Le grand éveil de 2019
Envoyé à 1 heure 45 d’avis, le message aux médias du 20 juin 2019, qui annonçait une conférence de presse surprise, tenait sur deux phrases. Pour faire le point sur « une situation qui concerne ses membres », le Mouvement Desjardins y dépêcherait son p.-d.g., Guy Cormier, et un vice-président. Il y aurait aussi la police de Laval, histoire de répondre aux questions après l’événement. Ce jour-là, le Québec apprendrait que les fuites de renseignements personnels ont lieu ici aussi, et la protection de la vie privée, souvent tenue pour acquise, se retrouverait d’un seul coup sur le radar de tout le monde.
Un an plus tard, il y a encore du boulot à faire en matière de gestion des données personnelles, mais les efforts vont dans le bon sens, disent les experts. À Québec, par exemple, le gouvernement Legault a entrepris de travailler sur l’identité numérique, un chantier sans précédent, et déposé deux projets de loi, l’un pour encadrer les agences de crédit (projet de loi 53), l’autre pour donner du mordant à la protection des renseignements dans les organisations publiques et les entreprises (projet de loi 64). Les amendes prévues par ce dernier pourront atteindre 25 millions.
« On est à l’étape de la prise de conscience », dit Benoît Dupont, professeur de criminologie à l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité. Le cas Desjardins a fait comprendre que le cadre réglementaire, et l’application des lois, n’est pas adapté aux nouvelles réalités. « Le politique a saisi l’ampleur du problème et essaie de corriger le tir. »
Peu d’incitatifs
Pour l’instant, donc, le citoyen n’est pas suffisamment protégé. « Les entreprises ont très peu peur des conséquences si jamais il y a des fuites de données. Elles n’ont pas vraiment d’incitatif », dit Sébastien Gambs, professeur au Département d’informatique à l’UQAM et titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives. « Peut-être que l’incitatif le plus fort, c’est l’atteinte à la réputation. […] Si vous me posez la question dans six mois, c’est clair que ma réponse pourra être différente. Il y a des choses qui ont l’air d’aller dans la bonne direction. »
Les renseignements ne sont pas mieux protégés aujourd’hui que l’an dernier « parce qu’il y a plus que jamais des fuites d’information aux quatre vents », laisse tomber Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale et chargé de cours au microprogramme en maîtrise de l’Université de Sherbrooke en sécurité de l’information. « Le seul aspect positif que je trouve par rapport à l’an dernier, c’est qu’il y a eu un éveil collectif. Les gens sont un peu plus au courant, un peu plus éduqués sur les données personnelles et les conséquences. »
Selon un sondage effectué à la fin de 2019 par le Commissariat à la protection de la vie privée du Canada auprès de 1003 entreprises, 95 % d’entre elles n’ont pas encore vécu d’atteinte à la vie privée. Cela dit, 30 % d’entre elles sont « extrêmement préoccupées » par une atteinte aux données personnelles, alors que 33 % ne sont « pas du tout préoccupées ». Enfin, 65 % des sociétés se sont dotées d’une politique de protection, mais 51 % n’ont aucune politique d’évaluation des risques.
Culture d’entreprise
« Il y a des cultures d’entreprise qui n’ont toujours pas changé dans certaines organisations. Il y a toujours la vie privée des gens qui est bafouée systématiquement parce que de multiples questions sont posées. Les gens ne savent pas dans quoi ils s’embarquent et donnent l’information à tort et à travers », poursuit M. Waterhouse. Le projet de loi 64 prévoit des « conséquences » pour les organismes publics et les entreprises qui seront négligents dans la gestion des renseignements, mentionne-t-il. « Parfait [les conséquences], mais il faudrait que les gens sachent envers quoi. Parce qu’il y a toujours cette absence d’éducation sur ce qu’est la vie privée et sur ce qu’est l’information personnelle. » Les gens devraient peut-être même commencer à « documenter où ils mettent de l’information » et devraient savoir « qu’ils ont toujours, comme citoyens, le pouvoir de dire “non, je ne veux pas donner cette information-là” ». Plus les gens donnent leurs informations, « plus la surface d’attaque augmente ».
Cela dit, Québec va dans le bon sens, croit aussi M. Waterhouse. Les efforts de transformation numérique pilotés par le ministre Éric Caire et les deux projets de loi sont « un trio qui va générer des changements positifs ». « D’un point de vue gouvernemental, c’est quand même une bonne ligne directrice, mais il reste qu’il faut influencer les entreprises pour qu’elles puissent l’appliquer correctement. Et c’est là qu’on est loin de notre profit. »
« Certaines personnes pourraient dire qu’on est en 2020 et que [les fuites] sont des choses inévitables qui arrivent. Moi, personnellement, je n’accepte pas ce point de vue là », dit David Stolow, avocat chez Kugler Kandestin et l’un des responsables de l’action collective à laquelle participe également le cabinet Siskinds Desmeules. « Si on regarde ce qui est arrivé, il y a des questions sérieuses à se poser. Et je pense que les compagnies qui ont accès à ce genre d’information confidentielle de leurs clients ou de leurs membres, si on regarde ce genre de situation, il me semble qu’on devra poser des questions pour savoir s’il y a autre chose qu’on aurait pu faire, qu’on peut faire dans l’avenir pour protéger ce genre d’informations qui sont hautement confidentielles et sensibles. »
Se protéger ou pas?
