Journal des débats (Hansard) of the Committee on Public Finance
Version préliminaire
42nd Legislature, 1st Session
(November 27, 2018 au October 13, 2021)
Cette version du Journal des débats est une version préliminaire : elle peut donc contenir des erreurs. La version définitive du Journal, en texte continu avec table des matières, est publiée dans un délai moyen de 2 ans suivant la date de la séance.
Pour en savoir plus sur le Journal des débats et ses différentes versions
Thursday, November 21, 2019
-
Vol. 45 N° 46
Special consultations and public hearings - The leak of personal information at Desjardins
Aller directement au contenu du Journal des débats
Intervenants par tranches d'heure
-
-
Simard, Jean-François
-
Leitão, Carlos J.
-
Chassin, Youri
-
Lafrenière, Ian
-
Marissal, Vincent
-
Gaudreault, Sylvain
-
-
Simard, Jean-François
-
Chassin, Youri
-
Foster, Émilie
-
Lafrenière, Ian
-
Rizqy, Marwah
-
-
Rizqy, Marwah
-
Simard, Jean-François
-
Leitão, Carlos J.
-
Barrette, Gaétan
-
Marissal, Vincent
-
Gaudreault, Sylvain
-
Émond, Jean-Bernard
-
-
Émond, Jean-Bernard
-
Simard, Jean-François
-
Thouin, Louis-Charles
-
Chassin, Youri
-
Rizqy, Marwah
-
Leitão, Carlos J.
-
Marissal, Vincent
-
Gaudreault, Sylvain
-
-
Simard, Jean-François
-
Lafrenière, Ian
-
Foster, Émilie
-
-
Simard, Jean-François
-
Chassin, Youri
-
Leitão, Carlos J.
-
Rizqy, Marwah
-
Nadeau-Dubois, Gabriel
-
Gaudreault, Sylvain
-
-
Simard, Jean-François
-
Thouin, Louis-Charles
-
Asselin, Mario
-
Chassin, Youri
-
Lafrenière, Ian
-
Rizqy, Marwah
-
-
Rizqy, Marwah
-
Simard, Jean-François
-
Nadeau-Dubois, Gabriel
-
Gaudreault, Sylvain
-
Lafrenière, Ian
-
Asselin, Mario
-
Foster, Émilie
-
-
Lafrenière, Ian
-
Simard, Jean-François
-
Leitão, Carlos J.
-
Asselin, Mario
-
Rizqy, Marwah
-
Nadeau-Dubois, Gabriel
-
Gaudreault, Sylvain
-
Foster, Émilie
-
-
Foster, Émilie
-
Simard, Jean-François
-
Émond, Jean-Bernard
-
Chassin, Youri
-
Rizqy, Marwah
-
Leitão, Carlos J.
-
Nadeau-Dubois, Gabriel
-
Gaudreault, Sylvain
-
-
Gaudreault, Sylvain
-
Simard, Jean-François
-
Leitão, Carlos J.
11 h 30 (version révisée)
(Onze heures quarante-six minutes)
Le Président (M. Simard) :
Chers collègues, alors, à l'ordre, s'il vous plaît! Bienvenue à toutes et à
tous, aux parlementaires comme aux non-parlementaires.
Comme vous le savez, la commission est
réunie afin de procéder aux consultations particulières et auditions publiques
sur la question de la fuite de données personnelles chez Desjardins.
Mme la secrétaire, vous allez bien?
La Secrétaire
: Oui.
Le Président (M. Simard) :
Y aurait-il des remplacements ce matin?
La Secrétaire
: Oui, M.
le Président. Alors, M. Reid (Beauharnois) est remplacé par M. Lafrenière
(Vachon); M. Derraji (Nelligan) est remplacé par Mme Rizqy
(Saint-Laurent); et M. Ouellet (René-Lévesque) est remplacé par M. Gaudreault
(Jonquière).
Le Président (M. Simard) :
Très bien. Alors, comme nous avons, malgré nous, commencé légèrement en retard,
j'aurais besoin de votre consentement afin que nous puissions poursuivre après
l'heure initialement envisagée. M. le député de Robert-Baldwin.
M. Leitão : Merci, M. le Président.
Bien sûr, consentement, mais c'est que je soulignais que c'est quand même
ironique qu'on fasse ça puisqu'on est ici sous une procédure un peu spéciale.
Mais nous allons être bons joueurs. Consentement.
Remarques préliminaires
Le Président (M. Simard) :
Très bien. Merci pour ce consentement. Alors, comme vous le savez, chaque
audition commence par des remarques générales, des remarques préliminaires.
Alors, il y a des remarques qui sont faites de part et d'autre de cette table.
Et nous allons commencer par la partie gouvernementale. M. le député de Saint-Jérôme,
la parole est à vous.
M. Youri Chassin
M. Chassin :
Merci, M. le Président. J'aimerais rappeler, en commençant, que, si le gouvernement
a décidé d'aller de l'avant avec les audiences d'aujourd'hui, c'est en raison
de l'aspect humain de la fuite de données chez Desjardins. Donc, au-delà des
actions déjà entreprises par le gouvernement, si nous sommes ici, c'est pour
répondre aux nombreuses questions des clients touchés, des Québécois qui ont
des inquiétudes, qui veulent savoir ce qu'ils risquent et ce qui a été fait
pour qu'ils soient protégés. Ce sont leurs questions, leurs histoires que nous
avons tous entendues en comté, comme députés, que nous avons tous à l'esprit ce
matin.
Il est important de rappeler, pour que les
débats du jour puissent avoir lieu dans l'ordre... de se rappeler, donc, qu'il
existe une différence fondamentale entre les dossiers de protection des
dossiers... des données personnelles, pardon, dans les ministères et les
organismes et la protection des données financières dans les institutions
privées. La responsabilité de l'État existe dans les deux cas, mais n'est pas
la même. J'insiste sur ce point parce que le mélange des genres n'aide en rien
les Québécois touchés par la fuite de données.
Le premier sujet, nos ministères l'ont
bien en main avec des projets de loi. Nous aurons l'occasion d'en débattre à
satiété à cette occasion.
Le deuxième, c'est celui auquel on
s'intéresse aujourd'hui, soit ce qui est fait en matière de protection des
données financières des individus au sein d'institutions bancaires privées.
Nous sommes conscients qu'une enquête est
présentement en cours et nous respectons <que... >le fait que
certaines informations doivent demeurer confidentielles puisque celles-ci se
déroulent toujours à l'heure actuelle. Je parle, bien sûr, de ces enquêtes, M.
le Président. Nous croyons toutefois qu'il est pertinent de rencontrer les
acteurs que nous avons convoqués aujourd'hui pour qu'ils nous expliquent ce qui
s'est passé, les mesures en réaction à la fuite de données, mais aussi pour
nous orienter sur l'encadrement gouvernemental qui pourrait contribuer à la
meilleure protection des données financières des Québécois.
Encore une fois, l'ampleur des événements
nous force à faire preuve d'écoute et de rigueur par respect pour tous ceux qui
ont été touchés par la fuite de données. On parle de 4,2 millions de
Québécois qui ont des inquiétudes légitimes et qui veulent avoir des réponses,
et surtout un peu de paix d'esprit. Notre devoir de parlementaires est de
représenter les intérêts de la population québécoise à l'Assemblée nationale,
et c'est ce que nous allons faire aujourd'hui en recevant Desjardins, Equifax
et tous les autres groupes qui se joindront à nous tout au long de la journée.
Merci, M. le Président.
• (11 h 50) •
Le Président (M. Simard) :
Merci à vous, M. le député de Saint-Jérôme. Je cède maintenant la parole au <député...
M. Chassin :
...un peu de paix d'esprit. Notre devoir de
parlementaires est de
représenter les
intérêts de la
population
québécoise à l'
Assemblée
nationale, et c'est ce que nous allons faire
aujourd'hui en recevant
Desjardins, Equifax et tous les autres groupes qui se joindront à nous tout au
long de la journée. Merci,
M. le Président.
Le Président (M. Simard) :
Merci à vous,
M. le député de
Saint-Jérôme. Je cède
maintenant
la parole au >député de Vachon.
M. Ian Lafrenière
M. Lafrenière : Merci beaucoup,
M. le Président. Alors, salutations aux collègues qui sont aujourd'hui
présents. Je ne referai pas la genèse de tout ce qui s'est passé en cette commission
pour arriver ici aujourd'hui, mais malheureusement c'est un constat qui est
triste, qu'on arrive à cette façon-là de procéder, parce qu'au final ce que les
citoyens veulent entendre, c'est qu'est-ce qui s'est passé. Ils veulent
entendre Desjardins. Oui, il est vrai, M. le Président, que, dans le passé, on
a entendu Desjardins s'exprimer, que ce soit dans les médias ou même au niveau
du fédéral, mais il y a des questions que les... et je suis persuadé que mes collègues
ici ont entendu beaucoup de questions des citoyens qui les ont interpelés dans
leur comté, que ce soit ici...
Et aujourd'hui on va écouter Desjardins,
on va interroger. Il va y avoir Equifax, l'OPC, l'association des banques
canadiennes, l'AMF et José Fernandez. La SQ avait été invitée au tout début, et,
étant donné que l'enquête est toujours active, ils ont décliné l'invitation, et
ça, mon collègue l'a dit tout à l'heure, on en est très conscients.
Aujourd'hui, M. le Président, ce qu'on
veut, c'est trouver des réponses pour les citoyens. Et je dois vous avouer que
moi-même, j'ai reçu une lettre de Desjardins quand tout ça a commencé, et ça
m'a insécurisé. Ça m'a insécurisé sur le coup, mais ça m'a insécurisé sur le
futur, en disant : Quand est-ce que ça va arriver? Quelle journée il va y
arriver quelque chose?
Et un des enjeux qu'on va devoir adresser aujourd'hui,
c'est le vol d'identité aussi, vol d'identité qui a de grandes conséquences
pour les citoyens. Lorsqu'on se fait voler son identité, lorsque des gens font
des emprunts, font des transactions en notre nom, il y a de lourdes
conséquences. Lors du débat, la semaine passée, j'en ai parlé amplement. Aujourd'hui,
on a entendu une victime, Mme Aubry, qui est venue en parler, et ce sont
des conséquences réelles. Je l'ai vu moi-même sur le terrain. C'est des gens qui
sont dévastés, et ça reste. C'est extrêmement difficile de s'en sortir.
Alors, je pense que, comme parlementaires,
aujourd'hui, on a un travail important. Le travail important qu'on a, c'est de
poser les questions au nom de nos citoyens. Moi, je tends la main à mes collègues
des oppositions en disant : Travaillons ensemble, posons les bonnes questions
au nom de nos citoyens.
Et je veux aussi rassurer les gens qui
nous écoutent en disant : C'est le début, ce n'est pas la fin. Alors, oui,
aujourd'hui, il y a une journée où on va pouvoir poser des questions. Mais, parallèlement
à ça, notre gouvernement est déjà dans l'action, et il y aura des projets de
loi qui vont être déposés incessamment. Et, comme vous le savez, M. le
Président, lorsqu'il y a un dépôt de projet de loi, il y a une possibilité de
convoquer des groupes pour les entendre, et ça sera fait aussi.
Alors, trois projets de loi distincts,
autant d'occasions d'entendre des gens. Alors, je veux rassurer les oppositions
en disant : Aujourd'hui, oui, on entend six groupes, mais, dans le futur,
il y en aura d'autres. Travaillons ensemble pour le bien-être des gens qui nous
écoutent. Merci, M. le Président.
Le Président (M. Simard) :
Merci à vous, M. le député de Vachon. Je cède maintenant la parole au député de
Robert-Baldwin et porte-parole de l'opposition officielle. Cher collègue.
M. Carlos J. Leitão
M. Leitão : Très bien.
Merci beaucoup, M. le Président. Alors, nous aussi, nous allons participer activement
à cette commission. Nous allons faire notre travail. Je dois quand même nous
rappeler à nous tous que nous sommes ici dans un exercice qui nous a été imposé
par le leader du gouvernement, un exercice imposé et qui est beaucoup plus
restreint que ce que nous aurions souhaité faire.
Permettez-moi, M. le Président, parce que
c'est important, de rappeler un peu la chronologie des événements. Le 20 juin
2019, Desjardins a annoncé publiquement la fuite de données. Le 21 juin,
le collègue député de Laurier-Dorion avait demandé une séance de... un mandat
d'initiative dans une autre commission parlementaire. Le 9 juillet, M. le
Président, le député de René-Lévesque avait adressé une demande de mandat
d'initiative à la Commission des finances publiques. Le 9 juillet. Le 28 août,
nous avons eu finalement une séance de travail d'à peine 30 minutes, où <on
a réussi... >on n'a pas réussi à s'entendre. Le 3 septembre, on a
finalement eu une séance qui a duré un peu plus de temps.
Et finalement on a procédé au vote. On
avait une liste d'une douzaine de groupes. On n'a pas été capable de faire
approuver cette liste, et donc la motion a été rejetée, M. le Président. Donc,
si nous nous trouvons ici aujourd'hui, c'est en conséquence de cela. Le 1er novembre,
on apprend que ce sont tous les membres de Desjardins qui ont été touchés par
cette fuite. Et, ce jour-là aussi, moi, j'avais déposé, ainsi que le député de
René-Lévesque, une autre demande de mandat d'initiative. Et c'est à ce
moment-là que le gouvernement a court-circuité les procédures, ce qu'il peut
faire avec l'article 146, en imposant cette commission avec un nombre très
restreint de participants.
Nous voulons entendre Desjardins, et c'est
très bien, on va poser des questions, ainsi qu'Equifax, AMF et les autres. Mais,
comme le député de Vachon a mentionné, on parle ici de la protection des
données personnelles, le vol d'identité. Ça demande une commission
parlementaire beaucoup plus large que cela, et nous souhaitons que cela se
fasse. Ça aurait pu être fait sur deux ou trois jours. Ça n'aurait pas entravé
les travaux parlementaires.
Donc, nous allons participer à cette
session, très bien. Comme le député de <Vachon...
M. Leitão : ...vol
d'identité.
Ça demande une
commission parlementaire beaucoup plus
large que cela, et nous souhaitons que cela se fasse. Ça aurait pu être fait
sur deux ou trois jours. Ça n'aurait pas entravé les travaux parlementaires.
Donc, nous allons participer à cette
session, très bien. Comme le député de >Vachon a mentionné, c'est le
début et pas la fin. Mais nous souhaitons que la continuation se fasse ici,
dans cette Assemblée, dans cette commission, qu'on puisse entendre tous les
experts. L'enjeu va bien au-delà de Desjardins. L'enjeu concerne la protection
des données privées de tous les Québécois dans des organismes privés et
publics. Il faut faire la lumière sur tous ces enjeux-là. Merci, M. le
Président.
Le Président (M. Simard) :
Merci à vous, M. le député de Robert-Baldwin. M. le député de Rosemont, vous
avez exactement 2 min 40 s
Une voix
: ...
Le Président (M. Simard) :
Bien oui, une minute, cher collègue. Je m'excuse. Ce sera plus tard que vous
aurez 2 min 40 s Désolé.
M. Vincent Marissal
M. Marissal : O.K. Merci.
Bien, bienvenue, chers collègues. Finalement, je dirais, tout ça pour ça. Je
veux rassurer le député de Vachon. On est ici pour les mêmes raisons. On n'a
juste pas pris le même chemin pour se rendre, et c'est malheureux. Je veux
remercier le député de Robert-Baldwin d'avoir fait un excellent exposé, parce
que je n'aurai pas le temps de le faire en une minute.
C'est quand même ironique, tant d'efforts
si longtemps pour arriver ici avec si peu de temps dans un dossier aussi
important. Il paraît qu'on vit de petites victoires dans l'opposition, mais, si
tant est que celle-ci est une victoire, elle a un goût franchement amer. On n'a
pas aimé, personne, en tout cas, de ce côté-ci de la table, je pense que je
parle au nom de mes collègues, la façon dont ça s'est fait. On a l'impression
désagréable de s'être fait rentrer ça dans la gorge un peu de force. Et
d'entendre ce qui a été dit en plus tôt ce matin au salon bleu, franchement, c'est
ajouter l'insulte à l'injure. Visiblement, certains collègues du gouvernement n'ont
pas la même mémoire que nous de la façon dont ça s'est passé.
