Vol de données: demandes d’action collective contre Desjardins

Le président de Desjardins, Guy Cormier, après l'annonce du vol de données
Photo: Paul Chiasson La Presse canadienne Le président de Desjardins, Guy Cormier, après l'annonce du vol de données

Vives inquiétudes exprimées par le commissaire à la vie privée du Canada, dépôt de deux demandes d’autorisation de recours collectif, bonification majeure du programme de surveillance de crédit offert aux clients touchés : Desjardins a pris vendredi la mesure de l’onde de choc provoquée par le vol des données de 40 % de sa clientèle. Et celle-ci durera longtemps.

« Compte tenu du nombre de personnes touchées et de la nature de l’incident, il ne fait pas de doute que cela soulève d’importantes préoccupations sur le plan de la protection de la vie privée », a commenté au Devoir le bureau du commissaire à la vie privée, Daniel Therrien. « Nous n’avons pas ouvert d’enquête officielle pour l’instant, mais le Commissariat est en étroite communication avec Desjardins à ce sujet. »

L’organisme Option consommateurs s’est dit tout aussi préoccupé. « C’est un cas absolument majeur, a soutenu son avocat Alexandre Plourde. Il y a énormément de personnes touchées et le risque qui repose sur les consommateurs est très important : on parle de renseignements qui ne peuvent pas être modifiés — numéro d’assurance sociale, date de naissance et nom. »

Option consommateurs s’inquiète ainsi particulièrement « du fait que les consommateurs seront exposés à long terme à la possibilité d’un vol d’identité. On parle de plusieurs années. Ça soulève d’énormes préoccupations. »

Pris d’assaut sur les réseaux sociaux et dans ses centres d’appels par des clients inquiets des conséquences à long terme de la fraude dévoilée jeudi, Desjardins a d’ailleurs procédé dès vendredi matin à un ajustement de la principale mesure annoncée la veille pour rassurer ses clients.

 
Equifax

La protection gratuite à laquelle ces derniers pourront souscrire chez Equifax pour déceler les signes d’un vol d’identité a ainsi été portée à cinq ans. C’est cinq fois plus que le plan initial annoncé par le président du Mouvement Desjardins, Guy Cormier.

« Ce qu’on nous recommandait, c’était d’y aller avec une protection d’une année », a justifié le vice-président aux communications de l’entreprise, Marc-Brian Chamberland. « On a naturellement écouté les préoccupations des gens depuis l’annonce. »

Selon le Mouvement Desjardins, qui travaille avec la police de Laval, les renseignements personnels de 2,7 millions de membres et de 173 000 entreprises se sont retrouvés à l’extérieur de l’organisation à la suite de l’action d’un employé « malveillant ». Il s’agit du plus important événement du genre pour l’organisation, qui a congédié l’homme en question. Aucune accusation n’a encore été déposée, mais l’enquête policière se poursuit.

Sur le front judiciaire, l’événement a déjà mené au dépôt de deux demandes de recours collectifs en Cour supérieure — à Québec par le cabinet Siskinds Desmeules, et à Montréal par LPC Avocat et Kugler Kandestin.

Des lacunes dans la protection des données personnelles et l’incertitude à long terme engendrée par le vol sont au coeur de ces demandes. La première chiffre à 2,9 milliards les dommages compensatoires, un montant « à parfaire », ce à quoi s’ajouteraient des dommages punitifs de 290 millions. Cela équivaudrait à environ 1100$ par membre. Desjardins n’a pas voulu commenter les procédures.

Pourquoi Equifax ?

Quoi qu’il en soit, Desjardins a bien réagi en se tournant rapidement vers Equifax, juge Alexandre Plourde — et cela même si la firme a été durement blâmée en avril dernier dans un rapport du commissaire Therrien. Equifax n’a pas souhaité commenter vendredi.

« En matière de vol d’identité, surveiller son dossier de crédit est la démarche recommandée par toutes les associations de consommateurs, dit M. Plourde. N’importe quelle créance enregistrée à votre nom apparaîtra. »

Mais le recours à Equifax n’élimine pas les risques de vol d’identité pour autant, avertit l’avocat Plourde. « On sait qu’il y a des inexactitudes dans les inscriptions », rappelle-t-il d’abord. Et Equifax a elle-même subi un vol de données de ses clients. En septembre 2017, un pirate informatique a ainsi pu accéder aux renseignements personnels de 143 millions de personnes à travers le monde, dont quelque 19 000 Canadiens. Les données piratées comprenaient là aussi des numéros d’assurance sociale.

« Notre enquête sur Equifax a révélé des lacunes déconcertantes au sein d’une entreprise qui dispose de vastes quantités de renseignements personnels extrêmement sensibles et qui joue un rôle majeur dans notre secteur financier », résumait le commissaire Daniel Therrien dans une allocution prononcée le mois dernier.

« C’est vraiment ironique comme situation », reconnaît aujourd’hui Alexandre Plourde. Mais Desjardins n’avait pas vraiment d’autre choix, ajoute-t-il : Equifax et TransUnion sont les deux seules compagnies à offrir ce genre de services de surveillance du dossier de crédit. Dans son rapport d’avril, le commissaire à la vie privée évoquait d’ailleurs lui-même les « choix limités » offerts aux Canadiens en cette matière.

Contacts

Le Mouvement Desjardins a commencé à contacter par courriel les clients touchés afin de leur indiquer qu’ils seront informés par la poste. Vendredi matin, l’Autorité des marchés financiers a rappelé aux membres qu’ils doivent être vigilants face aux « risques de courriels (pourriels), messages textes et appels frauduleux » dont ils pourraient faire l’objet.

