Un enquêteur dénonce le laxisme des dernières années dans la lutte contre le vol d’identité.

Daniel Renaud Daniel Renaud
La Presse

« Ça fait 20 ans que tout le monde – les chefs de police, le Service canadien du renseignement de sécurité – dit que le vol d’identité, c’est le crime de l’avenir. Mais qu’est-ce qu’il s’est fait depuis 20 ans pour le combattre ? », demande Michel Carlos.

Le policier retraité n’est pas le dernier venu en matière de lutte contre les fraudes. Il a été enquêteur et patron aux Crimes économiques de la Sûreté du Québec durant près de 20 ans. Il a travaillé en enquête à la Banque Nationale durant 13 ans d’un océan à l’autre. Il s’occupe maintenant d’une petite entreprise, Artemis Renseignement, dont les employés montent des dossiers de fraude bancaire pour les remettre aux policiers, en plus de suivre les nouvelles tendances en matière de crimes économiques.

Selon M. Carlos, le retentissant vol de données chez Desjardins fait ressortir le laxisme des dernières années, les lacunes en matière de lutte contre les crimes économiques et le manque de volonté des autorités à ce chapitre. 

PHOTO TIRÉE DE LINKEDIN

Michel Carlos a notamment été enquêteur et patron aux Crimes économiques de la Sûreté du Québec durant près de 20 ans.

Il déplore le fait que, selon ses estimations, les banques ne rapportent que 5 % des fraudes dont elles sont victimes et que les crimes économiques ne seraient pas une priorité pour les corps de police. 

« À une certaine époque, la première place où l’on coupait lorsqu’il fallait réduire les dépenses, c’était aux fraudes. Ce n’est pas glorifiant d’y travailler. Les jeunes enquêteurs veulent aller aux crimes majeurs, aux stupéfiants, où ça bouge », dit M. Carlos.

30 taupes par année dans les banques

L’ex-policier affirme que le vol de données qui aurait été commis par un employé n’est pas propre à Desjardins.

« Les institutions financières ne vous le diront pas, mais je vous dirais, tout en restant prudent, qu’il y a de 30 à 40 taupes par année détectées dans toutes les banques en activité au Québec. Ce qui est différent toutefois avec Desjardins, c’est la quantité d’informations volées », affirme M. Carlos.

« Il y a deux types de taupes : l’employé fragile [qui a un problème d’alcool, de drogue ou de jeu, des dettes, qui n’a pas obtenu la promotion espérée, etc.] qui va être approché par le crime organisé et qui vend de l’information. Et il y a l’employé qui fait déjà partie d’un gang, qui n’a pas de dossier criminel et qui est embauché à la banque », explique-t-il.

« Les gangs de rue envoient dans les banques de cette façon nombre de personnes qui se faufilent et sortent des infos pour le réseau. »

Michel Carlos

Michel Carlos croit que les corps de police devraient augmenter leurs effectifs dans les sections des fraudes et des crimes technologiques.

Il se désole que l’on ne connaisse pas le véritable chiffre des pertes occasionnées au pays par les fraudes et le vol d’identité.

« Le chiffre noir en matière de fraude, c’est ce qui est le plus important. Si tu veux t’attaquer à un phénomène, il faut que tu en connaisses l’ampleur. »

Il croit que le vol d’identité devrait « être traité comme la police traite le crime organisé », et déplore le fait que, puisque les fraudes n’ont pas de frontières, les victimes se heurtent à des problèmes de juridiction et ne savent pas à qui s’en plaindre.

Centraliser toute l’information

Pour toutes ces raisons, Michel Carlos et certains de ses collègues, anciens et actuels, militent pour la création d’une entité où toutes les informations concernant la fraude bancaire au pays (par exemple, photos de fraudeurs aux guichets automatiques, modes opératoires des fraudeurs, informations volées ou contrefaites, etc.) seraient acheminées à des policiers, soumises à une enquête, analysées et échangées avec les autres corps de police du Canada et des États-Unis, Interpol, etc.

