumé que le problème découlait du fait que des renseignements détenus par la défenderesse auraient été modifiés (le principe d’exactitude). Rien dans le dossier ne permet d’étayer cette hypothèse.

[101] En ce qui concerne l’argument de la demanderesse selon lequel l’intelligence artificielle (et l’utilisation de systèmes de prise de décisions automatisée) avait quelque chose à voir avec les manquements allégués aux sixième et neuvième principes, il est difficile de voir comment cet argument s’inscrit dans le cadre de l’article 14 de la LPRPDE en l’espèce. Cet argument n’a jamais fait partie de la plainte visée par le rapport des conclusions puisqu’il n’a jamais été formulé. De plus, en l’espèce, il y a une absence totale de preuve. En fait, la preuve montre que la demanderesse était en communication avec des représentants de la défenderesse, notamment une agente de protection de la vie privée. L’argument de la demanderesse n’est d’aucune utilité pour régler la question.

[102] La frustration évidente de la demanderesse, mais aussi celle de la défenderesse, est compréhensible. La demanderesse veut obtenir l’accès à des renseignements personnels qui sont, selon elle, les siens, mais sa demande est refusée puisqu’il est impossible de vérifier son identité conformément à la LPRPDE. La défenderesse cherche à aider la demanderesse en lui donnant la possibilité de changer son mot de passe, sous sa supervision et avec son aide, mais la demanderesse refuse son aide. La défenderesse a agi dans les limites prévues par la LPRPDE. Il n’en reste pas moins que les parties demeurent dans une impasse.

[103] Il est donc évident que la question n’est pas résolue. La Cour invite les parties à reprendre le dialogue pour trouver une solution afin de déterminer, avec un certain degré de certitude, si la demanderesse devrait avoir accès aux renseignements personnels qui se trouvent selon elle en la possession de la défenderesse. D’autres moyens d’authentification pourraient être envisagés si la réinitialisation du mot de passe, sous la supervision de la défenderesse et avec son aide, est impossible.

[104] Les deux parties ont sollicité des dépens dans le cadre de la présente instance. Il n’y a pas lieu d’adjuger des dépens.

[105] Il s’ensuit que la demande fondée sur l’article 14 de la LPRPDE doit être rejetée sans dépens.


JUGEMENT dans le dossier T-1335-22

LA COUR REND LE JUGEMENT suivant :

  1. La demande fondée sur l’article 14 de la Loi sur la protection des renseignements personnels et les documents électroniques est rejetée.

  2. Aucuns dépens ne sont adjugés.

« Yvan Roy »

Juge

Traduction certifiée conforme

Jean-François Malo


 

ANNEXE A

4.9 Neuvième principe — Accès aux renseignements personnels

4.9 Principle 9 — Individual Access

Une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

Upon request, an individual shall be informed of the existence, use, and disclosure of his or her personal information and shall be given access to that information. An individual shall be able to challenge the accuracy and completeness of the information and have it amended as appropriate.

Note : Dans certains cas, il peut être impossible à une organisation de communiquer tous les renseignements personnels qu’elle possède au sujet d’une personne. Les exceptions aux exigences en matière d’accès aux renseignements personnels devraient être restreintes et précises. On devrait informer la personne, sur demande, des raisons pour lesquelles on lui refuse l’accès aux renseignements. Ces raisons peuvent comprendre le coût exorbitant de la fourniture de l’information, le fait que les renseignements personnels contiennent des détails sur d’autres personnes, l’existence de raisons d’ordre juridique, de raisons de sécurité ou de raisons d’ordre commercial exclusives et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d’une procédure de nature judiciaire.

Note: In certain situations, an organization may not be able to provide access to all the personal information it holds about an individual. Exceptions to the access requirement should be limited and specific. The reasons for denying access should be provided to the individual upon request. Exceptions may include information that is prohibitively costly to provide, information that contains references to other individuals, information that cannot be disclosed for legal, security, or commercial proprietary reasons, and information that is subject to solicitor-client or litigation privilege.

4.9.1

4.9.1

Une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant. Les organisations sont invitées à indiquer la source des renseignements. L’organisation doit permettre à la personne concernée de consulter ces renseignements. Dans le cas de renseignements médicaux sensibles, l’organisation peut préférer que ces renseignements soient communiqués par un médecin. En outre, l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués.

Upon request, an organization shall inform an individual whether or not the organization holds personal information about the individual. Organizations are encouraged to indicate the source of this information. The organization shall allow the individual access to this information. However, the organization may choose to make sensitive medical information available through a medical practitioner. In addition, the organization shall provide an account of the use that has been made or is being made of this information and an account of the third parties to which it has been disclosed.

4.9.2

4.9.2

Une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.

An individual may be required to provide sufficient information to permit an organization to provide an account of the existence, use, and disclosure of personal information. The information provided shall only be used for this purpose.

4.9.3

4.9.3

L’organisation qui fournit le relevé des tiers à qui elle a communiqué des renseignements personnels au sujet d’une personne devrait être la plus précise possible. S’il lui est impossible de fournir une liste des organisations à qui elle a effectivement communiqué des renseignements au sujet d’une personne, l’organisation doit fournir une liste des organisations à qui elle pourrait avoir communiqué de tels renseignements.

In providing an account of third parties to which it has disclosed personal information about an individual, an organization should attempt to be as specific as possible. When it is not possible to provide a list of the organizations to which it has actually disclosed information about an individual, the organization shall provide a list of organizations to which it may have disclosed information about the individual.

4.9.4

4.9.4

Une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.

An organization shall respond to an individual’s request within a reasonable time and at minimal or no cost to the individual. The requested information shall be provided or made available in a form that is generally understandable. For example, if the organization uses abbreviations or codes to record information, an explanation shall be provided.

4.9.5

4.9.5

Lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.

When an individual successfully demonstrates the inaccuracy or incompleteness of personal information, the organization shall amend the information as required. Depending upon the nature of the information challenged, amendment involves the correction, deletion, or addition of information. Where appropriate, the amended information shall be transmitted to third parties having access to the information in question.

4.9.6

4.9.6

Lorsqu’une contestation n’est pas réglée à la satisfaction de la personne concernée, l’organisation prend note de l’objet de la contestation. S’il y a lieu, les tierces parties ayant accès à l’information en question doivent être informées du fait que la contestation n’a pas été réglée.

When a challenge is not resolved to the satisfaction of the individual, the substance of the unresolved challenge shall be recorded by the organization. When appropriate, the existence of the unresolved challenge shall be transmitted to third parties having access to the information in question.

 


COUR FÉDÉRALE

AVOCATS INSCRITS AU DOSSIER


DOSSIER :

T-1335-22

 

INTITULÉ :

TAMARA JAMES c AMAZON.COM.CA, INC.

 

LIEU DE L’AUDIENCE :

MONTRÉAL (QUÉBEC)

DATE DE L’AUDIENCE :

LE 18 JANVIER 2023

 

JUGEMENT ET MOTIFS :

LE JUGE ROY

 

DATE DES MOTIFS :

LE 3 février 2023

 

COMPARUTIONS :

Tamara James

 

POUR LA DEMANDERESSE

(POUR SON PROPRE COMPTE)

 

Alexandra Quigley

 

POUR LA DÉFENDERESSE

 

AVOCATS INSCRITS AU DOSSIER :

Dentons Canada, S.E.N.C.R.L.

Montréal (Québec)

 

POUR LA DÉFENDERESSE

 

 

 Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.