Données personnelles

Les commissaires à la vie privée enquêteront sur Desjardins

Martin Vallières La Presse

La Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada feront enquête conjointement sur le Mouvement Desjardins sur la fuite massive de renseignements personnels de 2,9 millions de membres des caisses populaires.

Dans un bref communiqué commun diffusé hier en fin d’après-midi, les deux commissariats indiquent que « leurs enquêtes permettront de déterminer si l’organisation [Mouvement Desjardins] a respecté la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec, et la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada ».

Les deux commissariats indiquent aussi que, « bien que Desjardins exerce l’essentiel de ses activités au Québec et est assujetti à la loi provinciale, il est également assujetti à la loi fédérale pour les activités qu’il exerce dans d’autres provinces ».

C’est pourquoi, disent-ils dans leur communiqué commun, les deux commissariats « ont donc décidé de collaborer pour les fins de ces enquêtes ».

En début de soirée, hier, la direction du Mouvement Desjardins n’avait pas réagi au déclenchement de ces enquêtes.

Quant à leur déroulement, on n’est pas encore en mesure chez les commissariats d’en préciser la durée, prévue au-delà de « quelques mois sans doute ».

On envisage également la publication d’un rapport d’enquête par chacun des deux commissariats, en fonction de leur législation respective, mais sans exclure la possibilité que des portions importantes de ces rapports soient préparées conjointement.

Selon les résultats de ces enquêtes, a-t-on aussi indiqué à La Presse, la possibilité d’imposer des « ordonnances administratives » chez Desjardins ou des sanctions plus sévères, comme des amendes pour infraction aux lois fédérale ou provinciale, relèvera de chacun des deux commissaires, selon leur champ de compétence.

Ces enquêtes chez Desjardins s’annoncent d’une ampleur rare dans l’histoire récente de ces deux commissariats.

Un précédent : Equifax

Le plus récent coup d’éclat en la matière remonte au mois d’avril dernier.

Dans un rapport virulent, le Commissariat à la protection de la vie privée du Canada avait semoncé la firme de cote de crédit Equifax – celle-là même embauchée récemment par Desjardins pour protéger ses membres touchés par la fuite – pour avoir enfreint la loi canadienne et s’être dérobée à ses obligations envers les Canadiens pendant et après une cyberattaque mondiale en 2017.

Plus de 143 millions de personnes dans le monde, dont 19 000 Canadiens, avaient été touchées par un accès non autorisé aux systèmes de l’agence d’évaluation du crédit Equifax qui s’était produit en mai 2017, mais avait été divulgué quatre mois plus tard.

Dans son rapport, les reproches du commissariat fédéral envers Equifax portaient notamment sur des mesures de sécurité insuffisantes ; une conservation des renseignements pendant une période trop longue ; des procédures de consentement inadéquates ; une absence de reddition de comptes à l’égard des renseignements des Canadiens ; et des mesures de protection limitées offertes aux personnes touchées après cette atteinte mondiale.

En réprimande, Equifax Canada et sa société mère aux États-Unis avaient dû signer un « accord de conformité » sur quelques années auprès du commissaire fédéral et prendre des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données.

— Avec La Presse canadienne