Un tribunal de l’Ontario a approuvé des propositions de règlement de recours collectif avec la Banque de Montréal (BMO) et la CIBC concernant des brèches de cybersécurité impliquant des milliers de clients.
La Cour supérieure de justice a entériné les règlements et les plans de distribution destinés à résoudre les poursuites contre ces banques. Celles-ci découlent d’un vol de données qui a touché plus de 10 000 clients de l’unité Simplii Financial de la CIBC et plus de 113 000 clients de la BMO en 2018.
Les parties ont conclu des accords l’automne dernier pour régler l’action contre BMO pour 21,2 millions de dollars (M$), et contre CIBC pour 1,8 M$.
Le tribunal a approuvé les règlements et le plan de distribution des fonds.
Les règlements proposés regroupent les clients touchés en fonction de l’ampleur des renseignements personnels exposés dans l’atteinte à la protection des données, et prévoient des niveaux d’indemnisation différents selon ces groupes.
« Dans les deux règlements, des montants plus importants sont proposés pour les personnes dont le NAS et la date de naissance ont été compromis, par rapport aux membres du groupe qui ne l’ont pas été », a noté le tribunal.
Les deux banques avaient déjà indemnisé des clients pour des transferts frauduleux à partir de leurs comptes, ce qui a coûté 6,85 M$ à la BMO et 1,8 M$ à la CIBC, selon le tribunal.
Elles ont également fourni aux clients concernés une surveillance gratuite de leur crédit et une assurance contre le vol d’identité, ainsi que d’autres compensations.
Le tribunal a indiqué que certains des clients concernés ont exprimé des inquiétudes quant à la possibilité que leurs renseignements personnels soient affichés en ligne à l’avenir.
« Ce risque demeure une possibilité, mais il est atténué parce que la police a procédé à des arrestations […] au Canada relativement à ces violations de données », a indiqué le tribunal, qui a noté que la grande majorité des clients ne s’est pas opposée aux règlements proposés.
Le tribunal a également noté que les règlements proposés « se comparent favorablement » à une affaire similaire concernant une violation de données chez Home Depot, qui comprenait le vol d’adresses électroniques et peut-être de numéros de cartes de crédit.
En fin de compte, le tribunal a déclaré qu’il était « convaincu que l’accord de règlement proposé est équitable, raisonnable et dans le meilleur intérêt du groupe ».