Cela dit, on est contents. Puis on est
contents que Desjardins puisse finalement témoigner et on va faire ça avec
professionnalisme et rigueur. Merci, M. le Président.
Le Président (M. Simard) :
Merci, cher collègue. M. le député de Jonquière.
M. Sylvain Gaudreault
M. Gaudreault : Oui,
merci, M. le Président. Comme 4,2 millions de membres de Desjardins, je
suis également touché par cette fuite de données personnelles extrêmement
préoccupante. Nous avons demandé, le 9 juillet dernier, cette commission.
Alors, aujourd'hui, on se retrouve avec un sentiment de trop peu, trop tard. Mais
on va le faire quand même avec toute l'énergie que vous nous connaissez et
toute la rigueur que vous nous connaissez également pour comprendre ce qui s'est
passé et porter un jugement, mais surtout essayer de trouver des solutions.
Parmi les solutions qu'on cherchera à
trouver, moi, je veux surtout comprendre les limites réelles du droit québécois
versus les compétences fédérales en protection des données personnelles. Alors,
là-dessus, je pense qu'on a un chantier à examiner de façon très, très
serrée... et de bien comprendre ce qui s'est passé.
Par ailleurs, bien, j'ai hâte d'entendre
également les explications de Desjardins, d'Equifax, de l'Autorité des marchés
financiers, de l'Office de la protection du consommateur, les banquiers,
également, et les experts, que nous aurions préféré pouvoir contre-vérifier,
l'expert qu'on va recevoir, avec d'autres types d'experts dans le domaine.
Merci.
Auditions
Le Président (M. Simard) :
Merci à vous, cher collègue. Alors, nous procédons maintenant à la seconde
étape de ces auditions en débutant, donc, nos échanges et nos présentations.
Alors, M. Cormier, bienvenue parmi nous. Auriez-vous d'abord, pour les
fins de nos travaux, l'amabilité de vous présenter ainsi que de présenter les
personnes qui vous accompagnent?
Mouvement Desjardins
M. Cormier (Guy) :
Alors, Guy Cormier, président et chef de la direction du Mouvement Desjardins.
Bonjour, tout le monde. À ma droite, Isabelle Garon, qui est vice-présidente,
Bureau du président, Coopération et Soutien aux administrateurs, à ma gauche,
Denis Berthiaume, qui est premier vice-président exécutif et chef de
l'exploitation du Mouvement Desjardins, et, à sa gauche, M. Yvan-Pierre
Grimard, qui est vice-président, Affaires institutionnelles et gouvernementales,
au Mouvement Desjardins.
Le Président (M. Simard) :
Nous vous écoutons, et vous disposez d'une période de 10 minutes.
M. Cormier (Guy) : Bien,
alors, écoutez, merci beaucoup, M. le Président de la Commission des finances
publiques. Mesdames messieurs, membres de la commission, bonjour à toutes et à
tous.
Desjardins comprend très bien la
préoccupation des Québécois concernant le vol de données et de renseignements
personnels qui est survenu chez nous. On entend participer très activement à la
mise en place de solutions visant une meilleure protection des renseignements
personnels et la mise en place d'une véritable identité numérique. Je tiens à
vous rassurer d'entrée de jeu que vous avez notre plus entière collaboration
aujourd'hui.
Le 1er novembre dernier, 24 heures
après un appel de la Sûreté du Québec, j'ai informé nos membres publiquement
que l'enquête policière tendait à démontrer que l'ensemble des membres
particuliers de Desjardins étaient touchés par la fuite de renseignements. Je
rappelle, là, ici, là, qu'il ne s'agit pas d'un nouveau délit. C'est toujours
la même enquête sur le même délit commis à l'interne par le même employé
malveillant qui a agi seul.
• (12 heures) •
Depuis juillet, tous les membres chez
Desjardins bénéficient dorénavant d'une protection, la Protection membres
Desjardins, une protection automatique et permanente en cas de fraude et de vol
d'identité, une protection qui est unique au Canada. Ce même jour, le
1er novembre, on avait prévu prononcer, puis on l'a quand même annoncé,
là, l'extension de ce programme de protection. Ce sera tous nos membres chez
Desjardins qui vont dorénavant bénéficier, sans frais, d'un <service...
>
12 h (version révisée)
< M. Cormier (Guy)T :
...une
protection automatique et permanente en cas de fraude et de vol
d'identité, une
protection qui est unique au
Canada. Ce même
jour, le 1er novembre, on avait prévu prononcer, puis on l'a
quand
même annoncé, là, l'extension de ce
programme de
protection. Ce
sera tous nos membres chez
Desjardins qui vont
dorénavant
bénéficier sans frais d'un >service de surveillance de crédit d'Equifax.
Ils vont recevoir, au cours des prochaines semaines, un code d'activation. Ils
pourront s'inscrire directement à Equifax.
Depuis juin, chez Desjardins, on a
travaillé d'arrache-pied. On a congédié l'employé fautif. On a développé des
nouvelles protections sans égal au Canada. Et, dans un temps record, on a
mobilisé l'organisation, traité jusqu'à 125 000 appels par jour. Et
aujourd'hui c'est plus de 41 % des membres, là, qui se sont inscrits sur
Equifax, ce qui constitue un résultat sans précédent à travers le monde. On a
posé des questions à l'interne. On en pose encore. Et on a continué à faire
évoluer nos procédures. On a agi en tout temps dans l'intérêt de nos membres.
Desjardins, c'est la plus grande
institution financière du Québec et le premier groupe coopératif financier en
Amérique du Nord. C'est 312 milliards d'actifs, 23 milliards de
capitalisation, 45 000 employés et près de 120 ans de
partenariat avec les Québécois. Desjardins a été classé par Bloomberg parmi les
institutions financières les plus solides à travers le monde. Desjardins est
reconnu par les conventions internationales comme une institution financière
d'importance systémique. On est encadrés par l'Autorité des marchés financiers
du Québec, qui applique à Desjardins les mêmes exigences que le Bureau du
Surintendant des institutions financières applique aux banques canadiennes. On
est soumis aux mêmes agréments internationaux de conformité que les banques. On
est évalués par les mêmes agences de notation. On est soumis aux mêmes règles
d'audit trimestriel.
À chaque année, le Mouvement Desjardins
investit 70 millions de dollars en sécurité informatique et en
cybersécurité. Nos processus sont constamment en évolution. Et, je le rappelle,
là, dans l'affaire qui nous préoccupe, là, nos systèmes n'ont jamais, jamais
été compromis. La fraude interne, c'est la bête noire de toute organisation,
comme c'est arrivé chez Marriott, comme c'est arrivé chez Disney, comme c'est
arrivé chez Sephora, comme c'est arrivé à Revenu Québec, et même dans le
dossier de santé Québec.
Au début du mois, le commissaire à la vie
privée du Canada a révélé que 28 millions de Canadiens, 28 millions
de Canadiens, avaient été touchés par des fuites de données dans la dernière
année, découlant de 680 déclarations volontaires. 28 millions en un
an. Si on enlève à peu près les 4 millions de Desjardins puis les
6 millions de Capital One, là, il reste 18 millions de Canadiens dont
les données ont été volées. C'est qui, les autres organisations? C'est qui qui
a agi avec autant de transparence et le même sens du devoir que Desjardins a
démontré dans les derniers mois? J'ai fait cinq conférences de presse. J'ai accordé
des dizaines d'entrevues. Puis j'en suis à ma deuxième commission
parlementaire. Et loin de moi, ici, là, l'idée de jeter la pierre à d'autres
entreprises qui ont été victimes de fraude interne, mais, au contraire, ce que
ça démontre, c'est qu'il faut se retrousser les manches, actuellement, là, pour
chercher des solutions ensemble.
Ce qui s'est produit chez Desjardins, c'est
très sérieux, et on a agi en conséquence. Mais, si on veut rendre réellement
justice aux membres de Desjardins, là, et, plus largement, aux citoyens du
Québec et du Canada, on doit élargir notre regard tous ensemble parce qu'il y a
eu de nombreux cas avant Desjardins, il y a eu des cas depuis le 20 juin
puis il va continuer malheureusement d'avoir des cas dans le futur encore. Le
vol de données, c'est un fléau mondial.
Chaque année, la multinationale québécoise
CGI discute avec 5 500 de ses clients à travers le monde. En 2019, au
cours de ses échanges, 20 % de ses clients ont indiqué n'avoir aucun plan
pour améliorer la sécurité des données personnelles qu'ils gèrent et un autre
20 % a indiqué qu'elles souhaitaient investir dans ce domaine, mais ne
savaient tout simplement pas avec quelles balises elles devaient le faire. La
conclusion de ces échanges, c'est qu'à part les pays de l'Union européenne la
grande majorité des pays de l'OCDE tarde trop à réagir à cet enjeu, la protection
des renseignements personnels.
Le retentissement de ce qui est arrivé
chez Desjardins, là, c'est un éveil brutal qu'on ne doit certainement pas
gaspiller. Je nous enjoins tous à voir au-delà de la situation de Desjardins
puis à se poser les vraies questions. Et, chez Desjardins, on a formé un groupe
de travail à l'interne auquel j'ai donné un mandat très clair pour nos membres
et les consommateurs : Constituez un guide des meilleures pratiques à des
fins de sensibilisation et d'éducation. Les meilleurs systèmes vont toujours
nécessiter la vigilance des consommateurs.
Pour les entreprises, constituer un guide
de sensibilisation et de prévention de la fraude — on a, chez
Desjardins, 360 000 entreprises qui font affaire avec nous et qui
gèrent chacune des données sur leurs clients — puis, pour les
gouvernements et les institutions, rassembler des informations et ouvrir un
réel dialogue sur la notion d'identité numérique... Nous rendrons, d'ailleurs,
public, disponible à tous, un rapport sur nos <travaux...
M. Cormier (Guy) :
...
360 000 entreprises qui font affaire avec nous et qui gèrent
chacune des données sur leurs clients — puis, pour les gouvernements
et les institutions, rassembler des informations et ouvrir un réel dialogue sur
la notion d'identité numérique... Nous rendrons, d'ailleurs, public, disponible
à tous, un rapport sur nos >travaux au premier trimestre de 2020.
Et, dans le cadre de ce troisième volet
là, sur le volet gouvernemental et institutionnel, là, sur l'identité numérique,
j'ai rencontré, la semaine dernière, Joni Brennan, qui est la présidente du
DIACC, Digital Identity & Authentification Council of Canada. Desjardins
est membre fondateur de ce conseil, qui est destiné à la promotion et à la
préparation d'un système canadien d'identité numérique et qui participe à des discussions
au niveau international.
Et, ce matin, je suis heureux de vous
annoncer devant la commission que Desjardins sera et est l'instigateur de la
mise sur pied d'une nouvelle branche francophone du DIACC ici, au Québec, que l'on
va dorénavant appeler le forum de l'identité numérique. Depuis le 20 juin,
il y a plusieurs organisations au Québec qui ont manifesté leur volonté de
travailler avec Desjardins pour chercher des solutions. Ce forum, il est ouvert
à toutes les parties prenantes et transcende toute forme de concurrence ou de
corporatisme dans la société. L'enjeu, il est stratégique, il est économique puis
il est social. Avec ce forum, ce qu'on veut essentiellement, c'est coaliser les
acteurs, documenter ce qu'il se fait ailleurs à travers le monde, identifier
des pistes de solutions qui seraient adaptées à la réalité québécoise puis
aider le gouvernement dans ses prises de décision. Et j'invite, d'ailleurs, le
gouvernement du Québec à se joindre à ce forum.
On est à l'ère du numérique. Les données
sont désormais considérées comme des ressources dans la société. Elles sont à
la base de toutes les innovations technologiques que l'on connaît. Il ne s'agit
pas d'arrêter ce mouvement-là actuellement, là, mais il faut l'encadrer de la
bonne façon. Actuellement, on s'enregistre sur différents réseaux avec des
documents gouvernementaux qui ont été conçus pour d'autres fins à une autre
époque. On a construit, là, autour de ça, depuis les dernières années, là, un
paquet de parapluies informatiques pour protéger ça, mais ce n'est pas optimal.
Actuellement, les consommateurs, les
citoyens sèment leurs données personnelles un peu partout au gouvernement, dans
plusieurs ministères, chez leur employeur, à la caisse, à la banque, dans les
municipalités, chez leur fournisseur Internet, chez Hydro-Québec et dans de
nombreux, nombreux commerces. On multiplie les expositions. On multiplie les
risques. Il faut redonner à chaque personne le contrôle de ses données. Il faut
redonner du sens. Il faut construire une véritable identité numérique au Québec
et au Canada.
Le gouvernement a annoncé son intention de
légiférer. La législation fait évidemment partie de la solution, mais avec
doigté. On ne peut pas cadenasser les données. Il faut réunir confidentialité,
sécurité et fluidité. Il faut tirer les bonnes leçons de ce qui s'est passé
chez Desjardins et ailleurs et travailler ensemble dans l'intérêt des citoyens
et dans l'intérêt de notre économie.
Merci beaucoup. On est prêts à répondre à
vos questions.
Le Président (M. Simard) :
Très bien. Merci, M. Cormier. Alors, merci pour cet exposé. Avant de céder
la parole à mes collègues, simplement vous rappeler que plusieurs d'entre eux
veulent s'adresser à vous, et, afin de maximiser notre temps, je nous invite à
des réponses à la fois complètes, mais néanmoins synthétiques. Ceci étant dit,
M. le député de Saint-Jérôme, à vous la parole.
M. Chassin :
Merci, M. le Président. Merci, M. Cormier, pour cette présentation.
Bienvenue.
Vous êtes une institution d'une importance
capitale dans l'économie québécoise. Je dirais même que Desjardins habite en
partie l'imaginaire des Québécois, ce qui explique sans doute le retentissement
du vol de données qu'on a connu. Bon, évidemment, la fuite de données chez
Desjardins, vous en avez été victime. Il y a 4,2 millions de Québécois qui
en ont été victimes. Ça soulève de nombreuses questions. Je vais en poser, certains
de mes collègues aussi. Je vous prierais de garder vos réponses assez courtes
et concises, autant que faire se peut.
J'aimerais comprendre un élément.
Évidemment, vous en parliez dans votre présentation, c'est un employé mal
intentionné qui, chez vous, a mis la main sur ces données. Est-ce que vous
pouvez nous donner un sens des catégories de travailleurs, d'employés de
Desjardins qui ont accès à ces données, sachant que... J'imagine que, par
exemple, un directeur a accès à ces données-là. Quelqu'un qui fait de
l'entretien au sein d'une caisse populaire n'a pas accès. Entre les deux,
quelle serait la proportion des catégories d'emploi qui ont accès aux données?
M. Cormier (Guy) : Bien,
essentiellement... Je vais y aller rapidement. Denis, tu auras peut-être des
questions d'exploitation.
Mais essentiellement, sur 45 000 employés,
il y a des employés qui ont accès à des données, là. Vous pensez à votre
caissière dans votre caisse, là, elle regarde son écran, elle a de
l'information sur vous, là. Le planificateur financier, il a de l'information
sur vous. Le directeur de comptes aux entreprises, il a de l'information sur
votre entreprise. Alors, c'est balisé, c'est encadré. Il n'y a personne chez
Desjardins qui ouvre son ordinateur, là, puis qui a accès à toutes les données
de tous les membres, tous les clients, le matin, instantanément, sur son
système, là. Il y a d'importantes mesures de sécurité qui sont mises de
l'avant.
• (12 h 10) •
Mais, une fois que j'ai dit ça, il y a
quelques employés, quelques dizaines d'employés, qui ont <accès...
M. Cormier (Guy) :
...
l'information sur votre
entreprise. Alors, c'est balisé, c'est
encadré.
Il n'y a personne
chez Desjardins qui ouvre son
ordinateur, là, puis qui a accès à toutes les données de tous les membres, tous
les clients, le matin, instantanément, sur son système, là. Il y a
d'importantes mesures de sécurité qui sont mises de l'avant.
