Finances personnelles, investissement, consommation... Une fois par mois, la chroniqueuse Stéphanie Grammond fait le tour des petites et grandes questions qui préoccupent les lecteurs de La Presse.

Fichus « maux » de passe !

« À la suite du vol des données de Desjardins, conseillez-vous un gestionnaire de mots de passe et, si oui, lequel ou lesquels sont recommandés ? » — Diane et Hervé

Les mots de passe vous donnent des maux de tête ? Il y a de quoi ! Pour qu’ils soient sûrs, on vous demande de respecter une foule de critères. Trouvez un mot de passe d’au moins huit caractères, avec des majuscules, des minuscules et des caractères spéciaux. N’utilisez jamais des mots faciles à deviner, comme le nom de votre chien, de votre rue ou de vos enfants, ou encore toute référence à un renseignement personnel facile à glaner sur le web… et, surtout, oubliez le trop répandu « motdepasse ». Quand vous aurez trouvé le code parfait, il faudra le changer régulièrement. Et refaire l’exercice pour tous vos comptes.

Migraine assurée ! Comment voulez-vous retenir tout ça sans rien écrire sur une feuille de papier ? Moi, ça ne me rentre pas dans la tête.

« La mémoire humaine est faillible », rappelle Jean Triquet, directeur principal, conseils, cybersécurité et protection de la vie privée et des données chez PwC. « Donc, un gestionnaire de mots de passe est une bonne façon de se souvenir des mots de passe, mais aussi de créer des mots de passe plus complexes qui offrent une meilleure sécurité, au lieu d’écrire des mots de passe plus simples et identiques d’un compte à l’autre », dit-il.

Il existe plusieurs gestionnaires de mots de passe sur le marché, comme Dashlane, TrueKee, KeePass et LastPass ; ce dernier comporte une version gratuite qui s’est déjà attiré les faveurs du magazine Protégez-vous. D’expérience, il fonctionne bien.

Mais il y a des bémols. Le Commissariat à la protection de la vie privée du Canada ne recommande pas l’emploi du gestionnaire de mots de passe pour les comptes plus critiques, comme les opérations bancaires en ligne.

L’organisme souligne aussi le danger de centraliser ses mots de passe : « Si vous pensez utiliser un gestionnaire de mots de passe, sachez qu’il peut être risqué d’avoir tous ses mots de passe au même endroit. Utilisez un mot de passe fort pour le protéger. »

Pour créer un mot de passe vraiment robuste, le gouvernement du Canada préconise la création d’une série de mots choisis au hasard, idéalement avec certains mots dans d’autres langues.

N’utilisez pas une expression courante ou les paroles d’une chanson pour vous en sortir. Il faut y aller de façon complètement aléatoire (ex. : PatatePorteTriangleHorse). Et il faut favoriser la longueur au lieu de la complexité trop souvent factice.

Les astuces faciles pour complexifier un mot de passe ne sont qu’une illusion qui donne un faux sentiment de sécurité.

Je pense par exemple aux techniques prévisibles comme le remplacement de « a » par « @ » (motdep@sse), l’ajout d’un point d’exclamation (motdepasse !), l’emploi de l’année (motdepasse2019) ou de votre date de naissance (motdepasse1995). Vous n’êtes pas le premier à y penser ! Avec ce genre de trucs, vos mots de passe sont très vulnérables aux attaques automatisées lancées par des logiciels malveillants.

Mauvais Karma, oui ou non ?

« À la lecture de l’article « Mauvais Karma », je me demande si je ne devrais pas moi-même ouvrir un compte chez Credit Karma avec une adresse courriel valide pour éviter que quelqu’un d’autre s’amuse à le faire. » — Jonathan « Est-il préférable de s’inscrire avant que quelqu’un d’autre s’inscrive à notre place en utilisant les données volées ? Je me sens perplexe de devoir m’inscrire et donner encore mes renseignements à un autre endroit, mais, d’un autre côté, je suis inquiet de laisser une telle porte ouverte aux fraudeurs. » — Pierre

Dans ma récente chronique sur Credit Karma, je vous expliquais que cette firme américaine présente au Québec depuis sept mois offre aux consommateurs de vérifier leur dossier et leur cote de crédit gratuitement.

