•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Cyberattaque : deux agences de crédit ne peuvent être poursuivies pour délit d’intrusion

La Cour d'appel de l'Ontario statue que les agences Equifax et Trans Union ne peuvent être accusées de délit d'intrusion dans l'intimité des plaignants.

L'agence d'évaluation du crédit Equifax a déclaré que la dette des cartes de crédit à la consommation était à son plus bas niveau en six ans au premier trimestre, la réduction des dépenses ayant conduit à des habitudes de dépenses plus saines en général.

Deux recours collectifs entamés en Ontario portent notamment sur des violations aux lois canadiennes sur la protection des renseignements confidentiels à la suite de deux cyberattaques en 2017 et 2019.

Photo : Associated Press / Mark Lennihan

La Cour d'appel de l'Ontario donne raison à des agences de surveillance de crédit canadiennes qui soutenaient qu'elles ne pouvaient être poursuivies au sein de deux recours collectifs pour délit d'intrusion dans l'intimité des plaignants au sujet d'une fuite de leurs données personnelles.

Alina Owsianik et Michael Obodo s'en prennent respectivement à Equifax Canada et à Trans Union pour les ennuis que de telles violations à leur vie privée et à la sécurité de leurs renseignements confidentiels leur ont causés.

Carte de crédit TD posée sur un clavier d'ordinateur

Trans Union a avisé près de 37 000 Canadiens à l'automne 2019 que la confidentialité de leurs renseignements personnels aurait pu être compromise.

Photo : Radio-Canada

Rappel des cyberattaques

L'agence Trans Union a été victime de piratage informatique de juin à juillet 2019 et elle en a averti ses clients en octobre de la même année.

Les quelque 37 000 Canadiens touchés par la fraude se sont regroupés depuis au sein d'un recours collectif pour réclamer des réparations pour le tort qu'ils ont subi.

Michael Obodo allègue notamment que les mesures prises par l'agence pour sécuriser ses informations étaient inadéquates et inférieures aux normes de l'industrie.

Trans Union a déjà offert certaines compensations aux plaignants, mais la nature de ces réparations demeure confidentielle.

Le visage d'un homme est vu de profil, devant le logo d'Equifax qui apparaît sur un écran à la Bourse de New York.

Equifax avait révisé à la hausse le nombre de Canadiens qui avaient été touchés par une cyberattaque d'envergure en le portant à plus de 19 000 personnes à l'automne 2017.

Photo : Reuters / Brendan McDermid

Equifax Canada a pour sa part été victime d'une fraude semblable de mai à juillet 2017. L'agence n'avait rendu publique la fraude qu'en septembre 2017.

Près de 20 000 Canadiens en ont été affectés, lesquels s'étaient constitués en un premier recours collectif.

Les données saisies par les pirates concernent des numéros d'assurance sociale, de permis de conduire et de cartes de crédit, ainsi que des noms, des dates de naissance, des adresses civiques, des adresses de courriel et des mots de passe.

On ignore si les deux entreprises ont été attaquées par les mêmes pirates informatiques, qui n'ont pour l'heure jamais été identifiés.

Objet des deux appels

Les deux recours sont toujours dans leur phase de certification devant des tribunaux inférieurs de la province.

Des soumissions portant sur l'étendue des recours respectifs ont toutefois ralenti les procédures devant la Cour supérieure et la Cour divisionnaire de l'Ontario.

Une partie des décisions des deux tribunaux portant sur la responsabilité délictuelle faisait l'objet d'un appel des plaignants devant le plus haut tribunal de la province.

À lire le jugement de la Cour d'appel, Alina Owsianik et Michael Obodo souhaitaient poursuivre les deux agences pour délit d'intrusion dans l'intimité, c'est-à-dire pour violation de leurs affaires personnelles.

Un relevé de carte de crédit

Des numéros d'assurance sociale, de permis de conduire et de cartes de crédit figuraient parmi les renseignements personnels qui avaient été subtilisés par des pirates informatiques.

Photo : Radio-Canada / Cliff Simpson

M. Obodo affirmait par exemple que l'agence Trans Union avait facilité l'intrusion des pirates dans ses affaires personnelles, en amassant des informations au sujet des plaignants, en les entreposant dans un seul endroit et en créant un portail pour que leurs clients aient accès à leurs données.

Il accusait en outre que l'agence n'avait pas mis en place des mesures efficaces pour protéger de telles données, ni de système de surveillance pour garantir la sécurité du portail en question.

Mme Owsianik avançait pour sa part que le système informatique d'Equifax à l'époque de la fraude était obsolète et que l'agence n'a pas tenu compte des conseils d'experts externes en cybersécurité, qui l'avaient avertie au sujet d'anomalies dans son système informatique.

Décision de la Cour d'appel

La Cour d'appel a toutefois débouté, vendredi, Mme Owsianik et M. Obodo, en donnant raison à Equifax et Trans Union, confirmant ainsi les jugements des tribunaux inférieurs.

Elle écrit dans la cause d'Equifax que les délits intentionnels exigent, de manière générale, que le défendeur (ici les deux agences, NDLR) adopte la conduite proscrite avec un état d'esprit spécifié. Or, ce n'est pas le cas dans cette cause.

Si l'agence ne se livre pas à une action qui équivaut à une atteinte à la vie privée, son insouciance à l'égard des conséquences de ses autres actions, comme le stockage d'informations, ne peut engager, selon le tribunal, sa responsabilité pour atteinte à la vie privée de la plaignante.

L'entreposage négligent de données personnelles par Equifax ne peut constituer une atteinte aux intérêts des plaignants ou une intrusion dans leurs affaires concernant la confidentialité de leurs informations, conclut-il.

La Cour divisionnaire de l'Ontario.

La Cour d'appel de l'Ontario au centre-ville de Toronto.

Photo : AVEC L'AUTORISATION DE SARA LITTLE

Dans le cas de M. Obodo, la Cour d'appel écrit que Trans Union n'est pas responsable en droit du fait d'autrui, c'est-à-dire des actions d'une tierce partie.

En clair, ce sont des pirates informatiques qui ont perpétré la fuite de données personnelles et l'agence n'a pu y participer en toute connaissance de cause.

Les deux agences de crédit ne peuvent donc être considérées comme des complices indirects, même si elles ont apparemment manqué à leur devoir de s'assurer que les données personnelles des plaignants étaient sécurisées et bien entreposées.

La Cour d'appel rappelle que les accusations des plaignants ne sont que des allégations et qu'aucun fait n'a été prouvé devant une cour de justice.

Les deux recours collectifs étant maintenant mieux définis, les plaignants peuvent reprendre leurs procédures contre les deux intimés au sujet de leurs autres accusations : rupture de contrat, négligence, atteinte aux droits des consommateurs et violations des lois canadiennes sur la protection des renseignements confidentiels.

Dans un courriel, Equifax se réjouit, sans autres commentaires, de la décision de la Cour d'appel qui confirme le jugement antérieur de la Cour divisionnaire.

L'agence Trans Union n'a pas répondu à nos demandes d'entrevue.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

En cours de chargement...