Ayant engendrée des poursuites par les actionnaires, par les consommateurs titulaires de cartes et par les institutions financières, la brèche de sécurité dans les Systèmes de paiement de Heartland a sans aucun doute causé bien des maux de tête à l’entreprise de traitement de paiements. Cette défaillance dans les systèmes utilisés pour le traitement des transactions par carte Visa®, MasterCard®, American Expression® et Discover® se serait soldée par le vol de quelque 130 millions de numéros de carte de crédit et de débit. En somme, il s’agirait de la plus importante atteinte à la protection de données jamais répertoriée aux États-Unis.

Dans la foulée de cette affaire, des consommateurs titulaires de cartes et des institutions financières ont introduit des recours collectifs contre Heartland pour les pertes résultant de cette brèche de sécurité. À la suite à cette poursuite, Heartland aurait convenu de payer jusqu’à 2,4 millions de dollars en règlement aux membres du groupe ayant soumis des réclamations valides. Aux termes du règlement proposé, Heartland assumerait en outre les frais d’administration du règlement, y compris jusqu’à 1,5 million de dollars pour les frais de communication d’avis aux membres du groupe du recours collectif et jusqu’à 760 000 $ de frais juridiques. Heartland a par ailleurs « convenu de soumettre le rapport d’un expert indépendant sur les mesures et plans de Heartland pour l’amélioration de la sécurité de ses systèmes informatiques ». Ce règlement est encore a être approuvé par un tribunal.

Les actionnaires de Heartland avaient également introduit un recours collectif contre la société et deux membres de sa haute direction alléguant une fraude en matière de valeurs mobilières. Ils prétendaient que la présentation de l’état général de la sécurité de Heartland dans ses annonces des résultats et dans les documents déposés auprès des autorités en valeurs mobilière était inexacte au point d’être frauduleuse. Ils prétendaient en outre que Heartland avait dissimulé l’attaque de requêtes SQL qui avait, à terme, donné lieu à la subtilisation de l’information. Heartland a finalement réussi à faire rejeter la poursuite par les tribunaux.

Plus récemment, Heartland a annoncé qu’elle avait conclu un règlement avec Visa Inc. et American Express relativement à la brèche en question. D’après les rapports publiés, Heartland paiera à Visa jusqu’à 60 millions de dollars US et à American Express jusqu’à 3,6 millions de dollars US pour des dommages causés à ces sociétés à la suite de la brèche. Le règlement Visa/Heartland avait été accepté sous réserve d’un certain nombre de conditions, notamment l’acceptation par les institutions financières commanditant 80 % des cartes de crédit et de débit Visa dont la sécurité avait été compromise. Heartland a indiqué que cette condition avait été remplie par une approbation de plus de 97 % des institutions votantes. Le règlement de Heartland éclipse l’entente de 49,9 millions de dollars US intervenue entre TJX et Visa® à la suite de l’atteinte à la sécurité des systèmes informatiques de TJX.

Remarques de McCarthy Tétrault

Tel qu’il ressort de la saga Heartland, les atteintes à la sécurité peuvent donner lieu à une série de poursuites de la part des différents intervenants. Au Canada, les atteintes à la sécurité peuvent également donner lieu à des enquêtes des commissaires à la vie privée. La contestation et le règlement d’une poursuite judiciaire ou d’une mesure réglementaire réelle ou imminente sont coûteuses tant en argent qu’en temps pour les sociétés visées. La saga Heartland illustre à quel point il est important que les sociétés mettent en œuvre des mesures pour empêcher les brèches de sécurité et se montrent vigilentes dans la surveillance, la vérification, le contrôle et la mise à jour de ces mesures de sécurité. Elle illustre également l’importance d’établir une politique claire pour répondre en temps opportun aux atteintes à la sécurité.