Le vol d’identité est une bombe à fragmentation. Au Mouvement Desjardins, l’explosion a eu lieu il y a un an exactement, lorsque la coopérative a révélé que les renseignements personnels de 4,2 millions de membres avaient été compromis.

Depuis, la poussière retombe à la coopérative. Mais pour les membres, le risque plane toujours. Sournois. Invisible. Impossible de prédire où et quand une fraude d’identité peut leur sauter au visage.

Pour Michel Fontaine, la bombe a éclaté le 23 avril dernier.

Le client de Desjardins a reçu par la poste une carte de guichet automatique de la banque virtuelle Tangerine, puis une autre de la Banque Laurentienne. Jamais il n’avait fait de demande.

Sur ces entrefaites, un fraudeur fort habile a tenté de lui soutirer son numéro d’assurance sociale (NAS) en se faisant passer pour un représentant de Tangerine.

En pleine pandémie, M. Fontaine a passé des heures à essayer de joindre les institutions financières. Il n’a pas eu de succès auprès de Tangerine qui n’a pas répondu à ma demande non plus.

De son côté, la Laurentienne a fini par lui révéler que des dépôts et des retraits étaient passés dans ce compte bidon. Combien ? De qui ? La banque a refusé de lui en dire plus, même si le compte est théoriquement à son nom.

Mais on sait qu’il y a eu une vague de fraudes liées à la Prestation canadienne d’urgence (PCU) ce printemps. Des escrocs réclament la PCU sous une fausse identité avec laquelle ils ont aussi ouvert un compte bancaire. Ils y font déposer l’argent par Ottawa, puis décampent avec la somme.

Non seulement le gouvernement fédéral se fait arnaquer, mais la personne dont l’identité a été usurpée écope aussi d’une facture fiscale, car la PCU est imposable.

***

Pour élucider le mystère, M. Fontaine a consulté son dossier de crédit chez Equifax, lui qui a droit au service de surveillance gratuit offert aux victimes de Desjardins. À la fin mai, plus de 1,7 million de clients s’étaient inscrits.

Mais étrangement, tout était en règle. Rien sur Tangerine ni sur la Laurentienne. Pourtant, l’information sur les comptes ouverts frauduleusement figurait dans son dossier chez TransUnion, l’agence de crédit concurrente.

Pourquoi cette divergence ?

« La Banque utilise les services d’Equifax et de TransUnion afin de maximiser la couverture des risques de fraude et le service à la clientèle », m’a assuré la porte-parole de la Laurentienne, Hélène Soulard.

Mais la mésaventure de M. Fontaine prouve que les deux agences de crédit ne compilent pas toujours les mêmes renseignements. Pour avoir le portrait complet, les consommateurs doivent consulter les deux agences.

Or, Desjardins n’a offert un abonnement qu’à une seule des deux. « Pourquoi Equifax ? La réalité est qu’aujourd’hui, Equifax est le joueur majeur au Canada avec des parts de marché de 70 % », m’a répondu la porte-parole de Desjardins, Chantal Corbeil.

Elle ajoute que les clients peuvent visualiser leur dossier chez TransUnion sur AccèsD à l’aide du service Ma cote de crédit auquel presque 1,2 million de personnes ont eu recours.

***

Ce serait tellement plus simple si les consommateurs n’avaient qu’un seul et unique dossier de crédit, géré par un organisme national, comme c’est le cas en France. Pourquoi doit-on s’en remettre à des multinationales américaines qui nous font payer le gros prix pour accéder à nos propres données en nous offrant un service à la clientèle déplorable ?

Prenez M. Fontaine. Pour l’identifier au téléphone, Equifax lui a demandé… son NAS ! Outré, il a demandé à parler à un superviseur. La ligne a coupé. Autre appel, autre attente interminable. Même réponse de la part du préposé d’Equifax… en Inde.

Franchement ! Les données personnelles des Québécois sont une information névralgique qui, à mon humble avis, ne devrait pas sortir de nos frontières.

Et que dire du NAS comme mode d’identification ? « Le NAS, c’est le Parc jurassique ! », ironise M. Fontaine, qui s’y connaît en informatique.

Ce vestige de l’époque des dinosaures n’a pas été conçu à des fins d’authentification. Il n’est pas normal que ce système complètement déphasé serve de clé de voûte à la protection de notre vie financière.

Heureusement, Québec et Ottawa songent à nous donner une nouvelle identité numérique plus sûre. Et que ça saute ! Une bonne vingtaine de pays sont déjà passés à l’ère moderne.

Dans la foulée de la fuite chez Desjardins, le gouvernement du Québec a aussi déposé un projet de loi pour mieux encadrer les agences de crédit. Notamment, les consommateurs pourront verrouiller leur dossier pour bloquer les nouvelles demandes.

« Mais il y a un trou dans le projet de loi qui fait que les agences pourraient rendre ce service payant », déplore Alexandre Plourde, avocat chez Option consommateurs. La mise en place de ce « verrou » devrait être gratuite, comme c’est d’ailleurs le cas aux États-Unis.

La semaine dernière, Québec a aussi annoncé un projet de modernisation de la Loi sur la protection des renseignements personnels qui permettra d’imposer des amendes pouvant atteindre jusqu’à 25 millions de dollars aux entreprises qui, en ce moment, ne reçoivent que des pichenottes.

Ce sont leurs clients qui paient pour les fuites de données. Ce sont eux qui subissent les conséquences de la fraude. Eux qui vivent avec le stress. Eux qui se débattent pour rectifier la situation.

Les entreprises peuvent dormir tranquilles, car il est presque impossible de faire le lien entre une fuite de données et une fraude d’identité. « Est-ce que je suis capable de prouver à 100 % que la fraude vient des données de Desjardins ? Non. Mais les probabilités sont assez fortes », juge M. Fontaine.

Il ne lui reste plus qu’à faire un rapport de police. Et espérer que le cauchemar ne revienne pas.