Le 7 septembre 2017, Equifax annonçait que les données personnelles d’environ 143 millions d’états-uniens, soit environ la moitié de la population des États-Unis, avaient été piratées. Il s’agissait de données personnelles particulièrement sensibles, ce qui n’est pas surprenant vu la nature des activités d’Equifax : adresses, numéros d’assurance sociale, dates de naissances, etc.

Les avocats se sont aussitôt activés : quelques jours plus tard, Equifax faisait déjà face à des dizaines de recours collectifs, comme par exemple celui-ci en Oregon. De son côté, Equifax a mis sur pied un site Internet afin de détailler sa version des faits et des actions qu’elle comptait prendre. Après un nouveau scandale, Equifax a renoncé à ce que les mesures de mitigation offertes aux consommateurs états-uniens soient liées à une renonciation au droit de joindre une action collective.

Quelques jours plus tard, nous apprenions que quelques 100 000 consommateurs canadiens pourraient également avoir été touchés par la même brèche de sécurité d’Equifax. Ici aussi, la réaction des avocats ne s’est pas fait attendre: quelques recours collectifs ont été entrepris, comme celui-ci en Ontario par la firme Sotos LLP, laquelle souhaite représenter l’ensemble des consommateurs canadiens touchés par le piratage, y compris au Québec.

Ces recours collectifs des deux côtés de la frontière mettent bien en évidence les différences importantes qui existent relativement au cadre législatif de la protection des données personnelles par les agences de crédit.

Au Canada, la protection des renseignements personnels est assurée par des lois générales comme la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la protection des renseignements personnels dans le secteur privé, lesquelles s’appliquent à l’ensemble des industries.

Or, au États-Unis, le législateur prend une approche plus sectorielle, c’est-à-dire en légiférant pour chaque industrie de façon distincte. Ainsi, les agences de crédit comme Equifax doivent se conformer au Fair Credit Reporting Act (FCRA), laquelle contient de nombreuses obligations relativement à la protection des renseignements personnels des consommateurs.

Or, le FCRA contient certaines clauses pénales, applicables dans un recours en responsabilité civile, qui obligent les agences de crédit à payer un montant minimal au consommateur pour chaque violation. Les consommateurs peuvent ainsi, dans le cadre d’actions collectives, contourner l’obligation de prouver leurs dommages, ce qui peut s’avérer difficile en matière de vol de renseignements personnels :

« Most of the complaints bring their claims under the Fair Credit Reporting Act, a 1970 federal law that imposes data-security requirements on consumer-reporting firms. The FCRA gives consumers rights to access their credit and ensure their credit file is accurate. The law offers per-violation damages that could be easier to prove than actual damages, but is little tested in the area of data-breach litigation. »

Ainsi, par exemple, dans ce recours collectif institué en Géorgie, les demandeurs allèguent ce qui suit en ce fondant sur le FCRA :

« Plaintiffs and the Nationwide Class members have been damaged by Equifax’s willful or reckless failure to comply with the FCRA. Therefore, Plaintiffs and each of the Nationwide Class members are entitled to recover “any actual damages sustained by the consumer . . . or damages of not less than $100 and not more than $1,000.” 15 U.S.C. § 1681n(a)(1)(A). »

Maintenant, qu’en est-il des dommages au Canada? Bien que les tribunaux canadiens sont de plus en plus enclins à accorder des dommages pour ce type de préjudice depuis quelques années, en quoi le vol de certaines informations confidentielles cause-t-il un dommage réel, lequel est susceptible d’être compensé monétairement?

Le recours collectif Ontarien de Sotos LLP fait référence à de probables vols d’identité qui pourraient découler de la brèche de sécurité, mais cela reste encore hypothétique à ce stade. Sans clause pénale fixant un montant minimal comme aux États-Unis, la tâche risque d’être plus ardue de notre côté de la frontière…

Dans la même veine, suite au dévoilement du scandale Equifax au Canada, le Commissaire fédéral à l’information et la vie privée en a profité pour demander une révision législative lui conférant notamment des pouvoirs d’enquête et la faculté d’imposer des amendes, tout comme son homologue aux États-Unis. Même son de cloche de la professeure Teresa Scassa qui déplore que le Commissariat à l’information et à la vie privée ne peut imposer aucune pénalité aux compagnies récalcitrantes.

Il faudra attendre quelque peu pour savoir si les différences législatives entre le Canada et les États-Unis en matière de protection des informations personnelles par des agences de crédit se résorberont. Les républicains travaillent en ce moment même aux États-Unis à déréglementer les agences de crédit (!), notamment en plafonnant les montants recouvrables par des actions collectives en vertu du FCRA :

Even as millions of consumers grapple with fallout from the Equifax data breach, Republican lawmakers are quietly backing legislation to deregulate credit agencies and make them even less accountable for wrongdoing.

« Bills are pending in Congress to limit class-action damages for violations of the Fair Credit Reporting Act and to give credit agencies more latitude in profiting from identity theft protection products.

The legislation is part of sweeping efforts by Republican lawmakers to reduce oversight of banks and other financial-services firms, and to cripple or eliminate the Consumer Financial Protection Bureau, which has notched a successful track record of holding industry players accountable for unfair and illegal practices.

Democrats, for their part, introduced a bill Friday — the Freedom from Equifax Exploitation Act — that would require credit agencies to allow people to freeze and unfreeze their files at no cost, and that calls upon the CFPB to play a greater role in overseeing the companies. »

Il reste à voir si les gouvernements canadien et québécois iront plutôt en sens inverse, en s’inspirant de la législation états-unienne actuelle pour renforcer notre corpus législatif…