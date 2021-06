Aux États-Unis, les entreprises dont les clients sont victimes de vols des renseignements personnels sont sanctionnées par de lourdes amendes pouvant s’élever à plusieurs centaines de millions de dollars.

Ici, au Québec ? Niet. J’en ai pour preuve l’affaire Desjardins, notre plus gros scandale de vols de données.

En effet, aucune amende n’a été imposée à Desjardins à la suite de la fuite des renseignements personnels. On parle pourtant ici d’un mégavol dont le nombre de victimes, selon la Commission d’accès à l’information du Québec, s’élève à 9,7 millions de personnes au Canada, dont près de 7 millions de Québécois.

Aucune sanction financière de la part de l’Autorité des marchés financiers (AMF), de qui le Mouvement Desjardins relève en matière de surveillance financière. Ni de la part du Commissaire à la protection de la vie privée du Québec, lequel est chargé d’appliquer la Loi sur la protection des renseignements personnels dans le secteur privé.

ABERRANT

C’est aberrant de voir Desjardins s’en tirer financièrement de la sorte après un tel scandale !

Pour sa défense, l’AMF invoque le fait que la Loi sur les coopératives financières qui chapeaute Desjardins ne prévoit aucune sanction financière lors d’un tel vol de renseignements personnels. L’AMF n’a émis à Desjardins qu’une ordonnance lui enjoignant « de mettre en place une série de mesures correctives ainsi que des mécanismes de contrôle interne robustes » dans le but d’atténuer les risques d’incidents opérationnels, dont ceux liés à la protection des renseignements personnels. En cas de non-respect de cette ordonnance, Desjardins s’expose à une sanction administrative de 10 000 $ par jour de manquement.

Et du côté de la Commission d’accès à l’information du Québec (CAIQ), laquelle est chargée de protéger nos renseignements privés, le commissaire n’a pas cru bon de sanctionner financièrement Desjardins. Elle a jugé que les règles applicables aux enquêtes pénales et le niveau de preuve requis risquaient de compromettre le succès d’une telle procédure dans le dossier de Desjardins. En passant, le montant maximal de l’amende qui aurait pu être imposée au terme d’une telle enquête pénale n’aurait été que de 10 000 $. Des pinottes, évidemment, pour Desjardins, dont l’actif est de 362 milliards $.

Le commissaire de la CAIQ a préféré mener une enquête sur l’affaire Desjardins de concert avec son homologue fédéral. Des ordonnances ont été émises en décembre. Desjardins s’en tire finalement avec l’obligation de respecter le train de nouvelles mesures que l’institution a promis de mettre en place et l’obligation également de lui transmettre, d’ici deux ans, une évaluation réalisée par un auditeur externe indépendant des mesures déployées.

CROC-EN-JAMBE DE DESJARDINS

Pas facile d’enquêter sur Desjardins. Mon collègue du Journal Jean-Louis Fortin rapportait cette semaine que l’enquête criminelle menée par la Sûreté du Québec (SQ) sur le vol des données personnelles des clients de Desjardins « pourrait avoir été compromise parce que l’institution bancaire a alerté le principal suspect » alors que la police lui avait dit de ne pas le faire.

Pourquoi Desjardins a alerté le suspect ? Pour protéger, semble-t-il, l’intérêt de ses membres contre de nouveaux dommages. « Il était important pour nous de mettre fin le plus rapidement possible à ce stratagème qui aurait pu toucher encore plus de membres et pour nous assurer que les personnes malintentionnées cessent leurs agissements », a affirmé le porte-parole de Desjardins à La Presse.

À mes yeux, c’est complètement irresponsable de la part de Desjardins d’agir de la sorte dans un dossier où plus de 9 millions de personnes sont touchées par le vol des données personnelles.

LES ÉTATS-UNIS EN EXEMPLE

Aux États-Unis, on ne lésine pas avec les amendes.

Voici un aperçu des amendes imposées aux institutions suivantes dans le cadre de vols de données personnelles de leurs clients.

Banque américaine Capital One Financial : 80 millions $ US

Equifax : 700 millions $ US

Marriott International : 124 millions $ US

IAG (British Airways) : 183 millions $ US

Ici au Québec et dans l’ensemble du pays, les vols de données personnelles vont faire l’objet, sous peu, d’un meilleur encadrement de la part de nos gouvernements.

La Commission d’accès à l’information a bon espoir que l’adoption du projet de loi no 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) lui donnera des outils dissuasifs plus importants, notamment au chapitre des sanctions administratives pécuniaires. Ces dernières pourraient atteindre 25 millions $.

Même chose avec le projet de loi C-11 que chapeaute le Commissariat à la protection de la vie privée du Canada.