Mais, une fois que j'ai dit ça,
il y a quelques employés, quelques dizaines d'employés qui ont >accès à beaucoup
plus d'informations pour différentes raisons. Pensez à tout ce qui touche la
lutte au blanchiment d'argent. La lutte au blanchiment d'argent, on a des
obligations légales et réglementaires de transmettre de l'information. On peut
penser à la sécurité. On peut penser au marketing. Et, à ce moment-là, il y a
des mesures qui encadrent le nombre de données que les gens ont accès.
M. Chassin :
Est-ce que vous pourriez nous donner une proportion approximative?
M. Cormier (Guy) : Sur
45 000 employés, là, on parle de quoi, Denis, quelques dizaines?
M. Berthiaume (Denis) :
Quelques centaines, là.
M. Cormier (Guy) : Quelques
centaines d'employés sur 45 000 employés qui ont accès à un peu plus
d'informations.
M. Chassin :
Et donc c'est là où il y a des contrôles de sécurité plus serrés, j'imagine,
compte tenu de cet accès-là?
M. Cormier (Guy) : Il y
a des contrôles de sécurité partout. Il y a des contrôles de sécurité face à
nos caissières. Il y a des contrôles de sécurité face à nos planificateurs
financiers. Il y a des contrôles de sécurité par rapport à tous nos employés. Et,
en fonction du type d'information qu'ils peuvent avoir accès, bien, les
contrôles de sécurité sont modulés en conséquence. Mais tout le monde a des
contrôles de sécurité.
M. Chassin :
Et donc vous avez rajouté des contrôles de sécurité aussi par la suite. Dans
l'état actuel des choses, est-ce que... par exemple, des contrôles de sécurité
même avant l'embauche?
M. Cormier (Guy) :
Denis, peut-être, tu peux y aller là-dessus.
M. Berthiaume (Denis) :
...peut-être compléter. Écoutez, un, première des choses, il y a tout un système
de gestion des accès et des identités qui sont présents. Alors, il y a un
principe de base : à 45 000 employés, les employés ont accès au
système strictement de ce qui est requis dans le cadre de leur travail. Donc,
ça, ça existe. Évidemment, après ça...
M. Chassin :
Mais, avant l'embauche, est-ce que...
M. Berthiaume (Denis) : Avant
l'embauche, il y a des enquêtes de sécurité qui sont menées.
M. Chassin :
D'accord.
M. Berthiaume (Denis) :
Puis, pour ce qu'on appelle des comptes à hauts privilèges, c'est poussé encore
plus loin, donc c'est avant l'embauche. Et il y a également des mesures
additionnelles.
M. Chassin :
Merci. <Est-ce qu'il y a... >Il y a, donc, des données qui ont été
volées, qui, évidemment, contiennent un certain nombre d'éléments qui sont bons
longtemps, que ce soit la date de naissance ou le numéro d'assurance sociale.
Est-ce que vous pourriez nous donner un sens de combien de temps ces données
pourraient être éventuellement utilisées contre le détenteur des données?
M. Cormier (Guy) : Bien,
écoutez... Denis, tu veux-tu y aller? Je pourrai compléter.
M. Berthiaume (Denis) :
Mais je peux y aller, puis vous pourrez compléter, M. le Président.
Un élément qui est important, évidemment,
la durée de vie des données. Il y a des données, effectivement, qui ne bougent
pas, qui ne sont pas mobiles, mais, strictement avec un numéro d'assurance
sociale et avec une date de naissance, bien, <les gens... >oui, ce
qu'on peut observer, c'est que les gens peuvent se servir de ça. Effectivement,
quand c'est rendu à l'extérieur, c'est rendu à l'extérieur. Toutefois, il y a
une durée de vie à certaines données. Donc, pour fins d'authentification, les
mécanismes d'authentification sont beaucoup plus larges que strictement
demander une date de naissance et un numéro d'assurance sociale. Alors, par
d'autres mécanismes d'authentification, questions de sécurité <qui... >ou
différents modes de fonctionnement au niveau de la sécurité, eh bien, on vise,
dans le fond, à périmer, en quelque part, ces données-là dans tout le processus
d'authentification de nos membres.
M. Chassin :D'accord.
M. Cormier (Guy) : Et,
très rapidement, c'est pour ça qu'on a lancé la Protection membres Desjardins.
Le 15 juillet, quand on a lancé la Protection membres Desjardins, c'est,
justement, pour protéger ce type de risque là. Aujourd'hui, tous les membres
chez Desjardins bénéficient de cette protection-là. Dans un an, dans deux ans,
dans 10 ans, dans 50 ans, dans 75 ans, tant qu'ils sont membres
chez Desjardins, ils ont accès à... S'il y a une transaction frauduleuse dans
leur compte — ou non autorisée — on les rembourse. S'ils
ont malheureusement un réel vol d'identité, ils appellent chez Desjardins. Gratuitement,
on a des spécialistes, avocats, spécialistes, psychologues, s'il le faut, qui
peuvent les accompagner. Puis, troisièmement, s'ils ont des dépenses personnelles,
on rembourse jusqu'à 50 000 $. C'est pour gérer ce risque-là qu'on a
mis cette protection-là.
M. Chassin :
Question : Est-ce que vous avez eu, avant les faits, des indications à
l'interne qu'il y aurait des risques de sécurité sur les données personnelles?
M. Cormier (Guy) : Bien,
essentiellement, là, régulièrement, à chaque année, on investit
70 millions de dollars par année. On investit 70 millions de dollars
par année dans nos différentes mesures de sécurité. Et on a un plan annuel dans
lequel on décide parfois : O.K., on alloue notre argent où?
M. Chassin :Vous êtes conscients des failles possibles.
M. Cormier (Guy) : La
fraude interne, les attaques externes, les demandes de rançon, la
cybersécurité. On parle avec des spécialistes universitaires. On parle avec des
spécialistes internationaux. On se fait accompagner par des firmes externes. On
parle aux autres institutions financières. On parle à l'environnement pour voir
qu'est-ce qu'il se passe actuellement dans le marché et on investit.
Alors, parfois, effectivement, les gens
disent : Ah! attention, de ce temps-ci, il y a beaucoup d'hameçonnage par
rapport à tel nouveau type de fraude. O.K. On ajuste nos mesures de...
procédures de sécurité. C'est un jeu de chat et souris, ça, là. Aujourd'hui,
pendant que je vous parle, là, il y a probablement des gens qui écoutent ce que
je vais dire pour essayer d'attaquer Desjardins et d'autres institutions
financières prochainement.
M. Chassin :
Et on ne voudrait pas ça.
M. Cormier (Guy) :
Alors, c'est ça, la réalité.
M. Chassin :
Merci, M. Cormier. Mes collègues vont continuer.
Le Président (M. Simard) :
Tout à fait. Merci à vous, M. le député de Saint-Jérôme. Mme la députée de Charlevoix—Côte-de-Beaupré.
Mme Foster : Bonjour.
Merci beaucoup d'être ici aujourd'hui.
Je commencerais par une mise en situation.
On va prendre un cas fictif, Louise. Louise fait partie des 4,2 millions
d'abonnés chez vous qui ont été victimes de vol de données. En juin dernier,
elle ouvre le bulletin de nouvelles, elle apprend qu'il y a eu une fuite
massive de données chez Desjardins. Elle s'inquiète. Elle se demande si elle va
recevoir la lettre, si elle fera partie des clients <touchés...
Mme Foster : ...un cas
fictif, Louise. Louise fait partie des 4,2 millions d'abonnés chez vous
qui ont été victimes de vol de données. En juin dernier, elle ouvre le bulletin
de nouvelles, elle apprend
qu'il y a eu une fuite massive de données
chez Desjardins. Elle s'inquiète, elle se demande si elle va recevoir la
lettre, si elle fera partie des clients >touchés. Finalement, quelques
semaines plus tard, elle reçoit la lettre. Elle fait partie des clients qui
sont touchés dans la première vague.
Dans la lettre, on lui dit essentiellement :
Voici, si vous voulez une surveillance de crédit, vous devez vous inscrire à
Equifax. Elle appelle chez Equifax, c'est long, c'est long. Elle appelle deux
fois, trois fois, parce qu'il y a une heure d'attente à chaque fois, puis elle
travaille comme tout le monde. Donc, à un moment donné, elle ne peut pas juste
faire ça dans sa vie. Par la suite, elle finit par rejoindre Equifax, a sa
surveillance de crédit, mais, au final, elle se dit : C'est lourd, c'est
lourd. Est-ce que je reste membre chez Desjardins? Ça, c'est la première
question. Elle décide de rester membre, mais elle se pose des questions, sans
compter le fait qu'on lui répond en anglais chez Equifax. Ça, c'est une autre
chose.
Suite à ça, moi, j'ai quelques questions.
Je vais vous les poser en rafale à partir de cette mise en situation là, parce
que vous comprenez que, du point de vue du citoyen, je vais essayer de vous les
poser, les questions, mais du point de vue du citoyen, tel qu'ils ont vécu la
situation. Je vais poser les quelques questions en rafale, mais je vous
demanderais d'attendre à la fin. Peut-être les prendre en note puis me les
répondre en rafale également. Ce serait apprécié.
Premièrement, l'erreur ne vient pas du
citoyen, elle vient d'un employé chez Desjardins, tout ça, mais <ça a
quand même... >ultimement la responsabilité est quand même sur
Desjardins, du vol de données. Alors, pourquoi mettre le singe sur l'épaule du
consommateur en ce qui concerne le service <de la... voyons, >de
la surveillance du crédit? C'est long, c'est fastidieux. Ça a connu des ratés,
ça a été compliqué. Pourquoi mettre le singe sur le dos du client? Il y en a
4,2 millions comme ça.
Également, est-ce que vous vous êtes
assurés avec Equifax, avant d'accorder ce contrat-là de protection, de
surveillance, qu'ils avaient les capacités pour faire face à cette
surveillance? Parce que, je comprends, les choses se sont faites vite, mais le
service en français a connu des ratés et le système informatique également. La
capacité était, bon, plus ou moins suffisante pour répondre à la demande dans
les premiers mois.
Également, pour ceux qui ne seront pas
capables de s'inscrire au service avant le 1er janvier 2020, parce que la
première vague, là, on nous dit... Moi-même, j'ai reçu cette lettre-là. Je
faisais partie de la première vague. On nous dit : À partir du
1er janvier 2020, bien, si vous ne vous êtes pas inscrit, c'est comme un
vide. Qu'est-ce qu'il arrive? Parce qu'ultimement, je le rappelle, ce n'est pas
la faute du client, ce qui est arrivé.
Également, Equifax elle-même a été victime
d'une fuite de données massive en 2017. Donc, quelle est la limite de votre
responsabilité sur les données de vos membres que vous avez référés à Equifax
si une fuite du genre se reproduit chez eux?
Finalement, je fais référence à quelque
chose que vous avez dit tout à l'heure et que vous avez dit également lorsque
vous êtes allé au Parlement fédéral devant une commission. Vous avez mentionné
que la Protection membres Desjardins, qui couvre la protection des actifs,
d'accompagnement en cas d'utilisation frauduleuse des renseignements personnels
et de remboursement de frais pour des démarches de restauration d'identité... Donc
là, on est hors de la surveillance de crédit, on est dans l'autre protection
que vous offrez. Vous dites — j'ai accroché un peu : C'est
permanent tant qu'on reste client chez vous. Donc, qu'est-ce qu'il arrive si
quelqu'un, suite à tout ça, décide : Moi, je ne veux plus de compte chez
Desjardins? Est-ce que cette protection-là est permanente? Mais est-ce qu'elle
l'est vraiment? Parce que vous avez encore mentionné tout à l'heure : Tant
que la personne demeure membre chez nous... Alors, voilà. Merci.
M. Cormier (Guy) :
Écoutez, quelques éléments de réponse.
Premièrement, moi, là, avant le
20 juin, là, il arrive une fuite de renseignements, là, il y a deux
entreprises au Canada qui offrent ce service-là, deux, pas trois, pas quatre,
pas cinq, pas 10, deux : Equifax, 70 % de part de marché, et
TransUnion, 30 %. Alors là, l'eau rentre dans le sous-sol, là, puis il y a
deux camions qui passent sur la rue, là, pas deux, pas trois, pas quatre, cinq,
deux camions. Je peux attendre des semaines et des semaines ou je dis : Je
travaille avec Equifax. On s'est assis avec Equifax. On a pris le temps de
regarder, dans un court délai, quelles étaient les protections. C'est une firme
internationale qui a fait ça à plein d'autres endroits.
Alors, on a fait les vérifications, puis
ils nous ont dit : Oui, on est en mesure d'accompagner adéquatement. Puis,
en moyenne, c'est 5 % à 10 % des gens qui sont victimes d'une fuite
qui s'inscrivent. Là, on leur a dit : O.K., parfait, mais, si c'est plus,
êtes-vous capable d'accompagner tout ça? Oui, on va travailler avec eux comme
tels. Évidemment, au début, là, il y a eu des enjeux que vous avez mentionnés.
Mais rapidement Equifax s'est assis avec nous, puis on a cherché des solutions.
Puis Equifax, je dois dire, a fait preuve d'ouverture. Ils ont augmenté leur capacité
de leur site Internet. Ils ont augmenté leurs ressources en français. Là, on le
voit depuis le 1er novembre, la qualité de la prise en charge est très
différente comme telle.
Mais, je le répète, et ça, je pense que c'est
un élément que les gouvernements devraient regarder, il y a deux firmes de
bureau de crédit au Canada, deux. Alors, à un moment donné, les institutions
financières travaillent avec les entreprises avec lesquelles elles ont le droit
de travailler au Canada. Ça, c'est la première chose.
• (12 h 20) •
La deuxième chose, c'est <probablement...
M. Cormier (Guy) :
...
leurs ressources en français. Là, on le voit depuis le
1er novembre, la qualité de la prise en charge est très différente comme
telle.
Mais je le répète, et ça, je pense que
c'est un élément que les gouvernements devraient regarder, il y a deux firmes
de bureaux de crédit au Canada, deux. Alors, à un moment donné, les
institutions financières travaillent avec les entreprises avec lesquelles elles
ont le droit de travailler au Canada. Ça, c'est la première chose.
La deuxième chose, c'est >probablement
tout ce qui touche au niveau de... pas capable de s'inscrire d'août à décembre par
rapport à la... chez Desjardins. Bien, c'est qu'on laisse cinq à six mois, puis
les gens nous disent, chez Equifax, même chez TransUnion, que, généralement,
les gens qui veulent s'inscrire, bien, s'inscrivent au début. Après quatre,
cinq, six mois, bien, déjà, s'il reste 60 %, 65 % des gens qui ne
sont pas activés, s'ils ne l'ont pas activé en juillet, en août, en septembre,
en octobre, en novembre, bien, pourquoi après cinq, six mois, là, quand tous
les médias en ont parlé? Alors, les gens nous disent : C'est rarement tout
le monde qui s'inscrit au service de protection.
Pourquoi on a lancé la Protection membres
Desjardins? C'est parce qu'effectivement on voyait que ce n'étaient pas tous
les membres chez Desjardins qui s'inscrivaient puis on se disait :
Qu'est-ce qu'on fait s'il y en a juste 10 %, 20 %, 30 % puis que
les autres ne le sont pas? Quelle est notre responsabilité, comme entreprise,
comme coopérative? Et c'est là qu'on s'est dit : Il faut lancer une
protection additionnelle. On a lancé la Protection membres Desjardins, c'est
vrai, exclusivement pour nos membres. Il faut être membre de la coopérative parce
que quelqu'un qui décide de quitter sa coopérative, bien, pourquoi les autres
membres devraient soutenir cette protection-là pour 20, 30, 40 ans quand
eux ont décidé de prendre la décision de rester dans la coopérative, alors que
les autres ont décidé de quitter? La protection, elle est permanente tant que
vous êtes membre de la coop. C'est un peu le sens de ce qu'on a voulu amener.
Mme Foster : ...reste
encore un peu de temps?
Le Président (M. Simard) :
Oui, oui, oui. Il vous reste 2 min 50 s
Mme Foster : On parle
quand même d'une situation exceptionnelle. De dire que la personne qui décide
de ne plus être membre chez vous perd cette protection-là quand l'erreur qui a
été commise au départ ne le concerne pas, mais concerne Desjardins, c'est un
peu particulier.