PHOTO OLIVIER PONTBRIAND, ARCHIVES LA PRESSE

La firme américaine Credit Karma offre aux consommateurs de vérifier leur dossier et leur cote de crédit gratuitement.

Or, plusieurs victimes récentes de vol d’identité ont réalisé que les fraudeurs ont accédé à leur dossier de crédit en ouvrant un compte à leur nom à partir d’une fausse adresse courriel. Ainsi, ils ont eu accès à l’ensemble de leur vie financière.

En ouvrant un compte chez Credit Karma, le client autorise la firme à accéder à son dossier de crédit chez TransUnion, qui est une des deux grandes agences de crédit recueillant l’information sur les consommateurs canadiens.

L’autre agence, Equifax, a un partenariat semblable avec la firme canadienne Borrowell qui permet aussi d’obtenir son score et son dossier de crédit gratuitement. Ces entreprises font leur argent en recommandant les consommateurs à des prêteurs.

À la lecture de mon article, vous avez été nombreux à me dire qu’un fraudeur avait accédé à votre dossier de crédit en ouvrant un compte chez Credit Karma en fournissant une adresse courriel bidon. Plusieurs lecteurs en ont déduit qu’il serait préférable d’ouvrir un compte eux-mêmes, à partir de leur véritable adresse courriel, pour éviter qu’un fraudeur le fasse à leur place.

A priori, cette solution est logique. Mais faut-il en arriver là pour prévenir un vol d’identité ?

J’hésite à encourager les consommateurs à s’inscrire en vrac auprès d’une autre entreprise qui possédera ensuite tous leurs renseignements les plus névralgiques aussi longtemps que leur compte sera ouvert.

Ces entreprises ne sont pas plus à l’abri des pirates informatiques que le Mouvement Desjardins et Capital One, deux géants de la finance qui viennent de se faire voler des millions de dossiers.

Et quand on lit les conditions d’utilisation de Credit Karma, on comprend que l’entreprise pourrait partager vos renseignements « avec ses sociétés affiliées », qui peuvent être situées à l’extérieur du Canada et peuvent être « assujetties aux lois étrangères applicables, qui pourraient autoriser les autorités nationales de sécurité ou du gouvernement à accéder à vos informations personnelles dans certaines circonstances ».

Pas trop rassurant.

Remarquez qu’une lectrice m’en a raconté une bonne la semaine dernière. Incapable d’accéder à son dossier dans l’une des deux grandes agences de crédit, elle a dû téléphoner au service à la clientèle trois fois. Chaque fois, elle a abouti dans un centre d’appels… en Inde. Pour l’identifier, on lui a demandé son numéro d’assurance sociale, son adresse, sa date de naissance, son âge, etc.

La preuve que vos données personnelles voyagent. On les retrouverait sur Mars que je ne serais pas étonnée.

Club Med et les ventes ratées

« J’ai fait l’achat d’un voyage au Club Med pour deux personnes. Quelques semaines plus tard, sur le site web, apparaît une promotion de trois jours qui offre une réduction importante pour le second voyageur. L’agent de voyage nous informe toutefois que la promo ne s’applique pas puisque nous avons déjà fait l’achat. C’est vrai ? Y a-t-il recours ? » — J. R.

Un contrat, c’est un contrat. Contrairement à une croyance populaire très répandue, rien dans la loi n’oblige un commerçant à annuler une transaction uniquement parce que le client a changé d’idée (sauf certaines exceptions).

PHOTO YANNIS KONTOS, ARCHIVES BLOOMBERG NEWS

Un Club Med à Gregolimano, en Grèce

Mais dans la pratique, beaucoup de commerçants ont des politiques de retour extrêmement permissives. Par exemple, la clientèle dispose de 30 jours pour retourner des produits à plein prix chez Simons, de 90 jours chez Walmart et même de 365 jours chez IKEA.

