Archives de catégorie : Appareils électroniques

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Un tribunal américain permet au FBI de colmater les brèches de centaines de serveurs Exchange

Publié le par

On rapportait hier qu’un tribunal du Texas aurait rendu une ordonnance permettant aux forces de l’ordre d’accéder à des serveurs de courriels d’entreprises compromis par des pirates informatiques liés à l’état chinois. Le but: fermer des portes laissées déverrouillées par les attaques récentes d’envergure contre des serveurs Exchange.

Comme on s’en souviendra, des criminels ciblent depuis mars des serveurs affectés de quatre vulnérabilités permettant à des attaquants de les pénétrer et d’en piller les courriels et l’information, etc. Les intrusions résultantes ont notamment permis à des pirates de découvrir les secrets d’entreprises emmagasinés dans leurs serveurs Exchange et de déployer des rançongiciels.

Depuis, bien que Microsoft a déployé des correctifs logiciels, beaucoup d’entreprises tardent à appliquer ces correctifs, sans parler du fait que même une fois ces brèches colmatées, il est trop tard pour des centaines de réseaux d’entreprises déjà pénétrés et dans lesquels les pirates ont eu le temps d’installer des portes dérobées (ou «backdoors»). Si un malfrat vole vos clés de maison et a le temps d’en faire des doubles, êtes-vous toujours en sécurité chez vous une fois vos propres clés récupérées? Évidemment pas.

Devant ce fléau, le département américain de la Justice aurait obtenu qu’on autorise le FBI à accéder aux serveurs touchés par les vulnérabilités en question, par Internet, en donnant une commande de nettoyage aux serveurs qu’on sait infectés. Les forces de l’ordre expriment récemment leur désir d’étendre ainsi la gamme des outils à leur disposition afin de composer avec de pareils problèmes de cybersécurité.  

Dérapage technologique: quand on oblige l’employé à installer une appli de géolocalisation sur son propre appareil

Publié le par

Les médias rapportent cette semaine une histoire intéressante au sujet d’entreprises exigeant que leurs employés installent une appli de géolocalisation sur leur appareil mobile afin de pouvoir suivre certains de leurs déplacements pendant leur journée de travail.

L’histoire en question se passe en Alberta, où une employée prétend que son congédiement récent découle de son refus d’installer l’application Blip que son employeur exigeait qu’elle utilise dorénavant. Cette application permet aux employeurs de créer une zone géorepérable (c’est un mot, ok, je note), en étant ensuite avisés quand un usager sort du périmètre.

Cette affaire soulève des problèmes intéressants relatifs à ce qu’on peut imposer à un individu, notamment dans le contexte d’un emploi, en particulier par rapport à ses données et à son propre appareil, sans parler de la collecte et de l’utilisation de données personnelles liées à son déplacement. Dans la mesure où c’est l’employé qui achète et paie pour l’utilisation de son appareil, un employeur peut-il réellement lui imposer d’installer puis d’activer une appli spécifique au seul bénéfice de l’entreprise? Quand un employé est salarié et n’a aucune possibilité de refuser (sans s’exposer à des sanctions), peut-on réellement parler de consentement? Évidemment pas, d’où le malaise qu’on peut ressentir à la lecture de telles histoires.

D’ailleurs, même si une application comme Blip ne permet pas de localiser l’employé à l’intérieur de la zone et est plutôt simplement pratique pour l’employeur afin d’aider son système de paie (par rapport aux heures travaillées sur place), cela ne signifie pas qu’on soit nécessairement en droit d’exiger l’utilisation de telles applis, du moins pas de cette façon, ni n’importe comment. Oui, un employeur peut très bien demander à son personnel de «pointer» au début et à la fin de son quart de travail (avec une carte et un horodateur), ce qui ne s’étend cependant pas automatiquement à pousser la chose jusqu’à exiger qu’un salarié installe une balise sur son propre appareil. Il s’agit d’un bon exemple de «dérapage technologique» qui tend à survenir quand on innove, en présumant que le contexte qui existait auparavant demeure le même malgré l’évolution de la techno dans un cas précis.

D’ailleurs, de façon générale (au Québec, comme dans plusieurs autres provinces canadiennes), les employeurs devraient généralement réserver l’utilisation de technologies de surveillance pour les cas problèmes, en évitant de mettre en œuvre des systèmes de ce type sans avoir de réel besoin dépassant le fait que cela s’avère pratique pour eux.

Quand un problème particulier se pointe, c’est une chose, mais imposer le port d’une balise à tous les employés sans bonne raison, surtout de la façon dont cela semble s’être fait ici, a certainement de quoi déranger. De plus, offrir à un salarié d’installer volontairement une appli qui lui évitera de devoir pointer manuellement, c’est une chose, lui en imposer une sur son propre appareil, qui générera et utilisera des renseignements personnels, une tout autre.