M. Cormier (Guy) : La
dame ou l'homme qui a ça peut quitter Desjardins, et on va quand même lui
offrir une protection de cinq ans avec Equifax, payée par Desjardins. Alors,
même si elle a quitté Desjardins, là, depuis le mois d'août ou septembre,
Desjardins continue de lui payer une protection Equifax pour les cinq
prochaines années en cas de vol d'identité. Moi, je pense qu'on prend nos
responsabilités, là.
Le Président (M. Simard) :
Je sais que le député de Vachon souhaitait également intervenir. Cher collègue,
à vous la parole. Il vous reste 2 min 11 s
M. Lafrenière : Merci
beaucoup. Merci pour la présentation. Je ne me trompe pas en disant que vous
êtes dans un système coopératif. Donc, il y a plusieurs caisses. Il y a combien
de caisses au total?
M. Cormier (Guy) :
Aujourd'hui, on est à 212 caisses.
M. Lafrenière : 212
caisses. Est-ce que je me trompe aussi en disant que chacune de ces caisses-là
a une banque de données, c'est-à-dire, quand moi, je me présente pour ouvrir un
compte, la caisse où je me présente a une base de données avec mes
informations?
M. Cormier (Guy) : Je
pense, c'est centralisé. Denis?
M. Berthiaume (Denis) : C'est
un système central. C'est des accès qui sont donnés aux caisses, caisse par
caisse, mais c'est un système central. On fonctionne avec des systèmes
centraux.
M. Lafrenière : Donc, il
y a un système central, mais, dans la caisse, il n'y a aucune copie de mes informations
personnelles qui se retrouvent là.
M. Cormier (Guy) : Ah!
bien non, c'est sûr qu'il y a des données. Il y a des données papier, là. Il y
a des demandes de crédit. Il y a des cartes de signature. Il y a ces
éléments-là.
M. Lafrenière : Ma
prochaine question... Puis vous l'avez dit, hein, quand vous vous êtes
présentés au fédéral, vous avez dit que c'est un problème qui était majeur, là,
la petite bête noire avec nos fraudeurs internes. Je suis d'accord avec vous. Je
veux savoir quelle journalisation vous faites pour les interrogations qui se
font de vos employés dans les systèmes, à savoir moi, j'ai eu accès aux
dossiers de tant de clients en temps réel. Est-ce qu'il y a une journalisation
qui se fait chez vous?
M. Cormier (Guy) : Bien,
Denis, tu veux-tu y aller sur ça?
M. Lafrenière : Puis, je
m'excuse, j'y vais rapidement parce qu'on est serrés dans le temps.
M. Cormier (Guy) : Oui,
oui, tout à fait, tout à fait, vas-y, Denis, là, sur les mesures de sécurité.
M. Berthiaume (Denis) :
Bon, écoutez, là, évidemment, là, quand on parle de nos mesures de sécurité à
l'interne, la journalisation, chez Desjardins, il s'en fait, de la
journalisation. Maintenant, il faut le voir comme un outil. Ce n'est pas un
bâton magique, la journalisation, là. C'est un outil dans le coffret à outils
de toutes sortes de mesures de sécurité qu'on met. Dans l'encadrement, il y a
de la journalisation.
M. Lafrenière : Parfait,
ce qui m'amène à l'autre question, la préembauche. Vous faites une enquête de
sécurité de vos employés qui vont se présenter chez vous?
M. Berthiaume (Denis) :
Tout à fait, oui.
M. Lafrenière : Pendant
l'emploi, est-ce que vous refaites une enquête?
M. Berthiaume (Denis) :
Pour les comptes, évidemment, il y a des catégories d'emploi où effectivement
les mesures de sécurité, les enquêtes sont beaucoup plus régulières.
M. Lafrenière : Vous
comprenez où je veux vous amener quand je vous dis ça? C'est parce qu'un
employé qui est rentré chez vous avec un dossier parfait, après quatre, cinq,
six ans, problème financier quelconque, décide d'être malveillant pour le crime
organisé ou quoi que ce soit, est-ce qu'il y a un drapeau qui va s'allumer automatiquement
chez vous s'il n'y a pas de vérification qui se fait?
M. Berthiaume (Denis) :
Dans nos comptes d'accès à hauts privilèges, il y a des enquêtes.
M. Lafrenière : Donc,
c'est certain que ce n'est pas tout le monde. Merci.
Le Président (M. Simard) :
Merci à vous, M. le député de Vachon. Vous êtes parfaitement dans votre temps.
Je cède maintenant la parole à notre collègue la députée de Saint-Laurent.
Madame.
Mme Rizqy : Merci
beaucoup. Bienvenue parmi nous. D'emblée, on vous a proposé d'être assermentés,
chose à laquelle vous avez dit que vous ne souhaitez pas demander une
assermentation pour pouvoir répondre à nos questions.
On va continuer sur l'employé. Mes
questions vont être très précises. Je ne parlerai pas de façon générale. On
parle vraiment du dossier qui nous concerne, la fuite de données. L'employé en
question avait combien d'années de service chez vous?
M. Cormier (Guy) : Écoutez,
il y a une enquête policière en cours actuellement, là. C'est un employé qui
travaille depuis longtemps, mais on a des... Il y a des recours collectifs
contre Desjardins puis il y a des enquêtes policières. Alors, il y a des réponses
qu'on va tout faire pour vous donner, là, mais je peux vous dire que c'est plusieurs
années. Mais on a des avis qui nous disent d'être très prudents dans ce qu'on
va exprimer publiquement.
Mme Rizqy : Comprenez-moi
bien, je ne demanderai aucune donnée nominative qui pourrait révéler l'identité
de la personne.
M. Cormier (Guy) : Plusieurs
années, plusieurs années.
Mme Rizqy : Et l'employé
en <question...
M. Cormier (Guy) :
... un employé qui travaille depuis
longtemps, mais on a des... I
l
y a des recours collectifs contre Desjardins puis
il y a des enquêtes
policières. Alors,
il y a des réponses qu'on va tout faire pour vous
donner, là, mais je peux vous dire que c'est
plusieurs années. Mais on a
des avis qui nous disent d'être très prudents dans ce qu'on va exprimer
publiquement.
Mme Rizqy :
Comprenez-moi bien, je ne demanderai aucune donnée nominative qui pourrait
révéler
l'identité de la personne.
M. Cormier (Guy) :
Plusieurs années, plusieurs années.
Mme Rizqy : Et
l'employé en >question, est-ce qu'il était dans un programme de
marketing, de fidélisation de clients?
M. Cormier (Guy) : C'est
un employé qui travaillait dans... qui avait accès à des bases de données chez Desjardins.
Ça peut être au marketing, à la sécurité, aux ressources humaines, dans le
blanchiment d'argent, mais c'est quelqu'un qui travaillait dans nos bases de
données.
Mme Rizqy : Si vous
souhaitez ne pas répondre à une question, vous pouvez le dire tout simplement.
Est-ce que l'employé en question était, lorsqu'il est parti avec des données,
dans un programme de journalisation ou pas?
M. Cormier (Guy) : Je ne
sais pas s'il était...
M. Berthiaume (Denis) :
Regardez, là, on tombe dans... Encore une fois, je réitère, là, on est dans une
enquête, présentement, policière. Alors, on va être très, très prudents sur ce
qu'on va déclarer ici à cette commission.
Mme Rizqy : Je ne pense
pas qu'il y ait quoi que ce soit ici qui peut brimer l'enquête policière
lorsqu'on demande une question sur la journalisation des données. Oui, il peut
y avoir quelque chose par rapport au recours collectif, j'en suis. Est-ce que
vous demandez le huis clos?
M. Berthiaume (Denis) :
Je ne demande pas de huis clos.
Mme Rizqy :
<Est-ce
que... >Si je vous dis que <la journalisation... >l'employé
en question, il n'était pas dans un programme de journalisation, est-ce que ça,
ça peut être vrai?
M. Berthiaume (Denis) :
Regardez, je vous réitère qu'il y a des mécanismes de sécurité qui existent. La
journalisation, c'est un des mécanismes de sécurité qui est utilisé chez
Desjardins.
Mme Rizqy : L'employé en
question...
M. Berthiaume (David) :
<L'employé
en question... >Je ne veux pas commenter sur l'employé en question. Il y
a des enquêtes en cours.
Mme Rizqy : O.K. À quel
moment vous avez décidé, avec le Service de police de Laval... à savoir qui
allait récupérer le matériel volé chez l'employé? Quelle date?
M. Cormier (Guy) : C'est
Desjardins. Ce n'est pas avec le Service de police de Laval que ces
démarches-là ont été faites, là. C'est, dans le fond, au moment où le Service
de police de Laval nous a informés que, dans le cadre de l'une de leurs enquêtes,
qui n'est pas reliée à Desjardins, en passant, là, qu'eux pensaient qu'il
pourrait y avoir de l'information de Desjardins qui circule à l'extérieur de
Desjardins. Donc, on était à la fin du mois de mai, à peu près, là.
Mme Rizqy : Et, à ce moment-là,
vous avez pris une décision d'aller récupérer le matériel volé chez l'employé?
M. Cormier (Guy) : À ce
moment-là, on a pris des décisions de protéger l'information qu'on avait chez
nos membres comme tels.
Mme Rizqy : Est-ce qu'à
ce moment-là, à quelque part dans votre service juridique, quelqu'un vous a
informé que, si vous allez récupérer les données chez l'employé en question, il
pourrait compromettre l'enquête criminelle parce que vous pouvez avoir
compromis la preuve dans un procès futur? Est-ce que vous avez eu ce
questionnement avec le service de police?
M. Cormier (Guy) : La
décision que j'ai eu à prendre comme président de Desjardins, c'est :
Est-ce que je protège les membres ou je protège l'enquête policière? J'ai
décidé de protéger mes membres.
Mme Rizqy : Et
aujourd'hui est-ce que ça fait en sorte qu'on n'est pas en mesure d'aller plus
loin dans l'enquête criminelle?
M. Cormier (Guy) : Ce
n'est pas ce que les policiers nous disent.
Mme Rizqy : D'accord. Et,
par rapport toujours à l'employé en question, tantôt, vous avez dit qu'il avait
agi seul. Est-ce que vous êtes certains qu'il a agi seul? Parce qu'on entend
aussi qu'INTERPOL court après d'autres personnes.
M. Cormier (Guy) :
Aujourd'hui, le Service de police de Laval, la Sûreté du Québec et nos propres
enquêtes nous indiquent tous que c'est un employé qui a agi seul. On va laisser
l'enquête poursuivre... Puis moi aussi, j'ai hâte de voir ce que la Sûreté du
Québec et le Service de police de Laval vont poursuivre comme enquête. Mais,
aujourd'hui, l'information qu'on a en date d'aujourd'hui, à ma connaissance, c'est
un seul employé.
Mme Rizqy : En décembre
2018, est-ce que vous étiez au courant qu'il y avait déjà une brèche?
M. Cormier (Guy) : Non.
En décembre 2018, là, si vous référez à ce qui a pu être véhiculé, Desjardins a
régulièrement transmis de l'information aux corps policiers parce qu'on avait
trouvé qu'il y avait des transactions frauduleuses dans certains comptes. Ce
qu'on fait, là, à chaque semaine, régulièrement, c'est par rapport à la lutte
au blanchiment d'argent ou à des situations comme ça. On a transmis de
l'information au Service de police de Laval sans savoir vers où ça nous
mènerait.
Mme Rizqy : Mais vous
saviez qu'il y avait déjà une brèche en décembre 2018 ou pas?
M. Berthiaume (Denis) :
Moi, je réitère, là, ce qui a été fait en décembre 2018. Quand il y a des
actions frauduleuses qui se passent, quand on pense qu'il y a un risque de
fraude, automatiquement, on amène le dossier vers les autorités policières
rapidement, quand on pense qu'il y a un acte criminel qui peut être commis. Par
la suite, ça a pris un certain temps, il y a eu du travail conjoint avec nos
équipes d'enquête interne, avec les policiers de Laval. Et c'est le 22 mai
que les policiers de Laval nous sont revenus avec la donnée qui, là, pointait
vers une fuite. Avant ça, on n'avait pas d'indication à l'interne.
Mme Rizqy : Mais, en
décembre 2018, vous aviez déjà des lumières assez suffisantes pour appeler le
Service de police de Laval, non?
M. Berthiaume (Denis) : Non.
C'est un cas de fraude. Encore une fois, là, c'est une transaction qui nous
apparaît suspecte qui a amené à une déclaration. Il y en a, là, régulièrement,
des transactions qui nous apparaissent suspectes, qu'on amène vers les corps
policiers, et là eux vont démarrer une enquête. C'est comme ça que ça s'est
passé.
M. Cormier (Guy) : ...quelqu'un
qui dépose un chèque, dans un compte, dans une caisse.
Mme Rizqy : Je comprends
parfaitement, mais je suis vraiment dans le cas de l'employé malveillant. Dans
le cas de l'employé malveillant, est-ce que c'est lui aussi que vous avez
identifié en 2018?
M. Cormier (Guy) : Il
n'y a pas de lien.
Mme Rizqy : Il n'y a pas
de lien? D'accord.
M. Cormier (Guy) : Il
n'y a pas de lien du tout, du tout. Il n'y a aucun lien. L'information qu'on a,
c'est que, nous, là, comme on fait dans plein d'autres transactions, on avise
un corps policier qu'il y a une transaction qui nous paraît bizarre,
susceptible d'être peut-être criminelle, dans un compte. On envoie ça, parfois
c'est au fédéral, parfois c'est à la Sûreté du Québec. C'est ça qui s'est
passé.
• (12 h 30) •
Mme Rizqy : O.K., parfait.
Et, au niveau de votre gestion de risque, est-ce que c'est par la suite que...
Lorsque vous avez réalisé qu'effectivement ça touchait énormément de monde — initialement,
vous avez été informés que c'était environ deux millions de personnes — au
niveau du risque, étiez-vous suffisamment assurés pour ce risque ou, à partir
du mois de juillet, vous avez fait des appels dans certaines compagnies
d'assurance pour être assurés davantage?
Et, là-dessus, ça m'amène à la question
suivante, parce que... Est-ce que vous avez géré le risque en fonction aussi
des <pénalités? En ce moment...
>
12 h 30 (version révisée)
<17883
Mme Rizqy :
...réalisé
qu'effectivement ça touchait
énormément de monde.
Initialement,
vous avez été informés que c'était environ deux millions de personnes. Au
niveau du risque, étiez-vous suffisamment assurés pour ce risque ou, à partir
du mois de juillet, vous avez fait des appels dans certaines compagnies
d'assurance pour être assurés davantage? Et, là-dessus, ça m'amène à la
question suivante, parce que... Est-ce que vous avez géré le risque en fonction
aussi des >pénalités? <Quand... >En ce moment, quand je
regarde les lois désuètes, c'est autour de 10 000 $ maximum,
100 000 $ pour une récidive. Est-ce que vous êtes suffisamment
assurés pour ce type de fraude?
M. Cormier (Guy) : Bien,
écoutez, on est une institution financière qui a des réassureurs pour plein de
types de situations. Parfois, c'est la fraude. On est un assureur de dommages.
Quand il y a des inondations, on indemnise, mais, à partir d'un certain niveau,
c'est un réassureur qui indemnise. Donc, ça fait partie de nos activités
courantes en termes de risque, donc ça fait partie de nos mesures de risque. On
a des réassureurs. Parfois, on prend les risques nous-mêmes. Dans ce cas-ci,
là, on a mis une provision de 70 millions dans notre deuxième trimestre,
40 millions pour la Protection membres Desjardins, 30 millions pour
le service d'Equifax et quelques frais juridiques. Et, en date d'aujourd'hui,
on n'a pas changé cette provision-là au troisième trimestre.
Le Président (M. Simard) :
Merci. M. le député de Robert-Baldwin.
