Vol de données: Desjardins et la police se sont marché sur les pieds

L’enquête interne de Desjardins sur la fuite massive de renseignements personnels est entrée en conflit avec le travail des policiers, a appris La Presse. Des intervenants se sont marché sur les pieds lorsque le groupe financier a obtenu l’autorisation d’aller saisir lui-même du matériel chez le suspect, sans attendre la police.

Vincent Larouche

La Presse

Daniel Renaud

La Presse

L’automne dernier, une personne s’est présentée chez un vendeur d’automobiles lavallois avec une traite bancaire frauduleuse, pour acheter une voiture neuve. La transaction suspecte a été détectée par Desjardins, qui a porté plainte à la police de Laval. Une plainte pour fraude de routine, comme il y en a des milliers chaque année.

Selon certaines sources, d’autres éléments avaient été portés à l’attention de la police, notamment une fraude dont auraient été victimes deux notaires. En enquêtant, la police de Laval a découvert que Desjardins avait été victime d’un vol de renseignements personnels.

Le groupe financier a alors lancé son enquête interne, qui a permis d’identifier Sébastien Boulanger-Dorval, un conseiller en segmentation du siège social de Desjardins à Lévis, comme un suspect dans la fuite des renseignements personnels de 2,9 millions de membres.

Agir sans attendre la police

Devant l’ampleur de la fuite, Desjardins a voulu agir vite. Sans attendre une longue enquête policière.

Ses avocats se sont présentés à la cour et ont convaincu un juge de rendre une ordonnance pour permettre aux représentants du groupe financier d’aller récupérer d’urgence des éléments de preuve, notamment des données informatiques, chez le suspect. Jointe hier, la porte-parole de Desjardins, Chantal Corbeil, n’a pas voulu confirmer ou infirmer cette information.

Mais selon plusieurs sources bien au fait du dossier, le juge a rendu une ordonnance de type « Anton Piller », une mesure exceptionnelle dans le cadre d’un recours civil, qui oblige une personne à laisser la partie adverse exécuter chez elle une perquisition et une saisie. La procédure a pour but de préserver des éléments de preuve qui risqueraient autrement de disparaître. Elle peut être exécutée par un huissier ou par un cabinet d’avocats ou de comptables, assistés d’experts en informatique.

Desjardins tenait à utiliser cette avenue pour réduire au maximum le risque d’une propagation des informations volées et pour pouvoir démontrer à ses clients et partenaires qu’elle faisait le maximum pour maîtriser la situation.

La Presse n’a pu confirmer la date exacte à laquelle la saisie a eu lieu, mais selon nos sources, la manœuvre a été jugée prématurée par des policiers affectés au dossier, qui devaient mener leur propre enquête criminelle en vue de porter des accusations. Ceux-ci auraient préféré que Desjardins attende avant d’abattre ses cartes, afin de les laisser amasser une preuve plus incriminante en prévision d’un procès. Certains des avocats-conseils de Desjardins auraient été du même avis, selon nos informations.

Avec des techniques comme la filature, l’écoute électronique, des entrées subreptices ou l’introduction d’un agent d’infiltration auprès du suspect, par exemple, les policiers auraient pu confirmer ses intentions criminelles, démasquer des complices potentiels et remonter plus facilement la filière jusqu’aux personnes qui souhaitaient acquérir les informations dérobées. Les policiers auraient aussi pu mener leur propre perquisition, au moment qu’ils auraient choisi eux-mêmes.

Les policiers de Laval auraient aussi préféré que Desjardins attende avant de révéler publiquement le vol de données. « On n’était vraiment pas prêts », souligne une source policière. Mais l’institution financière estimait qu’elle devait rapidement alerter ses clients. Elle a tenu une conférence de presse et envoyé un avis public le 20 juin dernier.

