/investigations
Navigation

Vol de données chez Desjardins: des suspects pourraient échapper à la justice

Les procureurs peinent à accuser les courtiers ayant acheté les données

Coup d'oeil sur cet article

Le 20 juin 2019, Desjardins annonçait le plus gros vol de données confidentielles de l’histoire du Québec. Un an plus tard, plusieurs courtiers et petits prêteurs privés qui se seraient partagé le butin s’avèrent très difficiles à traduire en justice, a appris notre Bureau d’enquête.

• À lire aussi: Vol de données: silence radio chez Desjardins

Selon nos sources, le ministère public n’arrive pas à prouver que les financiers de Québec soupçonnés d’avoir racheté les données savaient que celles-ci avaient été volées.

 

  • Le journaliste Félix Séguin était à Dutrizac sur QUB radio:   

Le prêteur privé et courtier hypothécaire Mathieu Joncas, son associé le courtier en assurances François Baillargeon-Bouchard et le courtier hypothécaire Marc-Olivier Tanguay plaident l’ignorance. Ils assurent qu’ils ignoraient que ces listes de clients avaient été obtenues illégalement, selon nos informations.

Ce sera beaucoup plus facile de passer les menottes à Sébastien Boulanger Dorval, l’ex-employé de Desjardins qui se serait emparé des données, et à Jean Loup Leullier Masse, qui les lui aurait achetées pour quelques cartes-cadeaux de supermarchés et des restaurants St-Hubert.

Sébastien Boulanger Dorval lors de sa rencontre avec le journaliste de <em>J.E.</em>, en octobre 2019.
Capture d'écran d'archives
Sébastien Boulanger Dorval lors de sa rencontre avec le journaliste de J.E., en octobre 2019.

Autres accusations possibles

Les chances sont minces, mais les procureurs pourraient tenter d’utiliser d’autres articles de la loi, selon nos sources.

«Dans le Code criminel, il y a une série de dispositions traitant des crimes informatiques», explique le criminaliste Jean-Claude Hébert.

Selon lui, le ministère public pourrait se rabattre sur le chef d’«utilisation non autorisée d’un ordinateur», qui permet de punir les crimes informatiques.

«Ça dépend de la qualité de la preuve, mais il y aurait peut-être aussi possibilité d’utiliser certains chefs de fraude», dit Isabelle Briand, une ancienne procureure.

Chose certaine, les trois courtiers ont de gros problèmes avec les organismes qui surveillent leurs professions. 

Tanguay a même plaidé coupable d’avoir racheté les informations volées sur 5000 clients de Desjardins, devant le Comité de discipline de l’Organisme d’autorégulation des courtiers immobiliers du Québec.

  • Écoutez l'entrevue avec Éric Parent, PDG d’EVA Technologies, à QUB Radio:

Analyses toujours en cours

L’enquête de la Sûreté du Québec sur le vol des données chez Desjardins a commencé en septembre 2019 avec une vague de perquisitions et 17 «personnes d’intérêt» interrogées.

La masse d’informations que la police a alors récoltée est si considérable que la police n’a toujours pas fini de l’analyser, huit mois plus tard.


Si vous détenez des informations inédites sur le vol de données chez Desjardins, contactez Hugo Joncas à hjoncas@protonmail.com ou Félix Séguin à felix.seguin@protonmail.com

Sébastien Boulanger Dorval      

Photo d'archives

C’est cet ancien spécialiste de la segmentation des marchés chez Desjardins qui est soupçonné d’avoir volé les données confidentielles des 4,2 millions de membres de la coopérative financière et de 1,8 million de détenteurs de cartes de crédit. 

Il les aurait ensuite remises à Jean-Loup Leullier Masse, un prêteur privé de Chaudière-Appalaches, pour quelques milliers de dollars en cartes-cadeaux de supermarchés et de restaurants St-Hubert, selon nos sources.

Pour mettre la main sur les données, Boulanger Dorval n’a pas eu à pirater quoi que ce soit, selon des sources en sécurité informatique chez Desjardins qui n’ont pas l’autorisation de parler. Comme une cinquantaine d’autres personnes, il pouvait copier ces informations sans peine.

Desjardins dit au contraire que son ancien employé n’avait pas les accès nécessaires pour extraire les données. 

«Il a dû utiliser un stratagème pour les obtenir», assurait la porte-parole, Chantal Corbeil, en octobre 2019, sans plus de précisions. 

