Le paysage québécois des actions collectives en matière technologique connaît une évolution significative. Si les recours liés aux atteintes à la vie privée ne sont pas nouveaux, la nature des allégations formulées dans la majorité des demandes d’autorisation d’intenter une action collective déposées en 2025-2026 révèle un déplacement du centre de gravité des litiges en matière de protection des renseignements personnels. L’action collective ne vise plus seulement le vol ou la perte renseignements personnels. Elle cible désormais l’architecture même de la récolte d’information effectuée par les entreprises et les organismes publics.
- De la brèche accidentelle à la remise en cause des pratiques organisationnelles
Historiquement, les actions collectives technologiques au Québec se sont grandement concentrées sur les vols de données, accès non autorisés ou défaillances de sécurité.
Or, plusieurs demandes d’autorisation d’exercer une action collective déposées en 2025 contre des entreprises telles que Apple inc.[1], OpenAI Inc.[2] ou Meta Platforms Inc.[3] ne reposent pas sur l’idée d’une fuite accidentelle, mais sur celle d’une collecte, d’une agrégation et d’une commercialisation systématiques de renseignements personnels sans consentement valable des utilisateurs. Le cœur du reproche n’est donc plus l’insuffisance des mesures de sécurité; il est la légalité même du modèle d’affaires des entreprises.
Essentiellement, les allégations d’absence de consentement valable reposent sur une mauvaise application des articles 8 et suivants de la Loi sur la protection des renseignements personnels dans le secteur privé[4] (ci-après la « LPRPSP »), lesquels permettent notamment de tenir pour acquis le consentement des utilisateurs au partage de leurs renseignements personnels pour les fins pour lesquelles ils ont été recueillis[5]. Il est notamment reproché aux entreprises de ne pas divulguer adéquatement l’étendue de leurs pratiques, notamment en ce qui concerne la collecte de renseignements personnels par l’entremise de tiers ainsi que la communication de tels renseignements à des tiers, alors même que ces activités requièrent un consentement conforme au cadre légal[6].
De plus, nous avons également repéré des demandes d’autorisation d’exercer une action collective déposées contre des organismes publics dont Santé Québec[7] et le Directeur de la protection de la jeunesse[8] qui permettrait soit la consultation de renseignements personnels à des fins autres que pour lesquelles ils ont été recueillis, soit le partage de renseignements personnels sans consentement, ce qui contreviendrait aux articles 52.2 suivants de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[9] (ci-après la « LAI »).
Dès lors, il est recommandé tant aux entreprises qu’aux organismes publics de veiller à une transparence complète quant à leurs pratiques informationnelles, afin de permettre aux utilisateurs de formuler un consentement libre, éclairé et valide. À ce sujet, la Commission d’accès à l’information précise d’ailleurs que :
« Un consentement doit être éclairé, c’est-à-dire précis et fondé sur des connaissances appropriées. Une organisation doit faire en sorte que la personne concernée sache et comprenne ce à quoi elle consent et ce que cela implique. Si l’organisation ne fournit pas l’information nécessaire pour ce faire, le contrôle exercé par la personne est illusoire et le consentement est invalide ».[10]
Il est aussi indispensable que l’information concernant l’utilisation des renseignements personnels transmis à une entreprise soit diffusée par tout moyen propre à atteindre l’utilisateur, par exemple via la politique de confidentialité devant être lue et acceptée, en des termes simples et clairs[11]. L’organisme public doit quant à lui faire de même pour la diffusion de sa politique de confidentialité[12], mais il doit aussi publier sur son site internet règles encadrant sa gouvernance à l’égard des renseignements personnels [13].
- Plateformes, droits fondamentaux et mineurs
De même, les actions visant TikTok Technology Canada Inc.[14] et Gameloft SE[15] mettent en lumière une préoccupation croissante quant à la collecte et à l’utilisation des données de mineurs. Dans les deux demandes d’autorisation, les réclamations dépassent la seule question de conformité à la LPRPSP : les demandeurs allèguent des atteintes aux droits fondamentaux et réclament des dommages punitifs, traduisant une volonté de sanctionner des pratiques perçues comme systémiques à l’égard de populations vulnérables.
Pour réduire le risque de poursuites fondées sur une collecte illégale de renseignements personnels concernant des mineurs, les entreprises devraient respecter à la lettre les points suivants[16] :
- Le consentement du titulaire de l’autorité parentale est nécessaire pour récolter des renseignements personnels concernant un mineur de moins de 14 ans[17];
- Tant le titulaire de l’autorité parentale que le mineur peuvent consentir si ce dernier a 14 ans ou plus[18];
- Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé[19].
Dès lors, il est nécessaire de mettre en place des mécanismes permettant de s’assurer que le consentement est bien donné par la bonne personne habilitée à le fournir.
Conclusion
L’année 2025 et le début de l’année 2026 ne se distinguent pas par une explosion quantitative des actions collectives en matière de protection des renseignements personnels, mais par un changement dans leurs fondements. Alors que les recours antérieurs se concentraient majoritairement sur des brèches de sécurité ponctuelles, les dossiers récents ciblent davantage les modèles d’exploitation des données et leur transfert à des tiers. Il demeure essentiel, dans la recherche de solutions visant à réduire les risques de non‑conformité que les entreprises et les organismes publics consultent des avocats qui pourront les accompagner dans la mise en œuvre des mesures appropriées.