M. Leitão : Merci
beaucoup, M. le Président. Alors, M. Cormier, M. Berthiaume, bonjour,
merci d'être là. J'ai une question très précise qui est venue d'un citoyen, qui
me l'a adressée et qui m'a demandé de vous la poser, donc je le fais. Depuis le
début de cet événement, on est sous l'impression ou, en tout cas, ce citoyen
est sous l'impression que les données qui ont été volées, c'est identification
personnelle, nom, adresse, date de naissance, etc. La question qui se pose, et
que je me pose aussi, et que je vous la pose : Est-ce que les soldes des
comptes ont aussi été volés? Donc, l'information qui circule inclut non
seulement nom, adresse, date de naissance, etc., mais aussi le solde en dépôt?
M. Berthiaume (Denis) :
Il y a certains éléments de détention qui faisaient partie de la fuite, donc,
oui. La réponse, c'est oui. En même temps, je réitère qu'il n'y avait pas de
numéro de compte, il n'y avait pas de question de sécurité et il n'y avait pas
de numéro d'identification personnel qui ont fuité. Il y avait certains
éléments de détention, oui.
M. Leitão : Merci, merci
pour la réponse. Et donc c'est là la question <qui... >à laquelle
on doit venir, poursuivant ce que le député de Vachon avait mentionné tantôt,
donc le vol d'identité. Le vol d'identité, alors, devient encore plus dangereux
dans ce cas-ci, puisqu'on a non seulement les noms, adresses, etc., des
personnes, dates de naissance, mais aussi si cette personne a potentiellement
un actif intéressant à son compte ou pas. Donc ça, ça permet au voleur de
peut-être mieux cibler d'éventuelles opérations frauduleuses.
Maintenant, ce que je trouve important et
que beaucoup de citoyens nous posent la question, et je ne sais pas si vous
pouvez répondre, c'est : Qu'est-ce qu'il se passe maintenant? Donc, il y a
des personnes, 4,4 millions de Québécois qui ont vu leurs données
personnelles maintenant se trouver on ne sait pas trop où. L'enquête nous dira
où ça se trouve. Maintenant, qu'est-ce qu'il se passe? Il y a les mesures de
protection que vous avez mises en place, très bien, mais, en termes de
protection de leurs actifs, protection de leur identité, comment vous voyez la
suite des choses?
M. Cormier (Guy) : Bien,
je vous dirais trois choses. La première, c'est qu'avec la mise sur pied de la
Protection membres Desjardins le message que je passe aux membres chez
Desjardins, c'est que Desjardins va vous prendre en charge si vous êtes
victime, malheureusement, d'un vol d'identité. Et les gens, ils n'ont qu'à
communiquer chez Desjardins. Si c'est dans vos comptes chez Desjardins, on vous
rembourse, et, si vous êtes malheureusement victime d'un vol d'identité, nous
sommes la seule institution financière qui vous accompagne comme on le fait, au
Canada, avec des spécialistes, avec des remboursements jusqu'à
50 000 $ si vous avez des dépenses personnelles, puis avec un
accompagnement très, très personnalisé. Donc, ça, c'est la première chose qui
est importante pour rassurer les membres.
La deuxième chose, bien, c'est qu'il faut
en discuter maintenant en tant que société. Moi, je pense que c'est anormal,
encore, qu'en 2020 on s'identifie avec des permis de conduire, des numéros
d'assurance sociale, des numéros de carte d'assurance maladie. Il y a des pays
dans le monde qui ont pris une avance importante sur le Québec et le Canada par
rapport à la protection des renseignements personnels. C'est un fléau, là, on
le voit, il y a 28 millions de Canadiens qui ont été victimes de ça.
Alors, je pense que ce qu'il faut faire maintenant, c'est une vraie, véritable
réflexion de société pour aller plus loin.
Le Président (M. Simard) :
Merci. M. le député de La Pinière, il vous resterait à peine 30 secondes.
M. Barrette : M. le
Président, M. Cormier, M. Berthiaume, dans toute l'industrie où il y
a des grandes banques de données, là, les banques, là, vous tous et toutes, là,
aujourd'hui, dans votre industrie, on réclame des gouvernements qu'ils
interviennent pour resserrer les règles. Avez-vous une opinion là-dessus?
Manifestement, les règles actuelles n'ont pas marché. Alors, je vous demande
deux choses : Étiez-vous à date? Et, si les règles actuelles ne
fonctionnent pas, qu'est-ce que vous recommandez au gouvernement? C'est <ça...
M. Barrette : ...dans
votre industrie, on réclame des gouvernements qu'ils interviennent pour
resserrer les règles. Avez-vous une opinion là-dessus? Manifestement, les
règles actuelles n'ont pas marché. Alors, je vous demande deux choses :
Étiez-vous à date? Et, si les règles actuelles ne fonctionnent pas, qu'est-ce
que vous recommandez au gouvernement? C'est >ça, l'enjeu, là, ici, là.
Le Président (M. Simard) :
Merci, M. le député de La Pinière. Alors, nous cédons maintenant la parole
au député de Rosemont pour une période de 2 min 40 s Cher
collègue.
M. Marissal : Oui, en
effet. Merci. Je coupe...
(Panne de son)
M. Marissal : Pardon?
Une voix
: ...
M. Marissal : Merci. Je
coupe court aux salutations. Ce n'est pas par manque de politesse, c'est par
manque de temps. Ça, je le dis souvent. J'aimerais ça, mieux comprendre, parce
qu'il y a quelque chose qui me mystifie. Fin 2008, vous indiquez à la
police que vous avez identifié quelque chose de possiblement croche, 2018, fin 2018.
Six mois plus tard, c'est la police qui vous dit qu'il y a eu effectivement un
problème de l'ordre que vous mentionnez, mais c'est pire encore. Comment ça se
fait, là, je vais faire court, comment ça se fait que, pendant six mois, vous
n'aviez pas compris, vous ne vous étiez pas aperçus que vous vous étiez fait
voler quatre millions de dossiers dans vos propres fichiers? Ça me... Je ne la
pogne pas.
M. Cormier (Guy) : Bien,
la réponse est simple. À chaque jour, on envoie plein d'informations à lutte au
blanchiment d'argent, aux corps policiers, sur des transactions qui nous
apparaissent douteuses. C'est des millions de transactions qu'il y a chez
Desjardins dans une semaine, des millions, des milliards dans une année. Il y
en a plein qu'on doit même, réglementairement parlant, déclarer à des autorités
gouvernementales. Après chacune de ces transactions-là, notre travail à nous,
ce n'est pas de les investiguer, c'est le travail de la police ou des autorités
réglementaires. C'est notre règlement de faire ça.
M. Marissal : ...fait
voler dans vos propres fichiers, là. Il y a eu un vol chez vous, puis vous ne
le saviez pas.
M. Cormier (Guy) : Bien,
au mois de décembre, là, on en... Aujourd'hui, probablement qu'il y a des gens
chez Desjardins qui envoient de l'information à des corps policiers,
aujourd'hui, là, aujourd'hui, pendant qu'on se parle. Est-ce que c'est un vol
chez Desjardins? Je n'en ai aucune idée. C'est après que la police nous dit :
Ah! bien, nous, on a... dans le cadre d'une enquête, puis ça aurait même pu
venir d'une autre enquête, dire : On a trouvé de l'information reliée à
Desjardins. Je comprends le lien qu'on essaie de faire, mais la réalité, là,
c'est qu'aujourd'hui on envoie probablement de l'information à Ottawa sur la
lutte au blanchiment d'argent, par rapport au terrorisme, par rapport à la
cybercriminalité. Mais on ne met pas, nous, nos efforts à enquêter ça individuellement,
on laisse les policiers faire leur...
(Panne de son)
M. Berthiaume (Denis) :
Peut-être un élément, si vous permettez...
M. Marissal : Rapidement,
s'il vous plaît.
M. Berthiaume (Denis) :
Juste un élément rapidement, là. Décembre, c'était une transaction. Il n'y a
pas eu de connexion possible à faire entre ça puis le fait qu'il y avait de la
donnée qui était sortie, là. C'étaient deux choses.
M. Marissal : Mon point,
c'est qu'il y a quelqu'un qui rentre dans votre système, un employé, il remplit
quatre clés USB, il part avec le stock, vous ne le savez pas.
M. Cormier (Guy) :
Fraude interne. La fraude interne, c'est la fraude... Parlez à tous les
spécialistes aujourd'hui, ils vont tous vous le dire : la fraude interne,
c'est la plus difficile à contrer. C'est arrivé chez Revenu Québec, c'est
arrivé dans le système de santé, c'est arrivé dans plein d'organisations.
680 entreprises au Canada ont déclaré une fuite de renseignements
personnels. Alors, je comprends qu'on peut vouloir faire porter le bonnet d'âne
à Desjardins, là, mais Desjardins a été transparent, a été clair et a été... a
fait preuve de franchise dans ce dossier-là, et je pense que là il faut juste
aussi prendre le recul de se dire : L'enjeu est beaucoup plus grand que
strictement Desjardins.
Le Président (M. Simard) :
Très bien. Merci, M. Cormier. Je cède maintenant la parole au député de
Jonquière.
M. Gaudreault : Oui. On
aimerait bien parler à beaucoup de spécialistes, mais malheureusement on va en
recevoir juste un aujourd'hui, là. Ce n'est pas qu'on n'en a pas demandé.
Moi, je veux juste essayer de comprendre,
là, comment un employé, la personne suspecte, là, peut avoir eu accès à
4,2 millions de données. Lui, dans sa tâche, là, il avait libre accès à
tout ou il était dédié à un secteur en particulier? Alors, ça, c'est ma
première question. Et, complémentairement à ça, comment ça se fait que son
patron n'a pas fait un «double check», là, sur le travail qu'il faisait?
M. Berthiaume (Denis) :
Bon. La première des choses, là, c'est sûr que la personne qui a commis l'acte
malveillant, c'est un spécialiste des données, ce n'était pas... c'est un
spécialiste des données qui a trouvé une façon de déjouer les mécanismes de
sécurité qu'on avait en place. Il ne s'est pas levé le matin en ayant accès à
l'ensemble de ça, il a déjoué les paramètres de sécurité afin de se donner ces
accès-là puis éventuellement exfiltrer ces données-là. Alors, c'est ce qui
s'est passé.
M. Gaudreault : Bon. Et
il n'y a jamais personne qui s'est aperçu qu'il avait trouvé le moyen de
déjouer. Donc, la question qu'on se pose — puis je fais du pouce sur
la question non répondue du député de La Pinière : Comment on fait,
là, pour empêcher ce déjouement, de déjouer ces données-là? C'est quoi qui vous
manque, là, dans les lois présentement pour que nous, là, on puisse corriger ça
puis agir pour empêcher un futur suspect ou un futur employé de chez vous ou
ailleurs de procéder de la même manière? C'est quoi, la première chose qu'on
devrait faire pour empêcher que ça arrive?
M. Berthiaume (Denis) :
Bien, la première des choses que je peux vous dire, c'est que le stratagème qui
a été utilisé, là, Desjardins a pris ses responsabilités. C'est sûr que le
stratagème, il ne reviendra pas. Ça, c'est très, très clair.
M. Gaudreault : Mais ma
question, c'est nous, là, d'un point de vue législatif et parlementaire.
M. Cormier (Guy) : Bien,
je pense qu'essentiellement, là, il y a une autorité des marchés financiers qui
encadre très bien le Mouvement Desjardins, qui met les mesures en place
puis qui met les mêmes mesures que pour toutes les autres institutions
financières canadiennes. Donc, je ne pense pas que c'est strictement...
• (12 h 40) •
M. Gaudreault : Donc, ne
rien <changer...
M. Berthiaume (Denis) :
...
Desjardins a pris ses responsabilités. C'est sûr que le stratagème,
il ne reviendra pas. Ça, c'est très, très clair.
M. Gaudreault :
Mais
ma question, c'est nous, là, d'un point de vue législatif et parlementaire.
M. Cormier (Guy) :
Bien, je pense qu'essentiellement, là, il y a une autorité des marchés
financiers qui encadre très bien le Mouvement Desjardins, qui met les
mesures en place puis qui met les mêmes mesures que, pour toutes les autres institutions
financières canadiennes. Donc, je ne pense pas que c'est strictement...
M. Gaudreault : Donc,
ne rien >changer...
M. Cormier (Guy) : Ce
n'est pas qu'il n'y a rien à changer, je pense qu'il faut vraiment se
questionner sur la quantité d'information qu'on demande parfois à des citoyens
pour faire des transactions ou pour faire... pour utiliser des données.
Exemple, est-ce que, quand on a besoin de faire une transaction avec une
institution financière, on a besoin de toutes ces informations-là comme telles?
Parfois, ça vient par la lutte au blanchiment d'argent, on va nous demander :
Va chercher cette information-là pour confirmer telle donnée. O.K. On a cette
information-là. Est-ce que c'est celle-là qu'on avait besoin? On aurait pu en
prendre une autre comme telle. Je pense qu'il faut se questionner sur certaines
mesures qu'on met de l'avant pour voir la quantité d'information qu'une
institution financière a besoin par rapport... pour opérer.
M. Gaudreault : Oui,
mais, moi, là, comme membre de Desjardins, là, je veux dire, quand j'appelle,
on me demande mon numéro de carte de crédit, mon code crypté en arrière, mon
numéro de téléphone...
Le Président (M. Simard) :
Très bien.
M. Gaudreault : ...on
demande le nom de jeune fille de ma mère, je veux dire, il faut qu'on le
trouve, là, la solution, alors...
Le Président (M. Simard) :
Merci beaucoup. Merci beaucoup. Donc, cela conclut nos échanges. Madame,
messieurs, merci d'être venus parmi nous.
Et, afin de faire place à l'AMF, nous
allons suspendre temporairement nos travaux.
(Suspension de la séance à 12 h 41)
<(Reprise à 12 h 45)
Le Président (M. Simard) :
Alors, chers amis, merci d'avoir...
>
(Reprise à 12 h 45)
Le Président (M. Simard) :
Alors, chers amis, merci d'avoir fait diligence. Représentants de l'AMF,
bienvenue. Auriez-vous l'amabilité de vous présenter? Et vous savez que vous
disposez d'une période de 10 minutes.
Autorité des marchés financiers (AMF)
M. Morisset (Louis) :
Parfait. Alors, merci, M. le Président. Alors, mon nom est Louis Morisset,
je suis le président-directeur général de l'Autorité des marchés financiers. Je
suis accompagné aujourd'hui, à ma gauche, de mon collègue Patrick Déry,
surintendant de l'encadrement de la solvabilité et, à ma droite, de ma collègue
Gouro Sall Diagne, directrice principale de la surveillance des
institutions de dépôt.
Alors, nous sommes ici aujourd'hui pour
vous éclairer sur le type d'intervention que nous menons en continu auprès des institutions
financières et sur celles que nous avons menées plus précisément dans le
dossier du vol de données chez Desjardins avant et depuis le 20 juin
dernier. Je vous exposerai nos principales conclusions à l'heure actuelle ainsi
que les prochaines étapes que nous entrevoyons dans ce dossier, étant entendu
que je ne pourrai révéler certaines informations spécifiques concernant le
dossier en raison de la confidentialité des travaux de surveillance de
l'autorité.
L'un des rôles confiés à l'autorité est
celui de régulateur prudentiel des institutions financières qui sont
autorisées, en vertu de nos lois, à faire affaire au Québec. L'autorité exerce,
à l'égard du Mouvement Desjardins notamment, un rôle similaire à celui
joué auprès des banques par le BSIF, le Bureau du Surintendant des institutions
financières, au niveau fédéral. L'objectif principal d'un encadrement
prudentiel est de favoriser rehaussement en continu de la solidité des institutions
financières afin qu'elles soient en mesure d'honorer tous les engagements pris
envers les consommateurs malgré la matérialisation possible de risques importants
auxquels elles sont exposées. C'est ce que le législateur nous demande de faire
par notre mandat d'encadrement de la solvabilité des institutions financières.
Et bien que l'application de la Loi sur la
protection des renseignements personnels dans le secteur privé ne relève pas de
l'Autorité des marchés financiers, nous nous intéressons à tout ce qui pourrait
ébranler les institutions financières, leur réputation, et ultimement leur
solvabilité. L'autorité effectue ainsi une vigie en continu des principaux
risques susceptibles d'affecter la solvabilité des institutions financières.
