Capital One et Amazon devront finalement se défendre contre une action collective demandée par le citoyen Michael Royer, qui leur reproche d’avoir été négligents avec ses renseignements personnels et ceux de millions de personnes.

Le juge Bernard Tremblay, de la Cour supérieure, a donné son autorisation, jeudi, à l’exercice de l'action collective contre la banque Capital One du Canada, celle des États-Unis et une filiale financière, ainsi que contre Amazon.com, sa filiale canadienne et trois autres filiales du géant du commerce en ligne.

Il désigne le groupe faisant partie de l'action collective comme étant «toutes les personnes, entités ou organisations qui résident au Québec et qui ont détenu une carte de crédit émise par Capital One ou appliqué pour en obtenir une et dont les renseignements personnels ont fait l'objet d'un accès non autorisé les 22 et 23 mars 2019».

Accès d'une ex-employée

Toute l’affaire découle d’un accès non autorisé par une ancienne employée d'Amazon, Paige A. Thompson, aux renseignements personnels détenus par cette entreprise. Ces renseignements avaient été initialement recueillis par Capital One auprès d’environ 6 millions de Canadiens et 100 millions d’Américains.

Michael Royer reproche essentiellement à Capital One d'avoir conservé trop longtemps les renseignements des citoyens concernés, incluant ceux de membres dont la demande de crédit avait été refusée et de ne pas les avoir hébergés dans un environnement sécuritaire. 

Il s’agit, en fait, de titulaires d'une carte de crédit Costco émise par Capital One qui, vers 2015, a effectué la migration des renseignements personnels de ces clients vers un site d'hébergement moins sécuritaire exploité commercialement par le groupe Amazon. C’est là où Paige A. Thompson avait eu accès à un nombre colossal de renseignements personnels leur appartenant.

Aucune perte ou vol d'identité

Toutefois, il a été démontré que Mme Thompson, qui a subi un procès criminel aux États-Unis, n’a jamais communiqué ces renseignements a un tiers, n’en a jamais fait usage de sorte que personne n’a jamais subi de vol d'identité. 

En analysant la possibilité d’allouer des dommages, le juge Tremblay fait valoir que les demandeurs n’ont pas subi de pertes ou de vol d’identité. Il reconnaît cependant que ceux-ci n’ont bénéficié que durant deux ans d’une vérification et d’une surveillance et estime que ce sera au juge assigné au dossier de décider si une telle protection doit être prolongée et les coûts qu’elle implique défrayés par Capital One et Amazon.

Quant à d’éventuels dommages punitifs, les demandeurs reprochent à Capital One de ne pas avoir respecté les normes et pratiques de l'industrie en matière de sécurité et d’avoir privilégié son association potentiellement lucrative avec Amazon, en conservant à cette fin trop de données trop longtemps et allant de l’avant avec cette migration massive des renseignements personnels vers un site d'hébergement moins sécuritaire.

Niveaux de responsabilité différents

Le juge Tremblay estime que ce sera au tribunal à trancher s’il y a eu conduite négligente et insouciante à l'égard de la confidentialité des renseignements personnels.

Le juge précise toutefois que si la conduite de Capital One pouvait éventuellement donner lieu à  l'octroi de dommages punitifs payables, il en va tout autrement d’Amazon parce que «ce n'est pas elle qui a sollicité cette clientèle, ni contracté avec les membres, ni recueilli ces renseignements personnels auprès de ceux-ci».

Par ailleurs, le juge précise que la volonté des demandeurs d’obtenir une forme d’injonction contre Capital One et Amazon pour les obliger à établir et mettre en place des mesures adéquates de protection et de sécurité pour prévenir et détecter tout accès non autorisé aux renseignements personnels est difficilement applicable.

«Étant formulée en des termes très larges et imprécis, cette conclusion n'est vraisemblablement pas susceptible d'exécution en nature ou forcée», écrit le magistrat.

La tâche du tribunal, en gros, sera de déterminer si Capital One a été fautive en matière de protection des renseignements personnels de ses clients depuis 2004, si la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à Capital One et Amazon.

Il devra aussi déterminer si Capital One et Amazon sont tenus de payer aux membres des coûts pour la surveillance de leurs comptes et relevés de leurs cartes de crédit Capital One pour une durée supérieure à deux ans.

Pierre Saint-Arnaud, La Presse Canadienne