Action collective contre l’OCRI
L'Organisme canadien de réglementation des investissements (OCRI) a-t-il violé les droits fondamentaux des personnes dont les données ont été volées dans ses systèmes numériques ?
C’est ce que devra trancher la Cour supérieure, devant laquelle a été déposée une demande d'autorisation d'une action collective.
Le demandeur, identifié sous les initiales M.O., est représenté par Me David Assor du cabinet Lex Group.
Jusqu’en 2012, M.O. a été courtier au sein d'une firme de valeurs mobilières réglementée par l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM). Depuis, l’organisme a été remplacé par l’OCRI. Quand il était courtier, le demandeur a fourni de nombreuses informations personnelles, requises par le régulateur.
M.O. entend être nommé représentant des membres du groupe constitué de « toutes les personnes au Canada dont les informations personnelles ou financières étaient détenues par le défendeur et ont été compromises lors de la violation de données survenue le ou vers le 11 août 2025, ou qui ont reçu un courriel ou une lettre du défendeur les informant de cette violation de données ».
La demande d'autorisation d'une action collective allègue que l’OCRI « a abusivement attendu plus d'un mois avant de tenter de contacter » les personnes dont les données personnelles et financières ont été obtenues par des tiers non autorisés qui ont infiltré les systèmes du régulateur.
Alors que ces tiers non autorisés ont eu accès aux données le 11 août 2025, l’OCRI a envoyé une notification au demandeur autour du 9 septembre 2025. Celui-ci ne l’a lui-même reçue que dans la semaine du 22 septembre.
Or, l’OCRI était consciente de la brèche de sécurité dès le jour de l'intrusion dans ses systèmes, soit le 11 août.
Plus précisément, les données relatives aux sociétés de courtage en fonds communs de placement, aux sociétés de courtage en valeurs mobilières, et aux individus inscrits ont pu être touchées.
La liste des données volées est longue, allègue le demandeur: son nom, son adresse résidentielle, sa date de naissance, son pays de naissance, son adresse électronique, son sexe, la couleur de ses yeux et de ses cheveux, sa taille, son poids, toute infraction civile ou pénale éventuelle, ainsi que l'enquête complète menée par l’OCRI sur le demandeur, ainsi que toute information fournie par le demandeur lors de son inscription auprès de l’OCRI, à savoir le numéro de passeport, les informations relatives aux investissements et aux bénéficiaires, les informations financières, les informations concernant d'autres activités externes, les numéros d'étudiant et les numéros de licence non liés à la sécurité.
Le fait que l’OCRI se soit engagé à fournir deux ans de service de surveillance du crédit au demandeur représente une admission de la gravité de la violation des données et de la menace qui pèse sur le dossier de crédit et l'identité du demandeur, affirme celui-ci.
Selon le demandeur, la perte de données par l’OCRI « constitue une violation illégale des droits fondamentaux des membres du groupe, ce qui rend le défendeur responsable du paiement de dommages-intérêts compensatoires, moraux et punitifs ».
En conséquence, le demandeur souhaite que la Cour supérieure condamne l’OCRI à verser aux membres du groupe des dommages-intérêts compensatoires pour toutes les pertes financières et les préjudices moraux causés par la perte des informations relatives aux membres.
Le tribunal devrait également condamner le défendeur à verser 1 000 $ à chaque membre du groupe, à titre de dommages-intérêts punitifs pour l'atteinte illégale et intentionnelle à leur droit à la vie privée.
