Quand le shérif des courtiers perd la face

Comme bien des Québécois, Marc ne connaissait pas le shérif des firmes de courtage jusqu'à ce qu'il reçoive une lettre, cette semaine, de l'Organisme canadien de réglementation du commerce des valeurs mobilières, l'OCRCVM pour les intimes.

La mâchoire lui est tombée en apprenant que l'Organisme avait perdu les données confidentielles sur son compte à l'Industrielle Alliance Valeurs mobilières. Nom, adresse, date de naissance, nom du courtier, numéro de compte... «Juste cela!» ironise Marc. C'est plus qu'il n'en faut pour qu'un escroc lui vole son identité.

L'investisseur de Varennes est loin d'être la seule victime de cette consternante bourde. En février dernier, un employé de l'OCRCVM, dans la région de Montréal, a perdu un appareil portable contenant des renseignements névralgiques sur 52 000 clients de 32 firmes de courtage.

Les courtiers n'y sont pour rien. Normalement, le shérif est là pour faire respecter la loi et l'ordre. Quand il débarque, les courtiers sont tenus de lui remettre l'information dont il a besoin pour s'assurer qu'ils sont conformes aux règles.

Mais dans cette histoire, le shérif n'a pas suivi ses propres règles. Contrairement à la politique de l'OCRCVM, les données que contenait l'appareil n'étaient pas cryptées, ce qui rend la tâche drôlement simple pour un voleur, même aussi bête qu'Averell Dalton.

Comble de malheur, l'OCRCVM n'avait pas l'inventaire des informations contenues sur l'ordinateur, une autre précaution de base. L'Organisme a donc été forcé d'engager un expert externe pour reconstituer la base de données de l'appareil disparu. Un processus long et complexe.

C'est pour cette raison que l'OCRCVM a mis presque deux mois avant d'avertir les victimes comme Marc.

Pour faire amende honorable, l'Organisme a mis sur pied un centre d'appels afin de répondre aux questions des victimes et il a fait installer gratuitement un service d'alerte dans le dossier de crédit des clients chez Equifax pour réduire les risques de fraude. «Quelle bonté de leur part!» s'exclame Marc, encore sonné par le manque flagrant de vigilance de la part d'un organisme censé protéger le public.

Malheureusement, ce genre de bévue est devenu monnaie courante avec l'essor des tablettes numériques, téléphones intelligents et autres appareils portables si faciles à oublier ou à dérober.

Souvenez-vous seulement en novembre dernier: Ressources humaines et Développement des compétences Canada a perdu un disque dur contenant les renseignements personnels de 583 000 étudiants. Déplorable!

Chaque fois, ces accidents ébranlent la confiance des Canadiens qui ont le sentiment que leur vie privée est moins bien protégée qu'il y a 10 ans, selon un sondage dévoilé au début d'avril par le Commissariat à la protection de la vie privée du Canada.

La grande majorité de la population estime que le gouvernement et les entreprises ne prennent pas suffisamment au sérieux la protection de leurs renseignements personnels.

Force est de constater que les Canadiens ont raison de s'inquiéter. Beaucoup d'entreprises tournent les coins ronds. En fait, la moitié des entreprises (48%) qui stockent des données de leurs clients sur des appareils portables - clé USB, tablette, ordinateur - n'utilisent pas le chiffrement pour crypter l'information.

Comment expliquer une telle négligence? Peut-être parce que les conséquences d'une perte ou d'un vol d'information ne sont pas assez graves pour les entreprises. Bien sûr, ça paraît mal dans l'opinion publique... parlez-en à l'OCRCVM qui a perdu la face à cause de cette lamentable erreur. Mais sinon, les risques de poursuite sont quasi inexistants.

En théorie, les victimes d'un vol d'identité peuvent poursuivre l'entreprise qui n'a pas pris soin de leurs renseignements personnels. Mais comment prouver que l'information qui a permis au malfaiteur de commettre la fraude découle réellement de la négligence de l'entreprise? Bonne chance!

Dès l'instant où ils apprennent que leur dossier a été compromis, les clients lésés peuvent aussi poursuivre l'entreprise négligente en vertu de la Loi sur la protection des renseignements personnels.

Mais il n'est pas facile de quantifier les dommages subis, hormis l'angoisse et l'inquiétude, quand aucune fraude n'a été commise, explique Pierre Trudel, professeur titulaire au Centre de recherche en droit public de la faculté de droit de l'Université de Montréal.

En pratique, les entreprises fautives ne se retrouvent jamais devant les tribunaux. Gageons qu'elles feraient davantage attention si elles étaient forcées d'indemniser leurs clients.

Mais on n'en est pas là. Au Canada, les entreprises ne sont même pas obligées d'informer leurs clients d'une atteinte à leur vie privée, sauf en Alberta. Pourtant, la divulgation est obligatoire dans presque tous les États américains.

La Commission d'accès à l'information du Québec a plaidé en faveur de la divulgation obligatoire, au cours d'une commission parlementaire qui a pris fin mardi dernier. Souhaitons que Québec aille dans cette direction. Ce serait bien un minimum que les gens aient le droit d'être informés quand leurs données se retrouvent à risque.

Mais on pourrait aller plus loin. En imposant des pénalités ou en obligeant les entreprises à indemniser leurs clients, on augmenterait le prix pour l'entreprise d'un manque de protection des renseignements personnels. Ça encouragerait les décideurs à être plus prévoyants.

***

QUELQUES CHIFFRES

> Sept Canadiens sur 10 ont l'impression que leurs renseignements personnels sont moins bien protégés qu'il y a 10 ans.

> Les deux tiers (66%) des Canadiens sont inquiets de la protection de leur vie privée.

> Seulement une personne sur cinq (21%) estime que le gouvernement fédéral prend au sérieux la protection des renseignements personnels.

> À peine 1 Canadien sur 8 (13%) pense que les entreprises prennent au sérieux la protection de la vie privée.

> L'écrasante majorité de la population (97 %) voudrait être informée de toute atteinte à la protection de ses renseignements personnels.

Source: Commissariat à la protection de la vie privée du Canada. Sondage réalisé du 25 octobre au 12 novembre 2012 auprès de 1513 Canadiens. La marge d'erreur est de 2,5 %, 19 fois sur 20.