Ces risques peuvent prendre plusieurs formes telles qu'une nouvelle crise
financière, une catastrophe naturelle importante, ou encore un incident
opérationnel majeur, par exemple, un vol de renseignements personnels, sujet
dont nous discutons aujourd'hui. Nous intégrons les résultats de cette vigie à
nos activités d'encadrement de même que dans la priorisation et l'allocation de
nos ressources dédiées à la surveillance des institutions financières.
L'autorité reconnaît que les institutions financières sont des entreprises
privées en situation de concurrence et qu'elles doivent prendre des risques
raisonnables. Dans ce contexte, l'autorité tient les conseils d'administration
et la haute direction responsables de la viabilité de leurs institutions. Dit
autrement, notre rôle n'est pas de gérer les institutions à leur place.
Ce que je souhaite souligner d'entrée de
jeu, d'abord, depuis la crise financière de 2007‑2008, beaucoup de travaux ont
été menés, au Québec et au niveau fédéral, pour rehausser la surveillance et
les attentes à l'endroit des institutions financières, et cela même si nos
institutions ont été beaucoup moins touchées par cette crise qu'ailleurs dans
le monde. De plus, l'encadrement du secteur financier au Canada fait l'objet
d'une évaluation en profondeur par le FMI, le Fonds monétaire international,
tous les cinq ans. C'est un exercice rigoureux auquel l'autorité a été à
nouveau soumise tout récemment, au même titre que le BSIF et d'autres agences
fédérales ou provinciales. Le dernier rapport d'évaluation du FMI, qui a été
rendu public le 24 juin dernier, conclut que les pratiques déployées par
l'autorité et le BSIF sont similaires et globalement conformes aux meilleures
pratiques internationales. Je tenais donc à vous réitérer aujourd'hui que nous
prenons notre mission très au sérieux et que nous nous efforçons de ne
déployer, au Québec, rien de moins que les meilleures pratiques au monde, à
l'aune desquelles, d'ailleurs, nous sommes évalués régulièrement par le FMI.
Par ailleurs, l'autorité produit
annuellement un rapport sur les institutions financières. Ces rapports, qui
rendent compte de nos travaux et de notre lecture des risques importants, sont
déposés à l'Assemblée nationale par le ministre des Finances et disponibles sur
notre site Internet. Ils témoignent, à chaque année sans exception depuis 2013,
des préoccupations grandissantes de l'autorité à l'égard des cyberrisques. Par
exemple, dans notre rapport de 2014, nous écrivions : «Le facteur
d'incertitude lié au cyberrisque contribue à accroître l'importance qui devrait
lui être accordée. Toutes les organisations y sont confrontées, et a fortiori
les institutions financières.
«[...]l'atteinte à la réputation d'une
institution financière peut être la conséquence ultime d'une cyberattaque
résultant, par exemple, du vol ou de la perte de renseignements confidentiels
de clients.»
• (12 h 50) •
Autre exemple, dans notre rapport de 2015,
nous écrivions : «Les cyberattaques peuvent provenir de plusieurs sources
par <exemple...
M. Morisset (Louis) :
...
et a fortiori les institutions financières. [...]l'atteinte à la
réputation d'une institution financière peut être la conséquence ultime d'une
cyberattaque résultant, par exemple, du vol ou de la perte de renseignements
confidentiels de clients.»
Autre
exemple, dans notre
rapport de 2015, nous écrivions : «Les cyberattaques peuvent provenir de
plusieurs sources, par >exemple, la malveillance interne, le piratage,
l'espionnage, l'usurpation d'identité [ou] le vol de données.»
Nous avons dès lors demandé à quelque
80 institutions financières, dont Desjardins, de compléter un questionnaire
d'autoévaluation de 78 questions. Dans le cadre de cet exercice, les
institutions se sont dites conscientes des menaces auxquelles elles font face
et affirmaient avoir entrepris des actions pour rehausser leurs pratiques et
niveau de préparation.
Nous avons accru l'intensité de nos
activités de surveillance dédiée à ces risques auprès de toutes les institutions
financières. Nous avons été le premier régulateur prudentiel au Canada à
publier, pour consultation, en janvier dernier, un projet de ligne directrice
sur la gestion des risques liés aux technologies de l'information et des
communications.
Ainsi, à la question : Est-ce que
l'autorité avait identifié le risque possible d'un vol massif de données par un
employé malveillant?, la réponse est oui. À la question : Est-ce que
l'autorité a porté ce risque à l'attention des dirigeants des institutions
financières qu'elle supervise?, la réponse est oui. Et à la question :
Est-ce que l'autorité a demandé à toutes les institutions financières qu'elle
surveille, incluant Desjardins, de rehausser leur vigilance et leur mécanisme
de contrôle à l'égard de ce risque?, la réponse est oui.
Maintenant, un événement majeur qui
atteint une institution financière génère de l'inquiétude, en<...>
particulier<, pardon,> lorsqu'il s'agit d'une institution de la
taille de Desjardins. La gestion ordonnée d'une crise, lorsqu'elle survient,
constitue l'autre important volet de la mission d'un régulateur prudentiel.
Nous devons identifier rapidement tout enjeu potentiel et porter un jugement
sur l'efficacité des mécanismes déployés par l'institution pour y faire face ou
la contraindre à agir si tel n'est pas le cas.
L'autorité est bien outillée pour jouer ce
rôle, tant en termes de pouvoir que de capacité organisationnelle. Nos outils
d'échange d'information et d'intelligence d'affaires sont à point. Nous pouvons
générer et actualiser aussi souvent que nécessaire, plusieurs fois par jour,
s'il le faut, nos tableaux de bord et nos indicateurs. La modernisation de nos
pouvoirs, avec l'adoption du projet de loi n° 141 en
juin 2018, est également venue renforcer notre coffre à outils.
Pour pouvoir bien jouer notre rôle,
toutefois, il faut que l'autorité soit avisée rapidement et en toute
transparence par l'institution touchée. Je réaffirme que ce fut le cas dans le
présent dossier. Desjardins nous a signalé l'incident dans les heures suivant
la première prise de connaissance de celui-ci et nous a tenus informés de tous
ses développements au fur et à mesure par la suite.
Nous nous sommes assurés que les mesures
requises avaient été déployées afin de colmater promptement le stratagème
identifié. Nous avons obtenu réponse à nos questions, permettant de confirmer
la prise en charge adéquate et proactive de l'incident par les dirigeants de
Desjardins. Nous avons effectué un suivi serré de la capacité financière et
opérationnelle de l'institution, des réactions des marchés financiers, des
investisseurs institutionnels et des agences de notation. Nous avons été en
constante communication avec la Banque du Canada et d'autres régulateurs
responsables de l'encadrement de certaines activités de Desjardins, notamment
hors Québec.
Sur cette base, de même que par la
réaction des parties prenantes que je viens d'évoquer, je peux affirmer que
l'autorité est satisfaite de l'ensemble des actions prises jusqu'ici par
Desjardins afin de protéger l'intérêt de ses membres et leurs actifs, et que
l'autorité demeure confiante que les dirigeants de l'institution prennent la
situation en charge avec la rigueur, la transparence et la célérité que
commande la situation.
Ce dossier n'est toutefois pas terminé.
Nous nous sommes assurés que l'institution procéderait à un bilan complet et
détaillé de l'incident afin d'identifier toute mesure additionnelle ou
changement structurel devant être mis en place. Cet exercice est en cours notamment
à l'aide de consultants externes. Des décisions seront prises et des plans
d'action devront être développés et déployés au cours des prochains mois par
l'institution. L'autorité aura pleinement accès à l'analyse et aux constats et
elle reverra les éventuels plans d'action qui en découleront. Nous nous ferons
notre propre tête sur la rigueur et sur le caractère adéquat et complet de tous
ces éléments.
Je peux toutefois vous affirmer que nous
serons satisfaits uniquement de mesures alignées avec les meilleures pratiques
observées sur le marché, que nous effectuerons un suivi serré de la mise en
oeuvre intégrale et dans les temps des plans d'action et que nous nous
assurerons que les constats qui pourraient découler des enquêtes en cours
seront également traités avec célérité.
En terminant, rapidement, je voudrais vous
souligner que, dans la foulée de l'incident chez Desjardins, nous avons
rehaussé significativement notre présence médiatique au cours des derniers mois
afin d'aider la population à se protéger contre de probables tentatives de
fraude. Vous aurez peut-être ainsi vu à la télé ou entendu à la radio nos
messages incitant les citoyens à la vigilance s'ils reçoivent des appels, des
courriels ou des textos <non...
M. Morisset (Louis) :
...
nous avons rehaussé significativement notre présence médiatique au
cours des derniers mois afin d'aider la population à se protéger contre de
probables tentatives de fraude. Vous aurez peut-être ainsi vu à la télé ou
entendu à la radio nos messages incitant les citoyens à la vigilance s'ils
reçoivent des appels, des courriels ou des textos >non sollicités leur
demandant des renseignements personnels. Nous invitons les citoyens à ne jamais
répondre à ces demandes ni à cliquer sur les hyperliens qu'elles peuvent
contenir. Nous avons mesuré par sondage l'impact de notre campagne de sensibilisation,
et les résultats sont intéressants.
Le Président (M. Simard) :
Merci. M. Morisset.
M. Morisset (Louis) : Merci,
monsieur.
Le Président (M. Simard) :
Vous finissez sur une note positive en disant que les résultats étaient intéressants.
Alors, voilà. Je cède maintenant la parole au député de Richelieu. Cher collègue.
M. Émond : M. le
Président, messieurs, madame, bonjour, merci d'être avec nous aujourd'hui pour
nous aider à faire un peu plus la lumière, à nous éclairer sur cette situation,
parce que, si on se réunit aujourd'hui, si on en discute, c'est parce qu'il y a
quand même 4,2 millions de Québécois qui sont préoccupés. Je dirais plus
que ça, je pense que l'ensemble des Québécois sont préoccupés. En tout cas,
dans mon comté, M. le Président, j'en ai entendu parler beaucoup encore aujourd'hui.
Des citoyens de ma circonscription sont avec nous et suivent nos travaux aujourd'hui
parce qu'ils ont des inquiétudes. Ma propre maisonnée chez moi, il y a des
inquiétudes. On a été touchés, j'ai été touché personnellement, et les membres
de ma famille, par la fuite des données chez Desjardins.
Je vous remercie pour votre présentation,
et je prenais connaissance de votre document, qui fait la description de votre
mission. C'est indiqué, et à raison, que vous êtes investis de vastes pouvoirs,
l'AMF, hein? Puis, bien entendu, il y a des notions de confidentialité qui
doivent dicter vos interventions, parce que, pour le bénéfice de nos auditeurs,
des gens qui nous écoutent, vous êtes l'organisme mandaté par le gouvernement
du Québec pour encadrer le secteur financier québécois puis prêter assistance
aux consommateurs de produits et services financiers.
Mais, dans le cas qui nous occupe, le
20 juin dernier, suite à l'annonce publique de la fuite de données chez
Desjardins, on comprend, donc, que c'était de votre rôle, de votre responsabilité
d'entrer en contact avec la société pour vous assurer du respect des intérêts
des consommateurs québécois. Vous en avez parlé dans votre mot d'introduction,
mais j'aimerais avoir un peu plus de détails. Expliquez-nous votre rôle dans
cette situation précise. Et puis,< quelle est la nature du contact...>
pour avoir le fil des événements un peu, quelle est la nature du contact que
vous avez eu avec les gens de Desjardins immédiatement lorsque vous avez été
avisés du fait?
Le Président (M. Simard) :
Merci. M. Morisset.
M. Morisset (Louis) :
Merci pour votre question. Écoutez, comme je l'ai mentionné, en effet, lorsque
Desjardins a été mis au parfum de cette information-là, ils nous ont contactés immédiatement,
et nous avons évidemment, dès ce moment, travaillé avec eux pour nous assurer,
dans notre rôle de régulateur prudentiel, qu'ils allaient prendre les mesures
appropriées, comme vous l'avez mentionné, pour protéger leurs clients, leurs
membres, mais également s'assurer que la confiance du public demeure à travers
ce processus et qu'on favorise la stabilité, donc, du système financier,
notamment de la viabilité chez Desjardins.
Comme on l'explique, dans le document
qu'on vous a remis — on vous a remis deux documents — le
rôle de régulateur prudentiel, c'est essentiellement de s'intéresser à la
solvabilité, à la stabilité financière, à la solidité financière des
institutions afin qu'elles soient en mesure d'honorer leurs engagements auprès
de la population, et ça, même si des crises surviennent. Et, quand une crise
survient, bien sûr, c'est notre rôle, à ce moment-là, de s'y intéresser de près
pour s'assurer que l'institution prenne les choses en charge.
Dans le cas de Desjardins, comme je l'ai
mentionné, nous croyons que les mesures qu'ils ont déployées pour préserver,
évidemment, les actifs de leurs clients sont les mesures appropriées, et nous
les accompagnons, si je peux m'exprimer ainsi, dans ce processus.
M. Émond : Vous avez
indiqué, dans votre introduction, que vous avez... lorsque vous avez été avisés
de la fuite de données, vous en avez pris connaissance, vous avez mis en marche
le protocole selon votre mission qui vous encadre, là, et vous avez même
contacté les autres institutions financières pour discuter avec eux, pour les
prévenir, quoi, qu'il venait de se passer un vol chez le mouvement coopératif
Desjardins, puis j'aimerais vous entendre plus là-dessus. Puis ma question,
c'est : Est-ce que c'était déjà arrivé par le passé que vous avez été
amenés à investiguer, de vous pencher sur ce type de fuites de données? Et
est-ce que c'est dans vos normes de prévenir ensuite l'ensemble du milieu
financier qu'il vient de se passer quelque chose, cette fois-ci, qui était
majeur? Peut-être, à d'autres occasions dans le passé, est-ce que vous avez dû
le faire pour des moments peut-être un peu moins importants?
• (13 heures) •
M. Morisset (Louis) :
Encore une fois, merci pour votre question, puis j'espère y apporter un
éclairage approprié. Encore une fois, dans notre rôle de régulateur prudentiel,
la volonté de l'autorité, c'est de s'assurer que Desjardins demeure solide
malgré les turbulences, puis pour s'assurer qu'elle demeure solide, parce que,
dans une crise comme celle qu'ils ont vécue, il aurait pu y avoir une crise de
confiance plus importante au sein de la population. Ça aurait pu avoir des <répercussions
financières...
>
13 h (version révisée)
< M. Morisset (Louis)T :
...notre rôle de régulateur prudentiel, la volonté de l'autorité, c'est de
s'assurer que Desjardins demeure solide malgré les turbulences. Puis pour s'assurer
qu'elle demeure solide...
parce que, dans une crise comme celle qu'ils
ont vécue, il aurait pu y avoir une crise de confiance plus
importante
au sein de la
population. Ça aurait pu avoir des >répercussions
financières sur l'institution.
Alors, les contacts entre nous et la
Banque du Canada, par exemple, sont usuels, sont nécessaire pour s'assurer que,
s'il se passait quelque chose, qu'on allait pouvoir travailler de concert. Ça
n'arrive pas fréquemment, des contacts avec la Banque du Canada, dans ce type
de situation là. C'est arrivé en 2007‑2008, lors de la grande crise financière
qu'on a connue. Mais des contacts avec d'autres régulateurs et aussi avec la
Banque du Canada peuvent arriver de façon régulière. Du côté des équipes de
Patrick ou de Gouro, évidemment, qui sont au coeur de ces activités-là, on le
voit fréquemment, mais, dans un contexte de crise, ça arrive relativement, je
dirais, rarement, Dieu merci. Mais, dans ce cas-ci, il était important, nous,
aux premières heures de cette situation-là, de s'assurer que, s'il se passait
quelque chose, on allait tous travailler de manière coordonnée avec tous les
autres régulateurs, dont la Banque du Canada, qui encadrent Desjardins.
Je ne sais pas si, Patrick, tu
souhaiterais ajouter quelques éléments sur...
M. Émond : Bien, je
pense... Je vous remercie pour votre réponse puis, M. le Président, je
passerais la parole à mon collègue pour la suite des choses, s'il vous plaît.
