Recours collectif autorisé dans l’affaire de la fuite de données chez Mackenzie

Un tribunal ontarien a autorisé un recours collectif national contre la société de fonds Mackenzie Financial et la firme de communication réglementaire Investorcom Holdings, à la suite d’une cyberattaque ayant potentiellement exposé les données personnelles de plus d’un million d’investisseurs sur le dark web.

La Cour supérieure de justice de l’Ontario a approuvé la demande de certification du recours, estimant qu’il s’agit de la voie procédurale la plus appropriée pour ce type d’affaires. Le tribunal n’a toutefois pas statué sur le bien-fondé des allégations, se limitant à constater que les demandeurs présentent une cause défendable.

Selon la décision, des pirates informatiques auraient accédé en 2023 à des renseignements personnels de clients de Mackenzie par une faille dans les systèmes d’Investorcom, puis tenté d’obtenir une rançon en échange des données. Le tribunal note qu’il ne fait aucun doute que des informations ont été consultées, mais rien ne prouve qu’elles aient été extraites ni qu’elles ont été vendues sur le dark web.

Mackenzie a offert à ses clients un service gratuit de surveillance du crédit. Le tribunal souligne donc que le juge chargé de l’affaire pourrait conclure que les investisseurs n’ont subi aucun préjudice. Toutefois, les demandeurs soutiennent que le stress, le risque accru de vol d’identité et la nécessité continue de se protéger constituent une atteinte au devoir de diligence, justifiant une indemnisation.

« L’expert des demandeurs cite des exemples où des renseignements personnels dérobés lors d’une fuite de données ont été utilisés frauduleusement plusieurs années plus tard. Les demandeurs soutiennent que ce risque, l’anxiété qu’il engendre et les précautions permanentes imposées aux victimes justifient une compensation », peut-on lire dans la décision.

DEVOIR DE DILIGENCE ET RISQUES FUTURS

La question centrale, selon le tribunal, est de savoir si les défenderesses avaient l’obligation de prévoir et de prévenir une cyberattaque et si les demandeurs peuvent obtenir des dommages-intérêts en l’absence de preuve concrète d’utilisation frauduleuse des données.

Les demandeurs reprochent à Mackenzie et à Investorcom leur négligence dans la protection des données, une violation du devoir de diligence et des préjudices potentiels qui en découlent.

« La question au cœur du litige est de savoir si le devoir des défenderesses s’étend à la protection des clients de Mackenzie contre la perte économique pure ou les pertes potentielles futures, si des cybercriminels obtenaient et utilisaient leurs données personnelles », a précisé le tribunal.

Le juge a conclu qu’il est plausible que les défenderesses aient manqué à leur devoir de diligence, voire à un devoir fiduciaire envers les investisseurs.

« Même en l’absence d’obligation légale précise, la multiplication des lois et règlements sur la protection des données au Canada et ailleurs appuie l’idée que les gardiens de données doivent reconnaître la sensibilité de ces renseignements et ont le devoir de les protéger », souligne la décision.

Le tribunal a également constaté que tous les critères nécessaires à un recours collectif étaient réunis :

• les questions communes à trancher,
• l’existence d’un groupe identifiable d’investisseurs,
• la représentativité du demandeur principal,
• et un plan d’action raisonnable pour le litige.

RECOURS PARALLÈLE EN COLOMBIE-BRITANNIQUE

Le tribunal devait aussi se prononcer sur la portée géographique du recours, puisqu’une poursuite parallèle est en cours en Colombie-Britannique, où le cadre législatif pourrait être plus favorable aux demandeurs.

Le plaignant du recours britanno-colombien, intervenant dans la cause ontarienne, a demandé que les résidents de la Colombie-Britannique soient exclus du recours ontarien pour être intégrés à celui de leur province.

La Cour ontarienne a rejeté cette demande, la jugeant prématurée, car la certification du recours britanno-colombien n’a pas encore été décidée.

« Lorsque plusieurs recours collectifs sont intentés dans différentes juridictions, et que plus d’un est certifié, les définitions des groupes pourront être ajustées selon l’évolution des procédures », a rappelé le tribunal, ajoutant que la motion de certification en Colombie-Britannique est prévue pour décembre.

« Une fois la décision de la cour de la Colombie-Britannique rendue, il pourrait être approprié de revoir la portée ou la composition des groupes concernés », conclut-il.