Fuite chez Desjardins: 4,2 millions de membres touchés
La Presse Canadienne|Publié le 01 novembre 2019La fuite de données chez Desjardins aurait touché plus de gens que ce que l'on croyait à l'origine.
Aucun des quelque 4,2 millions de membres particuliers du Mouvement Desjardins n’a finalement été épargné par l’important vol de données effectué par un employé malveillant du groupe financier coopératif.
Informé la veille par la Sûreté du Québec (SQ), le président et chef de la direction de Desjardins, Guy Cormier, a indiqué vendredi que le portrait dévoilé en juin dernier était bien plus important que ce que l’on croyait.
«Il ne s’agit pas d’une nouvelle fuite de renseignements personnels, a-t-il dit en conférence de presse. C’est toujours la même enquête, sur le même délit, commis par le même ex-employé malveillant, qui a agi selon un stratagème qui a été démantelé.»
À l’origine, en juin, on avait annoncé que les informations personnelles, dont des numéros d’assurance sociale, de 2,7 millions de membres particuliers et 173 000 entreprises avaient été dérobées.
«Malheureusement, la SQ nous a informés que c’est tous les membres particuliers qui sont touchés», a précisé M. Cormier, avant un discours qu’il devait livrer devant la Chambre de commerce du Montréal métropolitain.
Desjardins n’était pas en mesure de dire si davantage d’entreprises avaient été touchées. La coopérative compte près de 350 000 membres entreprises.
En point de presse, M. Cormier a repris un élément de son discours en annonçant que tous les membres de Desjardins auront maintenant droit au service de surveillance de crédit de la firme de surveillance Equifax pour une durée de cinq ans.
Par l’entremise de la plateforme Accès D, les membres vont commencer à recevoir un code dès lundi afin de s’inscrire au service d’Equifax. Le processus devrait être complété d’ici la fin janvier. Depuis l’été, un peu moins de 1,1 million de membres se sont inscrits au service d’Equifax.
Cela s’ajoute au bouquet de mesures de protection entourant le vol d’identité offert aux membres de Desjardins depuis le 15 juillet dernier.
M. Cormier s’est dit bien au fait qu’Equifax avait été la cible de critiques au cours de l’été alors que plusieurs personnes devaient parfois patienter des heures pour pouvoir s’inscrire en plus d’avoir de la difficulté à se faire servir en français.
«J’ai l’impression de répéter un film, a-t-il dit. On apprend, autant chez Desjardins que chez Equifax. (La société) a procédé à des embauches plus importantes (d’employés) de langue française.»
Desjardins n’a pas fourni d’autres éléments sur l’enquête de la SQ. Depuis juin, la coopérative affirme que le nombre de fraudes entourant les cartes de crédit ou de débit n’a pas été en «hausse significative».
En septembre dernier, la SQ avait interrogé 17 personnes d’intérêt dans cette affaire à la suite d’une série de perquisitions menées dans le cadre de l’enquête baptisée «Portier». Le corps policier avait rencontré 91 témoins dans les secteurs de Québec, Montréal et Laval, sans procéder à une arrestation formelle.
Une porte-parole de la SQ, Ann Mathieu, a confirmé que le corps policier avait fourni une mise à jour à la coopérative sur l’ampleur du vol de données, sans toutefois en dire davantage sur la progression de l’enquête.
Parallèlement, Desjardins fait également l’objet d’enquêtes menées par la Commission d’accès à l’information du Québec ainsi que le Commissariat à la protection de la vie privée du Canada.
Porte ouverte
Alors que le dossier de la protection des renseignements personnels préoccupe de plus en plus la population, en raison de fuites survenues notamment chez Revenu Québec et la banque américaine Capital One, le ministre des Finances, Éric Girard, a ouvert la porte à la tenue d’une commission parlementaire sur le sujet, comme le demandent les partis d’opposition.
Un tel exercice permettrait par exemple à des représentants des institutions financières comme Desjardins d’être interrogés par les élus.
«J’ai toujours été ouvert, notre gouvernement également, à ce mandat d’initiative, a-t-il dit, vendredi après-midi, en point de presse à l’Assemblée nationale. Je pense que le mandat doit être ciblé et circonscrit. Je suis convaincu que l’on peut trouver une voie de passage.»
Une commission parlementaire est réputée souveraine et les députés qui en sont membres peuvent choisir les mandats qu’elle choisit d’étudier, mais il est bien connu que les élus du gouvernement y sont majoritaires et peuvent voter en bloc pour accepter ou refuser un mandat.
Malgré l’ampleur du vol de données chez Desjardins, M. Girard a défendu l’approche de son gouvernement en plus de se montrer satisfait de la gestion du dossier par la coopérative.
«Desjardins a été très transparent dans ce dossier, a dit le ministre, lorsqu’interrogé. Ce qui est important, c’est la protection des renseignements des individus et des avoirs financiers.»
D’ici le mois de décembre, M. Girard compte déposer un projet de loi, qui sera accompagné de consultations, visant à encadrer les agences de crédit. Un projet de loi est également attendu sur la protection des données personnelles et le gouvernement Legault prépare également une stratégie sur la cybersécurité.
La fuite de données chez Desjardins en quelques dates
— 20 juin : Desjardins dévoile que les informations personnelles de 2,9 millions de membres ont été transmises illégalement à l’externe après avoir été dérobées par un employé _ qui a depuis été congédié.
— 21 juin : Deux requêtes en autorisation pour des actions collectives alléguant que la coopérative a violé les droits de ses membres en matière de vie privée sont déposées auprès des tribunaux.
— 8 juillet : La Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada annoncent des enquêtes pour se pencher sur le vol de données s urvenu chez Desjardins.
— 15 juillet : Desjardins élargit les mesures de protection entourant le vol d’identité afin de les offrir à ses 4,3 millions de membres particuliers et 300 000 membres entreprises.
— 1er novembre : On annonce que tous les membres particuliers, soit 4,2 millions de personnes, sont touchées par la fuite de données.