Trois mois après le dévoilement du vol massif de données de 2,9 millions de membres du Mouvement Desjardins — la pire crise de toute l’histoire de la coopérative québécoise —, son PDG, Guy Cormier, ne veut surtout pas fanfaronner au sujet de la tempête qui s’est abattue sur son institution et qui a ébranlé la confiance de ses 4,5 millions de membres, mais il l’affirme d’emblée : « La crise est derrière nous. Depuis un mois, on vit un retour à la normale et on n’a enregistré aucune hausse de fraude ou de vol d’identité. »

Jean-Philippe Décarie Jean-Philippe Décarie
La Presse

Le 20 juin dernier, vous avez été contraint de dévoiler que vous veniez d’être victime du plus gros vol de données à voir le jour au Québec. Quel bilan faites-vous de cette crise ? Où en êtes-vous rendu dans la sécurisation des données personnelles de vos membres ?

On voit une grosse différence par rapport à la situation que nous avons vécue cet été. Dès le début de la crise, on a mis sur pied des mesures pour rassurer nos membres en offrant notamment le service de protection d’alerte de crédit Equifax à ceux qui ont été victimes du vol de données.

Déjà, nos membres avaient accès depuis avril sur notre site AccèsD à leur cote de crédit via TransUnion.

On a aussi mis en place, le 15 juillet, la Protection Desjardins, qui assure le remboursement intégral à tous nos membres de tous les frais relatifs aux démarches visant à restaurer leur identité jusqu’à concurrence de 50 000 $. Cette mesure a réduit de beaucoup l’inquiétude de nos membres.

Mais dans les faits, il ne s’est rien passé. On n’a pas enregistré de hausse des fraudes par carte de débit ou de crédit. On n’a pas non plus observé une hausse des vols d’identité reliée au vol des données de nos 2,9 millions de membres.

Mais la confiance de vos membres a été fortement ébranlée. Tout au long de l’été, on a entendu les témoignages de clients de Desjardins inquiets, de certains autres qui ont été victimes de fraude. Plusieurs ont menacé de quitter l’institution. Quelle a été l’étendue des dommages ?

Nos membres ont été ébranlés, c’est certain. On en a aussi perdu, mais les 45 000 employés de Desjardins se sont tellement mobilisés pour répondre à la crise qu’on a été en mesure de réduire considérablement les dommages.

La mobilisation de nos employés est d’ailleurs ma plus grande fierté. On a eu des retraités de Desjardins qui sont venus spontanément nous prêter main-forte en succursale ou qui se sont déplacés dans des maisons de personnes âgés pour aller rassurer nos membres.

Au bout du compte, on se retrouve aujourd’hui avec 16 000 membres de plus qu’à pareille date l’an dernier. Nos membres ne nous ont pas laissé tomber. Ils ont compris qu’on faisait face à une crise.

Justement, certains vous ont reproché d’avoir trop attendu avant de révéler publiquement que vous aviez été l’objet d’un vol massif de données, que vous auriez dû réagir dès l’automne dernier lorsque vous avez avisé la police de Laval que vous soupçonniez une fraude.

Les gens confondent. À la fin de 2018, on a indiqué à la police de Laval qu’on avait identifié une activité frauduleuse dans nos activités courantes. Comme on le fait chaque fois qu’on soupçonne une fraude.

La police a amorcé une enquête et c’est seulement le 15 ou le 16 juin qu’elle nous a avisé qu’on avait été victime d’un vol massif de données.

Quelle a été votre réaction ?

Ç’a été un coup de massue. Tu ne t’attends pas à ça. On investit 70 millions par année dans la sécurité. Mais que ce vol soit le fait d’un employé, j’ai vécu cela comme une immense trahison. Immédiatement, on a mis en place une cellule de crise.

Quelles ont été vos priorités immédiates lorsque vous avez dévoilé publiquement le vol de l’identité de 2,9 millions de vos membres ?

Il fallait être transparent, honnête et rassurant. J’ai contacté l’Autorité des marchés financiers, le Surintendant des institutions financières, les ministres des Finances Bill Morneau et Eric Girard, le Commissaire à la vie privée.

On a fait une conférence de presse le 20 juin et on a mobilisé nos employés qui ont répondu de façon incroyable. Cet été, on a mobilisé 3000 personnes qui ont consacré tout leur temps à répondre aux questions des membres.

Des employés administratifs sont allés dans les caisses pour rencontrer nos membres, on a ajouté 1500 employés qui provenaient de nos divisions d’assurance de dommages et d’assurance vie à notre centre d’appel AccèsD.

Au plus fort de la crise, nos temps de réponse variaient entre cinq secondes et cinq minutes.

Il fallait rassurer les gens, leur expliquer que le vol d’identité n’était pas un vol de données qui allait se traduire par une fraude, on leur a expliqué les mesures d’indemnité qu’on avait mises en place.

Le Mouvement Desjardins a été jugé comme une institution d’importance systémique pour la bonne marche du système financier canadien. Est-ce que votre crédibilité a été touchée par la crise du vol de données ?

Absolument pas, et le meilleur exemple, c’est qu’on a réalisé la semaine dernière une émission d’obligations en dollars américains aux États-Unis. On visait une émission de 500 millions, et l’offre a été trois fois plus élevée que prévu. On a finalement émis pour 1 milliard US d’obligations. Et les agences de notation ont maintenu notre cote d’emprunt au même niveau.

Comment évaluez-vous la réaction de vos concurrents durant la crise ? Certaines institutions ont-elles tenté de profiter de votre situation de vulnérabilité ?

Il n’y a pas eu de petite concurrence ni de mesquinerie. Personne n’a fanfaronné ou cherché à en tirer parti. Mes pairs m’ont tous dit que la même situation aurait pu leur arriver. Plusieurs de nos concurrents nous ont même demandé conseil par rapport aux mesures qu’on avait mises en place.

Vous ne voulez pas discuter de l’employé qui a orchestré cette gigantesque fuite de renseignements personnels pour ne pas nuire à l’enquête policière. Mais puisque vous n’avez pas subi de dommages financiers jusqu’à présent, vous devez sûrement souhaiter que l’enquête aboutisse au plus vite ?

On a une excellente collaboration avec la police, et j’ai extrêmement hâte que les résultats de l’enquête nous apprennent qui voulait tirer profit de ces vols de données, qui est derrière tout ça.

Sur le plan personnel, cette crise a dû être passablement éprouvante ?

Pour moi et pour l’ensemble des 45 000 employés de Desjardins. Les journées commençaient à 6 h et se terminaient à 23 h, six ou sept jours par semaine.

Chaque matin, on avait une réunion de notre cellule de crise où on passait tout en revue. Personne n’a pris de vacances de l’été. On a repris un rythme plus normal depuis le 15 août. Le nombre d’appels a diminué considérablement. On reprend le cours de nos activités.

Mais je ne souhaite surtout pas que la poussière retombe sur cette crise. À l’ère du 5G, de l’internet des objets, de la connectivité, ce n’est pas normal que l’identité des citoyens repose encore sur le seul numéro d’assurance sociale.

Il faut développer une identité numérique. C’était l’urgence cet été. J’ai été convoqué en commission parlementaire à Ottawa pour en discuter. Pourtant, depuis le début de la campagne électorale fédérale, je n’ai pas entendu un mot là-dessus.