Les clients de Capital One qui ont vu leurs données confidentielles compromises lors d’une énorme violation de la confidentialité en 2019 pourront réclamer des dommages en cour. Un juge de la Cour supérieure du Québec a autorisé mardi une action collective contre la Banque Capital One, Amazon inc. et plusieurs de leurs filiales.
Le juge Bernard Tremblay a reconnu comme plaignant Michael Rodier et a autorisé le cabinet Consumer Law Group à représenter en son nom l’ensemble des consommateurs contre deux groupes de défenderesses, d’une part, la filiale canadienne de Capital One Bank, Capital Financial Corporation et Capital One Bank (USA) National Association, et, d’autre part, Amazon.com inc., Amazon.com.ca inc., Amazon Web Services Canada inc., Amazon Web Services inc. et Amazon Technologies inc.
Amazon est visée par la poursuite parce que Capital One lui avait sous-traité en 2015 le stockage infonuagique de ses données bancaires et que c’est une employée américaine du géant du commerce électronique qui est à l’origine de la violation de la confidentialité.
Cette violation a été rendue publique en 2019, quand il a été révélé que des données personnelles de 6 millions de clients canadiens et de 100 millions de clients américains de Capital One avaient été piratées par une employée d’Amazon à Seattle, Paige A. Thompson.
Le juge Tremblay a désigné le groupe de demandeurs ainsi : « Toutes les personnes, entités ou organisations qui résident au Québec et qui ont détenu une carte de crédit émise par Capital One » ou qui en ont demandé une « et dont les renseignements personnels ont fait l’objet d’un accès non autorisé les 22 et 23 mars 2019 ».
Dommages réclamés
Les informations compromises et rendues accessibles comprenaient notamment des noms, adresses, numéros de téléphone, dates de naissance, numéros d’assurance sociale et autres données constituant le dossier de crédit de millions d’individus concernés, rappelle le juge Tremblay. Au Canada, on estime qu’environ un million de numéros d’assurance sociale ont été compromis.
Dans le procès qui suivra, les demandeurs réclament des dommages pécuniaires non encore quantifiés, des indemnités pour des dépenses liées à la surveillance de leur crédit depuis 2019 et à l’avenir, ainsi que des dommages punitifs.
Les demandeurs reprochent à Capital One et Amazon leur conduite négligente et insouciante à l’égard de la confidentialité des renseignements personnels qu’ils avaient le devoir de protéger.
Les demandeurs allèguent notamment que les renseignements personnels recueillis par Capital One et stockés par Amazon auraient dû être cryptés et mieux protégés contre une effraction par une employée.
Ils reprochent notamment aux défendeurs d’avoir tardé à agir lorsqu’a été connue la violation de la confidentialité. Les demandeurs affirment que la vulnérabilité du système d’Amazon avait été signalée à l’interne le 14 avril 2019 (trois semaines après l’effraction commise par l’employée d’Amazon Paige A. Thompson) et que Capital One ne l’a découvert que le 17 juillet 2019 à la suite d’une communication par un tiers.
Les demandeurs reprochent aussi à Capital One d’avoir tardé à informer ses clients de l’intrusion, puis d’avoir offert seulement deux années de surveillance bancaire gratuite par Equifax et TransUnion, alors que l’intrusion peut faire craindre de la fraude bien après l’expiration de cette mesure.
Données jamais transmises
À ces deux sujets précis, les défendeurs plaident l’absence de dommage : « la preuve offerte au stade de l’autorisation révèle que même si elle a réussi à obtenir accès aux renseignements personnels des membres recueillis par Capital One, puis hébergés dans un espace infonuagique public mis à leur disposition et géré par Amazon, Paige A. Thompson n’a pas, comme cela a été établi durant son procès criminel tenu aux États-Unis, communiqué ces renseignements à un tiers, ni fait un quelconque usage de ceux-ci, de sorte que ni les demandeurs, ni les membres putatifs n’ont subi un vol d’identité et n’en subiront vraisemblablement jamais un », écrit le juge Tremblay, résumant la position de Capital One et d’Amazon.
Paige A. Thompson a été arrêtée en juillet 2019 après un signalement de Capital One au FBI, qui a découvert qu’elle avait aussi accédé aux renseignements personnels d’une trentaine d’autres entreprises et organismes, y compris ceux colligés par le gouvernement du Michigan.
Elle a plaidé coupable en septembre 2022 et a été condamnée au temps déjà passé en prison plus cinq années de probation. Fait rare, le procureur de l’État, qui réclamait sept ans de prison, avait critiqué cette sentence comme étant trop indulgente.
L’atteinte à la confidentialité à la sécurité chez Capital One a suscité de très nombreuses demandes d’action collective, au Canada et aux États-Unis.
Elle pourrait susciter d’autres actions puisque le juge observe que Capital One et Amazon se blâment mutuellement. « Il n’y a pas ou très peu à douter d’ailleurs qu’un litige naisse éventuellement entre Amazon et Capital One, si ce n’est déjà le cas, dans l’éventualité où une action collective est autorisée contre Capital One », écrit le juge Tremblay dans sa décision.