« Et maintenant Postes Canada… On nous informe deux ans après les événements. Et on banalise le tout, comme les autres. » — Nathalie

R. Comme vous, Nathalie, j’ai reçu un courriel sibyllin de Postes Canada m’informant que les mots de passe de tous les détenteurs de compte en ligne devaient être réinitialisés.

« Postes Canada n’a pas été victime d’une cyberattaque ni d’une brèche de sécurité, mais nous enquêtons sur des allégations voulant que des renseignements de clients aient été compromis en 2017 », disait le message.

Hum. Pas clair. Que s’est-il produit au juste ?

Postes Canada explique que des données d’accès ont été volées lors de brèches de sécurité externes non liées à Postes Canada. Cela a permis d’accéder à des comptes personnels de Postes Canada. Le problème découlerait du fait que certains utilisateurs se servent du même mot de passe sur différents sites web pour se simplifier la vie.

PHOTO SARAH MONGEAU-BIRKETT, ARCHIVES LA PRESSE

Impossible d’avoir plus de détails sur cette nébuleuse affaire. Mais les dégâts seraient limités. « Nous croyons que seul un petit nombre de personnes sont affectées et nous avons déjà communiqué avec elles », m’a répondu le service des relations avec les médias de Postes Canada.

Mais comment se fait-il que les clients aient été informés de cet incident deux ans après les faits ? Depuis le 1er novembre 2018, les entreprises doivent pourtant informer le Commissariat à la protection de la vie privée du Canada ainsi que les victimes « dès que possible » lorsque se produit une atteinte aux mesures de sécurité impliquant un risque réel de préjudice grave.

Postes Canada n’a pas voulu me dire à quel moment elle avait été informée de l’incident. Mais la société assure avoir averti le Commissariat dès qu’elle a « pris connaissance de cet enjeu ».

Tout ça reste flou.

En Europe, les règles sont plus strictes. La divulgation doit se faire dans les 72 heures qui suivent la prise de connaissance de la fuite de données, sous peine d’amendes très dissuasives.

Devrait-on en faire de même ici ? Cela permettrait aux victimes de prendre rapidement les mesures nécessaires pour minimiser les dégâts. Sauf que ce processus de divulgation — même amélioré — ne réglera pas le problème à la base.

« Ça renvoie aux individus le fardeau de se protéger. Pourtant, ce sont les entreprises qui tirent le plus d’avantages des données. Et ce sont elles qui sont les mieux placées pour les protéger », estime Pierre Trudel, professeur de droit à l’Université de Montréal.

Les données, mine d’or du XXIe siècle

Comment Equifax et TransUnion font-elles pour connaître toutes ces données nous concernant ? De quel droit les marchandent-elles ?

Pierre

PHOTO KEVIN D. LILES, ARCHIVES THE NEW YORK TIMES

Equifax et TransUnion possèdent toutes les données financières de tous les Canadiens, souvent à leur insu, souligne notre journaliste.

R. Equifax et TransUnion en mènent très large. Elles possèdent toutes les données financières de tous les Canadiens, souvent à leur insu. Comment cela est-ce possible ?

Chaque fois que vous contractez un prêt (carte de crédit, location d’auto, hypothèque, etc.), vous autorisez l’institution financière à partager l’information avec les agences de crédit. Mais il s’agit d’un consentement forcé. Vous n’avez pas le choix de dire oui. Autrement, vous n’aurez pas de crédit.

À l’aide d’algorithmes opaques, les agences de crédit pondent ensuite votre score de crédit, qu’elles revendent à toutes les sauces. Ces informations servent dans une foule de domaines qui n’ont rien à voir avec le crédit. Elles permettent d’établir vos primes d’assurance, vous aident à obtenir un emploi, etc.

« C’est inadmissible de laisser à des entreprises privées des ressources qui sont devenues aussi cruciales », estime MTrudel.

En effet ! Nos données nous appartiennent, au même titre que nos ressources naturelles. Accepterait-on que des sociétés étrangères viennent extraire nos richesses du sol et nous les fassent ensuite payer ? Non !

Ces renseignements ne s’autodétruiront pas…

Je souhaite savoir ce que les institutions financières — banques et autres — font avec les données personnelles lorsque le détenteur d’une carte de crédit décide de mettre fin à ses relations avec celles-ci.

Francine

Il me semble que l’on devrait forcer les entreprises à détruire les dossiers personnels des anciens membres ou abonnés. Sinon le potentiel de fraude est grandement augmenté.

Daniel

PHOTO ELISE AMENDOLA, ARCHIVES ASSOCIATED PRESS

Capital One a divulgué cet été une brèche de sécurité touchant 106 millions de clients. Certaines informations dérobées remontaient à 2005, souligne notre journaliste.

