Ce n’est pas la goutte qui fait déborder le vase, mais le vase au complet que les détenteurs d’une carte de crédit Capital One qui sont aussi membres de Desjardins viennent de recevoir au visage en apprenant le vol de leurs renseignements personnels. Dans un cas comme dans l’autre, personne ne sait ce qu’il est advenu de ces données confidentielles qui peuvent suffire pour obtenir une carte de crédit, ouvrir un compte bancaire et effectuer des transactions frauduleuses.

Capital One est une banque américaine avec filiale de services en ligne au Canada, mais c’est surtout son partenariat exclusif avec Costco et HBC (La Baie) qui lui a permis de recruter facilement les millions de clients canadiens aujourd’hui victimes de ce vol.

Hier, sur son site Internet, Capital One recommandait à ces victimes de s’inscrire aux deux agences d’évaluation de crédit que sont Equifax et TransUnion, sans offrir d’en payer le prix, du moins pour le moment. Or, si on en croit l’expérience récente de milliers de clients de Desjardins, rien n’est moins simple que d’ouvrir un compte chez Equifax si par malheur l’inscription en ligne échoue à la première tentative. Ce qui est le cas pour la plupart des membres de Desjardins qui n’ont pas de dossier de crédit récent.

Nous avons ainsi pu assister, personnellement, à cinq tentatives au cours des deux dernières semaines pour ouvrir par téléphone un compte Equifax, après une procédure commencée en ligne. Chaque fois, l’attente pour parler à un préposé a dépassé deux heures, voire trois, et chaque fois, elle a été suivie d’une quinzaine de minutes d’un dialogue de sourds avec des employés mal outillés qui n’ont su conclure que par un « Rappelez plus tard, nos ordinateurs sont en panne ! » Et le compte n’est toujours pas accessible.

Quant aux tentatives du côté d’Accès D, même si plus rapides, elles ont abouti à la même consigne : « Désolé, vous devez téléphoner chez Equifax, voici un autre numéro », sans plus de succès.

Comment croire, dans ces circonstances, à l’efficacité de la surveillance des millions de dossiers personnels ? Si, au minimum, la loi canadienne obligeait ces agences privées d’évaluation à geler toute nouvelle demande de crédit à la demande d’un particulier, comme c’est le cas aux États-Unis, nous serions mieux protégés, mais non. Pourquoi cela ?

Depuis toujours, le gouvernement du Canada se met la tête dans le sable en maintenant sa confiance en ces multinationales de la finance et du Web qui en profitent comme larrons en foire.

En cette ère de navigation virtuelle marquée par l’augmentation exponentielle de nombre de gadgets branchés et de transactions sans intermédiaire, la protection des données personnelles est devenue plus importante que de fermer sa porte à clé avant de quitter sa maison. Or, ce sont les établissements publics et privés, les banques et les commerces qui possèdent le trousseau de clés de nos avoirs et de notre capacité d’emprunt. Ce sont eux qui ont la responsabilité de le mettre à l’abri de toute tentative de vol perpétrée de l’extérieur ou de l’intérieur de leurs murs. Comment est-il possible qu’un seul employé puisse rassembler aussi facilement autant de données confidentielles sans qu’un seul clignotant rouge scintille sur le tableau de bord ?

Au Québec, le gouvernement de la CAQ s’apprête à créer une unité spéciale du Conseil du Trésor consacrée à la cybersécurité et il envisage de confier au secteur privé sur infonuage l’hébergement d’une partie importante des données recueillies par l’État, se réservant toutefois les 20 % les plus sensibles. Cela suffira-t-il ? De toute façon, ces mesures n’incluent pas la protection des renseignements détenus par les sociétés de télécommunication, d’Internet et les banques (sauf Desjardins) qui relèvent du fédéral.

À Ottawa, le ministre des Finances, Bill Morneau, s’est dit « très préoccupé » par l’affaire de Capital One et il a commandé une enquête au surintendant des institutions financières. Bien sûr qu’une enquête s’impose, mais il faut plus. Il faut des mesures contraignantes assorties de lourdes pénalités pour forcer les entreprises à placer la protection des renseignements personnels en tête de leurs priorités, comme c’est le cas en Europe.

Il faut aussi, de toute urgence, envisager de doter chaque Canadien d’une identité numérique inviolable en complément de son numéro d’assurance sociale. Et il faut, entre-temps, forcer les entreprises à prendre entièrement à leur charge le coût des mesures de protection illimitée dans le temps des victimes de vol des renseignements personnels dont elles ont la garde. La farce a assez duré.