Jean-Loup Leulier Masse      

Photo courtoisie

Il est soupçonné d’avoir acheté les données volées par Sébastien Boulanger Dorval.

Selon nos informations, seuls lui et Boulanger Dorval risquent d’être accusés de vol et recel des données.

Des courriels d’une source confidentielle du syndic de l’Organisme d’autoréglementation du courtage immobilier du Québec (OACIQ) permettent d’en apprendre un peu plus sur cet ancien prêteur privé de Montmagny.

Selon ces messages, Leullier Masse aurait touché pas moins de 100 000 $ pour revendre une partie des renseignements volés à un autre prêteur privé et courtier hypothécaire de Québec, Mathieu Joncas.

Le syndic a déposé ces courriels devant le Comité de discipline de l’OACIQ dans le cadre des procédures contre un courtier ayant acheté une partie des données volées à Desjardins.

De 2016 à 2019, Leullier Masse était actionnaire de deux compagnies de prêts privés, la Financière Blackstone et Solutia Finance.

Son nom a toutefois disparu des fiches des deux entreprises en juin 2019, quand Desjardins a annoncé le vol des données personnelles de millions de ses membres. Son partenaire, Charles Bernier, est alors devenu le seul actionnaire de ces firmes sur papier. 

Mathieu Joncas      

Photo courtoisie

Ce prêteur privé et courtier hypothécaire ne sera vraisemblablement pas accusé au criminel pour avoir racheté les données personnelles volées à Desjardins. Il fait toutefois face à une plainte du syndic de l’OACIQ.

Mathieu Joncas a eu accès dès 2016 à des listes de clients de Desjardins, selon des courriels d’une source anonyme transmis dans le dossier d’un autre courtier condamné dans cette affaire. Selon cette source, il aurait payé 100 000 $ pour mettre la main sur ces renseignements.

Notre Bureau d’enquête ignore l’identité de cette source, mais le syndic a jugé ses déclarations assez crédibles pour les déposer en preuve.

Joncas a aussi continué pendant des mois ses activités de prêteur privé, même après les perquisitions ayant visé le groupe de petits financiers visés par l’enquête policière. En janvier dernier, il accordait un prêt hypothécaire à un couple de Québec, selon le registre foncier.

En 2014, Joncas avait dû payer 3600 $ d’amendes pour avoir encouragé deux de ses employés à faire du courtage alors qu’ils n’avaient aucun permis le leur permettant. 

François Baillargeon-Bouchard      

Photo tirée de Facebook

Depuis janvier, l’Autorité des marchés financiers (AMF) tente de retirer son droit d’exercice à ce courtier en assurance, partenaire de Mathieu Joncas. Il aurait acheté les données de 40 000 clients de Desjardins pour 40 000 $.

Les prochaines audiences auront lieu à la fin du mois. D’ici là, Baillargeon-Bouchard peut continuer ses activités comme si de rien n’était.

Dans sa demande d’ordonnance pour suspendre son permis de courtier, l’Autorité mentionne qu’il a continué à utiliser les listes volées à Desjardins jusqu’en octobre 2019. C’est un mois après les perquisitions dans l’enquête sur le vol et le recel de ces renseignements.

Baillargeon-Bouchard travaillait de pair avec Joncas. Ce dernier lui recommandait les clients à qui il vendait des hypothèques pour qu’ils retiennent aussi les services de son associé comme courtier d’assurance. Ils se partageaient ensuite les commissions, selon la demande d’ordonnance de l’AMF.

Les données qu’ils avaient rachetées contenaient notamment le solde hypothécaire et les différentes primes d’assurance que payent les clients de Desjardins. 

Marc-Olivier Tanguay      

Photo courtoisie

Courtier hypothécaire et ancien employé de Mathieu Joncas, il est le seul jusqu’ici à payer un prix quelconque pour avoir utilisé les données volées.

En mai, il a plaidé coupable d’avoir acheté pour 3000 $ les renseignements confidentiels sur 5000 clients de Desjardins, devant le Comité de discipline de l’OACIQ. Il attend de connaître sa sanction.

Marc-Olivier Tanguay a acheté ces informations de Jean-Loup Leullier Masse en janvier 2019, lors d’une rencontre dans un restaurant. 

Signe qu’il se doutait que la source des données était douteuse, Tanguay les a payées en argent comptant et n’a pas demandé de facture, a-t-il reconnu. Il a aussi convenu que la liste que lui a vendue Leullier Masse incluait «des informations confidentielles».