Le Président (M. Simard) :
M. le député de Rousseau.
M. Thouin : Merci, M. le
Président. Madame, messieurs, merci d'être ici aujourd'hui.
Deux, trois questions, peut-être mieux
comprendre vos positions dans le communiqué que vous avez publié, là, le jour
même de l'incident. Vous vous êtes dits satisfaits des gestes posés par
Desjardins afin de protéger l'intérêt des membres, là, et leurs actifs. Vous
vous êtes aussi dit confiants que les dirigeants de l'institution ont pris la
situation en charge avec rigueur et transparence.
Je pense que vous avec déjà expliqué assez
bien, là, pourquoi vous avez jugé la situation satisfaisante, en fait, les
prises de position satisfaisantes, mais j'aimerais ça savoir si vous croyez
qu'il y a d'autres actions qui auraient pu être posées par la société pour
mieux protéger leurs clients suite aux fuites de données. C'est peut-être la
première question, j'aurai autre chose par la suite, s'il vous plaît.
M. Morisset (Louis) :
Parfait. Bien, merci pour votre question. <Veux-tu... >Patrick, veux-tu
y répondre?
M. Déry (Patrick) : Oui.
Bien, merci. Bonjour, tout le monde. Je crois que la citation à laquelle vous
faite référence correspondait à la gestion, je dirais, de la nouvelle le jour
même, et c'est par rapport à ce qui avait été fait pour communiquer à la
population, aux membres, que l'institution les protégerait, qu'on se déclarait
satisfaits.
Est-ce qu'il y a d'autres mesures? Ça,
c'est ce que M. Morisset a évoqué dans sa présentation. Il y a un bilan
qui est présentement en cours, qui est amorcé au sein de l'institution. Nous,
notre rôle, lorsqu'il arrive en événement comme ça, c'est que les institutions
fassent en sorte de tirer les leçons qui en découlent, et éventuellement,
lorsque le bilan sera complété, nous allons accompagner l'institution pour
s'assurer que toutes les mesures additionnelles qui pourraient être requises au
sein de l'institution soient mises en place.
Mais il y a comme deux étapes. Il y avait
la gestion de communiquer publiquement à l'ensemble de la population ce qui
était arrivé. Ça, on était satisfaits de la façon dont ça a été fait. Et il y
aura, à venir, dans les prochains mois, un exercice beaucoup plus en profondeur
pour aller comprendre comment c'est arrivé, pourquoi c'est arrivé. Il y a un
processus que l'institution peut faire par elle-même, mais il y a aussi les
enquêtes en cours, tant par la police que les commissions d'accès à
l'information qui ont annoncé, également, des enquêtes. Lorsque l'ensemble de
ces faits là, cette base de faits là sera connue, nous allons également en
tenir compte dans les suivis que nous ferons avec l'institution pour que toutes
les leçons de cette crise-là soient bien prises en compte.
M. Thouin : Merci. Peut-être
de façon plus générale, là, par rapport aux interventions possibles dans le
monde entier et par nos gouvernements aussi, on sait tous que, à l'ère du
numérique, les données personnelles sont très prisées, sont très prisées par
certaines entreprises avec des intentions plus louables, marketing, bon, et
tout ça, on sait comment ça fonctionne, statistiques, mais très prisées aussi
par des organisations qui ont de moins bonnes intentions. Donc, le risque de
fuites de données est existant partout, oui, chez Desjardins, mais oui dans les
banques, dans les gouvernements, les entreprises privées, médias sociaux,
systèmes d'achat en ligne, et puis, tu sais, on a de l'info qu'on donne partout,
tellement vrai que 680 entreprises, je pense, Desjardins mentionnait
tantôt, là, qui ont déclaré des vols de données personnelles au Canada. Et je
sais bien que, dans... et je vous cite, là, dans l'application de la Loi sur la
protection des renseignements personnels dans le secteur privé, ça ne relève
pas de l'Autorité des marchés financiers. On s'intéresse quand même à la chose
parce que ça peut impacter les institutions avec lesquelles on travaille.
Dans le même communiqué — je
vous ramène au communiqué — vous avez dit qu'un tel incident met en
perspective, justement, le risque omniprésent qui pèse désormais sur les
organisations en matière de risques reliés à la sécurité de l'information. Et,
pour faire peut-être un peu de pouce sur les propos de mon collègue de La
Pinière tantôt, est-ce que vous jugez que le gouvernement précédent aurait pu
ou aurait dû agir plus tôt pour assurer une meilleure protection des renseignements
personnels des Québécois?
M. Morisset (Louis) :
<C'est
une... >Écoutez, c'est une question qui est difficile pour nous, à l'autorité,
de répondre, en ce sens que, dans notre rôle à nous, qui est le rôle de
régulateur prudentiel, comme je l'expliquais, on doit s'intéresser aux risques
des institutions, on doit s'intéresser aux contrôles que les institutions
mettent en place pour gérer ces risques-là. Et, dans le cas d'une institution
comme celle de Desjardins, le risque opérationnel, le risque de sécurité
d'information, le risque des technologies d'information sont des risques
auxquels on s'est intéressé. Puis, comme je le mentionnais un petit peu tôt,
nous, dès 2013, on a un peu sonné <l'alarme...
M. Morisset (Louis) :
...s'intéresser aux risques des institutions, on doit s'intéresser aux
contrôles que les institutions mettent en place pour gérer ces risques-là. Et,
dans le cas d'une institution comme celle de Desjardins, le risque
opérationnel, le risque de sécurité d'
information, le risque des
technologies
d'information sont des risques auxquels on s'est intéressé.
Puis, comme vous le mentionnait
un petit peu plus tôt, nous, dès 2013, on
a
un peu sonné >l'alarme en disant : Ce sont des risques qui
se développent, qu'on voit et on incite les institutions à les gérer, et à s'y
attarder, et à investir, évidemment, là où il faut pour éviter la matérialisation
de ces risques-là.
Maintenant, le risque zéro n'existe pas,
mais donc, dans la perspective de l'autorité, c'est certain que le risque de
fuite de renseignements personnels s'inscrit dans un risque plus global, je
dirais, qui est le risque opérationnel auquel on s'intéresse, le risque de
cybersécurité. Puis, encore une fois, je peux juste réitérer que nous avons, de
longue date maintenant, posé des gestes concrets pour sensibiliser les
institutions à cet égard-là.
Je vais juste mentionner, je l'ai
mentionné dans mon propos d'ouverture, la ligne directrice dont j'ai parlé, qui
évoque les attentes de l'autorité en matière de gestion du risque des
technologies de l'information, qu'on a publié pour commentaires en janvier et
que nous allons, dans les prochaines semaines, prochains mois tout au plus,
finaliser pour... comment je dirais, pour rendre disponible aux institutions
financières, sera une ligne directrice, je dirais, assez robuste, qui réfère à
des standards internationaux sur la gestion des risques de cette nature-là.
Donc, <c'est... >encore une
fois, l'autorité constate qu'il y a des standards qui se développent, des
standards qui évoluent rapidement, et on veut que les institutions s'accrochent
à ces standards, choisissent les bons standards et les suivent. Alors, encore
une fois, je pense que, de notre perspective, on a identifié ce risque-là et on
a mené des actions concrètes pour sensibiliser et rehausser la vigilance des institutions
à l'égard du risque.
M. Thouin : Je vous remercie.
Peut-être, juste avant de passer la parole, tantôt, vous avez dit que, selon un
rapport du FMI, là, l'AMF et le BSIF, là, sont à la hauteur des standards
mondiaux, mais je conclurais tout de même qu'il me semble que, sachant... Tu
sais, on sait qu'il y a des pays où c'est déjà arrivé et qui ont pris des
mesures beaucoup plus robustes. Bien, il me semble qu'on n'a pas besoin
d'attendre que ça arrive pour prendre ces mesures-là. On peut sûrement regarder
les bonnes pratiques qui ont été faites ailleurs et aller au maximum
maintenant. Voici mon opinion.
Le Président (M. Simard) :
Merci, M. le député de Rousseau. M. le député de Saint-Jérôme, il vous reste
une période de 4 min 20 s
M. Chassin :Merci, M. le Président. Je vais continuer dans quelques
instants, là, sur les meilleures pratiques, tel que mon collègue de Rousseau
l'a évoqué.
Vous avez souligné, là, que vous allez
réaliser, donc, un bilan détaillé de cet incident-là. J'imagine qu'il y a une
partie relative à l'incident qui doit demeurer confidentielle. J'imagine qu'il
y a peut-être une réflexion ou des lignes directrices qui émaneront de ce
bilan-là, que vous pourrez peut-être rendre publiques. Je vous pose la question
un peu à l'avance pour avoir votre perspective là-dessus.
M. Morisset (Louis) :
Bien, le bilan qui est en cours, d'abord, c'est un bilan qui est mené au sein
de Desjardins. Ils se sont, comme M. Cormier l'a mentionné tantôt,
outillés avec des ressources externes pour les accompagner là-dedans, et nous,
nous allons regarder de près, évidemment, les constats, les recommandations.
Nous allons nous faire, comme je l'ai dit, notre propre tête sur ce qui s'en
dégage et sur les plans d'action qui devront être développés. Au besoin, nous
irons chercher des ressources externes également, si nécessaire, pour nous
accompagner dans ce travail-là.
Ce que j'ai mentionné, c'est que, là, au
sein de Desjardins, ce qui est arrivé est arrivé, malheureusement, et on doit
aller au fond des choses puis voir s'il y a d'autres mesures additionnelles qui
sont nécessaires, s'il y a des structures qui doivent changer. Bref, il faut
aller au fond des choses. Si on peut dégager éventuellement de cela des
apprentissages qu'on pourra apporter, à travers des lignes directrices ou
autrement, aux autres institutions financières, nous le ferons, mais là on est vraiment
dans une gestion d'un incident particulier. Et, comme je le mentionnais tout à
l'heure, il existe des standards internationaux en matière de gestion des
risques technologiques, et on incite les institutions à s'y accrocher.
Le Président (M. Simard) :
M. le député, je vous incite à être synthétique. M. le député.
M. Chassin :
J'aimerais revenir, parce que vous aviez parlé, dans votre allocution, que vous
aviez identifié le risque. Vous allez dire: La réponse est oui, on l'a
communiquée, cette information-là, on a demandé de rehausser les mesures de
sécurité, la vigilance, vous avez utilisé ce mot-là, et donc vous avez des
éléments pour aussi évaluer à quel point ça a été suivi. Je ne veux pas vous
mettre dans une position difficile, mais le jour où vous avez fait paraître un
communiqué de presse pour vous déclarer satisfaits des mesures prises par
Desjardins... Vous m'ouvrez un peu la porte. Aujourd'hui, est-ce que vous seriez
en mesure de dire que vous êtes satisfaits des mesures prises non seulement par
Desjardins, mais par les assureurs, par les autres acteurs qui relèvent de
votre responsabilité?
• (13 h 10) •
M. Morisset (Louis) : Je
vais revenir sur la ligne directrice que nous allons rendre publique, là,
finale dans les prochaines semaines. Je pense qu'on va trouver beaucoup de
réponses à cet égard-là. Les attentes <de...
M. Chassin :
...satisfait des mesures prises non seulement par Desjardins, mais par les
assureurs, par les autres acteurs qui relèvent de votre responsabilité?
M. Morisset (Louis) :
Je vais revenir sur la ligne directrice que nous allons rendre publique, là,
finale dans les prochaines semaines.
Je pense qu'on va trouver beaucoup
de réponses à cet égard-là. Les attentes >de l'autorité vont être bien,
bien claires quant aux mécanismes de gouvernance, quant aux lignes de défense,
le rôle des différents paliers dans ces organisations-là. Donc, je pense qu'à
travers...
M. Chassin :...votre évaluation ou votre satisfaction par rapport au suivi
de ces lignes-là?
M. Morisset (Louis) :
Oui. Je céderais la parole à Patrick pour poursuivre là-dessus.
M. Déry (Patrick) : Juste
pour faire une petite nuance, on ne peut pas, comme régulateur prudentiel, vous
comprendrez pourquoi, commenter sur la situation d'une institution versus une autre
dans le détail. Ça peut être contre-productif ou amener le résultat contraire à
la mission qu'on a de favoriser la confiance et la stabilité financière. On
pourrait précipiter une crise ou provoquer une crise si on était maladroit dans
nos communications.
Par contre, ce qu'on fait, c'est que, de
façon générale, on va communiquer les leçons apprises des meilleures pratiques.
On va sensibiliser sans révéler tous les détails à d'autres institutions
lorsqu'on voit des pratiques moins bonnes que ce qu'on a vu ailleurs. On voit
l'ensemble, nous, des entreprises. On est capable de guider les directions des
compagnies en question vers des meilleures pratiques lorsqu'on voit des zones
possibles d'amélioration.
M. Chassin :...en conclusion, je pourrais vous amener... parce qu'on a
entendu Desjardins parler, entre autres, d'identité numérique. Est-ce que, pour
vous, c'est une piste à poursuivre?
M. Morisset (Louis) :
Absolument, puis on sera heureux de pouvoir contribuer à ces réflexions-là, si
on nous y invite.
M. Chassin :
Vous en faites déjà, du travail, là-dessus?
M. Morisset (Louis) :
Oui, oui, oui.
M. Chassin :
Merci.
Une voix
: Est-ce qu'on
a quelques secondes ou c'est terminé, M. le Président?
Le Président (M. Simard) :
C'est terminé, cher collègue. Vous pourrez éventuellement poursuivre plus tard.
Mme la députée de Saint-Laurent, à vous la parole pour
10 min 40 s.
Mme Rizqy : Merci.
J'aimerais juste bien comprendre. Donc, cet été, vous avez fait un communiqué
de presse pour dire que vous avez apprécié la gestion de Desjardins. C'est bien
ça?
M. Morisset (Louis) :
Oui. Lorsque Desjardins est sorti, effectivement, on a été en contact avec eux,
évidemment, dans les heures qui ont précédé, puis la prise en charge de cette
situation-là, effectivement, nous a satisfaits, à ce moment-là. On était au
tout début, bien sûr.
Mme Rizqy : Parce ce vous
êtes conscient que, dans votre mission, encadrer, surveiller les activités…
mais vous avez aussi l'autre volet, protéger les consommateurs et les mettre en
garde de toute approche frauduleuse.
Vous vous rappelez que, vers le mois
d'août, après plusieurs semaines, il y avait moins de 20 % des membres de
Desjardins qui étaient en mesure d'être inscrits à Equifax, n'est-ce pas?
M. Morisset (Louis) :
Oui.
Mme Rizqy : Vous vous
rappelez aussi que plusieurs n'ont pas été capables d'avoir un service en
français.
M. Morisset (Louis) :
C'est ce qu'on comprend, oui.
Mme Rizqy : Et vous vous
rappelez aussi qu'il y a plusieurs membres de Desjardins qui sont des aînés,
qui n'ont pas non plus accès à un service Internet ou ne sont pas à l'aise et
que le clavier avait des défaillances lorsqu'on tapait en français. Vous vous
en rappelez?
M. Morisset (Louis) :
Oui, bien sûr.
Mme Rizqy : Lorsque vous
parliez tantôt de l'OCDE, des rapports, dans les règles de bonne gouvernance,
il y a aussi une question de gestion de risques. Ça aussi, j'aimerais qu'on
revienne là-dessus, car, il n'y a pas si longtemps, il y avait des
entreprises... là, maintenant, je ne fais pas référence à Desjardins, je parle
aux entreprises, institutions financières, et tout cela.
Il n'y a pas si longtemps, il y avait des
choix qui ont été faits, de polluer parce que les pénalités coûtaient moins
cher. Alors, il y avait ça comme dans gestion de risques. Et maintenant je m'en
viens ici, au Canada. On voit qu'ailleurs dans le monde, depuis 2012, 2013,
2014, il y a eu plusieurs fuites de données et des pénalités à l'international,
on parle de centaines de millions de dollars. Un Marriott, 162 millions;
British Airways, 300 millions; Facebook, 500 millions de dollars.
Ici, au Canada, dans le dossier, par
exemple, d'une entreprise ou d'une institution financière qui se fait prendre,
en ce moment, l'amende est de 10 000 $ et pour un maximum de 100 000 $,
récidive. Pensez-vous qu'il est grand temps qu'on augmente les pénalités?
