Le NAS, une série de neuf chiffres très convoitée

Le gouvernement fédéral statue que le NAS ne peut être exigé dans le cas d’une demande de carte de crédit, d’une confirmation d’identité ou d’opérations bancaires comme une demande de prêt personnel, de marge de crédit ou de prêt hypothécaire.
Photo: Valérian Mazataud Le Devoir Le gouvernement fédéral statue que le NAS ne peut être exigé dans le cas d’une demande de carte de crédit, d’une confirmation d’identité ou d’opérations bancaires comme une demande de prêt personnel, de marge de crédit ou de prêt hypothécaire.

Le vol des numéros d’assurance sociale de 2,7 millions de membres de Desjardins révèle la facilité avec laquelle cette information confidentielle est recueillie par diverses entreprises. Les institutions financières ont pris l’habitude de demander les numéros d’assurance sociale dans des contextes où ils ne sont pas nécessaires, a constaté Le Devoir.

Qu’il s’agisse de banques à charte ou de coopératives de services financiers comme Desjardins, il semble que ce soit par exemple la norme de l’exiger lors de l’ouverture d’un compte en ligne, alors que cela se fait sur une base optionnelle quand le client se rend en succursale.

Le Mouvement Desjardins, vers lequel tous les regards sont tournés ces jours-ci, exige par exemple la divulgation du NAS lors de l’ouverture d’un compte bancaire en ligne. Dans le cas d’un compte traditionnel, Desjardins le demande « sur une base facultative », souligne Jean-Benoît Turcotti, conseiller en communication du Mouvement Desjardins. Ce dernier précise que Desjardins est soumis à la loi (provinciale) sur les coopératives de services financiers, à la loi sur l’impôt et à diverses lois qui touchent le secteur de l’assurance.

« Au moment de l’ouverture d’un compte, les membres font souvent l’acquisition de plusieurs produits financiers, comme une carte de crédit, une marge, un prêt hypothécaire. À ce moment-là, nous demandons la divulgation du NAS pour accéder au dossier de crédit, mais ce n’est pas obligatoire. En revanche, le NAS est obligatoire pour un prêt assuré par la SCHL », précise Jean-Benoît Turcotti.

Les gens ont tendance à accepter les règles sans les lire ni savoir ce qu’elles représentent. Pendant ce temps, les entreprises s’approprient des données sur nous.

Sur le site de la Banque Nationale, le formulaire de souscription en ligne pour un compte bancaire demande de fournir le NAS. Si les clients internautes préfèrent ne pas divulguer cette information, ils sont invités à se rendre dans une succursale. Même chose du côté d’autres institutions financières, comme la Banque Laurentienne, ou le NAS est exigé dans le cas où la banque doit faire une déclaration relative au client à l’Agence de revenu du Canada (pour les FERR et les programmes d’épargne-études, par exemple). La Banque Nationale n’a pas donné suite aux appels du Devoir.

« Le client a la liberté de refuser de fournir son NAS pour une demande de carte de crédit et cette règle est incluse dans la déclaration de confidentialité que nos clients peuvent consulter sur Internet », indique quant à elle Hélène Soulard, vice-présidente adjointe aux communications à la Banque Laurentienne.

Et qu’en est-il des NAS des anciens clients ? « Cela peut varier : nous les gardons pour traiter des questions liées aux lois et règlements. Ensuite, ils sont détruits », ajoute-t-elle. Chez Desjardins, « la durée de conservation des renseignements dépend des produits et de leur situation. C’est difficile de déterminer une durée exacte ». Invitée par Le Devoir à parler de ses pratiques en ce qui concerne les NAS de ses clients, la BMO a refusé de faire tout commentaire. « Ce sont des informations hyperconfidentielles et hypersensibles que nous ne pouvons pas partager », a déclaré François Morin, directeur des affaires publiques chez BMO.

Le gouvernement fédéral statue que le NAS peut être exigé dans le cas d’une demande d’accès au Régime enregistré d’épargne-études ou au Régime enregistré d’épargne-invalidité, mais non dans le cas d’une demande de carte de crédit, d’une confirmation d’identité ou d’opérations bancaires comme une demande de prêt personnel, de marge de crédit ou de prêt hypothécaire.

« Cela est fortement déconseillé, mais ce n’est pas illégal », précise Service Canada.

Dans un contexte où les brèches de sécurité font craindre pour l’intégrité de ses données personnelles, faut-il revoir les pratiques en matière de demandes de divulgation des NAS ? Pour David Grondin, professeur au Département de communication de l’Université de Montréal, si la pétition qui réclame de nouveaux NAS pour les victimes de la fraude de Desjardins catalyse l’insécurité du grand public, c’est aux entreprises et au gouvernement de mettre en vigueur des normes adaptées à notre société, « où l’on fonctionne d’abord et avant tout en numérique ».

Rapatrier son NAS

David Grondin qualifie de « réveil brutal » la situation actuelle. Il indique que la majorité de la population ne sait pas comment les données sont traitées et navigue en ligne sans avoir conscience des impacts de ses clics.

« Nous sommes des données », tranche le chercheur spécialiste de la sécurité et des identités numériques, citant l’auteur John Chinney-Lippold. « Peu importe comment on se comporte, on est connectés, par notre téléphone, dans un lieu, un espace, une ville, un réseau, un fournisseur Internet, une application… »

« Qu’il s’agisse de plateformes numériques ou de réseaux sociaux, les gens ont tendance à accepter les règles sans les lire ni savoir ce qu’elles représentent. Pendant ce temps, les entreprises s’approprient des données sur nous. Il y a certainement une éducation du grand public qui devrait être faite. »