Un ancien représentant en épargne collective a demandé à la Cour supérieure du Québec d’autoriser une action collective contre l’Organisme canadien de réglementation des investissements (OCRI). Il allègue que l’organisme de réglementation a manqué à son obligation de protéger des renseignements personnels, et réclame des dommages-intérêts. La demande concerne l’atteinte à la cybersécurité survenue l’été dernier, qui a exposé des données personnelles d’inscrits, actuels et anciens.
Le demandeur (dont nous avons convenu de ne pas divulguer le nom) était représentant chez DWM Securities, à Lachine (Québec). Il n’est plus inscrit depuis 2013, selon la recherche nationale des inscriptions des Autorités canadiennes en valeurs mobilières (ACVM).
La demande d’action collective indique que le demandeur souhaite intenter un recours au nom de « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de l’atteinte aux données […] ou qui ont reçu un courriel ou une lettre de [l’OCRI] les informant de cette atteinte ».
Dans une déclaration transmise par courriel, l’OCRI a indiqué que « les allégations contenues dans l’action collective proposée, qui cherche à inclure tous les Canadiens ayant reçu un avis indiquant que leurs renseignements personnels ont été touchés, n’ont pas été prouvées ».
De plus, « l’OCRI est confiant quant à sa position selon laquelle l’organisme a réagi de manière rapide et appropriée », précise la déclaration. « L’OCRI recueille des renseignements personnels dans le cours normal de l’exécution de son mandat et de ses activités d’inscription, d’enquête, d’évaluation de la conformité et de réglementation des marchés. »
Nos tentatives pour joindre le demandeur sont restées sans réponse. La demande a été déposée le 6 octobre devant la Cour supérieure du Québec, à Montréal, par l’avocat David Assor, du cabinet Lex Group, à Westmount (Québec).
L’action collective « n’est pas encore autorisée », précise David Assor en entrevue, et par conséquent, aucun avis officiel n’a encore été transmis aux membres potentiels du groupe. Toutefois, « nous sommes convaincus que [la demande] sera autorisée », précise-t-il.
Les données d’inscription détenues par l’OCRI — y compris des renseignements personnels comme les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux — ont été compromises le 11 août. Tous les courtiers en fonds communs de placement et en valeurs mobilières, ainsi que les personnes physiques inscrites, ont été touchés, y compris les courtiers et individus assujettis uniquement au Québec, selon l’organisme de réglementation. Les firmes membres ont été avisées de l’atteinte le 18 août, et l’OCRI a commencé à envoyer des lettres aux inscrits le 9 septembre pour les informer que leurs données avaient été touchées.
Les renseignements compromis comprenaient notamment des numéros de comptes bancaires, s’ils avaient été fournis dans le cadre de la divulgation de la solvabilité financière, ainsi que des renseignements sur les placements et les bénéficiaires, s’ils figuraient dans la divulgation relative à la propriété de titres et de dérivés.
La demande d’action collective allègue que l’OCRI a fait preuve de négligence à plusieurs égards, notamment en omettant de :
- mettre en œuvre des normes efficaces de sécurité des données conformes aux standards de l’industrie ;
- inscrire immédiatement des alertes de fraude aux dossiers de crédit des membres du groupe après l’atteinte ;
- chiffrer et protéger adéquatement les données personnelles et financières ;
- et aviser rapidement le demandeur et les membres du groupe de l’atteinte.
Selon la demande, le demandeur a reçu un avis environ 42 jours après l’atteinte, soit au cours de la semaine du 22 septembre.
La demande allègue également que l’OCRI « a commis une faute en conservant des renseignements hautement privés, personnels et financiers » du demandeur et des membres du groupe pendant plusieurs années au-delà de ce qui était requis, bien plus d’une décennie dans le cas du demandeur.
Comme le demandeur, « certaines personnes peuvent ne plus exercer — ou avoir changé de carrière — et demeurent néanmoins touchées » par l’atteinte, souligne David Assor.
L’OCRI indique sur son site Web que la collecte des données des inscrits est exigée par les ACVM en vertu du formulaire 33-109F4. L’organisme précise également qu’il « procédera à un nouvel examen de ses politiques de conservation des données ».
En s’appuyant sur la législation québécoise, la demande soutient que l’OCRI est tenu de verser au moins 1 000 $ en dommages-intérêts punitifs à chaque membre du groupe pour la perte de données, en plus de dommages-intérêts compensatoires potentiels (par exemple, des frais engagés pour une protection contre le vol d’identité, comme une assurance) et de dommages moraux (par exemple, le stress).
La demande sollicite l’autorisation d’une action collective nationale devant la Cour supérieure à Montréal.
Si l’action collective est autorisée, aucune démarche ne sera requise de la part des membres du groupe ainsi déterminé, indique David Assor. « Des avis seront envoyés et [les membres] auront ensuite la possibilité de se retirer », explique-t-il.
Pour l’instant, les inscrits peuvent s’inscrire afin de recevoir des avis concernant la demande d’action collective sur le site Web de Lex Group.
Comme cela a déjà été rapporté par cette publication, le Commissariat à l’information et à la protection de la vie privée de l’Ontario (IPC) a indiqué avoir communiqué avec la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir davantage d’information sur l’atteinte à la cybersécurité de l’OCRI après sa survenance. Les organismes d’autoréglementation ne sont pas tenus de signaler les atteintes aux données à l’IPC, mais les institutions provinciales — y compris les organismes de la Couronne comme la CVMO — doivent signaler les atteintes qui posent un risque de « préjudice important ». Dans ce cas-ci, les données compromises avaient été recueillies en vertu de pouvoirs délégués à l’OCRI par la CVMO.
L’IPC a depuis indiqué à cette publication — dans une déclaration transmise par courriel en novembre — qu’il avait communiqué avec la CVMO le 18 septembre.
« On nous a informés qu’aucun dossier sous la garde et le contrôle de la CVMO n’avait été touché par l’atteinte », précise la déclaration.
L’atteinte aux données est survenue environ quatre mois après que la majorité des autorités provinciales en valeurs mobilières ont eu délégué des pouvoirs élargis en matière d’inscription à l’OCRI, et quelques semaines après que l’Autorité des marchés financiers (AMF) ait fait de même.
« Nous ne souhaitons pas commenter les échanges avec l’IPC », dit Debra Chan, spécialiste principale des affaires publiques à la CVMO par courriel. Elle a renvoyé à la réponse des ACVM transmise à cette publication en septembre, selon laquelle la Base de données nationale d’inscription n’avait pas été touchée par l’atteinte.
Tentative antérieure d’action collective liée à l’OCRCVM
Le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité en 2013 après qu’un employé eut perdu un ordinateur portable contenant des renseignements personnels d’investisseurs.
Cette affaire ne peut être directement comparée à la présente. Néanmoins, dans le dossier de l’ordinateur portable, la Cour supérieure du Québec avait rejeté une action collective proposée au nom des investisseurs touchés, concluant qu’il n’y avait aucune preuve que les renseignements compromis aient été utilisés de manière abusive et que l’organisme de réglementation avait « réagi avec diligence », de sorte qu’il ne devait pas être tenu responsable de dommages-intérêts punitifs.
Le tribunal avait statué que le préjudice subi par les investisseurs ne justifiait pas une indemnisation et qu’il constituait des inconvénients normaux « que toute personne vivant en société rencontre et doit accepter ».