R. Au Québec, la Loi sur la protection des renseignements personnels prévoit que les entreprises peuvent conserver les renseignements personnels uniquement pour la durée nécessaire à la réalisation des fins pour lesquelles le client a donné son consentement.

Quand le client quitte le navire, les entreprises n’ont plus besoin de ses renseignements personnels pour le servir… à moins qu’il y ait une garantie encore valide ou d’autres bonnes raisons de ce genre.

Les commerçants devraient donc purger leurs bases de données pour éliminer l’information sur leurs anciens clients. Mais dans la vraie vie, ils ont plutôt tendance à conserver les précieux renseignements, notamment pour continuer de leur envoyer de la publicité.

En conservant les données très longtemps, les entreprises multiplient les dégâts lorsqu’elles sont la cible d’une cyberattaque. Pensez à Capital One qui a divulgué cet été une brèche de sécurité touchant 106 millions de clients. Certaines informations dérobées remontaient à 2005.

Les clients ont le droit de demander à une entreprise de corriger ou d’effacer leur dossier. La Commission d’accès à l’information a même préparé un formulaire que les citoyens peuvent remplir et expédier à l’entreprise.

Alerte aux achats suspects : pratique et gratuit

Une fonction peu ou pas publicisée est l’alerte sur les achats. Dans les paramètres de la carte Mastercard BMO, on peut inscrire un montant au-delà duquel on reçoit un message texte ou un courriel pour tout achat qui dépasse ce montant. C’est bon à savoir.

Gilles

PHOTO ARCHIVES LA PRESSE

Plusieurs émetteurs de cartes de crédit (BMO, RBC, CIBC, TD, Scotia, Capital One, etc.) offrent un service d’alerte.

R. Merci, Gilles, de partager ce petit truc gratuit et pratique. En effet, plusieurs émetteurs de cartes de crédit (BMO, RBC, CIBC, TD, Scotia, Capital One, etc.) offrent un service d’alerte. La Banque Laurentienne devrait ajouter le service d’ici quelques semaines.

Grâce à cette fonctionnalité, les détenteurs peuvent demander qu’on leur envoie un message texte sur leur cellulaire dès qu’un achat important est porté à leur carte de crédit. Ils peuvent aussi être informés qu’ils approchent de leur limite de crédit ou que la date de paiement de leur compte arrive à grands pas.

Plusieurs banques ont le même service d’alerte pour le compte bancaire, ce qui permet d’être averti des retraits louches ou autres transactions douteuses.

Lorsque le client reçoit l’alerte, il n’a qu’à répondre au texto pour confirmer qu’il est vraiment l’auteur de la transaction. Sinon, il peut la signaler comme frauduleuse, ce qui bloquera la tentative.

Pas bête, non ?

On a hâte que la Banque Nationale et Desjardins offrent le même service…

Le vol de données après la mort

Ma mère est décédée. Est-ce que j’ai bien fait de refuser l’assurance protection de données personnelles que la maison funéraire a tenté de me vendre ? Le directeur funéraire m’a dit que c’était moins pertinent maintenant que Desjardins nous offrait des protections.

Denis

PHOTO THINKSTOCK

Le risque de vol d’identité après la mort est bien réel. Des fraudeurs peuvent voler l’identité d’une personne morte pour ensuite reconstituer une nouvelle identité.

R. C’est rendu qu’on nous vend de l’assurance après notre décès. Ciel ! Les morts ne peuvent donc plus reposer en paix ?

Malheureusement, brandir le risque de vol d’identité après la mort n’est pas farfelu. « Il y a des fraudeurs qui volent l’identité d’une personne décédée pour reconstituer une identité », explique Me Trudel.

Ils pourront ensuite obtenir du crédit sous ce faux nom. Évidemment, il sera assez facile de prouver qu’il s’agit d’une fraude, puisqu’un mort ne peut pas faire d’emprunt au paradis.

« Mais la succession pourrait être appelée à se défendre », prévient Me Trudel. Et ce n’est pas parce que la succession a peu ou pas d’actifs qu’elle est à l’abri d’une arnaque posthume.

Mais je vous rassure, Denis. « La protection membres Desjardins s’applique si la personne décédée était membre Desjardins à son décès », m’a confirmé la porte-parole de Desjardins, Chantal Corbeil.

Si c’était le cas de votre mère, elle sera donc protégée… pour l’éternité.

Mais pour prévenir les ennuis, un liquidateur testamentaire devrait prendre soin d’aviser du décès les deux agences de crédit, Equifax et TransUnion. Cela empêchera un malfaiteur d’obtenir du crédit au nom du défunt. « Ça fait partie des bonnes pratiques », dit Mme Corbeil.