La Cour fédérale du Canada a certifié le recours collectif déposé contre le gouvernement du Canada concernant la série de cyberincidents qui ont eu lieu entre mars et septembre 2020 et qui ont ciblé les comptes de l’Agence du revenu du Canada (ARC) de plus de 45 000 Canadiens.
Les cyberincidents, selon le gouvernement à l’époque, utilisaient le bourrage d’identifiants, où les mots de passe et les noms d’utilisateur collectés lors de précédents piratages dans d’autres organisations sont saisis pour accéder aux comptes de l’ARC.
Le recours collectif, qui a été intenté en août 2020, nécessite d’abord une certification de la Cour fédérale pour déterminer si l’affaire doit, en fait, être traitée comme un recours collectif. Pour déterminer cela, le tribunal examine généralement, entre autres facteurs, s’il existe un groupe identifiable (un grand groupe de personnes concernées), une question commune au groupe et s’il existe un demandeur représentatif approprié.
Le représentant demandeur, Todd Sweet, résident de la Colombie-Britannique, prétend qu’il s’est connecté à son compte en ligne de l’ARC en juillet 2020 après avoir été avisé par courriel que ses renseignements sur le dépôt direct avaient été modifiés et que, le 29 juin 2020, en utilisant son compte, un inconnu et une personne non autorisée avait fait quatre demandes de prestation canadienne d’urgence (PCU), un programme lancé par le gouvernement pour fournir une aide financière aux Canadiens admissibles pendant la pandémie de COVID-19.
Il fait partie, selon l’avis de certification, d’un groupe potentiel de milliers de personnes dont les comptes en ligne, accessibles via la clé de service d’identification de marque du gouvernement du Canada (GCKey), étaient vulnérables aux pirates.
Sur les 48 110 utilisateurs de « Mon dossier ARC » qui ont été touchés, 12 700 ont vu le cybercriminel modifier les informations bancaires de dépôt direct du contribuable et demander frauduleusement la PCU. Les comptes d’Emploi et Développement social Canada (EDSC) auraient été les plus touchés par l’attaque.
Le recours collectif allègue donc que le gouvernement a fait preuve de négligence dans la protection des renseignements confidentiels des Canadiens, qui ont subi des dommages, notamment des coûts pour prévenir le vol d’identité, des atteintes à la réputation de crédit, de la détresse mentale, des sommes retirées de leurs comptes bancaires sans leur consentement, du temps perdu dans des communications avec l’ARC, EDSC et d’autres organismes gouvernementaux, et plus encore.
Le gouvernement nie tout acte répréhensible.
Le demandeur demande au tribunal d’ordonner au gouvernement du Canada de verser une indemnité pour, entre autres, l’atteinte présumée à la vie privée et pour les services de surveillance du crédit qui pourraient être nécessaires pour réparer le préjudice causé.
Toute personne concernée dont le compte en ligne du gouvernement a été consulté via GCKey entre le 1er mars 2020 et le 31 décembre 2020 est automatiquement incluse dans ce recours collectif.
Si un membre du groupe souhaite s’exclure, il peut le faire en envoyant un courriel à l’avocat du recours.
La date du procès n’a pas encore été fixée.
Adaptation et traduction française par Renaud Larue-Langlois.