« Des fraudeurs pourraient être tentés de vous contacter afin de vous soutirer des informations personnelles, sous prétexte de mesures de sécurité ou de mises à jour instituées à la suite de la découverte de l’incident », a indiqué l’AMF.

Afin de répondre aux questions de ses membres, Desjardins a augmenté de 50 % le nombre de préposés à la clientèle dans ses centres d’appels, faisant passer les effectifs de 2000 à 3000 afin d’encaisser les volumes de communications.

Pourquoi Laval?

Au lendemain de l’annonce d’une fuite de renseignements personnels chez Desjardins, certains se demandent si une enquête d’une telle envergure peut être menée par un corps de police municipale (Laval dans le cas présent). Qu’en est-il ?

« Le ministère de la Sécurité publique établit ce qu’on appelle un niveau de service pour chaque corps de police. Il y a six niveaux et le corps de police de Laval est au niveau 3, qui comprend ce type d’enquête », explique Guy Ryan, ancien inspecteur du Service de police de la Ville de Montréal.

Les activités des corps de police sont divisées en quatre catégories : gendarmerie, enquêtes, mesures d’urgence et services de soutien. Sur le site du ministère de la Sécurité publique, on explique que la complexité des activités augmente en fonction du niveau de service du corps de police.

« Le dossier de Desjardins en est un de vol de données. On parle d’un employé qui aurait déjoué le système et c’est le genre d’enquête que peut absolument mener un corps de police comme celui de Laval », indique M. Ryan. D’ailleurs, si c’est la police de Laval qui a été saisie de l’enquête, c’est parce que le crime aurait eu lieu sur son territoire, rappelle M. Ryan.

Améli Pineda

6 commentaires
  • Christian Beauchesne - Abonné 22 juin 2019 05 h 22

    Prioriser l'aide aux victimes

    Des recours collectifs, c’est bien beau mais je crois que c’est de l’argent très mal placé. Si j’étais victime d’un vol d’identité, je pourrais être dans la misère pendant des mois ou même des années. Je pourrais perdre plusieurs milliers de dollar et plusieurs heures de travail à tenter de restaurer mon identité et mes références de crédit. Sans compter ma santé qui pourrait être très affectée.

    Ce n’est pas 1100$ que je recevrais aujourd’hui qui m’éviterait ce poids que je pourrais subir potentiellement dans cinq ou quinze ans d’ici. Plutôt que de donner de l’argent à tout le monde, pourquoi ne pas conserver ces sommes pour ceux qui en auront vraiment besoin?

    Pourquoi ne pas offrir aux québécois un service d’accompagement, d’assurance, d’enquête et de protection contre le vol d’identité? Les fraudeurs y penseraient peut-être à deux fois avant de s’en prendre aux québécois.

  • Pierre Masson - Abonné 22 juin 2019 09 h 34

    Inquiétudes supplémentaires

    Desjardins semble indiquer que nos avoirs chez eux sont protégés, mais qu'en sera-t-il de ce que nous possédons dans d'autres institutions financières - les mêmes renseignements personnels volés et diffusés sont les clés d'accès à tous ces actifs... Desjardins devrait également être forcé d'offrir la même "protection" tant chez Equifax que chez TransUnion. Politique habituelle, faire le moins possible tant que ça ne crie pas trop fort. Cinq ans, c'est pas très long...

  • Sylvain Rivest - Inscrit 22 juin 2019 12 h 54

    Le Titanic des temps modernes

    La numérisation de nos données est notre perte à tous. Autrefois, il aurait été impossible de voler, d’un trait, autant de documents. Aujourd’hui, la capacité et la vitesse du numérique rend notre économie et les citoyens à risque comme jamais. Nul besoin de char d’assaut ou d’une bombe atomique pour détruire un empire. Le vole, comme la perte de données est un fléau que bien peut de gens comprennent l’ampleur et les impacts. Le monde de l’informantique a pris en otage nos sociétés avec ces miroirs aux alouettes. L’informatique est un peu le Titanic des temps modernes.

  • Pierre-Alain Cotnoir - Abonné 22 juin 2019 15 h 45

    Se tirer dans le pied

    Je m'oppose aux chacals en cravate ou en toge qui lorgnent de pouvoir charogner le mouvement coopératif potentiellement affaibli par ce vol informatique profitables pour des rapaces du même acabit, car c'est à nous tous qu'ils s'en prennent. et non pas à des actionnaires du 1% aux avoirs à mis à l'abri dans des paradis fiscaux. Nous serions collectivement doublement victimes en tant que sociétaires de cette institution coopérative de ces recours dits collectifs, mais qui profiteraient surtout à leurs instigateurs.

    Dans une coopérative financière, nous devons être solidaires.

  • Alain Béchard - Abonné 22 juin 2019 16 h 11

    vol de données

    À quoi sert-il de saigner à blanc une compagnie par des recours collectifs abusifs( maintenant que l'on a perdu de la carotte , tu vas goûter du bâton). Desjardins est près pour 5 ans à assurer ces personnes. en plus d'ici 5 ans les changements de base auront été fait. Cela va déjà coûter un bras à Desjardins de prendre soin de ses clients. Pourquoi vouloir voir Desjardins sur leurs genoux? Des millions en avocats des deux côtés juste pour une compansation en fin de compte dérisoire pour le particulier. Alors que faut-il penser à ce que le gouvernement veut faire avec nos informations gérer par l'entreprise privée?