(Quatorze heures trente et une minutes)
M. Girard (Groulx) :
Alors, bonjour à tous. Je suis ici pour vous donner la réaction du gouvernement
aux nouvelles informations dans le dossier de la fuite de renseignements personnels
chez Desjardins.
Je tiens à dire qu'il s'agit toujours du
même incident. La nouvelle information que nous avons, c'est que l'ensemble des
membres de Desjardins sont touchés, alors on parle maintenant de 4,2 millions
de membres. Je tiens à dire que c'est la seule nouvelle information. L'enquête
se poursuit. Nous ne savons pas, à ce stade-ci, combien des données volées ont
été vendues. Il n'y a pas de hausse de fraudes significative chez Desjardins.
Et les données ne sont pas plus visibles sur le «dark Web» qu'elles l'étaient
précédemment.
Par ailleurs, je tiens à dire que c'est un
incident extrêmement sérieux, que le gouvernement comprend les inquiétudes des
citoyens. Nous sommes en action. Il y a trois ministres qui travaillent dans ce
dossier. Je travaille sur une loi visant à encadrer les agences de crédit, ma collègue
de la Justice travaille sur la protection des renseignements personnels, et le ministre
délégué à la Transformation numérique travaille sur la cybersécurité et tout ce
qui est rattaché à l'identification et l'authentification.
Finalement, j'aimerais dire que Desjardins
gère la situation de façon adéquate, bien sûr, avec la prévention, ce qu'ils
ont annoncé aujourd'hui, qu'ils vont donner la protection cinq ans chez Equifax
à tous les membres, l'assurance, l'assurance en cas de vol d'identité, qui est
le principal risque. Alors, Desjardins a introduit un service pour assister les
citoyens qui seraient victimes d'un vol d'identité. Et, bien sûr, vos actifs
sont évidemment protégés par votre institution financière, qui est une institution
financière d'excellente qualité, bien capitalisée et... 300 milliards
d'actifs, plus de 47 000 employés.
Alors, sur ce, je serais intéressé à avoir vos
questions et... voilà.
M. Gagnon (Marc-André) : M.
le ministre, pour que votre sortie aujourd'hui se résume à dire que le gouvernement
est en action, en quelque part, il faut que vous ayez la crainte que la
population puisse croire que vous n'en avez pas fait assez depuis tout ce qu'on
a appris cet été.
M. Girard (Groulx) : D'abord,
je vous remercie pour votre question. Moi, depuis que j'ai eu cette information,
le 14 juin, c'est le dossier numéro un. J'ai travaillé sur ce dossier tout
l'été. L'AMF travaille avec Desjardins en continu en tant que son régulateur.
Il y a des améliorations qui ont été faites dans l'immédiat. Il y a un post-mortem.
Et, comme je vous dis, il y aura une loi sur les agences de crédit. On
travaille avec les parties prenantes, l'industrie et le ministère de la
Justice, et c'est notre intention de déposer ce projet de loi là prochainement.
M. Gagnon (Marc-André) :
Bien, c'est ça. Mais donc tout ça se fait encore attendre, dans le fond? On
comprend que vous travaillez là-dessus, là, mais ce qui est demandé depuis
l'été par les partis d'opposition, puis, à un certain moment, même votre gouvernement
était ouvert à ça, hein, c'était de faire en sorte que Desjardins, puis
d'autres institutions financières, puis Revenu Québec aussi, qui a été touchée
par des fuites de données, soient convoqués à l'Assemblée nationale pour
répondre aux questions des élus, puis ultimement essayer de rassurer la
population. Pourquoi on ne fait pas ça?
M. Girard (Groulx) : Bien,
moi, j'ai toujours été ouvert, notre gouvernement également, à ce mandat
d'initiative. Je pense que le mandat doit être ciblé et circonscrit. Comme vous
savez, je ne suis pas membre de la commission et je suis convaincu qu'on peut
trouver une voie de passage pour ce mandat. Et il y a... C'est un problème qui
est multidimensionnel. Alors, le mandat d'initiative, c'est vraiment une petite
partie de cet enjeu-là. Desjardins a dû refermer les brèches informatiques.
