Disque dur égaré : Recours collectif contre le gouvernement fédéral

28 octobre 2015

En janvier 2013, le gouvernement fédéral révélait qu’un disque dur portatif contenant des informations personnelles de plus d'un demi-million de bénéficiaires de prêts étudiants avait disparu. Entreposé dans les bureaux du ministère des Ressources humaines et du Développement des compétences du Canada (RHDCC) à Gatineau au Québec, le disque dur portatif a été perdu sans laisser de traces, exposant ainsi des bénéficiaires de prêts étudiants au vol d'identité et à la fraude potentielle.

Une action en recours collectif vise donc le gouvernement fédéral. Selon un article du Toronto Star, la Cour d’appel fédérale a accepté la poursuite en recours collectif intenté par les étudiants. Aux instances inférieures, cette demande avait été refusée, parce qu’il n’y avait aucune preuve qu'une information manquante ait été utilisée pour des activités frauduleuses. La Cour d’appel a donc accepté la cause, sur le principe que lorsqu'un procès implique une violation de contrat et la négligence, les dommages spécifiques ne doivent pas être démontrés avant que la cause ne soit entendue au tribunal. Cela signifie que dans le cas où il s'avérerait que les informations perdues l'aient été par négligence, les victimes n'ont pas besoin de prouver que les renseignements personnels ont effectivement été interceptés par des criminels, avant qu’ils ne soient en mesure de poursuivre.

Deux ans et demi après sa disparition, le disque dur n’a pas encore été localisé. Il contenait les données personnelles détaillées de 583 000 personnes, qui ont participé au Programme canadien de prêts aux étudiants (PCPE) entre 2000 et 2006. Les fichiers manquants répertoriaient les noms des étudiants, leur numéro d’assurance sociale, leur date de naissance, leurs coordonnées, le solde des prêts, mais aussi les coordonnées de 250 fonctionnaires du ministère.

Un rapport sur l’incident a été publié un an après la disparition du disque dur. Il a démontré que tout ceci résultait d'un manque de vigilance. Le disque dur ne comportait pas de mot de passe au moment de sa disparition. À ce sujet, un porte-parole d'Emploi et développement social Canada (EDCS), a mentionné que les instances gouvernementales avaient déjà pris des mesures pour s'assurer que rien de semblable ne se produise à nouveau. On aurait procédé à la correction des lacunes qui ont permis que cela se produise, mis à jour les pratiques de sécurité du réseau pour interdire les disques durs externes et mis en place une formation obligatoire pour tous les employés (concernés) sur la manipulation des informations sensibles et personnelles.

Le recours collectif reproche à l’agence gouvernementale d'avoir été négligente. La décision faisant qu'il ne soit pas nécessaire de prouver l'existence de dommages et d'aller de l’avant avec ce type de cas pourrait avoir des « implications profondes pour d’autres cas similaires », selon un article publié dans le Toronto Star.

« Toute la zone de recours collectifs portant sur la protection de la vie privée et des litiges numériques sur la violation de la confidentialité en est à ses balbutiements au Canada, » a déclaré l’avocat Ted Charney, qui représente les plaignants dans l’affaire. « Cette décision représente un précédent (…↑). »

Vous pouvez travailler avec diligence afin de réduire les risques que vos données soient révélées dans une brèche de sécurité, mais la protection de toutes vos informations est impossible. Si vous croyez que vos informations ont été divulguées sans votre autorisation, un service de surveillance du crédit peut vous alerter en présence d’activités qui pourraient indiquer une fraude dans votre dossier de crédit.

01