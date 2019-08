Cyniquement, on aurait été porté à s’attendre au contraire. Réalistement, il faut toutefois admettre que dans le contexte de l’importante fuite de données dont elle a été victime, Desjardins a géré la crise de la meilleure manière dont elle aurait pu le faire.

On pourra évidemment dire qu’il aurait été mieux de ne pas être l’objet d’un tel vol. Les processus internes doivent être revus et certaines catégories d’employés ne devraient peut-être pas avoir accès à une telle quantité de données pour pouvoir les voler.

Sauf que la fuite rendue publique cette semaine chez Capital One nous rappelle que toutes les organisations sont vulnérables. C’est arrivé aussi chez Equifax, Facebook, Radio-Canada, et ça va arriver encore. C’est possiblement arrivé ailleurs sans même qu’on ne s’en rende compte ou qu’on en avise le public.

Et on espère par ailleurs que nos gouvernements ont pris des notes, eux qui disposent d’informations autrement alléchantes à notre sujet à travers les systèmes de santé et fiscal.

Transparence

Alors que Capital One a dit à ses clients qu’elle leur donnerait des nouvelles la semaine prochaine, la direction de Desjardins s’est montrée depuis juin diligente et transparente. Oui, on a constaté des irrégularités dès l’automne dernier, mais ce n’est qu’en mai qu’on a compris que ça venait d’une fuite massive.

Les autorités policières auraient préféré que l’enquête soit complétée avant que Desjardins intervienne. On a plutôt choisi d’informer les membres et de les protéger d’un plus grand préjudice en effectuant une saisie chez le suspect. C’était la bonne chose à faire. Le président Guy Cormier s’est aussi montré très présent, multipliant les interventions médiatiques.

La plus grosse faiblesse dans la réaction de Desjardins, c’est le recours à Equifax, puis à Transunion, pour offrir aux membres un suivi de leur dossier de crédit. Non seulement il y a eu une valse-hésitation quant à la durée de la couverture, mais ces entreprises n’ont manifestement pas les ressources humaines et les capacités techniques pour servir 2,9 millions de clients majoritairement francophones, présentement.

Si on arrive à s’inscrire en ligne chez Equifax, ça va. Dès qu’on a besoin de soutien au téléphone, c’est la croix et la bannière. Desjardins doit exiger que, pour répondre à ce lucratif contrat qu’elle lui octroie, l’entreprise s’organise.

Cela dit, Desjardins n’avait pas beaucoup de choix entre le duopole Equifax-Transunion pour offrir une protection qu’elle n’est pas en mesure de déployer elle-même. Il est donc difficile de voir comme on aurait pu mieux faire dans cette situation.

Téméraire

Desjardins doit revoir ses pratiques internes et va sans doute le faire, comme toute organisation doit l’envisager devant cet enjeu très contemporain de la protection des données personnelles. N’empêche que nos gouvernements sont également interpellés.

Guy Cormier l’a dit devant un comité parlementaire à Ottawa : il faut revoir le cadre réglementaire qui régit la protection des informations personnelles détenues par toutes les organisations publiques et privées. Il faut aussi prévoir des amendes importantes lors de manquements. Ça concerne autant le gouvernement du Québec que celui du Canada.

Autre proposition de M. Cormier, il faut aussi se pencher sérieusement sur la création d’un système d’identification numérique protégée, comme l’ont fait quelques pays comme l’Estonie et l’Inde. Et, pourquoi s’arrêter en si bon chemin ? Étudions donc le système français de nationalisation des données de crédit, plutôt que de continuer à recourir à des firmes peu transparentes, inefficaces et aux pratiques douteuses, comme Equifax.

Par ailleurs, la députée Marwah Rizqy a parfaitement raison de dire que, dans le contexte, la décision du gouvernement Legault de déléguer l’entreposage de nos données à des firmes comme Amazon est, au mieux, téméraire. Il faut prendre un pas de recul.

À la fin, nous avons aussi une grande corvée devant nous pour améliorer la littératie numérique et financière de tous nos concitoyens.

Une responsabilité individuelle