Lotto 6/49 du vol de données personnelles

Hein, quoi ? Tu n’as jamais été victime de vol de renseignements personnels ? Tu devrais peut-être acheter un billet de 6/49, pour reprendre le slogan de ces publicités cocasses de Loto-Québec.

Mais oui, vous savez, cette pub dans laquelle un jeune rentre à la maison et lance au hasard sa casquette qui atterrit par miracle sur le porte-manteau. Ou encore celle qui met en scène un personnage d’époque prenant le thé qui attrape au vol une mouche avec sa pince à sucre. Plus chanceux que ça, tu meurs !

De la même manière, il faut être drôlement veinard pour n’avoir jamais été victime d’une fuite d’informations personnelles au Québec.

Vendredi, Desjardins a dévoilé que l’énorme brèche de sécurité dont le Mouvement a été victime avait compromis les données de 4,2 millions de personnes, soit l’ensemble de ses membres du côté des particuliers. C’est 1,5 million de clients de plus que le nombre qui avait été diffusé au début de l’été quand l’affaire avait éclaté.

Autrement dit, la moitié de la population de la province est touchée.

Ajoutez à cela la cyberattaque chez Capital One qui a frappé 6 millions de Canadiens l’été dernier. Ajoutez aussi toutes les autres brèches des dernières années – Equifax, TransUnion, Revenu Québec, Ressources humaines et Développement des compétences Canada, etc. –, et vous conviendrez avec moi que la majeure partie des consommateurs québécois sont dans le même bateau.

Nos données personnelles – NAS, numéro de permis de conduire, adresse, date de naissance et que sais-je encore ? – voguent dans les eaux troubles du dark web, où des fraudeurs peuvent les pêcher pour voler notre identité et obtenir du crédit sous notre nom.

À nous, maintenant, de nous dépatouiller avec les problèmes !

***

Le constat d’échec est brutal. Les entreprises n’ont pas réussi à protéger nos données personnelles. Elles ont développé une foule de produits et de services qui reposent sur une technologie défaillante. Aujourd’hui, elles sont dépassées par la complexité de leurs propres systèmes.

Comment est-il possible que Desjardins, en collaboration avec la Sûreté du Québec, ait mis quatre mois pour découvrir que 1,5 million de membres supplémentaires avaient été touchés par la brèche ? Fallait-il tout ce temps pour y voir clair ? Comment le public peut-il avoir encore confiance ?

Pas seulement confiance en Desjardins. Mais dans l’ensemble des entreprises qui ont transformé nos données en véritable industrie, sans vraiment nous demander la permission et sans se soucier suffisamment des conséquences sur nos vies.

Quand une cyberattaque survient, les entreprises réagissent à la pièce. Elles offrent aux clients touchés un abonnement à un service de surveillance de leur dossier de crédit pour un an ou deux, voire cinq chez Desjardins.

Il s’agit d’un diachylon sur une plaie béante. Et on espère que le malade quittera les urgences au plus vite et guérira tout seul par magie. Mais ça ne se passe pas comme ça !

Les personnes dont les données personnelles ont été compromises vivent avec une épée de Damoclès au-dessus de leur tête pour le restant de leur vie.

Quand une fraude survient, parfois des années plus tard, les victimes doivent déployer temps et énergie pour se sortir du pétrin, tandis que l’entreprise responsable de la fuite de leurs renseignements est passée à d’autres choses depuis longtemps.

Ce n’est pas normal que le fardeau se retrouve ainsi sur les épaules des clients, alors que ce sont les entreprises qui font de l’argent avec leurs données et qui ont davantage de connaissances et de moyens pour résoudre les problèmes.

Ce n’est pas normal que les entreprises fautives – comme Equifax, dont les manquements étaient pourtant accablants – s’en tirent à bon compte, parce que le Commissariat à la vie privée n’a pas la capacité de leur imposer une pénalité, comme ailleurs dans le monde.

En passant, Equifax s’en est aussi sortie indemne devant les tribunaux. Le 21 octobre dernier, la Cour supérieure a refusé d’autoriser une action collective intentée au nom de toutes les victimes québécoises.

Le simple fait de s’être fait dérober ses renseignements personnels ne donne pas droit à des dommages compensatoires en vertu des lois québécoises, a expliqué le juge.

Comment quantifier l’angoisse, le stress et l’inquiétude lorsqu’aucune fraude n’a été commise ? Et même quand il y a une fraude, encore faut-il prouver qu’elle découle de la fuite de renseignements, ce qui n’est pas de la tarte.

Voilà qui prouve que les actions collectives ne sont pas le bon outil pour remettre au pas les entreprises qui protègent mal nos données.

***

La fraude d’identité est un problème systémique qui touche toute la population, pas juste une série d’évènements isolés auxquels les consommateurs doivent se résigner. Il est temps que nos gouvernements s’y attaquent de front.

N’attendons pas que nos maisons soient remplies de produits branchés, du frigo jusqu’aux jouets pour enfants. Ces objets moins bien protégés seront encore plus vulnérables aux cyberattaques.

J’imagine déjà les histoires d’horreur si on ne revoit pas rapidement tout notre système de protection des données personnelles…