«Les gens qui ont des sommes investies chez Desjardins doivent dormir tranquilles», a lancé le président et chef de la direction de Desjardins, Guy Cormier.

Desjardins offre une protection numérique permanente pour tous [VIDÉO]

Craignant de ne pas voir tous les particuliers touchés par le vol massif de données personnelles s’inscrire au service de surveillance d’Equifax, le Mouvement Desjardins élargit les mesures de protection afin de les offrir à tous ses membres.

Annoncées lundi, ces mesures de protection entourant le vol d’identité s’appliqueront «pour la vie» aux 4,3 millions de particuliers et 300 000 entreprises membres du groupe financier coopératif.

«Les gens qui ont des sommes investies chez Desjardins doivent dormir tranquilles», a lancé le président et chef de la direction de Desjardins, Guy Cormier, au cours d’une conférence téléphonique où il a également révélé avoir lui-même été touché par le vol de données.

Desjardins est dans la tourmente après avoir annoncé, le 20 juin, que les informations personnelles, dont des numéros d’assurance sociale, de 2,7 millions de membres particuliers et 137 000 entreprises avaient été dérobées par un employé - qui a depuis été congédié.

Le groupe coopératif financier offrait déjà un abonnement, bonifié à cinq ans, au service de surveillance assuré par la firme Equifax, mais les inscriptions ne semblent pas progresser au goût de la haute direction.

«La raison pour laquelle on annonce cela, c’est qu’on voit qu’il y a un plafond qui est devant nous, d’avoir peut-être seulement 15 à 20 pour cent des gens victimes de la fuite qui vont s’inscrire, a expliqué M. Cormier, avant de se rendre à Ottawa, où il devait témoigner devant le Comité permanent de la sécurité publique et nationale. Desjardins ne veut pas laisser 80 pour cent de ses membres sans protection.»

Jusqu’à présent, un peu plus de 13 pour cent des membres particuliers de Desjardins, soit quelque 360 000 personnes, se sont inscrits au service d’Equifax - qui a été la cible de critiques pour des ratés au chapitre du service.

M. Cormier a assuré que tous les membres actifs, dont les entreprises - une des nouveautés, à son avis -, étaient automatiquement protégés et qu’il n’y avait aucune démarche à faire. Aucune institution financière au Canada n’offre un tel service, a-t-il dit.

Trois volets

Les mesures annoncées se déclinent principalement en trois volets:

- Un remboursement «sans aucun plafond» si des transactions non autorisées sont effectuées, un service déjà offert.

- En cas de vol d’identité, un service d’accompagnement personnalisé effectué par des avocats spécialisés. «Il existait un certain service pour une certaine catégorie de demandes, a expliqué M. Cormier. Mais on l’étend à tous nos membres et on ajoute plusieurs modalités, comme du soutien psychologique.»

- Une protection pouvant atteindre 50 000 $ afin de rembourser des dépenses en cas d’un vol d’identité, comme une perte de salaire et des frais afin d’obtenir des documents notariés.

Néanmoins, M. Cormier a invité les membres affectés par le vol de données à s’inscrire auprès d’Equifax, qui offre un service d’alertes et de prévention ne figurant pas dans ce qui a été annoncé lundi par la coopérative.

«Le mal déjà fait»

Pour Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec, une entreprise montréalaise spécialisée dans la sécurité en ligne, Desjardins a fait, dans la mesure du possible, ce qui était nécessaire.

Au cours d’un entretien téléphonique, il a néanmoins estimé que le «mal a déjà été fait» en ce qui a trait aux données dérobées.

«Ce qui a été annoncé s’applique dans les comptes de Desjardins, a dit M. Décarie-Mathieu. Mais dans l’optique où l’on parle d’une fuite de données, il s’agit d’informations que l’on peut réutiliser à d’autres fins et qui peuvent dépasser le cadre de Desjardins».

Desjardins fait toujours l’objet d’enquêtes de la part de la Commission d’accès à l’information du Québec et du Commissariat à la protection de la vie privée du Canada.

Il pourrait aussi y avoir des conséquences légales pour la coopérative. Deux requêtes en autorisation pour des actions collectives allèguent que la coopérative a violé les droits de ses membres en matière de vie privée ou fait preuve de négligence dans la protection de leurs informations personnelles et financières.

+

DESJARDINS DÉFEND SA GESTION DE CRISE À OTTAWA

OTTAWA — Le président et chef de la direction du Mouvement Desjardins, Guy Cormier, a défendu la gestion de son organisation dans la fuite massive de données qui touche près de trois millions de citoyens. Il a du même coup proposé la création d’un groupe de travail pour éviter qu’une telle situation se reproduise.

De passage devant le Comité permanent de la sécurité publique et nationale à Ottawa, M. Cormier est revenu sur les événements qui secouent son organisation depuis les dernières semaines.