Les renseignements personnels volés à Desjardins l’ont aidé à négocier trois transactions hypothécaires, selon le résumé des faits déposé au Comité de discipline. 

Charles Bernier        

Tout le réseau de courtiers et de prêteurs privés qui ont vu les données volées a gravité autour de lui, selon des documents de cour. La police ne l’a pourtant jamais traité comme un suspect. 

L’enquête sur le vol de ces renseignements a commencé par une perquisition de la police de Laval dans les bureaux de la compagnie de prêts privés de Charles Bernier à Montmagny, dès le 6 juin 2019.

Son nom apparaît plusieurs fois dans la preuve contre un courtier ayant racheté une partie des données, Marc-Olivier Tanguay (ci-contre).

Dans son dossier, le syndic de l’OACIQ a déposé des courriels d’une source confidentielle. L’un d’eux mentionne que Bernier fut l’un des premiers à manipuler des données de Desjardins avec son partenaire Leullier Masse, dès 2016. 

À l’époque, Bernier travaillait pour Mathieu Joncas.

«Joncas a eu accès à ses listes par le biais d’un de ses employés Charles [Bernier] et de son ami le fameux Jean Loup [Leullier Masse]», écrit la source du syndic dans un courriel.

Elle affirme que Bernier a rapidement compris qu’il pouvait faire beaucoup d’argent avec les données volées.

Toujours en affaires

Depuis un an, les opérations de Bernier continuent comme si de rien n’était. Le centre d’appels de sa compagnie de prêts privés, Solutia Finance, était toujours en exploitation cette semaine.

Quant à son entreprise de prêts hypothécaires, la Financière Blackstone, elle a saisi une maison de Plessisville pour se faire rembourser un prêt en décembre dernier, selon le registre foncier. Son dernier prêt hypothécaire remonte à février dernier, à Montmagny.

Blackstone a reçu en 2018 un avis d’infraction de l’Office de la protection du consommateur pour une série de violations à la loi. Elle a notamment facturé des intérêts allant jusqu’à 467 % par an, largement au-dessus du taux maximal de 60 % inscrit au Code criminel. 

Une vraie saga        

DÉCEMBRE 2018

Un individu effectue avec les informations personnelles d’un membre chez Desjardins une traite bancaire dans un établissement financier à Laval. Une enquête est ouverte au cours des jours suivants. 


22 MAI 2019 

Des policiers de Laval transmettent les premières informations à la coopérative, notamment en ce qui concerne un fichier qui proviendrait d’une perquisition. 


14 JUIN

Desjardins reçoit des données des policiers démontrant que 2,9 millions de membres sont touchés. 


20 JUIN

La direction de la coopérative de Lévis organise une conférence de presse pour annoncer la fuite de renseignements personnels de près de 2,9 millions de particuliers et d’entreprises. 


5 JUILLET

Desjardins annonce des mesures pour aider ses membres à s’inscrire au service de surveillance de crédit Equifax.


15 JUILLET

La coopérative lance la Protection membres Desjardins contre le vol d’identité pour l’ensemble de ses clients. 


1er NOVEMBRE

La société annonce que le nombre de victimes passe à 4,4 millions avec les entreprises touchées.


3 DÉCEMBRE

Départs du premier VP exécutif et chef de l’exploitation, Denis Berthiaume, et du premier VP des technologies de l’information, Chadi Habib.


10 DÉCEMBRE 

Desjardins élargit sa protection contre le vol d’identité à 8 millions de membres, notamment les détenteurs de cartes de crédit, de produits de financement et d’assurances. 


16 DÉCEMBRE 

Le président Guy Cormier est réélu par acclamation à la tête de la coopérative pour un autre mandat de quatre ans.  


 26 FÉVRIER 2020

Desjardins annonce que la fuite de données lui a coûté 108 millions $ jusqu’à ce moment. La direction admet avoir versé des sommes en lien avec des vols d’identité.  


17 MAI

1 719 312 personnes étaient inscrites avec Desjardins au service de surveillance d’Equifax. Par ailleurs, 1 190 871 personnes ont eu recours au service Ma Cote de Crédit de TransUnion, au moyen d’AccèsD, pour visualiser leur dossier de crédit depuis l’événement. 


MAI ET JUIN 

Desjardins reprend l’envoi de lettres aux clients de cartes de crédit et d’Accord D pour les avertir que leurs données avaient été compromises. L’initiative commencée en janvier avait été interrompue en raison de la pandémie.