Desjardins n’a pas respecté plusieurs obligations selon un rapport

Publié le 14/12/2020 à 11:56

Desjardins n’a pas respecté plusieurs obligations selon un rapport

Publié le 14/12/2020 à 11:56

Par La Presse Canadienne

Guy Cormier, président du Mouvement Desjardins (Photo: Paul Chiasson pour La Presse canadienne)

Un rapport accablant sur la plus grande fuite de données personnelles au Canada conclut que Desjardins n’a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé.   

La présidente de la Commission d’accès à l’information du Québec, Diane Poitras, et le commissaire à la protection de la vie privée du Canada, Daniel Therrien, ont présenté leurs enquêtes respectives au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois.   

Le rapport de Commission d’accès à l’information souligne que la coopérative « n’a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu’elle détient ».  

Elle a aussi « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés. »   

Également, Desjardins « n’a pas pris les mesures nécessaires pour limiter ou cesser l’utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l’objet de ces dossiers accompli. »  

Accès à des bases de données sans autorisation  

L’employé de Desjardins qui est à l’origine de la fuite travaillait au sein de l’équipe marketing au siège social de Desjardins.   

Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, souligne le rapport de la Commission d’accès à l’information.  

Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.  

« L’employé a ensuite pu transférer des profils financiers et d’identité concernant des millions de membres et de clients de Desjardins sur des clés USB à partir de son poste de travail. »  

L’enquête souligne que les fuites se sont produites pendant 26 mois avant que Desjardins n’en soit informée par les policiers.  

Même après avoir été averti par les policiers, Desjardins était incapable de comprendre l’ampleur de la fuite et de « connaître l’ensemble de l’historique des manipulations réalisées par l’employé », comme le souligne le rapport :   

« Le 27 mai 2019, Desjardins déclare à la Commission avoir fait l’objet d’un incident de sécurité portant atteinte aux renseignements personnels d’environ 16 000 personnes. Au final, ce sont quelque 9,7 millions de personnes qui sont concernées par cet incident. »   

Des renseignements concernant d’anciens clients  

En plus de millions de membres et de clients, la fuite a touché plus de 4 millions de personnes qui n’étaient plus membres ni clients de Desjardins.   

L’identité des victimes, leur date de naissance, leurs adresses de résidence et de courriel, leur numéro de téléphone, leur numéro d’assurance sociale et d’autres renseignements comme les habitudes transactionnelles des membres avaient également été dérobés.  

« Les conséquences de cet incident, tant pour les victimes que pour Desjardins, devraient amener toute organisation à mettre en œuvre de façon diligente les mesures appropriées pour prévenir ce genre d’événement portant gravement atteintes à la vie privée des citoyens, ce que Desjardins n’avait pas fait », a affirmé Me Diane Poitras, présidente de la Commission, lors d’une conférence de presse lundi matin.

La Commission d’accès à l’information a souligné que Desjardins a déjà « pris plusieurs mesures pour circonscrire la portée de l’incident, éviter qu’un tel événement ne se reproduise et remédier aux manquements constatés lors de l’enquête ».  

« Nous sommes satisfaits des mesures d’atténuation offerte par Desjardins aux personnes touchées, elles vont au−delà de ce que d’autres organisations ont fait dans des situations similaires », a ajouté le commissaire à la protection de la vie privée du Canada, Daniel Therrien, en conférence de presse.  

Desjardins s’est notamment engagé à détruire ou cesser d’utiliser les renseignements personnels périmés.  

La Commission a ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures et de lui transmettre, d’ici deux ans, une évaluation réalisée par un auditeur externe indépendant.  

Une enquête policière est toujours en cours concernant le vol des données personnelles des clients de l’institution.

 

À la une

Le CELI de Mathieu Corbeil: en construction

Édition du 10 Avril 2024 | Jean Décary

PLEINS FEUX SUR MON CELI. L’ingénieur en construction mise sur un portefeuille composé de FNB et de titres individuels.

Bourse: la Banque Royale fait trembler le marché des actions privilégiées

07:30 | Denis Lalonde

BALADO. La Banque Royale envoie un signal clair qu'elle pourrait racheter toutes ses actions privilégiées.

Correction boursière et marché baissier: pas de panique!

11:27 | Pierre Théroux

SE LANCER EN BOURSE. Le propre des marchés boursiers est de progresser et de reculer en permanence.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024