Un investisseur et un ancien inscrit dont les renseignements personnels ont été volés lors de la brèche de cybersécurité subie l’an dernier par l’Organisme canadien de réglementation des investissements (OCRI) ont demandé à un tribunal de la Colombie-Britannique d’autoriser une action collective contre le régulateur. Au nom d’autres membres potentiels du groupe, les deux demandeurs soutiennent que l’OCRI a fait preuve de négligence dans la protection des renseignements personnels et réclament des dommages-intérêts pour les pertes alléguées.
L’un des demandeurs est un résident de la Colombie-Britannique détenant des comptes de placement auprès de deux grandes banques, et l’autre est un résident de l’Ontario, ancien inscrit auprès de l’OCRI. Selon la recherche nationale d’inscription des Autorités canadiennes en valeurs mobilières (ACVM), l’inscription de ce dernier a pris fin en 2023. La présente publication ne divulgue pas l’identité des demandeurs, l’affaire portant sur des questions de protection de la vie privée.
Le 18 août dernier, l’OCRI a indiqué avoir détecté une menace de cybersécurité le 11 août. Le régulateur a confirmé le 9 septembre que des renseignements personnels d’inscrits actuels et anciens avaient été compromis, puis, le 14 janvier, il a annoncé qu’environ 750 000 investisseurs avaient également vu leurs renseignements personnels volés.
La demande — la deuxième visant le régulateur — a été déposée le 13 février devant la Cour suprême de la Colombie-Britannique, à Vancouver, par le cabinet Slater Vecchio. Elle est intentée au nom de « toutes les personnes physiques ou morales, à l’exception des résidents du Québec », dont les renseignements ont été consultés lors de la brèche à l’OCRI.
« Les Canadiens sont tenus de fournir des renseignements financiers et personnels hautement sensibles à des organismes de réglementation comme l’OCRI, s’attendant à ce qu’ils soient protégés de manière rigoureuse », résume Anthony Vecchio, conseiller du roi et associé chez Slater Vecchio, l’un des avocats des demandeurs, dans un communiqué récent.
« Lorsque cette confiance est rompue par une cyberattaque, les conséquences peuvent être graves et durables, notamment une augmentation des risques de vol d’identité, de fraude et d’atteintes continues à la vie privée. Cette action vise à tenir l’OCRI responsable et à rappeler que la protection des renseignements personnels constitue un élément fondamental du mandat d’intérêt public de tout organisme de réglementation. »
L’OCRI a refusé de commenter, puisqu’il s’agit d’une affaire judiciaire en cours.
La demande allègue que les « pertes et/ou dommages subis par les demandeurs et les membres du groupe », y compris les coûts liés à une surveillance de crédit à long terme et à des assurances, « étaient des conséquences raisonnablement prévisibles de la négligence de l’OCRI ». Plus précisément, le préjudice allégué découlerait des « actes et omissions » de l’OCRI dans la « conception, la mise en œuvre, l’exploitation et la sécurité de ses systèmes de technologie de l’information ».
Pour étayer l’obligation de l’OCRI de protéger les renseignements personnels et d’en limiter la conservation, la demande invoque les lois fédérales et provinciales en matière de protection de la vie privée, ainsi que les décisions de reconnaissance des commissions provinciales des valeurs mobilières et les règlements administratifs de l’OCRI, dont une section porte sur l’échange d’information.
« L’OCRI a sciemment violé les attentes raisonnables des demandeurs et des membres du groupe en matière de protection de la vie privée », soutient la demande, en ne respectant pas ses obligations légales, ni les modalités prévues dans les décisions de reconnaissance et les règlements administratifs.
Il est également allégué que les renseignements personnels compromis ont été recueillis, traités ou conservés « de manière inadéquate et déraisonnable ». Par exemple, le régulateur n’aurait pas « détruit et/ou anonymisé » ces renseignements lorsqu’ils n’étaient plus nécessaires.
La demande soutient en outre que l’OCRI n’a pas fourni aux personnes touchées un « avis rapide et suffisamment détaillé » quant aux données ayant été compromises.
Les demandeurs réclament des dommages-intérêts généraux et spéciaux pour négligence, des dommages-intérêts punitifs et, dans certaines provinces, des dommages moraux (notamment pour le stress).
L’OCRI fait face à une autre action collective potentielle, déposée en octobre dernier devant la Cour supérieure du Québec au nom de « toutes les personnes au Canada » touchées par la fuite de données du régulateur. Le demandeur dans cette affaire est un ancien inscrit, et la requête allègue également une négligence dans la protection des renseignements personnels. Cette demande n’a pas encore été autorisée.