En 2015, Yves Bélanger reçoit un appel du Casino de Montréal. Une personne tentait d’obtenir du crédit en son nom. À la suggestion de la police, il appelle les agences TransUnion et Equifax. Il découvre des prêts d’une valeur 50 000 $ en son nom qu’il n’a pas demandés.

J’ignore comment ils ont fait pour obtenir du crédit; ils avaient une mauvaise adresse. Évidemment, c'est normal, parce qu’un fraudeur n’enverra pas les états de compte chez la personne dont on a usurpé l'identité. Yves Bélanger, victime d’un vol d’identité

Dans la foulée de la fuite de données chez Desjardins, le risque de vol d’identité est plus que jamais redouté. Et les consommateurs ont raison de craindre l’appropriation de leurs données. Le taux de fraude a bondi de 46 % depuis 10 ans, selon les dernières Statistiques sur les crimes déclarés par la police au Canada.

Victime deux fois

Le manque de réglementation amène les victimes de fraude dans un engrenage complexe et opaque. En plus d’être victimes d’un vol, elles doivent aussi se débrouiller pour corriger les erreurs par elles-mêmes. Par exemple, Yves Bélanger doit faire effacer trois comptes en souffrance à son nom. Il a le fardeau de la preuve au moment où il fait une demande de prêt. Cette banque avec qui je fais affaire depuis plus de 25 ans m'a dit : "On ne fera aucune transaction qui implique la nouvelle hypothèque tant que cette situation-là n'est pas réglée".

C'est une montagne de travail. La perte de temps que vous passez à essayer de trouver tout le monde et à régler tout ça... Convaincre les gens de votre innocence ou non-responsabilité, c’est incroyable. Yves Bélanger, victime d’un vol d’identité

Bien que Desjardins se soit engagée à aider les membres liés au récent vol de données, peu d’institutions financières s’impliquent dans le processus de correction.

La coopérative promet une prise en charge en cas de vol d’identité. Le membre sera accompagné à chacune des étapes pour restaurer son identité. Mais ces engagements sont singuliers; Yves Bélanger n’a pas cette chance.

Steve Waterhouse est un expert en cybersécurité. Il a travaillé au ministère de la Défense nationale et il enseigne aujourd’hui les technologies de l’information. Selon lui, Desjardins se démarque avec la surveillance du crédit à long terme. Il ajoute que les aides supplémentaires de Desjardins pour aider l’épargnant, [...] c'est un précédent. Desjardins se distingue de l'industrie financière.

Steve Waterhouse est expert en cybersécurité. Photo : Radio-Canada

Rectifier son dossier de crédit

Le manque de collaboration des agences de crédit, des émetteurs de cartes de crédit et des institutions financières cause des difficultés. Les agences recommandent aux victimes de se tourner vers le créancier, mais si le créancier refuse d’annuler la dette, aucune correction ne sera effectuée.

C'est comme une machine qui te juge, avec des informations qui sont complètement fausses et sans preuve. Yves Bélanger, victime d’un vol d’identité

Yves Bélanger a demandé à ce qu’on efface toutes les informations erronées de son dossier, mais il n’a pas réussi. Une dette de près de 32 000 $ entachait toujours son crédit. Une filiale d’une banque américaine refusait d’annuler la dette. Je leur ai dit : "Si vous prétendez que je vous dois de l'argent, poursuivez-moi; on va clarifier ça une fois pour toutes. Je n'ai rien emprunté, je me suis plaint à la police, j'ai tout fait" , explique M. Bélanger.

LA solution

En faisant des recherches, Yves Bélanger a découvert un recours peu connu. Il a porté plainte à la Commission d’accès à l’information du Québec. Vous remplissez une petite demande en fournissant quelques documents. C'est une procédure très simple – mais, à mon avis, qui est un peu ignorée par beaucoup de gens; par moi-même en partant.

La procédure, une demande d’examen de mésentente, est gratuite. La Commission décide ensuite si la réponse du créancier est conforme à la loi. Chaque partie doit fournir des preuves, comme au tribunal. En cas d’échec de la médiation obligatoire, un juge administratif pourra ordonner les corrections nécessaires.

Pour Yves Bélanger, c’est ce qui a fait bouger les choses. Equifax m'avait expliqué que le créancier refusait, donc que ça resterait au dossier. Depuis que j'ai déposé une demande à la Commission, ils ont révisé la situation. [...] Ils ne feront plus aucune mention de cette créance-là.

Une législation déficiente

Le gouvernement du Québec a annoncé le dépôt d’un projet de loi pour encadrer les agences de crédit. Il est difficile pour le moment d’en savoir plus. Le ministère des Finances nous écrit que le concept d'agence de crédit n'existe pas dans la loi québécoise. Pour l'instant, Equifax et TransUnion sont des agents de renseignement au sens de la loi. Notre objectif est de mettre en place un encadrement plus spécifique.

Du côté fédéral, nous avons mis la main sur un document qui montre que des solutions pour prévenir le vol d’identité étaient envisagées dès 2005.

Il y a près de 15 ans, il était question :

de pénaliser les entreprises responsables de vol d’identité;

de gel de crédit;

d’exiger les créanciers à divulguer les dettes frauduleuses;

de ne pas inscrire le numéro d’assurance sociale sur les rapports de crédit;

de vérifier l’identité des personnes ou des organismes qui ont accès aux rapports de crédit.

Ce document vient du Comité des mesures en matière de consommation, formé par tous les organismes de protection des consommateurs du pays.

La Commission d’accès à l’information a aussi reconnu dans son dernier rapport quinquennal en 2016 que sa loi doit être modernisée pour mieux encadrer la gestion des renseignements personnels par l’entreprise privée .

Pour l’instant, le manque de réglementation profite à l’industrie, au détriment du consommateur, mais ce n’est pas le cas dans tous les pays.

L’exemple de British Airways

Cet été, British Airways a écopé d’une amende de 183 millions de livres (près de 300 millions de dollars canadiens) après une enquête de la commissaire à l’information britannique (ICO). La commissaire a conclu que la compagnie aérienne n’a pas suffisamment protégé les données personnelles de ses clients, après une fuite de données qui a touché 500 000 personnes en 2018.

Selon Steve Waterhouse, les organisations aujourd'hui, au 21e siècle, vont réagir surtout avec un langage universel qui est la monnaie.

Donc, de cette façon-là, ils vont réagir; ils ne voudront pas que ça arrive une deuxième, puis une troisième fois. Donc, au Canada, malheureusement, on n'a pas ce mordant-là. Steve Waterhouse, expert en cybersécurité

Un vol de données ne mène pas directement à un vol d’identité

Des milliers de données sont vendues sur le web caché (appelé dark web en anglais). Selon Anne-Sophie Letellier, de Crypto.Québec, c’est sur ce système parallèle que les fraudeurs achètent ou vendent des données. La valeur d’un profil varie entre 50 et 100 $. Mais Mme Letellier estime que les membres de Desjardins n’ont pas à être inquiets : Les probabilités que vous soyez spécifiquement ciblé, quand il y a 2,9 millions de personnes qui font partie de la fuite, sont beaucoup plus minces.

Son conseil : allez vérifier si votre adresse courriel fait partie d’une fuite de données sur le site Have I Been Pwned? ﻿ (Nouvelle fenêtre)﻿ . Lors de notre vérification, la fuite de Desjardins n’était pas répertoriée.

Anne-Sophie Letellier de Crypto.Québec. Photo : Radio-Canada