/finance/business
Navigation

Fuite de données: Desjardins connaissait ses faiblesses

Fuite de données: Desjardins connaissait ses faiblesses
Photo d'archives, Agence QMI

Coup d'oeil sur cet article

Le Mouvement Desjardins était au courant de ses faiblesses concernant la protection des données, concluent les commissaires à la protection de la vie privée du Québec et du Canada. L’ex-employé malveillant soupçonné d’avoir dérobé les renseignements a profité de lacunes durant 26 mois.

• À lire aussi: Desjardins a manqué à «ses obligations légales», tranche l'AMF

• À lire aussi: Pas d’amende, pas un cent, une vraie farce!

Malgré ces constats, ce n’est visiblement qu’une tape sur les doigts que l’institution financière de Lévis recevra pour son manque de prudence et ses mesures inadéquates. Aucune amende ni sanction ne lui sera imposée.   

«L’amende maximale aurait été de 10 000$ si on avait mené une enquête pénale. C’est ridicule», explique Diane Poitras, présidente de la Commission d’accès à l’information du Québec, qui a plutôt mené une enquête administrative afin de colmater rapidement les brèches.  

Écoutez l'analyse de Caroline St-Hilaire et d'Antoine Robitaille avec Benoit Dutrizac sur QUB radio: 

Et même si on imposait une amende salée à l’institution financière, ce que la loi actuelle ne permet pas, ce serait les clients eux-mêmes qui paieraient la facture, croit un expert des banques. «Si c’était la Banque Royale, on punirait les actionnaires. Mais là, on est un peu coincés. Si elle est mise à l’amende, Desjardins va puiser dans ses excédents et les membres qui ont déjà souffert se retrouveront sans ristournes, donc ils vont payer l'amende», explique Jean Roy, qui enseigne à HEC Montréal.  

Lundi, le Commissariat à la protection de la vie privée du Canada, la Commission d'accès à l'information du Québec et l'Autorité des marchés financiers (AMF) ont publié les conclusions de leur enquête sur l’incident qui a touché «9,7 millions d’individus au Canada ainsi qu’à l’étranger», dont plus ou moins 7 millions de Québécois.   

Ils ont notamment réclamé à la Fédération des caisses Desjardins du Québec de mettre en place de nouvelles mesures permettant de diminuer les risques d’incidents liés à la protection des renseignements personnels.   

«Desjardins avait déjà décelé certaines des lacunes qui ont ouvert la voie à la fuite, mais a été trop lente à réagir», a indiqué le commissaire à la protection de la vie privée du Canada, Daniel Therrien.  

«Ils savaient qu’ils étaient vulnérables. Il y avait un rapport de 2017 et un autre de 2018 identifiant certaines vulnérabilités, notamment face à des menaces internes», a ajouté pour sa part Diane Poitras.    

Lors du dernier bilan officiel de Desjardins, en décembre 2019, on mentionnait que l’ex-travailleur pouvait avoir eu accès à environ 8,2 millions de dossiers de clients et d’entreprises. 

  • Écoutez la chronique économique de Michel Girard sur QUB radio:

Dans son rapport, le Commissariat conclut que le Mouvement a contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques en ce qui concerne les principes de responsabilité, de la conservation, et des mesures de sécurité. Il estime que la fuite est attribuable à un ensemble de lacunes administratives et technologiques.  

Le Commissariat déplore le fait que Desjardins n’ait pas rajusté rapidement le tir après avoir «reconnu certaines faiblesses» avant l’incident. Il souligne que la coopérative avait pourtant déjà «dressé un plan pour y remédier».       

Il a fallu plus de deux ans avant que le Mouvement prenne connaissance du stratagème et c’est la police de Laval qui a levé le drapeau rouge.  

Pendant «au moins 26 mois», l’ex-employé a exfiltré des renseignements recueillis par Desjardins auprès de clients. Il n’avait toutefois pas les accès nécessaires pour recueillir toutes les données dérobées. En fait, elles se sont retrouvées dans des répertoires «accessibles à l’ensemble de l’équipe marketing», mentionne un rapport.   

Dès octobre 2019, notre Bureau d’enquête révélait que l’employé soupçonné d’avoir volé les données, Sébastien Boulanger Dorval, avait eu accès à l’ensemble des renseignements en raison d’un manque de sécurité.   

