Desjardins n’a pas respecté plusieurs obligations dit un rapport
La Presse Canadienne|Publié le 14 Décembre 2020C'est ce que conclut la Commission d’accès à l’information souligne que la coopérative dans un rapport.
Un rapport accablant sur la plus grande fuite de données personnelles au Canada conclut que Desjardins n’a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé.
La présidente de la Commission d’accès à l’information du Québec, Diane Poitras, et le commissaire à la protection de la vie privée du Canada, Daniel Therrien, ont présenté leurs enquêtes respectives au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois.
Le rapport de Commission d’accès à l’information souligne que la coopérative « n’a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu’elle détient ».
Elle a aussi « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés. »
Également, Desjardins « n’a pas pris les mesures nécessaires pour limiter ou cesser l’utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l’objet de ces dossiers accompli. »
Accès à des bases de données sans autorisation
L’employé de Desjardins qui est à l’origine de la fuite travaillait au sein de l’équipe marketing au siège social de Desjardins.
Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, souligne le rapport de la Commission d’accès à l’information.
Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.
« L’employé a ensuite pu transférer des profils financiers et d’identité concernant des millions de membres et de clients de Desjardins sur des clés USB à partir de son poste de travail. »
L’enquête souligne que les fuites se sont produites pendant 26 mois avant que Desjardins n’en soit informée par les policiers.
Même après avoir été averti par les policiers, Desjardins était incapable de comprendre l’ampleur de la fuite et de « connaître l’ensemble de l’historique des manipulations réalisées par l’employé », comme le souligne le rapport :
« Le 27 mai 2019, Desjardins déclare à la Commission avoir fait l’objet d’un incident de sécurité portant atteinte aux renseignements personnels d’environ 16 000 personnes. Au final, ce sont quelque 9,7 millions de personnes qui sont concernées par cet incident. »
Des renseignements concernant d’anciens clients
En plus de millions de membres et de clients, la fuite a touché plus de 4 millions de personnes qui n’étaient plus membres ni clients de Desjardins.
L’identité des victimes, leur date de naissance, leurs adresses de résidence et de courriel, leur numéro de téléphone, leur numéro d’assurance sociale et d’autres renseignements comme les habitudes transactionnelles des membres avaient également été dérobés.
« Les conséquences de cet incident, tant pour les victimes que pour Desjardins, devraient amener toute organisation à mettre en œuvre de façon diligente les mesures appropriées pour prévenir ce genre d’événement portant gravement atteintes à la vie privée des citoyens, ce que Desjardins n’avait pas fait », a affirmé Me Diane Poitras, présidente de la Commission, lors d’une conférence de presse lundi matin.
La Commission d’accès à l’information a souligné que Desjardins a déjà « pris plusieurs mesures pour circonscrire la portée de l’incident, éviter qu’un tel événement ne se reproduise et remédier aux manquements constatés lors de l’enquête ».
« Nous sommes satisfaits des mesures d’atténuation offerte par Desjardins aux personnes touchées, elles vont au−delà de ce que d’autres organisations ont fait dans des situations similaires », a ajouté le commissaire à la protection de la vie privée du Canada, Daniel Therrien, en conférence de presse.
Desjardins s’est notamment engagé à détruire ou cesser d’utiliser les renseignements personnels périmés.
La Commission a ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures et de lui transmettre, d’ici deux ans, une évaluation réalisée par un auditeur externe indépendant.
Une enquête policière est toujours en cours concernant le vol des données personnelles des clients de l’institution.