Des balises pour gérer les pertes de données

En mai, la Cour d’appel a confirmé une décision de la Cour supérieure du Québec, qui avait rejeté une action collective envers l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM). Le demandeur réclamait des dommages punitifs pour des préjudices subis à la suite d’une perte de données.

La Cour d’appel a reconnu la pertinence de la réponse de l’OCRCVM pour surveiller et limiter les conséquences potentielles de cet incident.

L’affaire commence en février 2013, quand un inspecteur de l’OCRCVM oublie son ordinateur portable dans un train. L'ordinateur contenait des informations personnelles concernant 50 000 investisseurs. Un mot de passe protégeait l’accès aux données, mais celles-ci n'étaient pas cryptées.

L’OCRCVM entreprend aussitôt plusieurs actions, qui se révèleront déterminantes plus tard devant les tribunaux.

Dès la perte de l’ordinateur constatée, l’OCRCVM se lance un triple travail de communication, de surveillance et d’enquête. L’organisme informe les investisseurs de la perte de données. Les autorités policières sont prévenues, de même que la Commission d'accès à l'information du Québec et le Commissariat à la protection de la vie privée du Canada. L’OCRCVM écrit aux investisseurs concernés pour les informer de l’incident et des mesures mises en œuvre, notamment un centre d’appels dédié et une surveillance par deux agences d’évaluation de crédit.

L’organisme lance également une enquête interne, et il embauche des consultants indépendants en sécurité informatique pour déterminer quelles données ont été perdues.

Malgré ses efforts, l’OCRCVM devra affronter deux demandes d’action collective. Une fois informé de la perte de données, un investisseur intente une action collective contre l’organisation, en demandant 1 000$ par investisseur concerné. La Cour supérieure rejette la demande d’autorisation, arguant le manque de préjudice indemnisable.

Deux ans plus tard, Danny Lamoureux, un autre investisseur concerné par la perte de données, intente une nouvelle action collective. Celui-ci s’appuie sur un vol d’identité dont il a été victime après la perte de données. La Cour supérieure autorise l’action collective.

Cependant, en mars 2021, la Cour supérieure rejette l’action collective de Danny Lamoureux. Pour la juge Florence Lucas, Lamoureux ne démontrait pas que l’incident avait causé autre chose que des inconvénients mineurs et des inquiétudes banales.

D’un côté, Lamoureux affirmait que la perte de l’ordinateur avait conduit à l’utilisation frauduleuse de ses données, alors que l’OCRCVM avançait que si l’ordinateur avait été utilisé par un malfaiteur, il y aurait eu davantage de fraudes constatées. Le demandeur n’avait pas pu démontrer de lien avéré entre le vol de l’ordinateur de l’inspecteur de l’OCRCVM et le vol d’identité dont il a été victime.

L’OCRCVM a été représentée par Me Anne Merminod, Me Stéphane Pitre et Me Alexis Leray du cabinet BLG. Danny Lamoureux était représenté par Me Louis Demers et Me Alexandra Sorrentino de Gilbert Séguin Guilbeault.

« Cet arrêt illustre l’importance d’une réponse rapide et ciblée, en conformité avec les normes en vigueur, dès la survenance de l’évènement, pointe BLG sur son blogue. Pour faire échec à une demande en dommages-intérêts punitifs, les entreprises et organismes canadiens qui gèrent des renseignements personnels pourront s’inspirer des lignes directrices qu’ont suivies les défendeurs dans cette affaire, notamment dresser la liste des renseignements volés, offrir une protection de crédit aux personnes touchées et s’adjoindre des experts externes. »