Comment un simple employé a-t-il pu s’emparer des renseignements personnels de près de 3 millions de membres ? Le Mouvement Desjardins doit s’expliquer, car c’est ce qui permettra de répondre à la question clé : l’institution a-t-elle été victime d’un voleur extraordinairement ingénieux, ou a-t-elle été négligente ?

Ariane Krol Ariane Krol
La Presse

Desjardins a une empreinte immense au Québec. Des 2,9 millions de membres touchés par cette fraude sans précédent, 2,7 millions sont des particuliers. C’est le tiers de la population de la province, bébés et bambins inclus. Si l’on ajoute les autres membres individuels dont les renseignements n’ont pas été compromis (1,8 million de personnes), ce sont plus de la moitié des Québécois qui sont membres d’une caisse Desjardins. Et comme il s’agit d’une coopérative, ils n’en sont pas seulement clients, mais en quelque sorte propriétaires. Bref, cette entreprise nous doit des explications, et pas seulement pour nous rassurer.

L’organisation a su se montrer sensible aux inquiétudes de ses membres en leur expliquant comment vérifier s’ils sont touchés et, pour ceux dont c’est le cas, en s’engageant à leur payer un service de veille durant cinq ans. Le stratagème employé a par ailleurs été éclairci et des mesures de sécurité additionnelles ont été prises, a-t-on aussi indiqué.

La brèche semble donc colmatée. Mais que s’est-il passé avant ? 

Desjardins a-t-elle pris toutes les précautions nécessaires pour protéger les précieuses données de ses membres ? A-t-elle effectué des analyses rigoureuses pour vérifier si ses contrôles internes étaient suffisants ? L’étaient-ils ? Et dans tous les cas, comment un employé a-t-il pu les déjouer ?

Desjardins, qui dit dépenser 70 millions par année en sécurité informatique, n’a pas voulu répondre à ces questions hier. Il le faudra bien, pourtant.

On peut comprendre son souci de ne pas nuire à l’enquête policière. Mais celle-ci finira bien par se conclure. Et il ne suffira pas de traîner l’ex-employé en justice pour fermer le dossier.

Nom et prénom, date de naissance, numéro d’assurance sociale, coordonnées (adresse, téléphone, courriel), renseignements sur les activités chez Desjardins : ce sont des informations extrêmement précieuses qui viennent d’être dérobées.

Il y a tout ce qu’il faut là-dedans pour se livrer à des vols d’identité et, partant de là, à des vols de biens et de services. De telles données peuvent rapporter gros à ceux qui savent les détourner… et coûter très cher à leurs victimes, ne serait-ce qu’en perte de temps et de qualité de vie. Ce type d’information devrait donc être aussi bien protégé que l’argent déposé dans les comptes. Hélas, ça n’a visiblement pas été le cas.

Il faut dire qu’on part de loin au Canada. Jusqu’en novembre dernier, les entreprises faisant affaire ici n’étaient même pas obligées de déclarer publiquement les vols de données dont elles étaient l’objet ni même d’en informer les clients concernés.

Rien pour aider les consommateurs à se protéger ni pour faire sentir aux entreprises toutes les conséquences auxquelles elles s’exposent en cas de négligence.

Or, la colère du public et les dommages à la marque ont un rôle salutaire à jouer : ils rappellent à l’entreprise en cause, et à l’ensemble du secteur privé, l’importance de la prévention.

Desjardins a-t-elle failli à cet égard ? Rien ne permet de l’affirmer pour l’instant. Mais avec les demandes d’action collective qui viennent d’être lancées contre elle, elle risque de vouloir en dire le moins possible. On ne peut pas en rester là.

En fouillant le cas d’Equifax, le Commissariat à la protection de la vie privée du Canada a trouvé et dénoncé quatre lacunes importantes dans la protection des données. Et on parle d’un vol qui a touché moins de 20 000 Canadiens. Le cas de Desjardins est autrement plus grave. Le commissaire Daniel Therrien devrait se dépêcher d’ouvrir une enquête pour aller au fond de l’affaire.