Cette unité pourrait également devenir un guichet unique pour les victimes de fraude qui se perdent en conjectures ou dont la plainte reste lettre morte.

« Il faut une volonté continue. Mettre sur pied un programme d’entraide international pour lutter contre la pédophilie, cela a pris des années. Il ne faudrait pas que ce soit : ah, il y a eu une grosse fraude chez Desjardins, on part une équipe, ça dure un an et c’est fini ! Le vol d’identité, c’est un phénomène qui va prendre de l’ampleur et qui sera de plus en plus complexe. Préparons-nous, les corps policiers ! », prévient M. Carlos, selon qui l’unité devrait également avoir les moyens d’embaucher et de payer des civils spécialistes de la cryptomonnaie et du web profond (dark web), souvent utilisés par les fraudeurs.

« Que les corps de police partout en Amérique du Nord puissent avoir une banque de données seulement pour les crimes économiques, je suis d’accord avec ça », affirme Pierre Veilleux, président de l’Association des policières et policiers provinciaux du Québec.

PHOTO JEAN-MARIE VILLENEUVE, ARCHIVES LE SOLEIL

Pierre Veilleux, président de l’Association des policières et policiers provinciaux du Québec

« Les fraudeurs appellent d’Afrique pour nous frauder. Il faut que les autorités se parlent et puissent faire des liens pour attraper ces gens-là », ajoute le chef syndical.

Lois et peines plus sévères

Michel Carlos avance qu’un autre élément dissuasif serait de renforcer le Code criminel pour les accusations de fraude et de vol d’identité, et d’imposer des peines plus sévères.

« C’est l’un des principaux problèmes, les peines souvent faibles au Canada. Par exemple, des Québécois qui ont été arrêtés ici et extradés aux États-Unis pour avoir fait du télémarketing frauduleux auprès de personnes âgées ont été condamnés là-bas à 10, 12 ans de pénitencier. Il faut augmenter les peines, en particulier celles des récidivistes et des gens liés au crime organisé », pense l’ancien policier.

On entend souvent dire que la fraude et le vol d’identité sont des crimes sans victimes, parce qu’il n’y a pas de violence. Mais, selon le policier retraité, ces crimes brisent des vies et coûtent annuellement des dizaines de millions à la société.

« La fraude est un puits sans fond », conclut M. Carlos.

Pour joindre Daniel Renaud, composez le 514 285-7000, poste 4918, écrivez à drenaud@lapresse.ca ou écrivez à l’adresse postale de La Presse

« Les banques ne nous appellent pas »

Du côté de l’Association des directeurs de police du Québec, on affirme qu'une banque de données existe déjà, mais qu’il faudrait l’améliorer et s’en servir davantage. « On a de la difficulté à voir l’ampleur du phénomène. Les gens ne se plaignent pas. Les banques ne nous appellent pas. Avec Desjardins, on a sensibilisé tout le Québec. Mais il y a d’autres choses à faire avant d’ajouter des effectifs. Est-ce que la police est à la bonne place avec l’évolution de la technologie ? La réponse est non. On doit mieux s’outiller. Une banque centrale où serait centralisé tout le renseignement sur les fraudes, oui. Mais on l’a déjà, c’est le Centre antifraude du Canada. Il faut l’utiliser », croient le nouveau président de l’Association des directeurs de police du Québec, Robert Pigeon, et son directeur général, Didier Deramond.

Fraude chez Desjardins: le suspect s'expose à des années de prison

Réjean Bourdeau Réjean Bourdeau
La Presse

L’employé de Desjardins qui aurait transféré les données personnelles de 2,9 millions de clients s’expose à des années d’emprisonnement. Et sa peine pourrait augmenter s’il est prouvé qu’il l’a fait en plusieurs étapes.

« Les enquêteurs et les procureurs doivent se concentrer sur le nombre d’opérations faites par le suspect », dit Amissi Manirabona.

Le professeur de l’Université de Montréal s’interroge. Le suspect a-t-il transféré les millions de dossiers en une seule fois ? Ou l’a-t-il fait sur des semaines ou des mois ?

