Quel été cauchemardesque pour le vol d’identité ! Six millions de victimes canadiennes chez Capital One cette semaine. Presque trois millions chez Desjardins le mois dernier.
À qui le tour ? Aucune entreprise n’est à l’abri.
Mais d’une certaine façon, ces brèches de sécurité sans précédent arrivent au bon moment. Avec la campagne électorale fédérale qui s’enclenchera d’ici quelques semaines, nous sommes mûrs pour un sérieux débat sur la sécurité de nos renseignements privés.
Il est temps d’agir. Les données personnelles sont devenues une véritable industrie, sans que les consommateurs n’aient jamais eu leur mot à dire, sans qu’on améliore leur protection qui date de l’époque du VIC-20.
Avec le déploiement d’un réseau de télécom 5G, le Canada surfera bientôt sur la vague de l’internet de l’objet. Votre frigo fera l’épicerie tout seul. Et qui sait si une application ne pourrait pas promener votre chien à distance ?
Blague à part, tous ces gadgets qui ont la réputation d’être peu sécuritaires vont bientôt charrier une quantité phénoménale de données qui s’accumuleront dans un nuage ou un serveur Dieu sait où, décuplant ainsi les risques de dérapage.
Et qui sera pris avec les dégâts ? Le consommateur ! Même s’il n’est responsable de rien, c’est toujours lui qui doit se dépêtrer lorsqu’une fraude financière lui tombe dessus.
***
Mais comme je vous le disais, ça tombe bien, les élections s’en viennent. Il faut que la protection des données personnelles soit à l’ordre du jour. Pas juste pour faire un « show de boucane » afin de séduire l’électorat.
Hier, le ministre des Finances, Bill Morneau, a demandé au Bureau du surintendant des institutions financières d’enquêter sur le vol de données chez Capital One.
Il y a trois semaines, le chef du Parti conservateur Andrew Scheer a réclamé le remplacement des numéros d’assurance sociale des victimes de Desjardins, une mesure qui serait malheureusement inefficace.
Il faut aller plus loin.
En premier lieu, il faut moderniser les lois complètement désuètes qui encadrent la protection des renseignements personnels.
« Ne perdons pas de temps. Inspirons-nous de l’Europe. Ce n’est pas nécessaire de réinventer la roue », affirme René Vergé, avocat et conseiller en cybersécurité et en protection des données personnelles.
Entré en vigueur l’an dernier, le Règlement général sur la protection des données (RGPD) est à l’avant-garde mondiale.
Il prévoit notamment des pénalités maximales de 4 % des revenus de l’entreprise ou 20 millions d’euros, alors que chez nous, le Commissariat à la protection de la vie privée du Canada n’a pas le pouvoir d’imposer des amendes. Un vrai chien sans dents.
Le RGPD oblige aussi les entreprises à divulguer les brèches de sécurité à leurs clients dans un délai de 72 heures, alors qu’au Canada, cette obligation instaurée en novembre dernier reste floue et ne comporte aucun délai précis.
Le droit à l’oubli est une autre belle avancée du RGPD. Les citoyens ont désormais un droit de regard sur toute l’information colligée par les entreprises à leur sujet. Ils peuvent même exiger que leurs renseignements soient effacés par l’entreprise et ses fournisseurs, explique M. Vergé.
Plus les entreprises conservent longtemps des renseignements sensibles dans leurs bases de données, plus les dommages sont lourds lorsqu’elles se font pirater. Si Capital One n’avait pas gardé des dossiers remontant à 2005, il y aurait probablement des millions de victimes en moins.
C’est bien beau l’intelligence d’affaires et le marketing, mais les entreprises devraient purger leur système régulièrement et éliminer les données qui ne sont plus essentielles.
***
Tout le système des dossiers de crédit mériterait aussi d’être revu et, pourquoi pas, nationalisé.
Il est aberrant que les données financières névralgiques des Canadiens soient sous la coupe d’Equifax et de TransUnion, deux entreprises privées américaines qui évaluent leur crédit selon une formule secrète qui repose trop souvent sur des données erronées.
Il est inconcevable que les victimes de vol d’identité soient forcées de se tourner vers Equifax dont le service à la clientèle est épouvantable et dont les propres failles de sécurité ont permis l’un des pires vols de données de l’histoire.
Par ailleurs, il faudrait aussi créer une véritable carte d’identité, dotée de paramètres de sécurité dignes du XXIe siècle. Le numéro d’assurance sociale (NAS) n’a pas été conçu pour cela.
Pourtant, une foule d’entreprises l’exigent à tort et à travers sans que la clientèle puisse s’y opposer. C’est le cas des assureurs qui imposent une prime plus élevée aux clients qui ne fournissent pas leur NAS et ne donnent pas accès à leur dossier de crédit.
« Oui, le consommateur peut refuser, mais il en subit les conséquences économiques », déplore Josiane Fréchette, avocate et analyste chez Option consommateurs.
Quoi d’autre ?
Il faut sensibiliser les corps policiers au fléau du vol d’identité. Non, les crimes financiers ne font pas couler de sang, mais ils n’en sont pas moins terribles. Il faut consacrer le temps, l’argent et l’énergie nécessaires pour les combattre.
Pour l’instant, on est loin de là.
« Ce n’est pas rare que des victimes qui se rendent au poste de police local pour déclarer un vol d’identité se fassent retourner de bord », rapporte Mme Fréchette.
Pourquoi ne pas créer un point de chute plus efficace ? Bien sûr, les victimes peuvent alerter le Centre antifraude, ce qui permet à la Gendarmerie royale du Canada de mener des enquêtes. Mais ce n’est pas ça qui aide la victime à s’en sortir.