Selon le Mouvement Desjardins, qui compte 4,2 millions de membres particuliers, 1,7 million de personnes ont choisi d’activer le programme de surveillance d’Equifax. Le Devoir a demandé à ses lecteurs d’expliquer les raisons de leur inaction. Si plusieurs d’entre eux ont invoqué les difficultés techniques ou le temps d’attente au téléphone du début, après quoi ils ont laissé tomber, d’autres ont mentionné le désir de limiter la quantité de renseignements personnels en circulation.
« Je suis très protectrice des données et je laisse le moins possible le tout accessible à des tiers. Desjardins a de plus une protection qui convient parfaitement si la situation devenait problématique », a écrit une lectrice. « Nous sommes en totale confiance. Les gens semblent oublier que leurs données sont déjà très accessibles sur Facebook ou autres… » Sur près d’une trentaine de réponses, un seul lecteur a dit qu’il souhaitait transférer ses actifs vers une autre institution.
Les lecteurs ont également été nombreux à signaler la fuite d’informations dont Equifax a été victime en 2017, un incident qui a touché 146 millions de personnes, dont 19 000 au Canada. En juillet 2019, la firme a accepté de payer une amende pouvant atteindre 575 millions $US aux autorités américaines. « Je n’ai tout simplement pas confiance envers la solidité et la fiabilité de la protection de ces autres données, a écrit l’un d’eux. De plus, en tant que membre Desjardins, nous avons de facto une protection de nos avoirs, ce que Desjardins n’a pas manqué de souligner dans un récent courriel. »
« Nous sommes très satisfaits du nombre d’inscriptions chez Equifax », a déclaré un porte-parole de Desjardins, Jean-Benoit Turcotti. « Quand on observe la tendance dans l’industrie, seulement un faible pourcentage (moins de 15 %) des gens s’inscrit à un service de surveillance. »
Chronologie des événements
Décembre 2018 Desjardins signale une transaction douteuse à la police de Laval.
Fin mai 2019 Desjardins prend connaissance d’une situation « inquiétante ».
14 juin 2019 La police de Laval fournit de l’information à Desjardins laissant croire que les données de millions de membres se sont retrouvées à l’extérieur des murs de l’institution.
20 juin 2019 Desjardins annonce publiquement une fuite de renseignements personnels touchant 2,7 millions de membres particuliers sur 4,2 millions, ainsi que 173 000 membres entreprises ; l’organisation assure qu’elle remboursera les clients advenant des pertes financières. Un employé a été congédié.
28 juin 2019 La Sûreté du Québec se joint à l’enquête auprès de la police de Laval.
3 juillet 2019 Desjardins dit avoir confiance à l’égard d’Equifax, dont le service fait l’objet de critiques.
5 juillet 2019 Le Mouvement annonce que ses membres pourront s’inscrire au service de surveillance d’Equifax en appelant directement chez Desjardins ou via AccèsD.
8 juillet 2019 Des enquêtes de la Commission d’accès à l’information du Québec et du Commissariat à la protection de la vie privée du Canada sont ouvertes.
23 juillet 2019 Equifax paiera une amende pouvant atteindre 575 millions $US aux États-Unis, liée à une fuite de 2017 touchant 146 millions de personnes.
12 août 2019 Desjardins fait une première provision de 70 millions.
19 septembre 2019 La SQ dit avoir interrogé 17 personnes pour la fuite chez Desjardins.
1er novembre 2019 Desjardins fait passer le nombre de membres particuliers touchés de 2,7 millions à l’ensemble des 4,2 millions.
27 novembre 2019 Une commission spéciale de l’Assemblée nationale publie un rapport sur la fuite avec six observations, mais aucune recommandation formelle.
3 décembre 2019 Départ de deux vice-présidents de Desjardins.
10 décembre 2019 Desjardins élargit son offre de protection en précisant que la fuite touche 1,8 million de détenteurs de cartes de crédit.
26 février 2020 Desjardins chiffre l’impact financier de la fuite à 108 millions.
12 juin 2020 Le gouvernement Legault dépose le projet de loi 64 pour resserrer la protection des informations personnelles, lequel prévoit des amendes pouvant atteindre 25 millions.