« S’il a fait plusieurs transactions criminelles, ça pourrait se traduire par une peine plus sévère », estime l’expert en crimes économiques.

PHOTO ANDRÉ PICHETTE, LA PRESSE

Amissi Manirabona, professeur de droit à l’Université de Montréal

M. Manirabona pense que le suspect pourrait faire face à plusieurs chefs d’accusation. Les alinéas « d’au moins » deux articles du Code criminel seraient concernés. En termes juridiques : le 342.1 et les deux paragraphes de 402.2.

Précisons, tout d’abord, que la notion de vol de données n’existe pas en droit canadien.

« Le vol implique qu’on nous prive de quelque chose qui nous appartient, explique Nicolas Vermeys. Or, après un “vol de données”, nous avons normalement encore accès à nos informations. » Le cas de Desjardins illustre bien la situation. « Il y a eu duplication de l’information, dit celui qui est professeur de droit à l’Université de Montréal. Mais les clients ont toujours accès à leurs dossiers et leurs données. »

C’est ici qu’entre en jeu l’article 342.1. D’une certaine façon, il sert d’équivalent au vol de données, car il concerne l’utilisation non autorisée d’un ordinateur. Et il prévoit un emprisonnement maximal de 10 ans pour un acte criminel.

« Les gestes reprochés à l’employé de Desjardins peuvent être considérés sous cet article », dit le spécialiste en cyberjustice.

Au criminel plutôt qu’au civil

Le cas échéant, un client, ou Desjardins, pourrait poursuivre l’employé soupçonné de fraude au civil.

« Dans ce cas, ça risque d’être difficile pour les victimes de prouver qu’elles ont subi un préjudice, dit Nicolas Vermeys. Sauf en cas de vol d’identité (quand les données sont utilisées), les tribunaux sont peu enclins à donner suite aux réclamations. »

Selon lui, le contexte est plus propice à une poursuite criminelle.

« Dans ce cas, le dommage n’a pas à être démontré, dit-il. Il faut prouver qu’on a utilisé sans autorisation un ordinateur pour accéder à des données. »

PHOTO ANDRÉ PICHETTE, LA PRESSE

Nicolas Vermeys, professeur de droit à l’Université de Montréal

Ensuite, si le suspect a vendu les informations à un tiers, il s’agit d’une autre infraction. « Et il peut s’en ajouter de nouvelles », dit le professeur.

Vente de renseignements

Amissi Manirabona est d’accord. Il précise que l’article 402.2 du Code pénalise tout geste lié à la vente ou au transfert de « renseignements identificateurs » (noms, adresses, numéros d’assurance sociale, etc.) en sachant qu’ils seront utilisés par une autre personne en vue de commettre un acte criminel. La peine maximale est de cinq ans d’emprisonnement.

« Dans ce cas, si la culpabilité de l’employé est prouvée hors de tout doute raisonnable en lien avec les deux articles du Code criminel, ce sera au juge de décider si les peines s’additionnent », dit-il.

Si l’on parle d’une seule transaction frauduleuse, il se pourrait que les peines prévues soient purgées de façon concurrente, ajoute le professeur. Ce qui implique la peine la plus sévère des deux.

Prenons le cas d’une peine de cinq ans pour utilisation non autorisée d’un ordinateur. Et d’une autre de trois ans pour vol de données. Dans cet exemple, la peine d’emprisonnement serait de cinq ans si le juge opte pour la concurrence des peines.

« Par contre, ça pourrait être plus élevé s’il était possible de prouver que les transferts de données se sont échelonnés sur une période plus longue. Et à travers plusieurs transactions criminelles, précise Amissi Manirabona. Le juge aura ainsi la latitude d’imposer les peines d’emprisonnement à purger de façon consécutive. »

Cela dit, la fraude survenue chez Desjardins est unique par son ampleur. Et par le fait qu’elle proviendrait d’un employé plutôt que de pirates informatiques.

Pour ces considérations, les deux professeurs pensent qu’il est possible que la peine soit plus élevée que faible. « Mais c’est un réflexe qui est plus politique que juridique », admet Nicolas Vermeys.