Fuite internationale de renseignements personnels : un nouveau dossier ira de l’avant au Québec
7 octobre 2022
Auteur: Nicholas Daudelin.
La Cour supérieure du Québec a récemment autorisé une nouvelle action collective en matière d’incident de confidentialité dans le cadre de laquelle des dommages associés aux frais encourus par les victimes de l’incident pour assurer la surveillance de leur dossier de crédit, aux fraudes en découlant et au stress subi sont réclamés (Zuckerman c. MGM Resorts International, 2022 QCCS 2914). Des dommages-intérêts punitifs font aussi partie de la réclamation en raison de l’atteinte à la vie privée qui aurait été subie, un droit protégé par la Charte des droits et libertés de la personne.
MGM Resorts International (MGM) exploite des complexes hôteliers et des casinos à Las Vegas aux États-Unis. En juillet 2019, elle découvre qu’une source externe a accédé à ses systèmes et téléchargé des dossiers contenant des renseignements visant ses clients, incluant leurs noms, numéros de téléphone, courriels et dates de naissance. Aucune information financière ni de mots de passe font cependant partie de la fuite. Des milliers de clients résidant dans plusieurs juridictions sont touchés, dont environ 167 000 Québécois.ses. Plutôt que d’aviser immédiatement et systématiquement l’ensemble des clients visés par l’incident, MGM ne le fera qu’à l’égard d’un nombre limité d’entre eux.
Février 2020, la nouvelle d’un incident de confidentialité survenu chez MGM se répand sur le Web. L’information obtenue par les pirates est également rendue disponible, incluant sur le « Dark Web ». MGM décide alors d’aviser l’ensemble des clients visés par l’incident et de leur offrir, à ses frais, une année de service de surveillance de leur dossier de crédit par l’entremise de la société Équifax.
Insatisfait de cette offre, Evan Zuckerman dépose une demande d’autorisation d’une action collective contre MGM, reprochant à l’entreprise plusieurs fautes, soit de (1) ne pas avoir mis en place en amont des mesures suffisantes pour protéger la confidentialité des renseignements personnels, (2) d’avoir tardé à aviser les clients concernés et de l’avoir fait de manière inadéquate, (3) de ne pas avoir elle-même et sans délai dès l’incident de confidentialité émis des alertes sur les dossiers de crédit des clients afin de les protéger de toute fraude et (4) d’offrir une protection post-incident insuffisante.
Dans le cadre de sa contestation, MGM soutient que les clients n’ont pas d’attentes raisonnables de vie privée à l’égard des informations obtenues par les pirates, et que ces derniers ne pourront en tirer un profit quelconque. La Cour rejette cet argument et souligne que, bien qu’il n’y ait pas d’informations financières en jeu, l’information obtenue permet tout de même à des pirates d’en tirer profit à l’aide de stratagèmes comme le « SIM Swapping » et les campagnes de « spear-phishing » [1].
La Cour conclut également que, bien qu’il soit vrai que la survenance d'une fuite de renseignements personnels n'entraîne pas automatiquement l'existence d'un dommage indemnisable, ceux allégués par le demandeur sont suffisants au stade de l’autorisation. Rappelons que les « désagréments, angoisses et craintes ordinaires que toute personne vivant en société doit régulièrement accepter [2]» ne franchissent pas le seuil d’un dommage indemnisable en droit. Or, la Cour distingue les cas où l’inconvénient allégué se limite au fait d’avoir à surveiller de manière plus étroite son dossier de crédit en raison d’un incident de confidentialité – ce qui fait partie des « désagréments ordinaires » – des situations comme celles sous analyse, où la victime de la fuite a subi des inconvénients plus importants, comme par exemple avoir dû mettre en place des mesures de protection du crédit et d’alerte, obtenir des rapports de crédit, annuler des cartes de crédit ou fermer des comptes. La Cour souligne également que le fait pour MGM d’avoir réagi uniquement après que les données eurent été rendues disponibles sur le Web pourrait avoir créé un préjudice excédant l’« angoisse ordinaire » généralement non indemnisable.
Il sera intéressant de suivre la décision au mérite sur ce dossier, notamment quant à la portée des obligations qui incombent à une entreprise à la suite d’un incident de confidentialité. La portée des mesures de protection offertes aux victimes à la suite de l’incident de confidentialité sera au cœur de l'analyse du tribunal. Les conclusions de la Cour pourront permettre d’éclairer l’ensemble des entreprises quant aux mesures de mitigation à mettre en place auprès de la clientèle touchée par une fuite de renseignements personnels.
[1] Le « SIM Swapping » est une fraude commise à l’égard de l’identité d’un individu. Le fraudeur arrive à obtenir l’assignation du numéro de téléphone portable d’une personne à une nouvelle carte SIM. Cela permet ensuite d’accéder aux comptes de l’individu victime du vol d’identité à partir d’un autre appareil. Le « spear-phishing » est également une forme de fraude quant à l’identité d’une personne. Il s’agit d’un procédé par lequel le fraudeur envoie à même un compte de messagerie légitime, à titre d’exemple, des courriels à des personnes ciblées afin d’en tirer un avantage (obtention de sommes d’argent, de renseignements confidentiels permettant de commettre d’autres fraudes, etc.)
[2] Li c. Équifax inc., 2019 QCCS 4340, para. 31