C'est le monde à l'envers. Le shérif des courtiers qui veille normalement à la protection du public va devoir se défendre d'avoir mis en péril la vie privée de 52 000 investisseurs.
La semaine dernière, la Cour supérieure a autorisé une action collective contre l'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), qui a égaré les renseignements personnels des clients de 32 firmes de courtage en 2013.
En fait, un employé de l'OCRCVM a perdu dans le métro son ordinateur portable contenant des renseignements confidentiels qui n'étaient pas cryptés. Estimant qu'il s'agit d'une erreur grossière, l'avocat qui pilote le dossier, Me Louis Demers du cabinet Clément Davignon, réclame des dommages punitifs de 500 $ par personne, ce qui représente un montant de 26 millions de dollars.
Il demande aussi des dommages moraux pour le stress causé aux victimes dont l'identité a été compromise, ainsi qu'une indemnisation pour les dommages subis par les personnes qui ont fait l'objet de vol d'identité et de fraudes à répétition à cause de la bourde de l'OCRCVM.
Par exemple, Danny Lamoureux, qui agit à titre de requérant dans l'action collective, a découvert en 2015 que des fraudeurs avaient ouvert des comptes sous son nom à de nombreux endroits : Capital One, Canadian Tire, Banque de Montréal, TD, Réno-Dépôt, Desjardins, etc.
Pourtant, l'OCRCVM avait assuré aux victimes qu'il avait pris des mesures nécessaires pour les protéger, notamment en payant pour un service d'alerte auprès des agences de crédit TransUnion et Equifax. Manifestement, ces mesures ont été un échec, indique la requête.
La requête allègue aussi que l'OCRCVM a minimisé la nature des données qui ont été compromises.
Par exemple, M. Lamoureux s'est aperçu que les fraudeurs avaient notamment utilisé une copie de son permis de conduire qu'il avait donné à son courtier, pour obtenir du crédit. Il a aussi constaté que les fraudeurs disposaient d'une foule de renseignements (date de naissance, couleur des yeux, taille, numéro d'assurance sociale, adresse de son employeur, etc.) qui allaient bien au-delà de ce que l'OCRCVM lui avait dit.
M. Lamoureux a dû faire de nombreuses démarches qui lui ont coûté cher pour tenter de rétablir la situation. Et cela n'a pas été facile, car les fraudeurs avaient faussement rapporté le vol de son portefeuille et fait changer son adresse auprès d'Equifax, qui a ensuite refusé de parler au « vrai » M. Lamoureux.
ACTION AVORTÉE
Une première action collective avait été intentée contre l'OCRCVM à propos de la même violation de confidentialité. Mais elle n'a jamais passé l'étape de l'autorisation, car le tribunal a statué qu'il n'y avait pas de dommages suffisamment graves et pas de preuves de vols d'identité reliés à l'événement.
Ces dernières années, plusieurs cas de violation de confidentialité ont débouché devant les tribunaux.
En 2012, la Banque Nationale a réglé une action collective visant le vol de données de 225 000 clients hypothécaires contenues sur un ordinateur portable volé. Sony PlayStation a aussi réglé une action collective à cause d'attaques sur ses réseaux informatiques. Chrysler Finance et Target font aussi l'objet de poursuites, sans oublier Equifax, dont les failles du système informatique ont causé le piratage de quelque 143 millions de consommateurs.
Photo André Pichette, Archives La Presse
Me Louis Demers