Desjardins a... On a quand même inscrit 1 million de personnes chez
Equifax et 40 % des gens qui avaient été identifiés, généralement ce n'est
pas plus de 10 %. Desjardins a introduit l'assurance. Je peux vous dire
qu'on travaille là-dessus et on a obtenu la nouvelle information hier,
transparence complète, elle est divulguée aujourd'hui et je vous rencontre
aujourd'hui pour en discuter.
M. Lacroix (Louis) : M.
Girard, là, là, on se rend compte que c'est l'ensemble des clients de
Desjardins qui sont victimes de ce vol de données. Ça, c'est la donnée
nouvelle, là...
M. Girard (Groulx) : C'est
tous les membres, effectivement. Oui.
M. Lacroix (Louis) : ...tous
les membres de Desjardins. Est-ce que... En fait, on se rend compte... À
quelque part, Desjardins a eu un manque important, là, un manque flagrant dans
son système de sécurité. Qu'est-ce que vous dites à Desjardins face au fiasco dont
ils sont responsables?
M. Girard (Groulx) : Écoutez,
c'est certain qu'il y a eu vol de données et il y a eu un délai entre le moment
où ce vol de données a été détecté... Alors, ça, c'est l'incident, moi, mon
rôle, en tant que ministre des Finances, c'est de m'assurer que, d'une part,
l'incident est bien géré... Alors, pour que l'incident soit bien géré, il y a
l'inscription chez Equifax, qui est un moyen de prévention, il y a l'assurance
qui est offerte par Desjardins s'il y a un vol d'identité...
M. Lacroix (Louis) : ...comprend
tout ça, M. Girard. Ce n'est pas ça, ma question. Quel est le niveau de responsabilité
de Desjardins là-dedans?
M. Girard (Groulx) : Bien, c'est-à-dire
que Desjardins est responsable de la protection des données, et c'est là que le
vol a eu lieu. Alors, dans la gestion de l'incident, la première chose qu'il y
avait à faire, c'était colmater les brèches informatiques; ça a été fait.
Ensuite, il faut protéger les avoirs et les renseignements des citoyens. Ça aussi,
c'est fait, avec, je l'ai mentionné, la protection chez Equifax, l'assurance,
la protection des actifs financiers. Il y a les renseignements personnels puis
il y a les actifs financiers qui sont garantis par votre institution. Ensuite,
il y a le post-mortem, O.K., le post-mortem, Desjardins fait les
investissements en informatique pour être un leader à la fine pointe des
meilleures pratiques. J'ai demandé également les meilleures pratiques en
gestion des risques et des améliorations au niveau de la gouvernance.
M. Lacroix (Louis) : Mais
est-ce que vous êtes satisfait de la façon... parce que là, ce qu'on se rend
compte, c'est qu'il y avait un vol de données chez Desjardins, ça a pris des
mois avant que Desjardins le disent aux clients, le premier vol. Là, après ça,
ils disent : Regardez, on a, oui, bon, je ne sais pas combien de... Et là,
tout à coup, on se rend compte que plusieurs mois après, là, eux autres ne le
savaient même pas, que l'ensemble de leurs clients, de leurs membres était
touché par ça. Ça ne démontre pas une négligence de la part de Desjardins? Ils
ne savaient même pas combien de leurs membres s'étaient fait frauder, il a
fallu que la Sûreté du Québec leur dise.
M. Girard (Groulx) : En fait,
Desjardins a été très transparent dans ce dossier-là. Le 14 juin, l'information
qu'ils avaient, c'était 2,7 millions de membres, c'est l'information
qu'ils ont divulguée. Hier, j'ai eu une nouvelle information, ils l'ont eue un
peu avant, ils la divulguent aujourd'hui. Alors, ils sont très transparents. Et
ce qui est important, c'est la protection des renseignements des individus et
la protection des avoirs financiers, et l'AMF, le gouvernement s'occupe de ça
avec Desjardins.
M. Lacroix (Louis) : Mais
vous ne pensez pas que, s'ils avaient le contrôle de ce qui se passe dans leur système
informatique, ils auraient pu le détecter immédiatement, et ils n'auraient pas
eu besoin de la Sûreté du Québec pour leur dire qu'ils s'étaient fait voler les
données de l'ensemble de leurs clients?
