La chaîne d’hôtels MGM Resorts International accusée de négligence dans une fuite de données massive

MGM Resorts International fait l’objet d’une demande de recours collectif l’accusant d’être négligente en ne protégeant pas adéquatement les données de ses clients, et en ne les contactant pas assez rapidement au sujet de la fuite lors d’une violation massive des données l’année dernière.

MGM Resorts exploite des complexes hôteliers, des casinos et des hôtels de luxe célèbres aux États-Unis. La plupart des établissements de MGM sont des hôtels et des casinos à Las Vegas, dans le Nevada.

Le demandeur E.Z. a intenté le recours collectif contre MGM au nom de toutes les personnes au Canada dont les données personnelles et/ou financières ont été compromises lors de la fuite de données qui se serait produite en juillet 2019.

La violation des données concerne les clients qui ont séjourné dans les établissements suivants de MGM :

• MGM Grand (Las Vegas);
• Aria (Las Vegas);
• Bellagio (Las Vegas);
• Circus Circus (Las Vegas);
• Excalibur (Las Vegas);
• Luxor (Las Vegas);
• Mandalay Bay (Las Vegas);
• The Mirage (Las Vegas);
• New York-New York (Las Vegas);
• Park MGM (Las Vegas);
• Signature at MGM Grand (Las Vegas);
• MGM Grand Detroit (Detroit, Michigan);
• Beau Rivage (Biloxi, Mississippi);
• Gold Strike Tunica (Tunica, Mississippi);
• Borgata (Atlantic City, New Jersey);
• MGM National Harbor (Prince George’s County, Maryland);
• MGM Springfield (Springfield, Massachusetts).

Il se peut que d’autres sites de MGM aient également été touchés par la violation des données.

Selon la demande de recours collectif contre la violation des données, MGM a découvert le 10 juillet 2019 qu’un tiers non autorisé avait accédé et téléchargé des informations sur les clients à partir d’un serveur en nuage externe.

Les données sur les clients qui auraient été obtenues lors de la violation des données comprennent les noms, adresses, numéros de téléphone, cartes de crédits, courriels et dates de naissance des clients.

Au lieu d’informer immédiatement les clients concernés de la violation des données, MGM aurait envoyé un courrier électronique à un petit nombre de clients concernés en août 2019 afin de minimiser l’ampleur de la violation des données de MGM.

Selon la plainte, MGM n’a reconnu la violation de données qu’en février 2020, après que le site Web Zdnet.com ait publié un article indiquant que les données personnelles de plus de 10 millions d’anciens clients de MGM avaient été compromises lors de la violation de données en 2019.

E.Z. affirme qu’il n’a pas eu connaissance de la violation des données jusqu’à ce qu’il reçoive un courriel de MGM le 12 juin 2020 – près d’un an après que MGM ait découvert que les données des clients avaient été accédées par un tiers non autorisé.

Le courriel aurait offert à E.Z. une année complète de surveillance du crédit sans frais, et l’aurait informé qu’il pouvait demander à la société effectuant des enquêtes sur la solvabilité Equifax de placer une alerte de fraude dans son dossier de crédit pour protéger ses données.

Lorsque E.Z. a appelé le numéro indiqué dans le courriel de MGM, il aurait été dirigé vers Equifax Canada et aurait dû attendre longtemps avant qu’un agent ne réponde à son appel. Lorsqu’il a réussi à joindre un agent, celui-ci n’a pas voulu confirmer les informations compromises par la violation des données et lui a dit d’envoyer un courriel à MGM pour demander des informations spécifiques sur les données volées.

« Ceci est clairement destiné à forcer les membres du groupe à franchir le plus grand nombre d’obstacles possible et à perdre leur temps, le tout pour qu’ils abandonnent et ne poursuivent plus leurs enquêtes et leurs préoccupations à l’encontre de MGM », prétend le demandeur dans le cadre du recours collectif contre MGM pour violation de données.

« Les données personnelles sont un bien précieux, affirme la plainte contre MGM. Il existe un “marché noir” permettant aux criminels de publier ouvertement des informations personnelles sur un certain nombre de sites Internet dans ce que l’on appelle le Web caché (dark Web). Cette demande augmente la probabilité que les membres du groupe soient victimes d’un vol d’identité ».

Comme il est difficile de retracer l’activité des utilisateurs sur le Web caché, il s’agit d’un « foyer » d’activité criminelle où les utilisateurs peuvent acheter et vendre des numéros de cartes de crédit, de la drogue, des armes à feu et d’autres informations privées, selon les allégations du recours collectif contre la violation des données de MGM.

« Lorsqu’une violation de données touchant 10,6 millions de consommateurs se produit, la partie défenderesse avait l’obligation d’informer immédiatement et précisément ses clients afin de les aider à prévenir toute nouvelle fraude, vol d’identité, perte financière, perte de temps, stress et désagrément », indique la plainte contre MGM pour violation de données.

E.Z. note que MGM a envoyé des courriels aux clients concernés, mais n’a pas publié d’informations sur la violation des données sur son site Web. La plainte pour violation de données indique que MGM n’a pas activé immédiatement les services de surveillance du crédit pour les clients concernés et n’a pas publié les alertes de fraude pour les consommateurs concernés, et a plutôt attendu près d’un an pour offrir ces services afin de protéger leur identité et leurs informations financières.

En conséquence, les consommateurs concernés courent un risque accru de fraude et/ou de vol d’identité, affirme la demande de recours collectif contre MGM pour violation de données.

Avez-vous visité l’un des établissements de MGM concernés ? Êtes-vous inquiet de la violation des données ? Dites-nous ce que vous en pensez dans la rubrique « Commentaires » ci-dessous !

Le demandeur et les membres du groupe sont représentés par Me David Assor du cabinet Lex Group Inc.

La demande d’autorisation de recours collectif contre la violation des données de MGM Resorts est : E.Z. v. MGM Resorts International, Case No. 500-06-001078-209, devant la Cour supérieure du Québec, District de Montréal.

Lisez plus sur les procès et les règlements :

Retards d’indemnisation aux survivants de la rafle des années 60

Des skieurs blessés dans un accident de télécabines lancent un deuxième recours collectif

Le centre de soins de longue durée Woodbridge Vista fait l’objet d’un recours collectif après des décès causés par la COVID-19

Poursuite pour excès de force contre le SPVM

[legal_notice_french]