Le 26 mars 2021, la Cour supérieure a rendu un jugement d’intérêt en matière de perte de renseignements personnels. Voici un résumé des éléments essentiels à retenir de l’affaire Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM)1.
Résumé de la décision
L’action collective est intentée par M. Lamoureux qui prétend que ses renseignements personnels ont été volés en raison de la perte d’un ordinateur portable appartenant à un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (l’« OCRCVM »). L’ordinateur portable perdu était non crypté et contenait des informations concernant des milliers de clients des firmes de courtages membres de l’OCRCVM.
La Cour supérieure rejette l’action collective pour les motifs suivant :
- les craintes, la colère, les désagréments, le stress et les inquiétudes vécus par les membres sont des inconvénients normaux liés à une perte de renseignements personnels et ne sont pas suffisants pour être considérés comme des dommages susceptibles d’être indemnisés;
- le lien entre la perte de l’ordinateur et les utilisations illicites, comme la fraude ou l’usurpation d’identité, alléguées par certains membres n’a pas été démontré;
- l’OCRCVM a réagit de manière diligente selon les circonstances.
Tout d’abord, la Cour rappelle qu’il n’est pas nécessaire que les renseignements personnels aient été utilisés de manière illicite afin de soutenir une réclamation. De plus, la Cour précise que les éléments suivants seront considérés pour déterminer l’octroi de dommages lors de la perte de renseignements personnels :
- quelle partie a fait les démarches et a payé les frais pour les services de protection de l’identité et du crédit;
- l’existence de preuve à l’effet que la perte des renseignements personnels est liée à un usage non désiré ou illicite de ces derniers;
- la possibilité d’octroyer des dommages punitifs si l’entité responsable des renseignements personnels a commis une faute intentionnelle ou n’a pas pris les mesures requises selon ce qui est attendu dans ces circonstances.
Les bonnes pratiques
Dans cette affaire, l’ordinateur perdu était uniquement protégé par mot de passe. Les politiques internes de l’OCRCVM prescrivaient pourtant deux niveaux de protection. Si l’ordinateur avait été crypté, le risque d’utilisation malveillante des données qu’il contenait aurait été beaucoup plus limité, car il est très facile d’accéder à des données non cryptées. De là l’importance pour les organisations de toute taille de protéger adéquatement leur matériel technologique, surtout lorsqu’il contient des renseignements personnels, et de faire de la cybersécurité une priorité.
Voici une liste d’éléments qui ont contribué au rejet de l’action collective envers l’OCRCVM et qui peuvent donc être considérés comme de bonnes pratiques à suivre en cas de perte ou de vol de renseignements personnels :
- procéder à des enquêtes et à des vérifications internes;
- informer la police rapidement en cas de perte ou de vol d’un appareil contenant des renseignements personnels;
- recourir à des spécialistes pour identifier quels sont les renseignements personnels impliqués dans l’incident;
- mettre en œuvre une stratégie de gestion des risques découlant de la perte de renseignements personnels;
- aviser les commissariats de protection de la vie privée;
- aviser les personnes concernées par la perte des renseignements personnels en les informant notamment de la nature des renseignements ayant fait l’objet de la perte, des mesures à prendre pour protéger leurs renseignements personnels, des ressources à contacter s’ils ont des questions, de leur inscription sans frais aux alertes et à la surveillance gratuite de leur dossier de crédit;
- publier un communiqué de presse concernant la perte de renseignements personnels.
Conclusion
En résumé, ce récent jugement de la Cour supérieure nous permet d’en apprendre davantage au sujet des éléments qui seront pris en considération par les tribunaux en matière d’octroi de dommages lors de la perte de renseignements personnels. Il permet également d’illustrer ce qui constitue de bonnes pratiques à suivre par les organisations lors d’un vol ou de la perte de renseignements personnels.
Pour être en mesure de mettre en œuvre ces pratiques jugées diligentes, plusieurs contrôles de cybersécurité doivent être en place. N’hésitez pas à communiquer avec nos experts chez MONDATA pour en apprendre davantage sur les solutions qui s’offrent à vous!
1 2021 QCCS 1093.
Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.