Capital One: la tasse de trop

Ce n’est pas la goutte qui fait déborder le vase, mais le vase au complet que les détenteurs d’une carte de crédit Capital One qui sont aussi membres de Desjardins viennent de recevoir au visage en apprenant le vol de leurs renseignements personnels. Dans un cas comme dans l’autre, personne ne sait ce qu’il est advenu de ces données confidentielles qui peuvent suffire pour obtenir une carte de crédit, ouvrir un compte bancaire et effectuer des transactions frauduleuses.

Capital One est une banque américaine avec filiale de services en ligne au Canada, mais c’est surtout son partenariat exclusif avec Costco et HBC (La Baie) qui lui a permis de recruter facilement les millions de clients canadiens aujourd’hui victimes de ce vol.

Hier, sur son site Internet, Capital One recommandait à ces victimes de s’inscrire aux deux agences d’évaluation de crédit que sont Equifax et TransUnion, sans offrir d’en payer le prix, du moins pour le moment. Or, si on en croit l’expérience récente de milliers de clients de Desjardins, rien n’est moins simple que d’ouvrir un compte chez Equifax si par malheur l’inscription en ligne échoue à la première tentative. Ce qui est le cas pour la plupart des membres de Desjardins qui n’ont pas de dossier de crédit récent.

Nous avons ainsi pu assister, personnellement, à cinq tentatives au cours des deux dernières semaines pour ouvrir par téléphone un compte Equifax, après une procédure commencée en ligne. Chaque fois, l’attente pour parler à un préposé a dépassé deux heures, voire trois, et chaque fois, elle a été suivie d’une quinzaine de minutes d’un dialogue de sourds avec des employés mal outillés qui n’ont su conclure que par un « Rappelez plus tard, nos ordinateurs sont en panne ! » Et le compte n’est toujours pas accessible.

Quant aux tentatives du côté d’Accès D, même si plus rapides, elles ont abouti à la même consigne : « Désolé, vous devez téléphoner chez Equifax, voici un autre numéro », sans plus de succès.

Comment croire, dans ces circonstances, à l’efficacité de la surveillance des millions de dossiers personnels ? Si, au minimum, la loi canadienne obligeait ces agences privées d’évaluation à geler toute nouvelle demande de crédit à la demande d’un particulier, comme c’est le cas aux États-Unis, nous serions mieux protégés, mais non. Pourquoi cela ?

Depuis toujours, le gouvernement du Canada se met la tête dans le sable en maintenant sa confiance en ces multinationales de la finance et du Web qui en profitent comme larrons en foire.

En cette ère de navigation virtuelle marquée par l’augmentation exponentielle de nombre de gadgets branchés et de transactions sans intermédiaire, la protection des données personnelles est devenue plus importante que de fermer sa porte à clé avant de quitter sa maison. Or, ce sont les établissements publics et privés, les banques et les commerces qui possèdent le trousseau de clés de nos avoirs et de notre capacité d’emprunt. Ce sont eux qui ont la responsabilité de le mettre à l’abri de toute tentative de vol perpétrée de l’extérieur ou de l’intérieur de leurs murs. Comment est-il possible qu’un seul employé puisse rassembler aussi facilement autant de données confidentielles sans qu’un seul clignotant rouge scintille sur le tableau de bord ?

Au Québec, le gouvernement de la CAQ s’apprête à créer une unité spéciale du Conseil du Trésor consacrée à la cybersécurité et il envisage de confier au secteur privé sur infonuage l’hébergement d’une partie importante des données recueillies par l’État, se réservant toutefois les 20 % les plus sensibles. Cela suffira-t-il ? De toute façon, ces mesures n’incluent pas la protection des renseignements détenus par les sociétés de télécommunication, d’Internet et les banques (sauf Desjardins) qui relèvent du fédéral.

