Données personnelles

Les commissaires à la vie privée enquêteront sur Desjardins

La Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada feront enquête conjointement sur le Mouvement Desjardins sur la fuite massive de renseignements personnels de 2,9 millions de membres des caisses populaires.

Dans un bref communiqué commun diffusé hier en fin d’après-midi, les deux commissariats indiquent que « leurs enquêtes permettront de déterminer si l’organisation [Mouvement Desjardins] a respecté la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec, et la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada ».

Les deux commissariats indiquent aussi que, « bien que Desjardins exerce l’essentiel de ses activités au Québec et est assujetti à la loi provinciale, il est également assujetti à la loi fédérale pour les activités qu’il exerce dans d’autres provinces ».

C’est pourquoi, disent-ils dans leur communiqué commun, les deux commissariats « ont donc décidé de collaborer pour les fins de ces enquêtes ».

En début de soirée, hier, la direction du Mouvement Desjardins n’avait pas réagi au déclenchement de ces enquêtes.

Quant à leur déroulement, on n’est pas encore en mesure chez les commissariats d’en préciser la durée, prévue au-delà de « quelques mois sans doute ».

On envisage également la publication d’un rapport d’enquête par chacun des deux commissariats, en fonction de leur législation respective, mais sans exclure la possibilité que des portions importantes de ces rapports soient préparées conjointement.

Selon les résultats de ces enquêtes, a-t-on aussi indiqué à La Presse, la possibilité d’imposer des « ordonnances administratives » chez Desjardins ou des sanctions plus sévères, comme des amendes pour infraction aux lois fédérale ou provinciale, relèvera de chacun des deux commissaires, selon leur champ de compétence.

Ces enquêtes chez Desjardins s’annoncent d’une ampleur rare dans l’histoire récente de ces deux commissariats.

Un précédent : Equifax

Le plus récent coup d’éclat en la matière remonte au mois d’avril dernier.

Dans un rapport virulent, le Commissariat à la protection de la vie privée du Canada avait semoncé la firme de cote de crédit Equifax – celle-là même embauchée récemment par Desjardins pour protéger ses membres touchés par la fuite – pour avoir enfreint la loi canadienne et s’être dérobée à ses obligations envers les Canadiens pendant et après une cyberattaque mondiale en 2017.

Plus de 143 millions de personnes dans le monde, dont 19 000 Canadiens, avaient été touchées par un accès non autorisé aux systèmes de l’agence d’évaluation du crédit Equifax qui s’était produit en mai 2017, mais avait été divulgué quatre mois plus tard.

Dans son rapport, les reproches du commissariat fédéral envers Equifax portaient notamment sur des mesures de sécurité insuffisantes ; une conservation des renseignements pendant une période trop longue ; des procédures de consentement inadéquates ; une absence de reddition de comptes à l’égard des renseignements des Canadiens ; et des mesures de protection limitées offertes aux personnes touchées après cette atteinte mondiale.

En réprimande, Equifax Canada et sa société mère aux États-Unis avaient dû signer un « accord de conformité » sur quelques années auprès du commissaire fédéral et prendre des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données.

— Avec La Presse canadienne

« De 5 à 10 minutes d’attente »

Les membres qui ont appelé hier chez Desjardins pour activer leur forfait de surveillance Equifax ont pu être servis après « de 5 à 10 minutes d’attente, ce qui est un délai raisonnable », a déclaré Jean-Benoit Turcotti, conseiller en communication chez Desjardins.

La Presse a constaté de facto à deux reprises la rapidité du service. Un nouveau menu « pour activer le forfait de surveillance d’Equifax ou toute question en lien avec la fuite de données » a été ajouté dans le message automatisé de réponse. Les deux fois, un préposé a pris l’appel en moins de quelques secondes.

Il s’agissait du premier jour d’application de la « solution complémentaire » annoncée par Desjardins, visant à désengorger les services d’Equifax, débordés la semaine dernière. 

« Actuellement, nous avons 1000 personnes qui répondent au téléphone pour servir les membres », précise M. Turcotti, qui ne pouvait toutefois fournir une estimation du nombre de clients qui ont utilisé le nouveau service. Il a rappelé l’importance pour les clients d’avoir en main toutes les informations pertinentes, et surtout le code d’activation qui leur a été envoyé par la poste. « Il y a certaines personnes qui sont encore en attente de la lettre et qui nous contactent quand même dans l’espoir d’avoir leur code. »

AccèsD à venir

Cela dit, l’inscription directement sur le site d’Equifax pour les quelque 2,9 millions de membres qui ont été victimes du vol de leurs données « demeure le moyen privilégié, et il est maintenant beaucoup plus stable », a-t-il assuré. Hier, en fin d’après-midi, les problèmes de serveurs chez Equifax semblaient effectivement réglés, selon ce que La Presse a constaté.

