Quelle déception ! Malgré les brèches de sécurité majeures qui ont frappé des millions de Canadiens l’été dernier, la protection de la vie privée au Canada a créé peu de remous lors de la campagne électorale. 

Stéphanie Grammond Stéphanie Grammond
La Presse

Je me demande bien ce qu’il faudra pour forcer le gouvernement à agir.

Quoi ? Près de 3 millions de membres de Desjardins se sont fait voler leurs données ? Et trois mois plus tard, le patron de la coopérative affirme : « La crise est derrière nous. On vit un retour à la normale. »

Quoi ? Quelque 6 millions de clients canadiens de Capital One ont vu leurs données compromises ? Et c’est à peine si on en a parlé ! L’entreprise américaine a offert aux victimes deux ans d’abonnement au service de surveillance de l’agence de crédit TransUnion. En date du 23 septembre, toutes les victimes avaient été avisées. Merci, bonsoir, on passe à un autre appel.

Mais comment les clients peuvent-ils avoir confiance en TransUnion ? Elle-même vient tout juste d’avouer qu’un intrus s’est mis le nez dans 37 000 dossiers de consommateurs. Pas mal pour une entreprise qui vend des forfaits pour vous protéger contre le vol d’identité !

Remarquez que sa concurrente Equifax n’est pas mieux. L’agence de crédit s’est déjà fait voler les données de 143 millions de personnes, dont 19 000 Canadiens. Ses manquements étaient accablants. Pourtant, le Commissariat à la protection de la vie privée du Canada ne lui a collé aucune pénalité, car il n’en a tout simplement pas le pouvoir.

« Sans sanctions pécuniaires, il est très difficile d’inciter les entreprises à avoir des pratiques exemplaires », déplore Alexandre Plourde, avocat chez Option consommateurs.

Faute de lois dignes du XXIe siècle, les brèches de sécurité se succèdent. Chaque fois, on passe l’éponge et on continue comme si c’était une fatalité.

***

Mais les clients lésés, eux, restent avec une épée de Damoclès au-dessus de leur tête toute leur vie. 

Jean-Denis Marchand peut en témoigner, lui qui a été victime de fraude à répétition. En août dernier, il s’est rendu chez La Baie pour faire quelques petits achats de dernière minute avant de partir en voyage.

Mais sa carte de crédit La Baie a été refusée à plusieurs reprises. Le service à la clientèle de Capital One, qui émet les cartes La Baie, l’a informé qu’un fraudeur avait fait changer l’adresse de son compte pour ensuite demander une nouvelle carte en son nom. Le voleur s’est rendu chez Holt Renfrew, à Toronto, où il a fait un achat de 10 961 $ sans éveiller aucun soupçon.

Voilà la preuve que les services offerts par TransUnion et Equifax ne règlent pas tous les problèmes, loin de là. En effet, M. Marchand, qui avait été victime de vol d’identité et de fraude en 2016, avait demandé aux deux agences de placer une alerte dans son dossier, exigeant que les prêteurs le contactent personnellement avant d’accorder du nouveau crédit à son nom. C’est la meilleure chose à faire.

Or, les alertes fonctionnent seulement pour les nouvelles demandes de crédit, pas pour les cartes réémises, m’a répondu Capital One. Avant de réémettre une carte, Capital One m’a assuré qu’elle « utilise divers outils et processus pour vérifier l’identité d’une personne, y compris l’authentification à plusieurs facteurs ».

Force est de constater que ça ne marche pas fort, fort…

***

Victime de Desjardins, M. Marchand s’était aussi inscrit au service de surveillance du dossier de crédit d’Equifax offert gratuitement par la coopérative. Mais ce genre de service ne prévient pas la fraude. Il permet seulement d’en être averti après coup. Et encore… 

Les communications très embrouillées qu’Equifax envoie aux consommateurs (parfois en anglais) semblent destinées à stresser les clients pour leur vendre de nouveaux services plutôt qu’à les aider à comprendre ce qui se passe dans leur dossier.

« Quand je reçois un courriel d’Equifax, c’est incompréhensible ! J’imagine pour les gens qui ont une faible scolarité… Ça n’a pas de bon sens ! », s’exclame M. Marchand. 

En fait, le service à la clientèle des agences de crédit est un vrai cauchemar. 

Philippe Girard peut vous en dire quelque chose. La semaine dernière, il a reçu une lettre de TransUnion l’informant qu’un intrus aurait accédé illégalement à certains renseignements de son dossier de crédit, comme possiblement son adresse, sa date de naissance, ses prêts et son historique de paiement.

C’est un des clients commerciaux de TransUnion, CWB National Leasing, qui a réalisé que le code d’accès qu’il utilise pour consulter les dossiers de crédit des consommateurs aurait été piraté, entre la fin de juin et le début de juillet.

Dans sa lettre, TransUnion offrait à M. Girard un service de surveillance de crédit pour deux ans, sans frais. « J’étais dubitatif. C’est qui ça, TransUnion ? Je n’ai jamais volontairement fait affaire avec eux », s’est étonné M. Girard, qui pensait être victime d’hameçonnage.

Pour en savoir plus, il a téléphoné chez TransUnion. Après plusieurs appels sans réponse, il a finalement parlé à un préposé qui a fini par lui raccrocher au nez. Comme c’est rassurant !

***

Les renseignements personnels sont devenus une industrie, une matière première dont se nourrissent toutes sortes d’entreprises, sans que les consommateurs sachent vraiment à quoi s’en tenir.

Leur numéro d’assurance sociale, qui a été conçu à une autre époque et à d’autres fins que l’authentification, sert de clé de voûte à la protection de leurs précieuses informations. Ce système est complètement déphasé. Et il le sera bientôt encore plus.

« Avec l’internet des objets, les jouets, le thermostat et le frigo seront branchés. Ces produits sont vendus sans tests. Ces objets-là sont truffés de vulnérabilités. C’est un environnement qui nous expose à de très grands risques », prévient Me Plourde.

Il est temps que l’État s’en mêle. Il faut des engagements concrets, à commencer par un encadrement sévère des agences de crédit : plus de transparence dans leurs algorithmes, des limites à l’utilisation qui peut être faite de notre cote de crédit, davantage de responsabilité lorsque les dossiers contiennent des erreurs, la possibilité de verrouiller son dossier de crédit, etc.

Depuis le temps qu’on en parle, il faut passer à l’action.