À Ottawa, le ministre des Finances, Bill Morneau, s’est dit « très préoccupé » par l’affaire de Capital One et il a commandé une enquête au surintendant des institutions financières. Bien sûr qu’une enquête s’impose, mais il faut plus. Il faut des mesures contraignantes assorties de lourdes pénalités pour forcer les entreprises à placer la protection des renseignements personnels en tête de leurs priorités, comme c’est le cas en Europe.

Il faut aussi, de toute urgence, envisager de doter chaque Canadien d’une identité numérique inviolable en complément de son numéro d’assurance sociale. Et il faut, entre-temps, forcer les entreprises à prendre entièrement à leur charge le coût des mesures de protection illimitée dans le temps des victimes de vol des renseignements personnels dont elles ont la garde. La farce a assez duré.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

15 commentaires
  • Pierre Deschênes - Abonné 1 août 2019 06 h 53

    Colonne vertébrale

    Quand on constate que pour des raisons obscures qu’il peine à expliquer, le gouvernement du Canada n’ose même pas taxer normalement une compagnie comme Netflix, on n’imagine pas qu’il aurait la colonne vertébrale pour imposer des normes et des pénalités à des institutions financières.

    • Nadia Alexan - Abonnée 1 août 2019 10 h 20

      Vous avez raison, monsieur Deschênes. Le gouvernement canadien trahit ses citoyens en faveur des entreprises privées, au lieu de les protéger. Au moins, le gouvernement fédéral devrait geler toute nouvelle demande de crédit à la demande d’un particulier, comme c’est le cas aux États-Unis.
      I faudrait aussi «des mesures contraignantes assorties de lourdes pénalités pour forcer les entreprises à placer la protection des renseignements personnels en tête de leurs priorités, comme c’est le cas en Europe».
      C'est évidemment le laxisme du gouvernement fédéral qui refuse de règlementer ces banques et ces compagnies privées qui permettent la fuite de données personnelles avec impunité.
      Par exemple, l'Europe impose une pénalité salée de 4% de chiffre d'affaires de ces multinationales en cas de fuite de données personnelles de leurs clients. Ici au Canada, on n'a même pas pénalisé la fuite de 19,000 clients canadiens chez Equifax. C'est honteux.

    • Gilles Théberge - Abonné 1 août 2019 11 h 49

      On peut se demander pour quelle équipe jour le gouvernement fédéral.

      Que c'est mystérieux le fait que Netflix par exemple ne perçoit pas les taxes...

      L'incompétence libérale ?.

    • Pierre Fortin - Abonné 1 août 2019 13 h 11

      Nonsieur Deschênes,

      Le gouvernement du Canada n'est pas forcé d'inventer une nouvelle règle fiscale. Il peut faire respecter le code criminel qui fait du recel un acte condamnable. Les institutions financières qui accordent des prêts sous de fausses représentations ne sont-elles pas complices de celui qui fraude en exploitant les données presonnelles d'autrui acquises illégalement ?

      Imaginez que vous achetez, en toute bonne foi et sans le savoir, une voiture volée. Celle-ci peut vous être confisquée et vous-même être accusé de recel. Il n'y a pas de grande différence avec une institution qui tire profit d'un crime.

      Le gouvernement du Canada peut, s'il le veut, obliger les institutions, les notaires et autres agents financiers, à vérifier d'abord que les personnes à qui ils s'apprêtent à consentir un prêt important ne produisent pas des pièces d'identité appartenant à la liste de ceux à qui on a dérobé les données personnelles. Il serait facile et peu coûteux d'instaurer un mécanisme permettant cette vérification avant toute transaction importante de manière à protéger les victimes. Toute institution ne procédant pas à cette vérification ne pourrait exiger le remboursement du prêt à la victime et pourrait même se voir accusée de recel.

      Je ne vois pas pourquoi cette suggestion ne serait pas valide, mais je refuse qu'on prétende ne pouvoir rien faire avant même d'avoir essayé !

