Le Mouvement Desjardins est durement critiqué dans trois rapports pour sa gestion de la sécurité des renseignements personnels dont il avait la garde. Dans l’un d’eux, l’Autorité des marchés financiers l’accuse même de l’avoir trompée sur le niveau de protection assuré avant que 9,7 millions de personnes n’y soient exposées à un vol de données.

« Desjardins connaissait ses vulnérabilités, mais il n’a pas fait ce qu’il fallait pour faire face à cette problématique », a déploré le commissaire à la protection de la vie privée du Canada, Daniel Therrien, lors d’une conférence de presse téléphonique lundi. Il partageait la tribune avec la présidente de la Commission d’accès à l’information du Québec, Diane Poitras, les deux organismes dévoilant leurs rapports d’enquête respectifs sur la fuite de données à l’institution financière révélée au printemps 2019.

Les deux enquêtes ont notamment permis de constater que Desjardins avait déjà été informé par des analyses internes et externes de failles dans sa sécurité, mais qu’il a trop tardé à les colmater, particulièrement celles ayant trait aux menaces pouvant venir de l’intérieur. « Certaines recommandations contenues dans ces analyses concernaient justement des vulnérabilités qui ont été exploitées » par cet « employé malveillant » qui a copié « pendant au moins 26 mois » des renseignements auxquels il n’aurait normalement pas dû avoir accès grâce à une faille qui existait depuis au moins janvier 2016. Desjardins n’a rien vu jusqu’à ce que la police de Laval sonne l’alerte.

Desjardins connaissait ses vulnérabilités, mais il n’a pas fait ce qu’il fallait pour faire face à cette problématique

— Daniel Therrien

 

Les deux organismes s’expliquent mal également le fait que, parmi les 9,7 millions des personnes concernées, dont 7 millions de Québécois, près de 4 millions de dossiers étaient ceux d’anciens clients ne faisant plus affaire avec Desjardins, parfois depuis « des décennies ».

L’AMF bernée

L’Autorité des marchés financiers (AMF) était aussi venue, plus tôt dans la journée, avec son propre rapport peut-être plus critique encore. À l’origine de certaines des analyses de sécurité dont Desjardins n’a pas suffisamment su tenir compte, elle y estime qu’on lui a fait croire, ensuite, à des correctifs qui n’avaient toujours pas été réellement apportés au moment du vol de données. « L’Autorité constate, écrit-elle, que des recommandations découlant de ses travaux de surveillance antérieurs n’ont été suivies qu’en partie au moment de la survenance de l’incident, et ce, en dépit des statuts d’avancement fournis par le Mouvement Desjardins à l’effet contraire. »

Le Devoir a demandé plus de précisions à l’AMF sur cette affaire. Son porte-parole lui a répondu par courriel que cela relevait « des éléments de confidentialité de nos travaux de surveillance ».

Si les deux premiers rapports saluent les mesures prises par Desjardins depuis que l’affaire a éclaté, ainsi que les autres changements à venir qui doivent être parachevés d’ici 2022, l’AMF ne se dit pas complètement satisfaite. « Ces mesures ne répondent pas pleinement aux exigences de l’Autorité », dit-elle, et ce, seulement « entre autres [en raison du] fait que la mise en œuvre des Plans n’est pas achevée ». Mais encore là, son porte-parole n’a pas voulu en dire plus.

La Commission d’accès à l’information du Québec et l’AMF ordonnent à Desjardins de leur produire des comptes rendus réguliers de l’avancement des changements en cours ainsi que de leur transmettre d’ici deux ans un rapport d’évaluation complet réalisé par un auditeur externe indépendant. À l’AMF, le non-respect de ces ordonnances serait passible une sanction administrative de 10 000 $ par jour de manquement.

Sanctions « ridicules »

Desjardins a assuré, lundi, « de sa pleine collaboration » et réitéré son engagement d’offrir « l’un des environnements les plus sécuritaires parmi l’ensemble des institutions financières ». Il a rappelé, entre autres, s’être doté d’un bureau de la sécurité de 900 experts et offrir à ses membres et clients « l’une des meilleures protections au Canada » contre le vol de données en matière de protection, d’accompagnement, de remboursement et de surveillance.

Il a aussi fait valoir que, sur 9,7 millions de personnes qui ont été exposées au vol de données, 4,2 millions de membres actifs semblent avoir réellement vu des renseignements personnels transmis à des tiers. Ces informations pouvaient être leur nom, leur date de naissance, leur adresse, leur courriel, leur numéro de téléphone, leur numéro d’assurance sociale ainsi que d’autres renseignements sur des transactions.

De seulement quelques milliers de dollars, les sanctions financières auxquelles Desjardins s’exposait en vertu des lois actuelles étaient tellement « ridicules » qu’on a préféré concentrer ses efforts sur le travail d’enquête et de futur encadrement, a expliqué en entretien téléphonique au Devoir Diane Poitras.

La menace de sanction financière pourrait toutefois devenir beaucoup plus forte si les projets de loi 64, à Québec, et C-11, à Ottawa, sont adoptés. À Québec, le projet de réforme présenté cet été est assorti d’amendes maximales de 25 millions ou 4 % du chiffre d’affaires en matière pénale, alors qu’à Ottawa, on parle de 5 % pour un total possible de 9 %.