Piratage informatique – aucune obligation d’indemnisation et de défense en vertu d’une clause d’exclusion applicable sauf lorsque la responsabilité contractuelle et extracontractuelle de l’assuré peut être engagée suite à un événement
Aldo Group Inc. c. Chubb Insurance Company of Canada, [2016] QCCA 554.
Groupe Aldo inc. (« Aldo ») en appelle du jugement de la Cour supérieure confirmant la position de Chubb du Canada Compagnie d’Assurance (« Chubb ») à l’effet qu’elle n’a pas l’obligation d’indemniser et d’assumer la défense d’Aldo et ce, en raison de l’application des clauses d’exclusion stipulées à la police.
L’appel est rejeté et la Cour d’appel mentionne que cette affaire est singulière et n’est pas destinée à faire école. Elle découle des « relations dédaléennes » unissant les émetteurs de cartes de crédit, les banques et autres institutions financières, les entreprises de traitement de paiement, les commerçants et leurs clients de même que du texte de la police d’assurance.
Pour permettre à ses clients de faire des achats avec leurs cartes de crédit MasterCard, Aldo conclut une entente avec Moneris Solutions Corporation (« Moneris ») dans laquelle Moneris agit à titre personnel, mais également à titre de mandataire de la Banque de Montréal (« BMO »). Parallèlement, afin de fournir des cartes de crédit à ses clients et de permettre aux marchands d’utiliser des cartes MasterCard, BMO conclut un contrat avec MasterCard aux termes duquel BMO se rend responsable du défaut d’un marchand de respecter les règles de sécurité d’informations qui lui sont imposées.
En septembre 2008, Aldo fait l’objet d’un piratage et les informations de clients ayant utilisé des cartes BMO/MasterCard sont visées. Ce piratage découle directement d’un manquement aux obligations de sécurité prévues à son contrat avec Moneris et BMO. Ainsi, en avril 2011, Aldo se voit contrainte de payer un montant de 4 891 628,13 $ à BMO et ce, en remboursement du montant que BMO a elle-même dû verser à MasterCard aux termes du contrat ci-dessus.
En mai 2011, Aldo intente une action contre Moneris et MasterCard alléguant respectivement la responsabilité contractuelle et extracontractuelle de chacune. Aldo reproche, entre autres, à MasterCard d’avoir été négligente et de chercher à s’enrichir de façon injustifiée et allègue que la réclamation de celle-ci à l’endroit de BMO n’était pas justifiée. Sur la base de son contrat d’assurance responsabilité, Aldo demande à Chubb d’assumer sa défense dans cette action.
La Cour d’appel mentionne que bien que l’obligation de défendre soit généralement appliquée en cas de recours intenté contre l’assuré, elle peut l’être pour des recours intentés par l’assuré si l’intention des parties et les termes de la police sont clairs à cet effet. C’est le cas en l’espèce, l’action intentée par Aldo répondant à la définition d’une réclamation aux termes de la police. Dans ce contexte, Chubb est donc contrainte de supporter Aldo dans son recours contre Moneris et MasterCard et d’en absorber les frais.
À la lecture d’une des clauses d’exclusion de la police, la cour confirme la position de Chubb. Cette clause prévoit que Chubb n’est pas responsable d’une réclamation découlant des obligations contractuelles d’Aldo ou résultant de ces obligations à moins que cette même réclamation ait un fondement extracontractuel ayant pour effet d’engager la responsabilité d’Aldo. En l’espèce, Aldo s’est vue contrainte de rembourser le montant de 4 891 628,13 $ à BMO uniquement en raison de ses obligations contractuelles envers cette dernière. Si elle n’avait pas conclu de contrat avec Moneris et BMO, sa responsabilité pour ce montant n’aurait jamais été engagée. La clause d’exclusion trouve donc application.