Desjardins peaufine toujours son application AccèsD, qui pourra être utilisée pour activer le forfait Equifax. « Nos tests se poursuivent, on souhaite avoir quelque chose de pleinement fonctionnel d’ici le milieu de la semaine », a confirmé le porte-parole.

M. Turcotti a par ailleurs déploré que certains fraudeurs tentent de profiter de la controverse dans laquelle est plongée l’institution financière pour tenter d’hameçonner les membres. Des textos affichant un lien cliquable, qui demande ensuite des informations confidentielles, ont été envoyés à plusieurs personnes, a-t-il confirmé.

« Nos équipes de TI sont en vigie constante et, dès qu’on en a eu connaissance, tout a été mis en place pour y mettre fin rapidement. On rappelle à nos membres qu’on ne communiquera pas avec eux par texto, et jamais nous ne leur demanderons de renseignements personnels par texto ou par courriel. »

Québec « très satisfait »

À Québec, le ministre des Finances, Eric Girard, s’est dit « très satisfait » de la façon dont la direction du Mouvement Desjardins a géré jusqu’à maintenant la crise majeure qui secoue l’institution financière depuis quelques semaines. Tout en qualifiant la situation de « très sérieuse », il a refusé de se prononcer sur la suite des choses. « Chaque chose en son temps », a dit M. Girard, en marge de la réunion hebdomadaire du Conseil des ministres, tenue exceptionnellement un lundi.

— Avec La Presse canadienne

Ottawa ne remplacera pas les numéros d’assurance sociale

Ottawa — Le gouvernement fédéral s’engage à protéger les numéros d’assurance sociale (NAS) des victimes du vol de données au Mouvement Desjardins, mais pas à les remplacer, comme le demandent des dizaines de milliers de pétitionnaires.

« Le gouvernement du Canada est déterminé à protéger les NAS contre la fraude et l’usage inapproprié », a-t-on signalé au bureau du ministre responsable du dossier, Jean-Yves Duclos, en disant comprendre « l’inquiétude » des personnes touchées.

« Notre gouvernement est en communication avec l’Autorité des marchés financiers [AMF] afin d’offrir tout le soutien nécessaire dans ce dossier », a-t-on indiqué dans la même déclaration.

Dans les coulisses, on dit cependant que remplacer les NAS des quelque 2,9 millions de membres à qui l’on a ravi cette information serait un véritable casse-tête. Remplacer cette donnée est par ailleurs « très rare », le nombre de cas s’établissant à environ 60 par année depuis 2014.

Et « cela ne protégerait pas nécessairement la personne de fraude subséquente ni de vol d’identité », a-t-on souligné en guise de réaction à une pétition lancée la semaine dernière pour réclamer un remplacement des NAS, qu’ont signée plus de 85 000 personnes.

Le président du Bureau canadien du crédit, Sylvain Paquette, abonde dans le même sens. « Ce n’est pas réaliste. Quand on change de numéro d’assurance sociale, on reste responsable de l’ancien », a-t-il exposé en entrevue avec La Presse.

« Il faut vraiment retourner en arrière, tout changer. C’est la victime qui a le fardeau de la preuve, et ce serait à elle d’aviser toutes les institutions depuis l’émission du numéro, les aviser qu’il a été changé », a-t-il spécifié.

RÉUNION D’URGENCE À OTTAWA

Le Parti conservateur a demandé et obtenu hier la convocation d’une réunion d’urgence du Comité permanent de la sécurité publique et nationale pour faire le point sur cette affaire de vol d’informations personnelles.

La rencontre aura lieu la semaine prochaine, au moment « le plus opportun pour tous », a signalé le président du comité, le libéral John McKay – qui ne pouvait faire autrement que d’accéder à la demande des trois conservateurs et du néo-démocrate du comité.

L’élu conservateur qui a piloté la démarche, Pierre Paul-Hus, a indiqué à La Presse que si la possibilité d’émettre de nouveaux NAS pourrait être débattue, « ce n’est probablement pas la meilleure solution ».

Lui-même personnellement victime de ce vol de données, le conservateur estime qu’il a un rôle à jouer. « Les gens s’attendent à ce que leur gouvernement leur donne un coup de main et leur donne rapidement des pistes de solution », a-t-il plaidé.

Des témoins devraient être entendus dès la semaine prochaine lorsque les députés du comité convergeront vers la colline du Parlement afin de discuter de ce vol de données massif.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.