Cela permet aux consommateurs astucieux de réclamer des ajustements de prix lorsque le produit qu’ils ont acheté tombe en solde. En effet, rien ne les empêche de retourner le produit, si la politique de retour du détaillant le leur permet, pour le racheter tout de suite après au prix soldé. Bingo !

Mais ça ne marche pas comme ça dans l’industrie du voyage, où les prix fluctuent constamment selon l’offre et la demande. Les consommateurs doivent donc rester à l’affût. Je vous indique au passage que l’application Hopper permet d’évaluer les probabilités que le prix d’un billet d’avion baisse afin de déterminer si vous devriez acheter maintenant ou plus tard.

Mais lorsque le client procède à l’achat, il ne peut pas retourner en arrière. « Si le prix baisse, le remboursement n’est pas possible, à moins de bénéficier d’une protection de prix », explique Pierre-Olivier Fortin, de CAA-Québec.

Il ajoute que ce genre de protection peut être incluse dans le cadre de certaines promotions. Dans le cadre de la promotion Réservez Tôt, Transat offre une garantie contre la baisse des prix qui s’applique à certains forfaits jusqu’à 30 jours avant le départ.

D’autres protections peuvent être achetées en extra, lorsque le client réserve son forfait. « Certaines protections payantes permettent d’annuler jusqu’à trois heures avant le départ, peu importe la raison », explique M. Fortin.

L’arbitrage obligatoire illégal au Québec

Question : « Je viens de voir cette affiche collée sur ma sécheuse neuve LG : “Avis de clause d’arbitrage obligatoire”. Est-ce même légal ? » — Louis

Dans leurs conditions d’utilisation, beaucoup d’entreprises prévoient le recours obligatoire à l’arbitrage en cas de litige avec le consommateur. Cela est regrettable.

PHOTO PAUL SAKUMA, ARCHIVES ASSOCIATED PRESS

En 2007, à la suite d’une cause opposant un consommateur à l’entreprise américaine Dell, la Cour suprême a déterminé que la clause d’arbitrage obligatoire était légale. Mais en 2006, le gouvernement du Québec a modifié la Loi sur la protection du consommateur pour interdire les clauses d’arbitrage obligatoires dans les contrats soumis à son application.

En théorie, l’arbitrage est un mode de règlement alternatif qui peut être avantageux, puisqu’il est plus rapide qu’un procès devant les tribunaux et généralement moins coûteux. Les deux parties s’entendent pour confier leur litige à un arbitre qui rend une décision exécutoire et sans appel.

Cette méthode de règlement des différends s’applique bien dans plusieurs domaines, comme le droit du travail. Mais dans le domaine de la consommation, les entreprises se servent de l’arbitrage obligatoire pour empêcher leur clientèle d’intenter une action collective.

« L’arbitrage s’est donc érigé en obstacle supplémentaire à l’accès à la justice », déplore le professeur de droit Pierre-Claude Lafond, dans son ouvrage L’accès à la justice civile au Québec.

On l’a bien vu avec la célèbre cause opposant un consommateur à l’entreprise américaine Dell qui s’est rendue jusqu’à la Cour suprême, en 2007. Le plus haut tribunal du pays a déterminé que la clause d’arbitrage obligatoire était légale.

Mais le gouvernement du Québec n’est pas resté les bras croisés. En 2006, il a modifié la Loi sur la protection du consommateur (LPC) pour interdire les clauses d’arbitrage obligatoires dans les contrats soumis à son application. Bravo ! Notons que l’Ontario avait pris les devants en 2005.

Les consommateurs ont quand même le droit d’utiliser l’arbitrage s’ils le jugent opportun. Mais le commerçant n’a pas le droit de les forcer.

Cela dit, l’arbitrage n’est pas une panacée pour les consommateurs. Même le Programme d’arbitrage pour les véhicules automobiles du Canada (PAVAC), mis sur pied par l’industrie automobile il y a près de 25 ans, donne des résultats mitigés.