Photo by rawpixel on Unsplash

Suite de l’intrusion chez Equifax: de mal en pis?

Le piratage massif de données d’individus fichés chez Equifax est vite revenu dans les actualités ce week-end. Cette fois, c’est de la réaction que plusieurs voient comme inadéquate de l’entreprise dont il s’agit.

Un des problèmes dont il est ici question a trait au fait qu’immédiatement avant de divulguer l’intrusion (la semaine dernière), Equifax a modifié les modalités contractuelles de son service en ligne, en ajoutant une clause qui se lit comme suit :

No Class or Representative Arbitrations. The arbitration will be conducted as an individual arbitration. Neither You nor We consent or agree to any arbitration on a class or representative basis, and the arbitrator shall have no authority to proceed with arbitration on a class or representative basis. No arbitration will be consolidated with any other arbitration proceeding without the consent of all parties. This arbitration provision applies to and includes any Claims made and remedies sought as part of any class action, private attorney general action, or other representative action. By consenting to submit Your Claims to arbitration, You will be forfeiting Your right to bring or participate in any class action (whether as a named plaintiff or a class member) or to share in any class action awards, including class claims where a class has not yet been certified, even if the facts and circumstances upon which the Claims are based already occurred or existed.

En somme, une façon de lire la clause en question est que tout individu qui utilise le service offert gracieusement par Equifax (notamment pour savoir s’il a été parmi les victimes) doit accepter une disposition de nature contractuelle qui lui interdit ensuite d’intenter ou de participer à un recours judiciaire contre Equifax, notamment quant aux suites de l’intrusion en question. On peut aller en arbitrage de façon privée, mais pas participer à un litige judiciaire comme on le fait normalement pour être indemnisé quand la négligence d’autrui nous a causé un préjudice.

Plusieurs s’entendent pour dire que c’est là aller un peu loin dans une tentative pour limiter la responsabilité éventuelle d’une entreprise. Les réactions contre cette tentative de limiter les recours éventuels contre Equifax ne se sont d’ailleurs pas fait attendre ce week-end, suite à quoi la société Equifax aurait publié un communiqué précisant que, selon elle (ahem), cette clause limitant les recours possibles des individus touchés ne s’appliquait pas aux préjudices découlant de l’intrusion elle-même.

À tout événement, l’incident et ses suites continuent de bien mal refléter sur la société Equifax et ses services. Certains s’interrogent aussi notamment quant au délai écoulé entre l’intrusion et son annonce par Equifax, à savoir presque deux mois.

La réaction de l’équipe d’Equifax laisse aussi, semble-t-il, à désirer, alors que le centre d’appel d’Equifax (en fait, celui du sous-traitant auquel elle a confié cette fonction) éprouverait de sérieux problèmes à répondre à ce sujet. On avouera que devoir retéléphoner neuf fois, attendre plus de vingt minutes en attente, pour finalement se faire dire de consulter le site Web peut en indisposer plusieurs, particulièrement dans de telles circonstances.

D’ailleurs, chose particulièrement irritante pour les individus touchés, rares sont ceux qui ont choisi de traiter avec cette entité. En effet, contrairement à la situation normale entre entreprises et individus, une société de crédit (comme Equifax) n’a pas besoin du consentement des individus pour constituer un dossier sur eux. Une intrusion qui expose le genre de renseignements hautement sensibles comme ceux qui ont été piratés ici a donc de quoi en irriter plusieurs.

Certains suggèrent d’ailleurs de mieux encadrer à l’avenir les bureaux de crédit, dont les dossiers s’avèrent être des cibles de choix pour les pirates informatiques, mais que le droit encadre encore relativement peu.