Lourde amende pour Equifax aux États-Unis, mais pas au Canada

Equifax aura à verser jusqu’à 700 millions $US en amendes et en dédommagements aux 147 millions de victimes d’un vol massif de données personnelles par des pirates informatiques en 2017, ont confirmé les autorités américaines.
Photo: Mike Stewart Associated Press Equifax aura à verser jusqu’à 700 millions $US en amendes et en dédommagements aux 147 millions de victimes d’un vol massif de données personnelles par des pirates informatiques en 2017, ont confirmé les autorités américaines.

La multiplication, aux États-Unis et en Europe, de sanctions financières salées imposées à des entreprises privées pourleur mauvaise gestion des données personnelles dont elles avaient la garde trahit un écart grandissant avec les règles canadiennes.

Equifax aura à verser jusqu’à 700 millions $US en amendes et en dédommagements aux 147 millions de victimes d’un vol massif de données personnelles par des pirates informatiques en 2017, ont confirmé les autorités américaines lundi.

L’entente conclue entre, d’un côté, la société d’évaluation de crédit d’Atlanta et, de l’autre, deux agences fédérales, ainsi que les procureurs de 48 des 50 États américains, doit encore obtenir l’aval des tribunaux, mais constituerait la plus lourde peine pour une perte de données du genre, a rapporté le New York Times.

La sanction serait composée d’une somme pouvant aller jusqu’à 500 millions en dédommagements pour les inconvénients subis par les victimes et de 175 millions d’amendes pour la piètre gestion de l’entreprise de l’événement.

Ce record pourrait être rapidement battu, à en croire le Wall Street Journal qui rapportait, lundi, qu’une autre entente hors cour visant, celle-là, la fuite des données de 87 millions d’utilisateurs de Facebook au profit de la firme Cambridge Analytica était sur le point d’être confirmée et qu’elle s’élèverait à 5 milliards $US.

Ces règlements viendront s’ajouter à d’autres sanctions infligées en Europe dans des affaires similaires contre la chaîne d’hôtels Marriott (111 millions d’euros), le transporteur aérien British Airways (200 millions d’euros) ou Google (50 millions d’euros) en vertu de nouvelles règles européennes en la matière.

Un autre monde

Le contraste avec le Canada et le Québec est saisissant.

Dans l’affaire Equifax, qui aurait fait 19 000 victimes au Canada, le Commissariat à la protection de la vie privée du Canada n’a pu obtenir mieux que l’engagement de la compagnie à se prêter, tous les deux ans, à un examen de ses mesures de sécurité.

Mais c’est tout de même mieux que dans l’affaire Facebook-Cambridge Analytica, qui a fait 622 000 victimes au pays.

Le géant américain, qui n’en est pas à son premier faux pas du genre, a non seulement refusé d’apporter les changements exigés par les autorités canadiennes compétentes, mais ne reconnaît même pas avoir enfreint la loi, obligeant le commissaire fédéral à la protection de la vie privée d’appeler à son aide les tribunaux.

Il faut dire qu’en matière de sanctions financières, les règles québécoises et canadiennes n’ont pas autant de dents qu’aux États-Unis ou en Europe, montrait un récent tableau comparatif réalisé par la firme d’avocat Fasken pour le compte de la Commission d’accès à l’information du Québec.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé — dont dépendra largement, par exemple, la récente affaire de la fuite des données de 2,7 millions de clients du Mouvement Desjardins — prévoit des amendes maximales de 10 000 $ à 50 000 $, selon le type de contravention, et du double en cas de récidive.

Au Canada, le maximum est de 100 000 $. Dans les deux cas, d’autres actions sont aussi possibles, notamment sous la forme de poursuites civiles en action collective.

En guise de comparaison, en Europe, les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une grande compagnie, en vertu du nouveau Règlement général de la protection des données européen.

Le bâton financier

Dans sa nouvelle Charte canadienne du numérique, le gouvernement Trudeau promet des réformes qui garantiront, notamment, « des sanctions claires et sévères pour toute violation des lois et règlements ».

« Les événements de l’année passée ont mis en avant comme jamais auparavant le besoin urgent de moderniser la manière de protéger les droits relatifs à la vie privée dans notre pays », déclarait le commissaire canadien à la vie privée, Daniel Therrien, dans le texte d’un discours prononcé à Toronto au mois de mai.

Pour ce faire, il « devrait être habilité à rendre des ordonnances et à imposer des amendes conséquentes […] Mais même les amendes importantes pourraient ne pas suffire », prévenait-il.

Les autorités au Canada devraient, comme en Europe, pouvoir aussi disposer du pouvoir de faire enquête sur les entreprises « de manière proactive », c’est-à-dire sans devoir attendre que des victimes déposent des plaintes.