M. Girard (Groulx) : Bien,
c'est-à-dire que vous vous référez à une situation qui aurait été préférable. J'en
conviens. Moi, je vous dis qu'étant donné ce qui est arrivé, l'institution
financière gère bien l'incident.
M. Gagnon (Marc-André) : Bien,
justement, c'est parce que, M. Girard, votre gouvernement dit, depuis le
début, que Desjardins a bien géré la crise. Or, dans la gestion de leur crise,
Desjardins n'a même pas été capable de se rendre compte que l'ensemble de leurs
membres finalement avaient été touchés par le vol de données. Puis ça, c'est
exemplaire?
M. Girard (Groulx) : Je n'ai
pas dit que c'était exemplaire, j'ai dit adéquat. Et, Desjardins, c'est
l'enquête policière qui a révélé le nombre de membres qui sont touchés. La
nouvelle information a été révélée hier, et Desjardins la divulgue aujourd'hui.
M. Lacroix (Louis) : Vous,
êtes-vous membre de Desjardins?
M. Girard (Groulx) : Non. Moi,
comme je pense que c'est connu, j'ai travaillé 24 ans pour une autre
institution financière.
M. Pilon-Larose (Hugo) :
Est-ce que les autres institutions financières au Québec, les banques, aujourd'hui,
à votre connaissance, sont à risque des mêmes choses qui se sont produites chez
Desjardins? Est-ce que tout le secteur est à risque?
M. Girard (Groulx) : Oui,
bien, c'est-à-dire que la protection des renseignements personnels, c'est définitivement
d'actualité dans toutes les sphères de la société. Évidemment, au niveau des
données financières, il y a des particularités, et c'est pour ça qu'il faut
attaquer le problème d'une façon multidirectionnelle. Il y aura la loi sur les
agences de crédit, parce que c'est un domaine de l'information financière, il y
aura la loi sur la protection des renseignements personnels, ça, c'est la ministre
de la Justice. Mais les vols de données sont possibles dans toutes les sphères
de la société. Il n'y a pas de protection ultime, mais les institutions sont
responsables d'avoir les meilleures pratiques pour faire de la prévention.
M. Pilon-Larose (Hugo) :
Craignez-vous que, s'il y a un mandat d'initiative qui est large et qu'il y a
beaucoup de gens qui sont appelés à venir témoigner devant les élus, les
informations qui pourraient leur être demandées pourraient, à la limite, aider
ceux qui veulent faire de la fraude? Est-ce que c'est une raison pour laquelle
vous êtes...
M. Girard (Groulx) :
Personnellement, je n'ai aucune crainte par rapport au mandat d'initiative.
D'ailleurs, dans le cadre de mon projet de loi sur les agences de crédit, il y
aura des consultations, et c'est certain que les agences de crédit vont venir,
puis que Desjardins, l'AMF sont des parties prenantes, et les autres
institutions financières. Alors...
M. Gagnon (Marc-André) :
Bien, allez-vous le déposer plus vite? Allez-vous accélérer le pas?
M. Girard (Groulx) : Mon
intention, c'est de le déposer avant la fin de la session.
M. Gagnon (Marc-André) :
Bien, allez-vous le déposer plus vite? C'est ça, ma question.
M. Girard (Groulx) : Ah! bien,
c'est-à-dire que, s'il y a une chose que j'ai apprise dans mon expérience au
gouvernement, c'est que les projets de loi doivent être bien faits, et que ça
prend du temps, là. Nous sommes la seule province qui n'a pas de loi sur les
agences de crédit. Alors, puisque nous serons les derniers à faire ça, on veut
être sûrs qu'ils auront la meilleure loi.
Et d'ailleurs je peux vous donner les
éléments principaux. On parle évidemment d'inscription des agences, on parle de
qui va les superviser, on parle des responsabilités des agences et nous voulons
introduire le verrou ou le gel de crédit, qui n'est pas disponible dans aucune
province au Canada.
Mme Crête (Mylène) :
Jusqu'à quel point est-ce que vous pensez que vous êtes rassurant pour les
membres de Desjardins aujourd'hui? Vous nous répétez ce que vous nous avez dit
il y a quatre ou cinq mois.