Il a martelé devant les parlementaires qui l’ont convié que Desjardins avait été «très responsable» et «proactif» dans son approche. La coopérative a avisé ses membres de la situation le 20 juin dernier, «quelques jours après avoir appris l’ampleur de la situation».

Depuis, une enquête interne a «rapidement» permis de suspendre, puis de congédier l’employé malveillant qui est à l’origine de cette fuite massive de données. Les clients ont eu droit à des communications, soit par AccèsD, soit par la poste. Lundi matin, avant de témoigner devant le comité, M. Cormier annonçait que la protection d’Equifax était offert à tous les membres de Desjardins — qu’ils soient victimes de vols de données ou non.

C’est donc dans un mélange de confrontation et de collaboration que le patron de Desjardins est arrivé à la rencontre. En début de journée, il avait critiqué la démarche du comité fédéral qui, à son avis, était prématurée alors que Desjardins est encore «au cœur de la gestion de l’incident». Mais il a pris cette «opportunité» pour aussi ajouter son grain de sel dans le débat sur la numérique.

M. Cormier a invité le comité fédéral à recommander la formation d’un groupe de travail spécial multipartite — formé de représentants du gouvernement, du secteur des services financiers, des assurances, du secteur des télécommunications, ainsi que de juristes et d’experts — qui se pencheraient sur les meilleures pratiques pour assurer la protection des données.

«Nous sommes entrés dans une ère où les données sont une ressource comme l’eau, comme le bois, comme les matières premières : essentielles au fonctionnement de pans entiers de notre économie», a déclaré M. Cormier.

«J’estime, personnellement, que le Canada ne peut viser l’excellence en technologies numériques et en intelligence artificielle sans avoir la même ambition en ce qui a trait à la gestion des données et la protection des renseignements personnels», a lancé le pdg, en ajoutant qu’«on doit tous tirer des leçons» de ce que vit Desjardins actuellement.

La situation est d’autant plus critique que le Canada n’est plus qu’à quelques mois de l’opérationnalisation de la connectivité 5G, qui va «décupler» les flots de données en circulation, a-t-il ajouté.

Les parlementaires satisfaits

L’escapade estivale des parlementaires à Ottawa pour une rencontre de quelques heures a satisfait tant les membres du gouvernement que les partis d’opposition.

À la sortie, ils étaient nombreux à se réjouir que le pdg de Desjardins se soit présenté, malgré sa réticence première.

L’idée d’un groupe de travail sur la cybersécurité faisait consensus, puisqu’une proposition semblable avait déjà été proposée par le comité il y a quelques mois.

Pour le néo-démocrate Matthew Dubé, c’était «très utile» d’entendre un témoignage de premier plan sur l’importance de protéger les données personnelles.

«Je pense que ça prend beaucoup de courage pour le dire, compte tenu de la crise que Desjardins vit actuellement. Pour moi, ça donne un mandat fort au comité, peu importe sa composition cet automne», a affirmé M. Dubé à la sortie de la rencontre.

Le député conservateur Pierre Paul-Hus, qui avait demandé et obtenu la rencontre du comité, a rejeté les critiques voulant que l’exercice soit un exercice politique tel que le bloquiste Rhéal Fortin a laissé entendre.

M. Paul-Hus estime que le gouvernement Trudeau aurait dû être plus proactif dans sa démarche pour rassurer les clients de Desjardins. «On comprend que c’est l’été, mais il faut bouger», a-t-il critiqué.

Difficile de changer les NAS

Les membres du comité ont tâté le terrain pour savoir s’il est réaliste de changer les numéros d’assurance sociale (NAS) des près de trois millions de citoyens touchés par la fuite. Cette solution est réclamée par des milliers de personnes qui ont signé une pétition en ce sens.

Élise Boisjoly, sous-ministre adjointe à Emploi et Développement social Canada, a témoigné que cette procédure était très compliquée. Seulement 60 personnes, chaque année, depuis 2014 décident de changer leur NAS même si le vol d’identité est en hausse au pays.

Depuis l’annonce de la fuite de données chez Desjardins, ce sont 1400 citoyens qui en ont fait la demande, a dévoilé Mme Boisjoly.

Cela dit, de nombreux citoyens décident de ne pas aller de l’avant après s’être informés sur le processus. Mme Boisjoly explique que les fonctionnaires font comprendre aux citoyens que le changement de NAS ne changera pas la situation.

Qui plus est, il y a des risques d’erreur avec un changement de NAS, puisque tout est entré de façon manuelle.

Les partis d’opposition ont donc oublié cette idée, même si elle est populaire. «Je pense que l’idée de remplacer par un autre NAS, ça ne donne absolument rien. C’est ce qu’on a compris. Ça prend une solution numérique ou différente, à voir», laisse tomber M. Paul-Hus.