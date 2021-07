Les filiales canadiennes de Volkswagen et Audi auraient failli à leur responsabilité d’informer les clients canadiens victimes de l’exposition des données personnelles de 3,3 millions de clients nord-américains dévoilée en juin dernier, selon ce qu’allègue une demande d’autorisation d’action collective récemment déposée à la Cour supérieure du Québec.

Dans une demande introduite à la mi-juin, on avance que Volkswagen Canada et Audi Canada — deux propriétés enregistrées du Groupe Volkswagen — auraient dû informer plus tôt les clients canadiens dont les renseignements personnels ont été exposés pour qu’ils puissent se protéger de fraudes potentielles ou de vols d’identité.

La requête refait la chronologie des événements, rappelant que le constructeur allemand aurait été informé de la fuite de données chez un de ses fournisseurs dès le 10 mars 2021. En mai, une enquête interne confirmait que des renseignements personnels de clients et d’acheteurs potentiels auraient été volés entre 2019 et 2021.

Les données divulguées comprennent les noms, adresses postales et électroniques, numéros de téléphone, numéros de permis de conduire et renseignements relatifs à un véhicule. Pour certains, des informations plus critiques ont été divulguées : les dates de naissance, numéros de comptes bancaires, voire les numéros d’assurance sociale.

« Cependant, Audi et VW ont inexplicablement attendu au moins 93 jours, à partir du 10 mars 2021, avant d’annoncer publiquement l’exposition des données, le 11 juin 2021 », peut-on lire dans la requête.

Le 11 juin dernier, le Groupe Volkswagen a effectivement publié un communiqué dans lequel il confirmait qu’une fuite de données avait exposé les informations de plus de 3,3 millions de personnes en Amérique du Nord, dont 163 000 au Canada.

Dans les jours qui ont suivi l’annonce, les sites Motherboard de Vice et Bleeping Computer — un média qui traite d’actualité technologique — rapportaient que des informations personnelles provenant de cette fuite étaient vendues sur un forum de piratage.

Protection

« Notre position, c’est que tout le monde [susceptible de s’être fait voler des données] doit être informé et tout le monde devrait avoir la possibilité d’avoir une couverture pour assurer la surveillance de son crédit », explique au Devoir David Assor, avocat chez Lex Group responsable de la démarche judiciaire.

Lors de l’annonce, Volkswagen a soutenu prévoir de fournir gratuitement une protection contre l’utilisation de leurs données pour des achats ou des emprunts. Or, la requête souligne que le constructeur n’a pas mandaté au Canada des firmes comme TransUnion Canada ou Equifax Canada pour assurer la surveillance des victimes, ce qui aurait pour effet de les exposer « à un plus grand risque de fraude ».

« Pour le moment, on demande de procéder pour que l’ensemble des Canadiens puissent y participer », dit David Assor, rappelant que ce sera au juge de décider les critères d’admissibilité si l’action collective est approuvée.

À qui incombe la protection ?

La semaine dernière, une action collective similaire a été déposée à la cour de district des États-Unis dans l’État du New Jersey. Comme la démarche au Québec, la requête américaine allègue que Volkswagen et Audi auraient été négligentes, qu’elles auraient failli à leur responsabilité de protéger les données de leurs clients. Dans les deux cas, des dommages et intérêts sont demandés, ainsi que le remboursement de ce que les clients ont dû payer pour des services de surveillance de crédit.

Comme bien d’autres cas, la demande d’action collective au Québec dénote de la difficulté à l’heure actuelle de savoir qui doit être tenu responsable lors de vols de renseignements personnels, souligne Steve Waterhouse : « Il est là le problème : on ne sait pas qui est responsable en cas de fuite ou d’exposition des données. »

Ce type de démarche n’a rien pour surprendre le spécialiste. « Il est possible que les poursuites soient plus fréquentes, car les entreprises et les gouvernements sont fréquemment négligents dans la gestion des informations citoyennes », ajoute-t-il.

Au Canada, la solution passe selon lui par un resserrement de l’encadrement relatif à la protection des données personnelles. Il cite l’exemple du projet de loi 64, au Québec, dont l’adoption prévue avant l’été a finalement été retardée.

Ce projet de loi vise entre autres choses à « apporter une imputabilité aux dirigeants d’entreprises » lors de vols massifs de données, « ce qui devrait faire réfléchir certains dans leurs plans de cybersécurité », indique Steve Waterhouse.

M. Waterhouse souligne que le fédéral et le provincial pourraient, à ce chapitre, s’inspirer du Règlement général sur la protection des données (RGPD) en vigueur au sein de l’Union européenne depuis 2018. « En Europe, Audi et Volkswagen n’auraient pas pu attendre aussi longtemps avant d’informer leurs clients sans risquer d’importantes amendes », dit-il. Une disposition du RGPD — l’article 33 — force les organisations à divulguer toute violation de données dans un délai de 72 heures.