Vol de données personnelles dans une banque canadienne, les victimes parlent

Le Québec tente de se remettre d’un délit d’une ampleur historique. Le 20 juin dernier, la presse a appris qu’un employé du Mouvement Desjardins avait dérobé les données personnelles de 2,9 millions de ses clients. Des informations sensibles, susceptibles d’être utilisées par des criminels. Fondé en 1900 à Lévis, près de Québec, le Mouvement Desjardins est l’une des plus grandes institutions financières canadiennes. Cette caisse coopérative est l’un des grands symboles de la vie économique au Québec.

Un délit d’une ampleur historique

Immédiatement congédié après la nouvelle, l’employé a réussi à transférer sur une clé USB les données de 2,7 millions de particuliers et de 173.000 entreprises. 40% des clients du groupe financier sont touchés par ce vol. Les noms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone et autres renseignements auraient ainsi été transmis illégalement à des tiers. Le principal risque encouru par les victimes: que des criminels usurpent leur identité pour se procurer des biens et services. Par exemple, le score de confiance et de solvabilité de certains membres pourrait être complètement dévalué. Selon plusieurs experts, certaines victimes risquent donc de vivre un véritable enfer bureaucratique.

«Quelqu’un pourrait utiliser ces informations-là et mettre son visage sur le nom, pour être capable, éventuellement, de faire des demandes pour des hypothèques, des cartes de crédit, ou tout autre service financier», résumait Patrick Mathieu, expert en sécurité informatique, lors d’une entrevue au Journal de Montréal.

Pour gérer la crise, la direction de Desjardins n’a pas tardé à annoncer que des mesures exceptionnelles seraient prises pour assurer la sécurité de ses clients. Par exemple, les clients ont dorénavant accès au service Equifax, une protection supplémentaire contre la fraude et le vol d’identité. Le Mouvement offrira aussi une assurance allant jusqu’à 50.000$ [34.000 euros, ndlr] à ses clients dont l’identité sera usurpée. Le montant devrait servir à rétablir la véritable identité des victimes.

Un mois après la nouvelle, Sputnik a toutefois constaté que plusieurs victimes n’étaient pas rassurées par ces mesures. Plusieurs clients aimeraient changer rapidement d’institution financière, mais ne peuvent pas toujours en raison des services qui les lient au Mouvement Desjardins.

«J’ai été victime du vol de données, mais je vais quand même devoir rester chez Desjardins parce j’y ai pris mon hypothèque. Je ne suis pas encore autorisé à changer d’institution financière. Dans ce contexte, je crois que ça devrait constituer un bris de contrat et que je devrais avoir le droit de sortir mon hypothèque de Desjardins et de trouver un meilleur endroit pour emprunter l’argent», confie à Sputnik Maxime Hupé, un fonctionnaire fédéral fraudé par l’ex-employé du groupe.

Certaines personnes interrogées estiment que Desjardins profite d’un préjugé favorable, parce qu’il s’agit d’un fleuron de l’économie québécoise. Si le groupe financier n’était pas québécois, les médias se montreraient plus sévères envers lui, jugent des membres.

«Je trouve depuis longtemps qu’on est trop complaisant avec Desjardins puisque c’est une coopérative québécoise», précise Maxime Hupé.  

Le caractère québécois de Desjardins ajoute beaucoup à la déception commune dans la Belle Province. Le sentiment nationaliste incite encore des milliers de Québécois à choisir cette institution. Une réalité exprimée par plusieurs victimes:

«J’aurais aimé que ce vol ne se produise pas, car je suis nationaliste, alors je n’aime pas trop l’idée que mon argent soit géré par une banque canadienne ayant son siège social en Ontario. […] J’ai déjà un compte dans une autre institution, mais je trouve pertinent d’avoir maintenant un accès gratuit à mon score de crédit sur Equifax pour les cinq prochaines années, je vais donc fermer mon compte à la fin de cette période», affirme Simon Saint-Pierre, un entrepreneur travaillant dans l’événementiel.

Deux demandes de recours collectif ont été déposées contre Desjardins. Des citoyens réclament 8 milliards de dollars CAD [5,45 milliards d’euros, ndlr] au groupe financier. Une action à laquelle se joindra Michèle Couture, une entrepreneure de la région de la Montérégie, qui est membre de Desjardins depuis au moins 30 ans. Mme Couture ne comprend pas pourquoi Desjardins demande à ses membres de procéder eux-mêmes à des démarches, alors que le groupe est responsable de la faille de sécurité.

«Pourquoi est-ce aux membres de s’inscrire eux-mêmes au service Equifax, alors que Desjardins a déjà toutes nos coordonnées? Pourquoi est-ce à nous de faire tout ce travail? Que Desjardins envoie lui-même nos coordonnées à Equifax au lieu de nous déléguer ça. C’est Desjardins qui est en faute, alors qu’il règle le problème. […] Il y a très peu de gens qui se sont inscrits, ça prend d’ailleurs beaucoup de temps. En plus, est-ce je dois vraiment faire confiance à Equifax, qui s’est lui aussi s’est fait voler des données en 2017?», demande-t-elle.

Fonctionnaire municipal, Jean-Mathieu Sargologos se dit aussi déçu de la réaction de la direction, mais estime qu’aucune institution n’est à l’abri des fraudeurs:

«Personnellement, je pense que ce vol aurait pu arriver à n’importe quelle banque. Je ne blâmerais pas Desjardins seulement pour ça. Par contre, je trouve la réaction un peu légère. Desjardins a seulement envoyé aux victimes une lettre par la poste, sachant que plusieurs personnes ne la liront même pas… Étant donné la gravité de la situation, je trouve inapproprié le fait d’avoir seulement envoyé une lettre standardisée. Je pense qu’un appel téléphonique aurait été plus approprié pour aviser les gens de la fraude», a mentionné M. Sargologos en entrevue.

Ces derniers jours, le Comité permanent de la sécurité publique et nationale a entendu à Ottawa des témoins à propos de ce vol de données. L’affaire prend déjà une tournure politique.