Par ailleurs, les commissaires s’inquiètent également de voir que Desjardins conserve des renseignements de clients ayant quitté l’organisation durant plusieurs décennies.   

Information trompeuse?

Du côté de l’AMF, on estime que l’institution financière a «manqué à ses obligations légales de suivre des pratiques de gestion saine et prudente, ce qui a favorisé la survenance de l’incident», et ce, malgré «de multiples constats et recommandations de l’AMF et d’auditeurs».   

L’organisme ajoute que la coopérative n’aurait suivi qu’en partie les recommandations découlant de certains travaux de surveillance antérieurs à 2019, alors que le statut d’avancement fourni à l’AMF disait le contraire.  

Dans ce dossier, l’Autorité dit être allée aussi loin que la Loi sur les coopératives de services financiers le permet. Elle ne prévoit pas de sanction administrative pécuniaire «pour des manquements aux obligations de suivre des pratiques de gestion saine et prudente».  

Desjardins a accepté de mettre en place un plan d’action pour rehausser ses pratiques de gestion et de saine gouvernance et de modifier ses pratiques de destruction des données. Si la coopérative ne respecte pas les ordonnances des commissaires, elle s’exposera à une sanction administrative de 10 000$ par jour de manquement.   

Au cours des prochaines années, Desjardins sera sous surveillance et devra fournir aux commissaires des rapports sur certaines activités tous les six mois.  

– Avec la collaboration de Hugo Joncas

Le scandale en bref  

La question des amendes

À l’heure actuelle, la Commission d’accès à l’information du Québec (CAI) ne peut qu’imposer une amende maximale de 10 000 $ à Desjardins pour la fuite de données personnelles. « C’est ridicule », dit la présidente de l’organisme, Diane Poitras, qui ne prévoit pas le faire.

Avec le projet de loi 64, qui est toujours devant l’Assemblée nationale, la CAI pourrait imposer une amende de 10 millions $ ou de 2 % du chiffre d’affaires mondial.

Une poursuite pénale, impossible à l’heure actuelle en raison du délai de prescription de 12 mois, pourrait culminer en une amende de 25 millions $. 

Pour une fuite de données concernant 3 milliards de comptes en 2013, Yahoo a dû payer une amende de 35 millions $ US à la Securities and Exchange Commission (SEC), aux États-Unis, en plus de régler une poursuite hors cour pour 50 millions. Une facture de 85 millions $ ou environ 36 $ par compte piraté. 

Un total de 9,7 millions de comptes

Aux dernières nouvelles, la fuite de données touchait 8,2 millions de dossiers. Or, hier, on a appris que c’est finalement 9,7 millions de clients actifs et inactifs « au Canada ainsi qu’à l’étranger ». Ce nombre correspond aux dossiers auxquels l’ex-employé malveillant a eu accès dans le périmètre bancaire.

Est-ce à dire que la filiale aux États-Unis (Desjardins Bank) a aussi été touchée, alors que Desjardins a toujours nié que c’était le cas ? Pas du tout, répond la coopérative. « Il s’agit de membres et clients actuels ou anciens qui ont déménagé à l’extérieur du Canada. » 

Questionnée à savoir si les données d’Américains étaient dans le lot, lundi, la Securities and Exchange Commission, l’AMF des États-Unis, a refusé de répondre à nos questions.  

Desjardins aurait déjà avisé les différentes autorités de protection des renseignements personnels ailleurs au Canada de la situation.

Quelques constats  

  • La fuite la plus importante dans le secteur des services financiers au Canada.  
  • Desjardins n’avait pas pris les mesures nécessaires pour assurer la mise en œuvre de ses procédures sur la gestion des renseignements personnels.  
  • Les contrôles d’accès des bases de données étaient insuffisants.  
  • La formation et la sensibilisation des employés faisaient défaut.  
  • Desjardins n’avait pas mis en place de délais de conservation ni de procédures concernant la destruction des renseignements personnels.  
  • L’incident vise les renseignements de près de 4 millions de membres qui ne faisaient plus affaire avec Desjardins.  
Commentaires

Vous devez être connecté pour commenter. Se connecter

Bienvenue dans la section commentaires! Notre objectif est de créer un espace pour un discours réfléchi et productif. En publiant un commentaire, vous acceptez de vous conformer aux Conditions d'utilisation.