« Ça arrive souvent »

Cette divergence stratégique illustre le dilemme éternel auquel font face les enquêteurs : mettre un suspect hors jeu immédiatement pour l’empêcher de nuire ou le laisser s’incriminer davantage pour bonifier la preuve. Agir trop tôt, c’est risquer de manquer de preuve et de voir le suspect être acquitté en cour. Agir trop tard, c’est risquer de le voir faire plus de dommages.

Le choix est déchirant et il provoque souvent des conflits.

« Ça arrive souvent », confirme d’emblée Claude A. Sarrazin, président de Sirco, une firme d’enquêteurs privés qui traite avec plusieurs institutions financières.

Sans commenter le cas précis de Desjardins, il souligne que ce genre de dossier nécessite une coordination étroite entre l’institution flouée et le corps de police.

Une ordonnance Anton Piller, c’est un outil pour faire cesser le dommage, mais il ne faut pas que ça fasse entrave au travail des policiers. Claude A. Sarrazin, président de Sirco

« Il faut déterminer qui fait quoi. C’est possible de le faire. On l’a déjà fait. Mais ça prend énormément de collaboration entre les parties », dit-il.

Les institutions financières ont des motifs « financiers et économiques » qui les forcent à agir rapidement pour récupérer ce qu’elles se sont fait dérober, explique M. Sarrazin. Mais certaines grandes entreprises préfèrent même se passer de la police, selon lui. Elles mènent leur enquête interne et lancent des poursuites civiles contre les gens qui les ont flouées, sans porter plainte au criminel. Ces entreprises trouvent que cette façon de faire est plus rapide et permet parfois d’obtenir des pénalités plus lourdes.

« Souvent, la pénalité financière imposée dans un procès civil va être plus importante que la condamnation au criminel. La personne n’ira pas en prison, mais elle va devoir payer une somme importante », dit-il.

Plusieurs suspects dans la ligne de mire des policiers

La saisie des données par Desjardins n’empêche pas l’enquête policière de se poursuivre. Les policiers sont aussi en attente d’une autorisation judiciaire pour pouvoir mettre la main sur le matériel saisi par l’institution financière chez son ex-employé.

L’équipe mixte formée de la police de Laval et de la Sûreté du Québec a dans sa ligne de mire plusieurs suspects en plus de Sébastien Boulanger-Dorval, selon nos sources. Il s’agit, entre autres, de gens qui auraient acquis ou qui voulaient acquérir les informations pour se livrer à des fraudes. Personne n’a été accusé à ce jour, mais le gouvernement suit le dossier de près et a fait savoir à la police qu’il espérait des résultats rapides.

Les enquêteurs essaient de déterminer l’étendue des dommages. Ils croient que la liste initiale de renseignements personnels a été scindée en trois morceaux et que si des informations volées se sont retrouvées sur le dark Web, ce serait en quantité très limitée. Chez Desjardins, la porte-parole Chantal Corbeil assure qu’on n’assiste toujours pas à une augmentation des fraudes malgré la fuite.

Plusieurs personnes contactent les policiers parce qu’elles ont été victimes de fraude et qu’elles croient y voir un lien avec l’affaire Desjardins, mais les enquêteurs se doivent de rester prudents à cet égard.

« Il y en a toujours eu des fraudes. Là, tout le monde pense à Desjardins, mais ça ne veut pas dire que c’est lié », souligne une source policière.

La Fraternité des policiers touchée

La Presse a appris que des informations liées aux comptes de la Fraternité des policiers et policières de Montréal se retrouvent parmi les fuites qui ont touché 2,9 millions de membres de Desjardins. Joint par La Presse, le président du syndicat, Yves Francoeur, a confirmé nos informations et s’est fait rassurant. La Fraternité possède une dizaine de comptes chez Desjardins, dont certains sont consultés plus rarement par les employés du syndicat. « J’ai été avisé formellement par lettre la semaine passée que nos comptes font partie des données prétendument subtilisées par l’employé de Desjardins. J’ai demandé à notre directrice financière de vérifier les comptes chaque jour pour s’assurer qu’il n’y ait pas de transactions douteuses qui soient effectuées avec ces comptes », a indiqué M. Francoeur.