  • Cyril Dionne - Abonné 1 août 2019 07 h 33

    La magie du numérique

    Le vol d'identité a toujours existé à petite échelle. Mais dans l'univers numérique, vous pouvez voler des millions de données personnelles et assumer des millions d'identités avec un clic de souris et les entreposer sur une clé USB qui est facilement transportable et quasiment indétectable. Ou même mieux, les entreposer dans un nuage numérique (infonuage) en les crytant. Ou bien, sur des serveurs inatteignables dans un autre pays. La faiblesse des systèmes informatiques réside toujours dans le facteur humain.

    Les identités numériques inviolables n'existent pas. C'est aussi un autre mythe. La reconnaissance faciale, de l'iris ou de notre empreinte digitale peuvent être déjoués facilement. Plusieurs utilisent une photo de l'individu, la place devant l'appareil et le tour est joué. Idem pour les empreintes digitales.

    La solution existe peut-être dans le cryptage des données, ce qui est déjà fait aujourd'hui et même là, rien n'est impossible si vous possédez la puissance informatique et quelqu'un qui bosse à l'intérieur. L'avènement des ordinateurs quantiques pourraient aussi changer la donne.

    C'est comme pour les athlètes qui trichent aux olympiques. Vous pouvez avoir les meilleurs systèmes de détection, la technologie et les avancées médicales, qui ne dorment jamais, déjoueront toujours les tests de dépistage.

    Fini le temps des voleurs de banque. Les criminels peuvent tout faire de leur maison tout en sirotant un bon café. Aucune violence physique. N'est-ce pas merveilleux les technologies de la 3e et 4e révolution industrielle ?

    Peut-être qu'il faudrait retourner à l'époque du papier/crayon. En passant, n'êtes-vous pas inquiet ? C'est le gouvernement fédéral qui a toutes vos informations personnelles emmagasinées sur leurs serveurs et les gouvernements russe et chinois les regarde à tous les jours. ;-)

  • Sylvain Rivest - Abonné 1 août 2019 08 h 16

    L’informatique est devenue l’arnaque du 21e siècle

    La farce de la sécurité en informatique.
    Ce que vous ne dites pas, ou ne savez pas c’est comment fragile est la conservation de toute cette information.

    L’informatique est une belle invitation, mais l’arrogance humaine a créé un bar ouvert où les ivrognes côtoient les fins connaisseurs et on y mélange les grands crus avec la piquette.

    Les entreprises d’informatique sont les fossoyeurs de notre économie. On charge de grand frais annuel en contrats de licence ou contrats de service (une blague) sans résultat à la hauteur des coûts. L’obsolescence programmée est la norme. La sécurité, un placebo.

    Ce qui prime dans ce monde immatériel c’est $$$$$$$$ jusqu’à plus soif.

  • Sylvio Le Blanc - Abonné 1 août 2019 08 h 35

    Au tour du Canada de jouer les gros bras

    Si les États-Unis ont pu mettre à l’amende Equifax (700 millions $US) et Facebook (5 milliards $US) pour cause de fuite massive de données – que les deux entreprises ont du reste accepté de payer –, pourquoi le Canada ne pourrait-il pas faire pareil pour ses propres citoyens lésés (environ 19 000 chez Equifax et 622 000 chez Facebook)?

    Mais, à bien y penser, cela ne vaut peut-être pas la peine, considérant que les amendes pour fuite de données au Québec ne peuvent dépasser 50 000 $ et 100 000 $ au Canada. Cet argent ne suffirait même pas à payer les honoraires des avocats. On doit être morts de rire au sud de la frontière.

    Le Bloc québécois doit parler du laxisme des libéraux à ce chapitre durant la campagne électorale.

  • Pierre Lalongé - Abonné 1 août 2019 09 h 03

    Carte d'identité

    Vivement une carte d'identité digne de ce nom obligatoire pour toutes transactions demandant l'identification d'une personne.