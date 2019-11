L’Autorité des marchés financiers (AMF) a refusé hier de répondre aux questions sur l’ampleur accrue du vol de données personnelles au Mouvement Desjardins.

« Il s’agit d’une situation très sérieuse que l’Autorité suit de près depuis le début. L’Autorité est en contact étroit avec Desjardins afin d’obtenir toutes les informations requises face à ce nouveau développement », s’est bornée à dire l’AMF dans un bref communiqué.

Impossible, donc, de savoir combien de membres de la coopérative ont contacté l’organisme concernant cette affaire. L’AMF n’a rien voulu dire, non plus, sur ce qu’elle fait concrètement pour s’assurer que Desjardins prenne toutes les mesures requises afin d’éviter une nouvelle fuite de données.

Hausse des appels

À la Commission d’accès à l’information (CAI), responsable de la protection des renseignements personnels, on signale une « hausse » du nombre d’appels et de courriels relativement à la crise chez Desjardins. En juillet, l’organisme a ouvert une enquête dans ce dossier en collaboration avec le Commissaire à l’information du Canada.

Mais peu importe les conclusions des autorités, Desjardins ne court pas le risque d’être frappé par une amende de plusieurs millions de dollars, comme on l’a vu en Europe et aux États-Unis. Selon la loi québécoise, une première infraction est passible d’une amende maximale de... 10 000 $.

De plus, contrairement à la législation fédérale, qui s’applique surtout aux banques et aux entreprises de télécommunications, la loi québécoise n’oblige pas les entreprises à divulguer les incidents de sécurité touchant les données personnelles.

Malgré tout, 33 incidents de sécurité ont été rapportés à la CAI l’an dernier, mais on n’en sait pas plus à leur sujet.

Aux États-Unis, la Securities and Exchange Commission demande depuis l’an dernier aux entreprises cotées en Bourse et aux institutions financières de divulguer rapidement tout incident important. Les directives des Autorités canadiennes en valeurs mobilières à cet égard, qui datent de 2017, sont plus vagues. Mais selon Daniel Kolibar, associé au cabinet d’avocats Osler à Calgary, les entreprises canadiennes devraient quand même déclarer sans tarder les incidents touchant des données personnelles.