Insulté par la « mauvaise gestion » de la cyberattaque dont Suncor, propriétaire des stations-service Petro-Canada, a été victime en juin, un Québécois vient de déposer une demande d’autorisation pour une action collective afin de faire payer la pétrolière canadienne.

«Ça ne peut pas marcher de même. Je ne peux pas tolérer ça», lance Esteben Harguindeguy, conseiller syndical de métier.

Membre du programme de fidélité Petro-Points depuis au moins 15 ans, il s’est rendu dans la même station-service Petro-Canada que d’habitude pour mettre de l’essence dans sa voiture, le 21 juin dernier, à Repentigny.

Sauf que ce jour-là, il n’a pas été en mesure de le faire. «Le commis m’a dit qu’ils étaient victime d’une cyberattaque et que rien ne fonctionnait», raconte M. Harguindeguy.

Quand il revient à la maison, il cherche des informations sur Internet, mais en vain. Il ne trouve rien au sujet d’une attaque informatique chez Suncor, à qui les 1500 stations-service Petro-Canada appartiennent.

Puis le 26 juin, l’entreprise indique sur Twitter qu’elle est en train de répondre «à un incident de cybersécurité». «À l’heure actuelle, certains de nos établissements n’acceptent que l’argent comptant et la connexion à notre application et aux Petro-Points n’est pas disponible», écrit-on alors sur le compte officiel @petrocanada.

« ls prennent la peine d’écrire ça sur Twitter, mais jamais ils ne nous ont écrit à nous, les clients», s’insurge le conseiller syndical.

Plus que des informations «de base»?

Plus de deux semaines plus tard, le 6 juillet, Suncor annonce que les pirates ont pénétré la voûte numérique du programme Petro-Points pour mettre la main sur « les coordonnées de base » des membres, soit la date de naissance et le courriel.

L’avocat d’Esteben Harguindeguy est d’avis qu’il s’agit là d’une tactique pour atténuer la gravité de la cyberattaque.

«[Suncor] a fait preuve de négligence tant dans la protection des données des membres que dans leur protection après la violation des données», écrit Me Joey Zukran, de LPC Avocat, dans la demande d'action collective déposée le 7 juillet.

En entrevue, il ajoute que les données financières et même celles de géolocalisation des clients de Petro-Points ont pu être subtilisées par les pirates.

«En plus, quand les stations-service n’acceptaient que l’argent comptant, les clients devaient utiliser un guichet automatique de la RBC en magasin pour retirer des espèces avec un frais de 3$», décrit-il.

Pour toutes ces raisons, l’avocat a accepté de représenter Esteben Harguindeguy au nom de «toutes les personnes au Canada dont les renseignements personnels ou financiers détenus par Petro-Canada ont été compromis».

Ils demandent que Suncor paye pour leur abonnement au service de protection Equifax Complet, afin de protéger l’identité des victimes de la cyberattaque.

Ils souhaitent aussi que Suncor verse des dommages-intérêts punitifs à tous les membres de l’action en raison de la perte de leurs informations privées, sans mentionner de montant précis.