Action collective contre un centre de services scolaire
Un ancien élève dépose une demande d’action collective contre le Centre de services scolaire des Appalaches, après qu’un vol de données a exposé ses informations sur le web caché.
Le demandeur, identifié par les initiales K.L., est représenté par Me David Assor du cabinet Lex Group.
Le demandeur est à présent avocat fiscaliste, membre du Barreau depuis 2021.
Il entend être désigné représentant du groupe composé de « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus par le défendeur et ont été compromis lors de la violation de données survenue le 25 août 2025 ou vers cette date, ou qui ont reçu un courriel ou une lettre du défendeur les informant de cette violation de données ; ou tout autre groupe ou sous groupe à déterminer par le tribunal ».
De 2009 à 2014, le demandeur était élève à la Polyvalente de Thetford-Mines, qui est gérée par la défenderesse. En 2012, le demandeur a participé à un voyage scolaire en Europe, pour lequel il a dû fournir une copie de son passeport à l’établissement.
Le 25 août 2025, une attaque en rançongiciel parvient à s’introduire dans les systèmes numériques du Centre de services scolaire des Appalaches. L’auteur de la cyberattaque prétend avoir volé 180 gigaoctets de données. Le même jour, des informations personnelles sont publiées sur le web caché. Le 10 septembre, d’autres informations personnelles sont également dévoilées.
Un mois plus tard, le 24 septembre, le Centre de services scolaire des Appalaches informe le demandeur qu'une brèche de données est survenue un mois plus tôt, et que des informations personnelles sur le demandeur et les membres du groupe ont été volées. Ces données sont son nom, sa date de naissance, son genre, et une copie d’un ancien passeport qui comporte notamment sa photo. Ces informations ont déjà été publiées sur le web caché.
Par ailleurs, la défenderesse a déjà subi une première attaque par rançongiciel dix ans plus tôt, sans avoir sécurisé ses systèmes depuis, allègue le demandeur.
Ces faits poussent le demandeur à affirmer que le Centre de services scolaire des Appalaches a commis de multiples fautes et négligences. La défenderesse a attendu 31 jours avant de prévenir le demandeur et certains membres du groupe, les exposant à un risque accru de fraude et de vol d’identité. Elle n’a pas mis en œuvre des normes de sécurité des données efficaces, ni crypté les informations personnelles, ni corrigé les vulnérabilités après la première cyberattaque.
De plus, la défenderesse a conservé des informations personnelles pendant une période abusivement longue, soit plus de 12 ans, bien au-delà de ce qui était absolument nécessaire, pointe la demande d’action collective.
Enfin, le demandeur allègue que la défenderesse n’a pas offert ni payé immédiatement pour des services de surveillance de crédit et des alertes de fraude pour tous les membres du groupe, choisissant d'économiser de l'argent au détriment de leur protection.
Le demandeur souhaite que la Cour supérieure condamne la défenderesse à payer aux membres du groupe des dommages compensatoires pour les pertes monétaires et les dommages moraux causés par la perte d’information. Les frais subis concernent des remplacements de documents et des services de surveillance de crédit.
Il réclame également que la défenderesse soit condamnée à payer 1 000 $ à chaque membre du groupe à titre de dommages punitifs pour la violation de leur droit à la confidentialité.
