Les commissaires à la vie privée du Québec et du Canada sermonnent Desjardins

Photo: Olivier Zuida Archives Le Devoir

Deux rapports accablants sur la plus grande fuite de données personnelles d’une institution financière au Canada concluent que Desjardins n’a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé.

La présidente de la Commission d’accès à l’information du Québec, Diane Poitras, et le commissaire à la protection de la vie privée du Canada, Daniel Therrien, ont présenté leurs enquêtes respectives au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois.

Le rapport de la Commission d’accès à l’information souligne que la coopérative « n’a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu’elle détient » et a « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés ».

Également, Desjardins « n’a pas pris les mesures nécessaires pour limiter ou cesser l’utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l’objet de ces dossiers accompli ».

L’employé de Desjardins qui est à l’origine de la fuite travaillait au sein de l’équipe marketing au siège social de Desjardins.

Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, souligne le rapport de la Commission d’accès à l’information.

Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.

« L’employé a ensuite pu transférer des profils financiers et d’identité concernant des millions de membres et de clients de Desjardins sur des clés USB à partir de son poste de travail. »

L’enquête souligne que les fuites se sont produites pendant 26 mois avant que Desjardins n’en soit informée par les policiers.

Même après avoir été avertie par les policiers, Desjardins était incapable de comprendre l’ampleur de la fuite et de « connaître l’ensemble de l’historique des manipulations réalisées par l’employé », comme le souligne le rapport : « Le 27 mai 2019, Desjardins déclare à la Commission avoir fait l’objet d’un incident de sécurité portant atteinte aux renseignements personnels d’environ 16 000 personnes. Au final, ce sont quelque 9,7 millions de personnes qui sont concernées par cet incident. »

En plus de millions de membres et de clients, la fuite a touché plus de 4 millions de personnes qui n’étaient plus membres ni clients de Desjardins.

L’identité des victimes, leur date de naissance, leurs adresses de résidence et de courriel, leur numéro de téléphone, leur numéro d’assurance sociale et d’autres renseignements comme les habitudes transactionnelles des membres avaient également été dérobés.

« Desjardins connaissait ses vulnérabilités »

Selon la Commission d’accès à l’information du Québec, Desjardins était au courant des possibles menaces externes et internes en raison de différentes analyses réalisées au cours de la période de l’incident, à la suite d’une demande de l’Autorité des marchés financiers.

« Desjardins aurait dû réaliser davantage de contrôles actifs de la sécurité des renseignements personnels et sensibles qu’elle détient et mettre en place plus rapidement des mesures visant à pallier les vulnérabilités identifiées dans les analyses réalisées au cours de la période durant laquelle l’incident s’est produit », a souligné la présidente de la Commission d’accès à l’information du Québec, Diane Poitras, lors de la conférence de presse lundi matin.

« Desjardins connaissait ses vulnérabilités, mais elle n’a pas fait ce qu’il fallait pour faire face à cette problématique », a souligné le commissaire à la protection de la vie privée du Canada, Daniel Therrien, en conférence de presse.

La Commission d’accès à l’information a souligné que Desjardins a déjà « pris plusieurs mesures pour circonscrire la portée de l’incident, éviter qu’un tel événement ne se reproduise et remédier aux manquements constatés lors de l’enquête ».

« Nous sommes satisfaits des mesures d’atténuation offertes par Desjardins aux personnes touchées, elles vont au-delà de ce que d’autres organisations ont fait dans des situations similaires », a ajouté le commissaire à la protection de la vie privée du Canada, Daniel Therrien.

Dans un communiqué publié lundi, Desjardins a indiqué avoir « considérablement renforcé sa position en matière de sécurité, notamment au cours des 18 derniers mois, et continuera d’appliquer les meilleures pratiques citées par les cadres de référence internationaux ». L’institution a indiqué que le budget de son Bureau de la sécurité Desjardins (BSD), créé en décembre 2019, passera de 150 millions de dollars à plus de 250 millions en 2021.

Parmi les autres mesures, Desjardins a annoncé la création d’un centre d’intelligence de la sécurité qui sera opérationnel au début de l’année 2021. Desjardins s’est aussi engagée à détruire ou cesser d’utiliser les renseignements personnels périmés.

Reddition de compte

La Commission a ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures et de lui transmettre, d’ici deux ans, une évaluation réalisée par un auditeur externe indépendant.

Par ailleurs, l’Autorité des marchés financiers a ordonné à la Fédération des caisses Desjardins du Québec de mettre en place plusieurs mesures correctives et des mécanismes de contrôle après avoir constaté des manquements aux obligations légales.

En vertu de ses pouvoirs, l’AMF a notamment ordonné à la Fédération de lui faire une reddition de comptes rigoureuse de ses mesures de correction.

Le gouvernement Trudeau a récemment déposé un projet de loi qui conférera plus de pouvoirs au commissaire à la protection de la vie privée, face aux compagnies qui ne mettent pas en place de mesures rigoureuses pour protéger les données sensibles.

« Selon le projet de loi C-11, notre bureau va pouvoir recommander des pénalités à un nouveau tribunal, qui sera éventuellement créé », a souligné Daniel Therrien.

Une enquête policière est toujours en cours concernant le vol des données personnelles des clients de l’institution.

À voir en vidéo