Que doit faire une organisation quand des renseignements personnels disparaissent?

La poursuite déposée par un résidant de Granby survient à la fin d’une année 2017 marquée par plusieurs épisodes de pertes de renseignements personnels, notamment chez Equifax et Uber. 
Photo: iStock La poursuite déposée par un résidant de Granby survient à la fin d’une année 2017 marquée par plusieurs épisodes de pertes de renseignements personnels, notamment chez Equifax et Uber. 

La perte d’un ordinateur portable contenant les renseignements de 52 000 personnes en février 2013 continue d’occuper la Cour supérieure du Québec, qui devra se prononcer sur cet événement à partir du cas d’un résident de Granby victime de fraude dans les années qui ont suivi.

Un mois et demi après avoir autorisé le lancement d’un recours collectif, le tribunal a reçu le 20 décembre une demande introductive l’invitant à condamner l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) — qui surveille l’industrie du courtage — à verser 1500 $ à chacune des personnes dont les données ont été perdues.

La poursuite déposée par Danny Lamoureux survient à la fin d’une année 2017 marquée par plusieurs épisodes de pertes de renseignements personnels, notamment chez Equifax, Uber et, plus récemment, Nissan Canada Finance. À Ottawa, le gouvernement fédéral songe à forcer les entreprises à déclarer toute atteinte à la vie privée.

Dans le métro

Le cas de l’OCRCVM, largement médiatisé dans certains médias en 2013, est survenu dans le métro. L’ordinateur a été perdu par un de ses employés. Le portable était protégé au premier niveau (mot de passe) mais pas au deuxième (cryptage des données). L’organisme a reconnu dès le départ que cela contrevenait à sa propre politique interne.

Il a été impossible de joindre l’OCRCVM. Mais celui-ci a déjà soutenu, devant la juge qui a autorisé le recours, que rien ne prouve un lien entre l’incident et la fraude et le vol d’identité dont M. Lamoureux a été victime. La position de l’OCRCVM consiste à dire que ce qu’il a vécu n’est pas indemnisable et que de toute manière, l’organisme ne détenait pas de renseignements tels son permis de conduire et son numéro d’assurance sociale.

« Le demandeur a subi d’importants dommages en raison des fautes de la défenderesse, non seulement d’avoir fait preuve de grossière négligence dans sa méthode de conservation des renseignements personnels mais aussi faisant défaut de mettre en place des mesures adéquates propres à limiter ses dommages », peut-on lire dans la demande, signée par Me Louis Demers.

Chronologie

Si la perte de l’ordinateur portable est survenue en février 2013, M. Lamoureux l’a appris deux mois plus tard. Dans une lettre de deux pages, l’OCRCVM indique alors que l’information « pouvait comprendre » son nom, son adresse, sa date de naissance, les données sur son courtier et ses numéros de compte « ouverts chez ce courtier ». L’organisme s’excuse alors en offrant à M. Lamoureux les services d’alerte d’Equifax pendant six ans et inclut un aide-mémoire sur la protection des renseignements personnels.

En avril 2015, M. Lamoureux découvre en ouvrant son compte Desjardins sur Internet que des comptes ont été ouverts à son nom chez Visa et Réno-Dépôt. À la suggestion de Desjardins, il appelle le service de vérification TransUnion, qui l’informe que de multiples ouvertures de comptes ont été faites à son nom de novembre 2013 à avril 2015 : Banque HBC, TD, Canadian Tire, Desjardins, Capital One, etc.

Deux mois plus tard, à l’été 2015, il discute avec un représentant d’Equifax qui l’informe que quelqu’un « a rapporté la perte de son porte-monnaie en avril 2013, ce qui n’est pas le cas, et demandé un changement de son adresse pour une adresse à Montréal-Nord ». Toujours selon la poursuite, Equifax l’avise que « les fraudeurs avaient son numéro d’assurance sociale […] et le nom de son employeur », c’est-à-dire « des informations que détenait son courtier ».

Le recours collectif a été autorisé en octobre dernier par la juge Karen Kear-Jodoin, de la Cour supérieure du Québec. « L’OCRCVM soutient qu’il n’y a rien pour justifier des dommages punitifs », a-t-elle écrit. « [L’OCRCVM] soutient que M. Lamoureux doit démontrer, allégations spécifiques à l’appui, une interférence qui est à la fois illégale et intentionnelle avec une forme de liberté reconnut par la Charte des droits et libertés de la personne. »

Aucune date n’a encore été arrêtée pour le début des procédures.

2 commentaires
  • Serge Lamarche - Abonné 28 décembre 2017 04 h 17

    Et les coupables?

    C'est assez incroyable que le ou les coupables d'autant de fraudes puissent éviter la prison.

  • Patrick Daganaud - Abonné 28 décembre 2017 10 h 07

    Équifax et la transparence...

    Ce qui dépasse toutes les bornes, c'est qu'une entreprise comme Équifax, à l'éthique aussi élastique, établisse encore les cotes de crédit des individus.

    Pourquoi un gouvernement ne lui retire-t-il pas le droit d'exercer, au vu de toutes les stratégies utilisées pour masquer ses tares et empêcher les recours légitimes?

    Pourquoi l'Autorité des marchés financiers ne dompte-elle pas les voyous?