Fuite de données chez Desjardins: 1,8 million de détenteurs de cartes de crédit touchés

Le programme de protection offert aux membres de Desjardins s’étend à environ huit millions de Canadiens, une décision annoncée par l’organisation lundi après qu’elle a découvert que l’ex-employé responsable de la fuite de renseignements personnels des 4,2 millions de membres particuliers de Desjardins a aussi eu accès aux données de 1,8 million de détenteurs de cartes de crédit du Mouvement. La couverture élargie s’étendra même aux clients de produits d’assurance et de valeurs mobilières.

Le président de Desjardins, Guy Cormier, a affirmé que cette découverte est survenue grâce à « l’avancement de nos vérifications et analyses internes ». Il a toutefois répété à plusieurs reprises que les données personnelles de ces 1,8 million de détenteurs de cartes n’ont pas été volées et n’ont pas été transmises à de tierces parties. Ces personnes seront avisées au cours des prochaines semaines.

« Nous intervenons de manière préventive dans un contexte élargi, a dit M. Cormier en guise d’introduction lors d’une conférence téléphonique. Au-delà de la fuite de renseignements personnels qui est survenue, il faut voir que nous vivons à une époque où le nombre de données en circulation est en augmentation constante. Les risques encourus par les consommateurs, qui sont souvent en relation avec des dizaines de commerces et institutions, sont aussi croissants. »

« Aucune carte de crédit n’est compromise », ni « aucune solution de paiement comme Interac ou les cartes de débit », a dit le premier vice-président intérimaire Technologies de l’information, Réal Bellemare. « Les mots de passe, les questions de sécurité et les numéros d’identification personnelle ne sont pas touchés. »

Nous intervenons de manière préventive dans un contexte élargi

— Guy Cormier

Le programme de protection des membres de Desjardins couvre quatre « piliers », soit l’abonnement au service de surveillance d’Equifax, la garantie des actifs, un accompagnement en cas de fraude et le remboursement des frais associés à la restauration de l’identité jusqu’à concurrence de 50 000 $. Le service Equifax sera aussi offert aux anciens membres et anciens détenteurs de cartes.

L’annonce survient une semaine après le départ de deux vice-présidents bien en vue au Mouvement Desjardins, M. Cormier ayant alors évoqué un enjeu de « confiance ». L’organisation avait fait état de « vérifications internes concernant la fuite de renseignements personnels » en disant que, « dans la foulée de ces vérifications, Desjardins annonce qu’elle remanie sa haute direction ». Le départ de ces dirigeants est le résultat d’un « commun accord », avait-elle écrit.

Entreprises

 

Desjardins a indiqué que le nombre de membres entreprises touchés se situe toujours à 173 000 sur un total d’environ 350 000. La coopérative a déjà mis de côté 70 millions pour couvrir les mesures de protection offertes aux membres. Sous la gouverne de M. Cormier, Desjardins s’affaire présentement à mettre sur pied une branche québécoise du Digital ID and Authentification Council of Canada. Elle travaille également à l’écriture d’un rapport sur la gestion des renseignements et les efforts déployés ailleurs dans le monde en matière d’identité numérique, un document qui sera publié dans les premiers mois de 2020. De plus, Desjardins a annoncé la semaine dernière la création d’un bureau pour coordonner l’ensemble de sa stratégie en matière de sécurité et préparer un processus de reddition de comptes.

« Nous prenons acte des nouvelles initiatives annoncées par Desjardins qui couvrent maintenant l’ensemble des membres et des clients actuels et anciens », a indiqué le cabinet du ministre des Finances, Eric Girard, dans une déclaration écrite. « La Sûreté du Québec poursuit son enquête et l’enquête interne est toujours en cours chez Desjardins. Les résultats de celles-ci permettront de faire toute la lumière sur la situation. »

Le gouvernement Legault est « très conscient des différents défis que représente la protection des données personnelles des Québécois », a affirmé le cabinet Girard. Outre le dépôt d’un projet de loi sur l’encadrement des agences de crédit, comme Equifax et TransUnion, la ministre de la Justice, Sonia LeBel, déposera un projet de loi sur la protection des renseignements personnels, a-t-il ajouté. Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, « travaille activement sur la première stratégie de cybersécurité du gouvernement ».

Rapport sans recommandation

 

Les partis d’opposition ont cependant exprimé une vive déception la semaine dernière en soulignant que le rapport de huit pages de la commission parlementaire spéciale sur le cas Desjardins ne contenait aucune recommandation, seulement des observations.

« La Commission des finances publiques doit absolument se réunir avec un nouveau mandat d’initiative pour étudier sérieusement l’enjeu complexe des fuites de données en général, et en particulier chez Desjardins, ce qui n’a toujours pas été fait à ce jour par la CAQ », a affirmé Vincent Marissal, député de Québec solidaire.

La première annonce de la fuite de données personnelles chez Desjardins a eu lieu le 20 juin. Le nombre de membres particuliers touchés était alors de 2,7 millions. Ce chiffre est passé à 4,2 millions de membres particuliers le 1er novembre, au lendemain d’un appel téléphonique que M. Cormier a reçu de la SQ.

La SQ avait révélé en septembre avoir interrogé 17 personnes dans le cadre de son enquête, une opération découlant de rencontres avec 91 personnes dans les secteurs de Montréal, de Laval et de Québec. « Les policiers ont également réalisé six perquisitions dans quatre résidences et deux commerces permettant de saisir, notamment, du matériel informatique pour analyse », avait écrit le corps policier.

Avec Mylène Crête