M. Girard (Groulx) : Bien,
c'est-à-dire qu'il y a seulement une nouvelle information aujourd'hui, c'est
que l'ensemble des membres sont touchés. Il y avait plusieurs rumeurs qui
circulaient à cet effet, notamment dans un reportage télévisé, et là on en a eu
la confirmation hier, alors on le divulgue immédiatement à la population.
Mais...
Mme Crête
(Mylène) : Mais est-ce que vous pensez vraiment que vous êtes
rassurant, là, pour les gens?
M. Girard (Groulx) : Mais
la gestion de l'incident pour 2,7 millions de personnes, c'est exactement
la même gestion pour 4,2 millions de personnes.
M. Gagnon (Marc-André) :
Avec tout le respect, là, ce n'est pas très rassurant de vous entendre
dire : Il n'y a seulement qu'une nouvelle information qui a été révélée aujourd'hui.
Là, c'est tous les membres de Desjardins, pratiquement la moitié du Québec, qui
a été victime d'une fraude, d'un vol de données.
M. Girard (Groulx) :
D'une fuite.
M. Gagnon (Marc-André) :
Donc, je vous donne l'opportunité de qualifier cette révélation-là aujourd'hui.
M. Girard (Groulx) :
Bien, c'est une nouvelle information qui confirme que c'est un incident très
sérieux. L'incident... Moi, j'ai pris cet incident-là avec autant d'importance
pour 2,7 millions que pour 4,2 millions de personnes. Les mêmes
gestes qui sont posés pour les 2,7 millions de personnes sont pertinents
pour l'ensemble des membres. Et c'est d'ailleurs pour ça que Desjardins avait
l'intention d'annoncer aujourd'hui qu'il voulait offrir la protection Equifax
pour l'ensemble des membres.
La Modératrice
: On va prendre
une dernière question en français, puis, après ça, on va prendre les questions
en anglais.
M. Lacroix (Louis) : On
a vu, dans d'autres cas de vol de données, là, à l'étranger, entre autres, où il
y a eu des amendes extraordinaires qui ont été données, là. Je pense à
British Airways, entre autres choses, qui a eu une amende salée, puis il y
en a eu d'autres, là. Est-ce qu'au Québec on ne devrait pas avoir aussi des
amendes pour les gens qui sont... pour les entreprises, par exemple, qui sont
négligentes avec les données des gens, des données personnelles de la
population? Est-ce qu'on ne devrait pas... Parce que nous autres, ici, il n'y
en a pas, d'amendes, ou très peu, là. Tu sais, c'est des peccadilles, là.
M. Girard (Groulx) : Vous
avez raison qu'au Canada et au Québec nous n'avons pas la tradition d'imposer
des amendes dans des cas comme ça, et dans divers domaines, d'ailleurs. C'est
une approche que je qualifierais de plus américaine, plus coercitive, avec des
amendes. On n'a pas ça... On n'a pas cette approche-là au Canada. On a plus une
approche incitative. Là, moi, ce qui me préoccupe, c'est, bien sûr, la
protection des avoirs et des renseignements des citoyens.
M. Lacroix (Louis) :
...mais moi, je vous demande : Est-ce que...
M. Girard (Groulx) :
Vous, vous me demandez si, dans la Loi sur la protection des renseignements
personnels, ce serait possible d'avoir des sanctions plus sévères. Et la
réponse, c'est oui, puis je vais laisser la ministre de la Justice s'occuper de
cet aspect-là. Moi, je suis responsable de l'aspect des données financières.
M. Lacroix (Louis) :
Donc, il va y avoir quelque chose qui va faire en sorte de... en fait, des
pénalités plus importantes qui vont être imposées pour justement... Parce que
ça, ce que ça fait, c'est que, moi, si je suis une institution financière puis
je sais que je me fais voler les données de mes clients, ça se pourrait que
j'aie des amendes très importantes, je vais peut-être faire plus attention à
mon système de sécurité.
M. Girard (Groulx) :
Bien, qu'il y ait amende ou non, les données des individus, c'est l'aspect le
plus important d'une institution financière. O.K.? Il y a les avoirs financiers
puis il y a les renseignements personnels. Alors, on n'a pas besoin d'amendes
pour que les institutions financières assument leurs responsabilités. Est-ce
que ce serait possible d'avoir des amendes? Oui.
