(Alexandre D’Astous)-La Commission d’accès à l’information rend publique ce lundi sa décision à la suite de l’enquête sur l’incident de sécurité survenu chez Desjardins. 9,7 millions de personnes au Canada et à l’étranger, dont près de 7 millions de Québécois, ont été victimes de ce vol de données.
La Commission et le Commissariat à la protection de la vie privée du Canada ont coordonné leur enquête respective. La Commission conclut que Desjardins n’a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé. Plus précisément, Desjardins n’a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu’elle détient; a manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés et n’a pas pris les mesures nécessaires pour limiter ou cesser l’utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l’objet de ces dossiers accompli.
Les détails de la fuite
L’employé à l’origine de la fuite travaillait au sein de l’équipe marketing au siège social de Desjardins. Cet employé a pu avoir accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir. Ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing, contrairement à ce que prévoient les directives de Desjardins. L’employé a ensuite pu transférer des profils financiers et d’identité concernant des millions de membres et de clients de Desjardins sur des clés USB à partir de son poste de travail. Cet incident de sécurité s’est produit sur une période de 26 mois avant que Desjardins n’en soit informée par les policiers.
L’enquête confirme que l’incident touche les renseignements personnels de membres ou de clients particuliers et de clients entreprise actifs de Desjardins. Plus de 4 millions de personnes qui n’étaient plus membres ni clients de Desjardins ont été également victimes de la fuite. Les renseignements affectés concernent notamment l’identité des victimes : leur nom, leur date de naissance, leurs adresses de résidence et de courriel, leur numéro de téléphone et leur numéro d’assurance sociale. Ont également été dérobés certains renseignements au sujet des habitudes transactionnelles des membres, comme le type de produits utilisés, le solde des comptes, l’ancienneté des membres ou le nombre de transactions effectuées.
« Les conséquences de cet incident, tant pour les victimes que pour Desjardins, devraient amener toute organisation à mettre en œuvre de façon diligente les mesures appropriées pour prévenir ce genre d’évènement portant gravement atteinte à la vie privée des citoyens, ce que Desjardins n’avait pas fait » affirme Me Diane Poitras, présidente de la Commission.
Les ordonnances de la Commission
Desjardins a déjà pris plusieurs mesures pour circonscrire la portée de l’incident, éviter qu’un tel évènement ne se reproduise et remédier aux manquements constatés lors de l’enquête. Elle a aussi élaboré un plan décrivant l’ensemble des nouvelles mesures de sécurité qu’elle entend mettre en place, y compris pour détruire ou cesser d’utiliser les renseignements personnels périmés. La Commission considère que les mesures envisagées devraient suffire à rehausser la sécurité pour la maintenir à un niveau plus à même d’assurer la protection des renseignements personnels détenus par Desjardins, en fonction de leur sensibilité et de leur quantité.
Dans ce contexte, la Commission a ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures. La Commission a aussi ordonné à Desjardins de lui transmettre, d’ici deux ans, une évaluation réalisée par un auditeur externe indépendant relative à l’ensemble des mesures déployées et propres à assurer la protection des renseignements personnels de ses membres et clients.