Deux cents membres de la caisse Desjardins du Vieux-Longueuil viennent d’apprendre qu’ils ont subi une nouvelle fuite de leurs renseignements confidentiels en avril.

Un employé a envoyé par erreur leurs renseignements personnels à six clients de la Caisse. La fuite inclut leurs dates de naissance, leurs numéros de compte et leurs coordonnées. « Il s’agit d’un incident isolé et d’une erreur humaine sans mauvaise intention », assure Chantal Corbeil, porte-parole de Desjardins.

L’auteur de la fuite souhaitait expédier des informations sur des processus administratifs à six membres, mais il s’est trompé de fichier. Il leur a plutôt transmis « une liste de clients de son portefeuille qu’il utilise dans le cadre de son travail », selon les explications du Mouvement.

La Presse a obtenu la lettre qu’a reçue l’une des victimes de la brèche. Elle est datée du 16 juin, plus de deux mois après les évènements. La missive indique que Desjardins n’a pas été en mesure de s’assurer que les renseignements confidentiels envoyés par erreur avaient été détruits. « Des démarches exhaustives ont été effectuées afin de confirmer la suppression du courriel, sans succès », explique la lettre, qui porte la signature du directeur général par intérim de la caisse du Vieux-Longueuil, René Calfat.

« Problème de communication »

Desjardins assure qu’elle a avisé les 200 victimes de la brèche de sécurité. Un membre touché qui a joint La Presse se demande toutefois pourquoi la Caisse vient seulement de l’avertir de l’évènement, survenu le 9 avril. « Il y a un problème de communication, ça ne marche pas, cette affaire-là ! dit Pierre Gauthier. Comment ça se fait que ça a pris plus de deux mois pour avoir une lettre ? »

PHOTO FOURNIE PAR PIERRE GAUTHIER

Pierre Gauthier fait partie des 200 membres de la caisse Desjardins du Vieux-Longueuil dont les données personnelles ont fuité quand un employé les a envoyées par erreur à six clients, en avril dernier.

La missive reçue ne mentionne aucune autre victime de la fuite. « Ça sonne creux, c’est une lettre pour rassurer », dit-il.

Trop accessible

Chantal Corbeil souligne que l’employé ayant commis l’erreur avait « légitimement accès » aux informations envoyées « dans le cadre de son travail », contrairement aux données de 9,7 millions de personnes dérobées lors du vol massif de données confidentielles qu’a annoncé Desjardins en 2019.

N’empêche que l’erreur aurait pu être évitée par des mécanismes de sécurité relativement simples, selon Nicolas Vermeys, spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal. « La liste était suffisamment accessible pour être envoyée par courriel, dit-il. Elle aurait dû être mieux protégée. » De telles informations n’ont pas à se retrouver sur le disque dur d’un employé, ou alors un mot de passe devrait être nécessaire pour les consulter, selon le professeur.

L’employé à l’origine de la fuite a lui-même annoncé son erreur à la direction, selon l’institution financière. « La Caisse a immédiatement suivi la procédure en place et a interpellé sans délai les différents intervenants requis de Desjardins », écrit Chantal Corbeil.

Le Mouvement souligne qu’une « surveillance accrue » est effectuée sur les produits de crédit que les victimes détiennent dans l’institution financière.