Un ancien employé a déposé une demande d’action collective contre Equifax Canada et Equifax, alléguant que l’agence d’évaluation du crédit a permis à l’un de ses partenaires tiers d’accéder à son dossier de crédit sans son consentement, en se fondant sur un compte frauduleux ouvert à son nom auprès de ce partenaire. L’employé travaillait alors à la stratégie des données commerciales chez Equifax.
Cette demande d’action collective constitue un rappel important pour les investisseurs et les personnes inscrites touchés par la fuite de données de l’Organisme canadien de réglementation des investissements (OCRI) de vérifier régulièrement les consultations effectuées sur leurs dossiers de crédit.
La demande a été déposée le 22 janvier devant la Cour supérieure du Québec, à Montréal, par le cabinet d’avocats Twin Lisbet.
« Nous défendrons vigoureusement ces allégations par les voies juridiques appropriées, a assuré Equifax Canada dans un communiqué transmis par courriel. Equifax joue un rôle important dans la vie financière des consommateurs, et nous prenons cette responsabilité très au sérieux. »
L’entreprise a ajouté qu’elle continuera de se concentrer sur la mise à disposition de « solutions avancées et de mesures de protection de pointe dans l’industrie » pour ses clients.
L’ancien employé affirme que des entrées ou consultations liées à son dossier de crédit Equifax sont apparues plus de 19 fois par l’entremise de Borrowell. Cette entreprise de technologie financière fait partie des plateformes tierces autorisées par Equifax à transmettre des demandes de divulgation de dossiers de crédit, selon la demande judiciaire.
(Borrowell met notamment de l’avant l’accès gratuit aux cotes de crédit pour les utilisateurs inscrits à sa plateforme, bien que les consommateurs puissent généralement obtenir leur cote de crédit gratuitement en ligne.)
L’ancien employé d’Equifax dit avoir découvert ces entrées lorsqu’il a consulté la section « demandes » de son dossier de crédit Equifax, selon la requête. Il affirme que le compte Borrowell avait été créé à l’aide d’une adresse vieille de plusieurs décennies, d’une fausse adresse courriel et d’un faux numéro de téléphone, mais qu’il a tout de même permis d’accéder à son dossier de crédit Equifax.
Selon la demande, les plateformes tierces s’appuient sur des mécanismes comparables de correspondance, de validation et de transmission exploités et contrôlés par Equifax. « Les mécanismes automatisés de correspondance d’Equifax ont accepté une correspondance fondée sur des renseignements partiels, inexacts ou obsolètes […] sans procéder à une vérification d’identité renforcée ni détecter adéquatement les incohérences », allègue la demande.
En plus de s’appuyer sur les lois fédérales et provinciales en matière de protection de la vie privée, la demande cite également la fuite de données d’Equifax survenue en 2017 pour étayer ses arguments. Cette brèche, qui avait touché près de la moitié de la population américaine ainsi qu’environ 19 000 Canadiens, avait mené à un règlement avec la Federal Trade Commission des États-Unis et d’autres autorités, comprenant notamment l’obligation de mettre en place un programme de sécurité de l’information.
« Cet historique place Equifax dans une position de connaissance accrue et lui impose un standard de prudence renforcé », soutient la demande d’action collective.
Julie Kuzmic, responsable de la défense des consommateurs et de la conformité chez Equifax à Toronto, avait indiqué à Investment Executive l’automne dernier qu’à la suite de la fuite de données de 2017, l’agence d’évaluation du crédit avait investi des milliards de dollars dans ses infrastructures informatiques et qu’elle met à niveau et surveille continuellement ses systèmes.
Les consultations du dossier de crédit de l’ancien employé n’ont toutefois pas eu d’impact sur sa cote de crédit.
L’OCRI offre actuellement deux ans de surveillance du crédit auprès d’Equifax et de TransUnion aux personnes touchées par la fuite de données détectée en août dernier.
Le 14 janvier, l’OCRI a indiqué qu’environ 750 000 investisseurs avaient été affectés par l’incident et, à l’automne dernier, l’organisme avait informé les personnes inscrites concernées que leurs renseignements personnels avaient été compromis.