M. Pilon-Larose (Hugo) :
Mais si on se donne des... Juste pour clarifier ça, en terminant. Si on donne
une amende, par exemple, à Desjardins, est-ce qu'on ne vient pas pénaliser
encore plus des membres dont les données ont déjà été volées? C'est-à-dire, si
on fait mal à Desjardins, est-ce qu'on fait mal en même temps à ses membres?
M. Girard (Groulx) :
Bien, c'est-à-dire que Desjardins, c'est une institution financière
d'importance systémique, 300 milliards d'actifs,
47 000 employés. Et c'est certain que l'AMF, et le ministre des
Finances, et le gouvernement veut que Desjardins gère cette situation et,
après, soit une institution encore de plus grande qualité. Alors, ça, c'est
certain que, dans le post-mortem, il y a une institution encore de plus grande
qualité après. Alors, lorsque vous dites : S'il y a des pénalités, est-ce
que ça nuit aux membres? C'est un élément à considérer.
M. Lacroix (Louis) :
Equifax, c'est 600 millions. British Airways c'était
125 millions US. C'est des amendes importantes, là.
M. Girard (Groulx) : Je
suis conscient de ça.
M. Lacroix (Louis) :
British Airways, c'est britannique, ce n'est pas américain. Alors, il y a
d'autres pays qui le font. Ils doivent se dire, quelque part, que ça doit
ajouter une protection parce que les compagnies doivent faire plus attention.
M. Girard (Groulx) :
Encore une fois, je tiens à dire que les amendes, c'est une approche qui est
très utilisée aux États-Unis dans divers domaines, pas seulement dans les
infractions reliées... On a vu, dans la crise financière, que les institutions
financières américaines avaient eu des amendes nettement plus élevées aux
États-Unis que dans d'autres pays. Alors, chaque juridiction a ses pratiques.
Et, bien sûr, on regarde l'ensemble des opportunités.
Mme Crête
(Mylène) : Le système bancaire repose sur la confiance. Vous ne
pensez pas que ça altère la confiance que les gens ont dans une des grandes
institutions financières québécoises?
M. Girard (Groulx) :
C'est-à-dire que, dans une crise, dans un incident, il y a toujours une
opportunité. Dans la mesure où Desjardins gère bien cet incident et prouve,
continue de prouver à ses membres qu'ils sont une institution financière
solide, à l'écoute de leurs membres, qui s'occupe de la protection des
renseignements, la protection des avoirs, Desjardins va en sortir grandie. Et
le Québec, c'est la même chose. On n'est pas les leaders au niveau de
l'identification, l'authentification des renseignements personnels. On n'a pas
les meilleures pratiques au niveau des agences de crédit. Alors, cet
incident-là va nous amener à un autre niveau des meilleures pratiques. Puis
c'est ça qu'il faut faire.
Mme Greig
(Kelly) : To pick up on a point that my
colleagues raised, I mean, it was the police who told Desjardins how serious
was the scope of the problem. First off, how did Desjardins — you mentioned your experience with financial institutions — how did Desjardins not know the
extent?
M. Girard
(Groulx) : That aspect is for Desjardins to
answer, and the investigation will reveal it. There's a post mortem being done
right now with external consultants, and all the aspects of why the data could
be extracted and why it took the amount of time that it took to detect it are
extremely important. And that will be part of the... not only the internal
audit that's being done with external consultants, but also, l'Autorité des marchés financiers is following
the situation. And that's all part of future improvement. The breach... the IT
breaches have been closed. Now, they must move to the best practice of the
industry and that would involve detecting in real time if there are data dump
related to personal information.
Mme Greig
(Kelly) : But how concerning is that for you,
that it was not the institution itself that could detect that? For you, what
does that say? What's the concern there?
M. Girard
(Groulx) : Well, I'm dealing with the
incident, OK? There's nothing I
can do prior... or to prevent what happened. The incident happened. And, from
the day that I was informed that this incident happened, I focused on the management
of the incident. And I'm satisfied with the management of the incident, but
that does not, by any means, make the incident less important.
