Equifax devra débourser au moins 575 millions de dollars américains (environ 750 millions de dollars canadiens) en vertu d’un accord de règlement conclu avec les autorités fédérales américaines au terme d’une enquête sur une fuite massive de données survenue en 2017.
L’entente avec l’agence d’évaluation de crédit a été annoncée lundi par la Commission fédérale du commerce (FTC), mais elle a aussi été approuvée par la Consumer Financial Protection Bureau (CFPB) et 50 États ou territoires américains.
Elle prévoit qu’Equifax devra verser 300 millions de dollars américains (390 millions de dollars canadiens) dans un fonds permettant de financer des services de surveillance aux clients touchés ou de rembourser des frais déjà déboursés pour se protéger.
La firme devra allonger 125 millions $ US (163 millions $ CA) de plus advenant que le fonds soit épuisé.
La société dont le siège social est à Atlanta devra aussi verser une amende de 175 millions $ US (228 millions $ CA) à 48 États américains, le district fédéral de Columbia et le territoire de Porto Rico, ainsi qu’une amende de 100 millions $ US au CFPB.
Elle devra également fournir six rapports d’évaluation de crédit par année aux clients qui en feront la demande, pour une durée de sept ans, et adopter une série de mesures pour accroître sa sécurité.
Si l’entente est approuvée par un tribunal fédéral de la Georgie qui l’a reçue lundi, elle mettra un terme à l’enquête de la FTC sur ce vol de données perpétrée et aux actions collectives lancées contre la compagnie.
Une histoire de négligence
La FTC souligne qu’Equifax avait été avertie dès mars 2017 qu’une base de données permettant à des consommateurs de vérifier leurs informations personnelles était vulnérable.
Selon l’agence fédérale, des membres de l’équipe de sécurité informatique de la compagnie avaient pourtant demandé à la direction de corriger le tout en 48 heures, mais rien n’avait finalement été fait pour remédier à la situation.
Quelques semaines plus tard, des pirates informatiques ont réussi à profiter de cette faille pour s’introduire dans le réseau de la compagnie et trouver un fichier contenant des codes d’accès administratifs.
Munis de ces informations, les pirates ont pu mettre la main sur les noms, les dates de naissance et le numéro d’assurance sociale de plus de 145 millions d’Américains, et les numéros de carte de crédit de 209 000 d’entre eux.
Des milliers de Canadiens avaient aussi été touchés par cette affaire, qu’Equifax n’avait pas dévoilée publiquement avant le début de septembre 2017.
Le Commissariat à la protection de la vie privée du Canada a conclu en avril dernier que la société avait enfreint la loi sur la protection de la vie privée et s’était dérobée à ses obligations envers les Canadiens pendant et après la cyberattaque.
Des actions collectives ont aussi été intentées contre Equifax au Canada, mais aucune d’elles n’a encore abouti.
En mars dernier, la Cour suprême du Canada a rejeté une requête de la compagnie visant à empêcher un Montréalais, Daniel Li, d’aller de l’avant avec une action collective, sous prétexte que des causes similaires étaient en cours dans d’autres provinces.
Des victimes qui avaient payé pour être protégées
Les victimes sont essentiellement des gens qui avaient payé Equifax pour obtenir leur cote de crédit ou des services de surveillance et de protection contre le vol d’identité.
« Les compagnies qui tirent profit des informations personnelles ont une responsabilité supplémentaire pour protéger et sécuriser les données », a commenté par communiqué le patron de la FTC, Joe Simons.
« Equifax a échoué à prendre les mesures qui auraient pu prévenir cette brèche […] L’entente exige que la compagnie prenne des mesures pour améliorer la sécurité des données à l’avenir », a-t-il ajouté.
L’inaptitude, la négligence et le laxisme de la compagnie en matière de sécurité ont mis en danger l’identité de la moitié des Américains.Déclaration de la procureure générale de l’État de New York, Letitia James
La compagnie avait été vertement critiquée pour sa gestion de cette affaire, qui lui a fait perdre des milliards de dollars en capitalisation boursière, et entraîné la démission de son président-directeur général, Richard Smith.
Le responsable des services informatiques en poste à l’époque, Jun Ying, a aussi été condamné à quatre mois de prison pour délit d’initié. Il avait liquidé ses actions avant que la compagnie ne confirme le piratage.
Au Québec, Equifax s’est retrouvé sous les feux de la rampe après que le Mouvement Desjardins eut fait appel à elle pour soutenir ses 2,9 millions de clients touchés par un vol de données personnelles.
Au début du mois de juillet, le président et chef de la direction de Desjardins, Guy Cormier, a qualifié d’« inacceptables » les délais de réponse trop longs pour les clients inquiets et les difficultés d’Equifax à répondre en français aux clients.Avec les informations de Associated Press, Reuters et Agence France Presse