Mme Greig
(Kelly) : But is that concerning to you, that
it was not Desjardins itself to find that out?
M. Girard
(Groulx) : It's certainly part of the SQ, the
investigation, to find that out. It would have been preferable if there was no
data stolen and if it had been detected earlier.
Mme Greig
(Kelly) : Yes. Let me say it another way.
Should it have been Desjardins who discovered it before the SQ did?
M. Girard
(Groulx) : I think it could have been
Desjardins that had known the extent. It's not the case, so I'm dealing with
the situation that we have.
Mme Greig
(Kelly) : Desjardins said they have everything
under control. Do you find that reassuring to Quebeckers today?
M. Girard
(Groulx) : I think what's most important for
Quebeckers is that their assets are protected. So, Desjardins is a well
capitalized institution. It's a systemic, important financial institution.
Their financial assets are guarantied by this institution. So, that's the
number one thing.
With respect to the
personal data information, they've registered 1 million people to Equifax,
which is a suitable prevention strategy, and they've introduced, if you're a
victim of identity theft, they've introduced the insurance and they will help
you. They're the first ones to introduce that, so that's a good step.
So, I think the fact that
the data is protected and that there's prevention of fraud and that, in the
case of identity theft, there will be significant help means that they're
dealing with the situation
adequately.
Mme Greig
(Kelly) : One million Quebeckers
signed up to Equifax. I mean, that's a huge number of people.
M. Girard
(Groulx) : Correct.
Mme Greig
(Kelly) : Your message to Quebeckers today who
are, first of all, the ones who are implicated in this, but the other ones as
well who see this and say : Oh my Gosh! this happens here and this could
happen to us just as easily if I'm with any other bank, what's your message to
Quebeckers?
M. Girard
(Groulx) : Well, my message is, first of all, we all have a
responsibility. You need to be mindful of the risk of... sorry, what's the
right word?
Une voix
:
Say it in French.
M. Girard
(Groulx) : De la possibilité de vol d'identité. You need to be...
Journaliste
:
...identity theft.
M. Girard
(Groulx) : Yes. You need to be mindful that you could be subject to
bad behavior, that some people want... veulent nuire à vos actifs. So, you need
to be aware of this. We all need to be aware of this. Cybersecurity is part of
today's environment. Desjardins has a responsibility. Your financial
institution is guaranteeing your assets against fraud. So, that's... In the
case of Desjardins, you have a well-capitalized institution, systematically
important, designated institution by the Government of Québec, so your assets
are guaranteed. And the two other aspects are really prevention of the identity
theft and, in the case of identity theft, helping you dealing with it, the
insurance.
M. Verville
(Jean-Vincent) : What are the tools that you can
put in place in the future to reassure the public that this won't happen again?
I guess, as a Minister, you know what tools you may put in place to reassure
the public... it will not happen again?
M. Girard
(Groulx) : Well, I think, as a society, there's many aspects that we
need to improve that are related to cybersecurity. First of all, we need to...
we do not have a law on credit agencies, so we need to regulate them so we know
clearly what their responsibilities are. We will monitor them. They will need
to be registered. And we want to introduce the credit freeze.
The whole aspect of
the... We all know that the Social Insurance Number is not an identity tool for
today's world. So, all the aspects with respect to identification,
authentification need to be improved. The aspect of the responsibilities of who
stores those data, the responsibilities institutions that have this private
information that belong to the citizens, the responsibilities of these
institutions will be dealt by the Justice Minister. That's also an aspect that
is very important.
M. Verville
(Jean-Vincent) : So, the solution, could it be to
store all the information in one place so that all the banks can have all this
information, but it will be regulated by the Government? Because I know it
exists in other countries.
M. Girard
(Groulx) : I think we are best served where we have private institutions
in competition that strive to have the best practices of the industry. And it
is helpful to identify who is the leader and for the others to converge and for
all institutions to improve. The solution for today's world may not be the
solution for 10 years from now. So, what you are proposing or suggesting
may not be appropriate in the future. So, I think, we want to keep the private
sector involved. Certainly, the financial institutions are private entities,
and they simply need to have the best practices of the industry.
La Modératrice
:
Thank you.
M. Girard (Groulx) : Merci
beaucoup.
(Fin à 14 h 55)