M. Morisset (Louis) :
Merci. Peut-être, je reviendrais juste d'abord sur le premier volet de votre
question. C'est pour ça que je l'ai mentionné tantôt, pourquoi l'autorité est
intervenue rapidement pour tenter de rejoindre la population qui peut avoir des
difficultés à s'inscrire. Donc, on a fait plusieurs mesures pour sensibiliser
la population.
Maintenant, pour revenir sur le dernier
volet de votre question, les choix législatifs au Québec, au Canada ont été
différents, au fil des années, sur l'ampleur des pénalités. On voit des
différences notables entre le Canada et les pays ailleurs dans le monde. Est-ce
que des pénalités plus sévères pourraient avoir un effet plus dissuasif?
Possiblement. Cela étant dit, ce sont des choix de longue date qui ont été
faits dans notre juridiction. Peut-être qu'il est temps de les revoir à cet
égard-là.
Mme Rizqy : Par exemple,
la Loi sur la protection des renseignements personnels dans le secteur privé,
on parle de 1978 ou 1979, si ma mémoire est bonne, donc ça fait pratiquement
40 ans. Donc, si, à l'époque, 10 000 $, ça peut être une grosse
tape sur les doigts, vous comprendrez qu'aujourd'hui, en 2019, ce n'est pas
grand-chose.
Alors, c'est pour ça que, oui, je pense que,
si... Il y a plusieurs pays, je parle de l'Angleterre, je parle des États-Unis,
je parle de la France, parce que vous faites référence à l'OCDE. Ils sont
membres eux aussi de l'OCDE et ils ont fait le choix d'avoir des amendes
sévères pour, justement, qu'à l'interne le privé puisse aussi se dire :
Bon, si jamais on a un employé qui a accès à <plusieurs...
Mme Rizqy : ...pas
grand-chose.
Alors, c'est pour ça que, oui, je pense
que, si...
Il y a
plusieurs pays, je parle de l'Angleterre, je
parle des
États-Unis, je parle de la France, parce que vous faites
référence à l'OCDE. Ils sont membres eux aussi de l'OCDE et ils ont fait le
choix d'avoir des amendes sévères pour, justement, qu'à l'interne le privé puisse
aussi se dire : Bon, si jamais on a un employé qui a accès à >plusieurs
bases de données, on va s'assurer d'avoir mis plusieurs pare-feu et vraiment
s'assurer que, dans ce cas-ci, il ne va pas exposer l'entreprise à des
poursuites non seulement civiles, criminelles, mais aussi des pénalités
excessivement élevées.
Pensez-vous, je vous repose la question,
qu'ici il serait peut-être grand temps d'avoir des pénalités qui rejoignent la
norme internationale des pays membres du G7?
M. Morisset (Louis) : Bien,
encore une fois, c'est difficile pour moi de commenter spécifiquement. Je pense
que ça fait partie d'un environnement canadien, québécois, où les pénalités
sont beaucoup moins sévères qu'aux États-Unis ou qu'ailleurs dans le monde à
bien des égards, dans ce domaine comme dans d'autres. Alors, je pense que c'est
un choix de société que vous, comme parlementaires, avez tout le loisir de
revoir ou de réfléchir.
Mme Rizqy : Merci
beaucoup, Me Morisset.
Le Président (M. Simard) :
M. le député de Robert-Baldwin, il vous reste six minutes, cher collègue.
M. Leitão : Merci, M. le
Président. Alors, M. Morisset, M. Déry, madame, bonjour, merci d'être
là.
Écoutez, je vais vous amener sur certains
éléments. On a parlé tantôt de l'identification numérique, et vous avez déjà
fait un certain... un petit peu de travail à cet égard-là. Pouvez-vous nous
parler brièvement de ce vous avez fait, brièvement?
M. Morisset (Louis) : Je
céderais la parole à Patrick.
M. Déry (Patrick) : Écoutez,
à l'autorité, on s'intéresse évidemment à l'innovation dans le secteur
financier, ce qu'on appelle les «fintech», donc l'innovation technologique
appliquée à la finance, qui couvre un paquet, je dirais, de chantiers ou
d'éléments d'innovation. Et, parmi… un, un d'entre eux, c'est la finance
ouverte ou, en anglais, on parle d'«open banking».
Vous n'êtes pas sans savoir qu'on a un
rendez-vous de l'autorité avec l'industrie à chaque année, M. le député, et,
lundi prochain, on a un atelier spécifiquement sur cette question. Et une des
premières, je dirais, contraintes qu'on frappe lorsqu'on discute d'«open
banking» ou d'innovation dans le secteur financier, c'est la protection des
renseignements personnels.
Donc, avant même, je dirais, l'enjeu qu'on
gère dans la situation de Desjardins, du vol de données, toute l'innovation qui
se déploie dans le secteur financier nous a amenés à s'intéresser de près aux
travaux, aux recherches, aux idées de spécialistes du domaine qui peuvent aider
à renforcer la protection de ton identité comme consommateur de services
financiers dans l'Internet. Donc, oui, on s'intéresse à cette question-là. On a
beaucoup de spécialistes à l'interne, à l'autorité, qui suivent ces
questions-là.
M. Leitão : Merci. Bien,
juste ça, je pense, M. le Président, on pourrait avoir une commission
parlementaire juste sur ça, pour entendre les experts dans ce domaine. Et je
vous cite juste un rapport, un discours du président de l'exploitation de la
Banque du Canada, M. Dinis, qui a parlé de la cybersécurité, de lever les
obstacles, et donc, pour lui, c'est surtout la collaboration qui est la voie à
suivre. Donc, voilà, je pense que... je nous incite, nous tous, à aller dans
cette direction aussi de collaboration et d'un regard large sur cette question.
Revenons à l'ordre du jour. Bon, ici, on
n'est pas dans les grandes tactiques de cybercrime très sophistiqué, on est
carrément dans le vol de données. Comment est-ce que ça a pu arriver? Comment
est-ce qu'une personne peut aller chercher, malgré tous les moyens de contrôle
internes qui, je suis sûr, existent, comment cela a pu se passer? Je ne sais
pas si vous avez une réponse à ça ou pas. Et, surtout, qu'est-ce qu'on fait
pour prévenir de telles fuites massives qui viennent de l'interne à l'avenir?
M. Morisset (Louis) :
Bien, on ne peut pas répondre à la question, comment s'est arrivé, qu'est-ce qui
est arrivé. Je pense que l'institution elle-même attend l'enquête policière
pour savoir exactement ce qu'il s'est passé. Vous avez entendu les réponses que
les membres de Desjardins ont données plus tôt avant nous.
Mais je pense que ce qu'il faut faire,
c'est de réitérer, renforcer les contrôles en place au niveau de la gestion du
risque technologique. Et, nous, comme régulateur, on va poursuivre évidemment
nos efforts, nos démarches. Puis la ligne directrice à laquelle je faisais
référence tantôt va être utile pour amener les institutions à focaliser encore
davantage sur ce risque.
• (13 h 20) •
M. Leitão : Merci. Et,
dans cette quête, donc, d'améliorer les procédures de gestion du risque, est-ce
qu'on devrait garder une meilleure réglementation, meilleur encadrement sur
l'utilisation des données? Donc, il y avait, chez Desjardins comme dans toutes
les autres institutions financières — et ici on ne cible pas
Desjardins, c'est toutes les institutions financières — donc, des
groupes d'employés qui ont accès à toute la banque de données interne de
l'entreprise pour toutes sortes <de...
M. Leitão : ...meilleur
encadrement sur l'utilisation des données? Donc,
il y avait, chez
Desjardins comme dans toutes les autres institutions financières
— et
ici, on ne cible pas Desjardins, c'est toute les
institutions financières — donc,
des groupes d'employés qui ont accès à toute la banque de données interne de
l'entreprise pour toutes sortes >de stratégies, de politiques, de
marketing, etc. Encore une fois, ce n'est pas Desjardins, c'est toute
l'industrie. Est-ce qu'on devrait réglementer cet accès-là aux banques de
données internes des institutions financières?
M. Morisset (Louis) :
Parfait. Bien, écoutez, je reviens, encore une fois, sur la ligne directrice.
On va toucher ces aspects-là dans la ligne directrice. Peut-être Patrick
souhaiterait ajouter quelques éléments?
M. Déry (Patrick) : Oui.
En fait, juste sur le mot «réglementer», que je m'interroge sur le sens, la
portée de votre question. Mais, nous, quand on parle de standards
internationaux, on a les normes NIST, les normes COBIT, les normes ISO, qui
sont toutes des façons de faire ce que vous dites, là, comment qu'une
entreprise doit gérer les accès en fonction de qui doit avoir accès ou pas à
des renseignements pour faire leur travail, etc. La gouvernance entourant ça,
les mécanismes de sécurité, tout ça, c'est codifié par des spécialistes qui
font des conférences à l'année longue sur ces domaines-là.
Et, nous, ce qu'on dit aux institutions
financières : Ne réinventons pas la roue. Assurez-vous de choisir, parmi
les standards qui existent, les meilleures pratiques qui s'appliquent à vous et
montrez-nous, démontrez-nous un régulateur, que vous gagnez en maturité, vous
rehaussez vos postures en vous inspirant de ces meilleures pratiques là. Et
c'est comme ça, je crois... le mot «réglementation» n'est peut-être pas comme
un règlement, là, mais par l'encadrement, par le travail de surveillance qu'on
va faire, qu'on pense atteindre l'objectif d'avoir des institutions qui suivent
les meilleures pratiques au fur et à mesure qu'elles évoluent.
Mme Rizqy : Merci. M. le
Président...
Le Président (M. Simard) :
Bien sûr, madame... chère collègue, allez-y. Il vous reste 50 secondes.
Mme Rizqy : À la page 5
de votre article que vous avez déposé, la gestion ordonnée d'une crise, dans
votre mandat, encadrer et surveiller les activités, lorsque vous êtes informés
qu'une institution financière vit une situation de crise, est-ce que vous les
accompagnez? Est-ce que vous leur offrez aussi votre expertise? Parce que vous
en faites, vous, des enquêtes, donc vous comprenez parfaitement à quel point
c'est important de protéger la preuve et la chaîne qu'on doit tenir par rapport
à la preuve, qui pourrait nous être utile dans une enquête policière. Est-ce
que vous, dans ce cas-ci… avez-vous fait un accompagnement auprès de
l'institution financière ou pas du tout?
M. Morisset (Louis) :
Non. Dans ce cas-ci, nous n'avons pas fait ce genre d'accompagnement.
Mme Rizqy : Pensez-vous
que ça pourrait être utile, justement, d'avoir une ligne d'urgence avec,
vraiment, un modus operandi pour dire que...
Le Président (M. Simard) :
En conclusion.
Mme Rizqy : ...lorsqu'on
sait qu'il y a une preuve qui est potentiellement chez un employé...
Le Président (M. Simard) :
En conclusion.
M. Morisset (Louis) : Je
vous dirais, je pense que les corps policiers sont bien placés pour aider dans
un tel contexte.
Le Président (M. Simard) :
Merci. Merci beaucoup. M. le député de Rosemont, à vous la parole.
M. Marissal : M. le
Président, alors, je vous salue et remercie prestement pour gagner du temps.
Page 5, à la question : Est-ce
que l'autorité a demandé à toutes les institutions financières qu'elle
surveille, incluant Desjardins, de rehausser leur vigilance et leur mécanisme
de contrôle à l'égard de ce risque?, la réponse est oui. Je comprends donc que
la vigilance dont on parle ici n'était pas à un niveau adéquat puisque vous avez
demandé de rehausser. Et qu'est-ce qui devait être relevé dans la vigilance?
Qu'est-ce qui clochait?
M. Morisset (Louis) :
Oui. Bien, je céderais la parole à Patrick Déry, s'il vous plaît.
M. Déry (Patrick) : Écoutez,
comme on l'a dit dans le discours, puis on y fait référence dans un hyperlien
qu'on peut aussi vous remettre, un communiqué de 2016 qu'on a émis, l'exercice
d'autoévaluation qu'on a mené auprès des institutions visait à prendre acte ou
à faire un constat, je dirais, du niveau d'autoévaluation de chaque compagnie
par rapport à sa maturité. Et évidemment que, comme c'est des risques
émergents, des sujets qui prennent de plus en plus d'ampleur, qui deviennent
aujourd'hui un problème, un fléau auquel il faut s'attaquer... Il y a quelques
années, le niveau de maturité n'était pas, je dirais, au niveau qu'il est
aujourd'hui et au niveau qu'il sera demain. C'est un processus de rehaussement
continu de la posture dans toutes les institutions qu'on surveille, auxquelles
on...
M. Marissal : Je vous
arrête une seconde. Je ne veux pas être impoli, mais je n'ai pas de temps. Vous
avez demandé de rehausser après la fuite ou le vol de données chez Desjardins,
cet été.
M. Déry (Patrick) : Ce
qu'on a dit, c'est que, dès 2015, en faisant un exercice d'autoévaluation, ce
qui ressortait de l'exercice, c'est ce qu'on a communiqué à chacune des
institutions : parfait, on regarde le constat, vous reconnaissez que c'est
un enjeu émergent et sur lequel on doit s'y attarder. Nous, on vous demande de
rehausser votre jeu par rapport à ça dès 2015, et c'est un suivi qu'on fait en
continu depuis.
M. Marissal : Et
qu'est-ce qui a été fait chez Desjardins en particulier?
M. Déry (Patrick) :
Malheureusement, je ne peux pas commenter un dossier spécifique, parce que, là,
c'est révéler... puis une compagnie par rapport à une autre, on créerait des
problèmes qui sont incompatibles avec la mission de l'autorité. Mais, de façon
générale, les éléments de gouvernance, de saine gestion de leurs risques, etc.,
c'est ça qu'on veut voir rehausser.
M. Marissal : Question un
peu technique ici, là. Page 6 : «Pour pouvoir bien jouer son rôle,
toutefois, l'autorité doit être avisée rapidement par l'institution touchée, et
ce, en toute transparence.» Le «doit» ici, est-ce qu'il fait référence à une
obligation légale ou c'est quelque chose qu'on prend pour acquis, que
l'institution le fera?
M. Morisset (Louis) : ...je
veux dire, bien, c'est une attente dans nos lignes directrices. Donc, ce n'est
pas...
M. Marissal : Mais ce n'est
pas une obligation légale.
M. Morisset (Louis) :
Bien, c'est une attente explicite, mais <il n'y a pas... >ce n'est
pas enchâssé <dans...
M. Marissal : ...et ce,
en toute transparence.» Le «doit» ici, est-ce qu'il fait référence à une
obligation légale ou c'est quelque chose qu'on prend pour acquis, que
l'institution le fera?
M. Morisset (Louis) :
...je veux dire, bien, c'est une attente dans nos lignes directrices. Donc, ce
n'est pas...
M. Marissal : Mais ce n'est
pas une obligation légale.
M. Morisset (Louis) :
Bien, c'est une attente explicite, mais il n'y a pas... ce n'est pas enchâssé >dans
la loi.
M. Marissal : Est-ce que
ce serait utile d'avoir une telle obligation légale?
M. Morisset (Louis) : Il
faut y réfléchir, absolument.
Le Président (M. Simard) :
Merci beaucoup. M. le député de Jonquière.
M. Gaudreault : Oui,
merci. J'étais un peu dans ce même sens, parce que, contrairement aux lois
fédérales — qui s'appliquent évidemment aux banques et aux
institutions, aux entreprises de télécommunication, par exemple — la
Loi sur la protection des renseignements personnels dans le secteur privé du Québec
n'a pas d'obligation de divulgation des incidents de vols de données, par
exemple.
Donc, est-ce que, même pour le privé, il
devrait y avoir cette obligation de divulguer les incidents, soit à la Commission
d'accès à l'information ou à une autre institution renforcée ou plus forte et à
votre institution quand c'est le cas d'une institution financière?
M. Morisset (Louis) :
Bien, notre perspective là-dessus, c'est clairement oui. Tous les incidents
doivent être rapportés pour permettre, justement, une meilleure gestion de
crise lorsqu'une crise survient ou une gestion de l'incident comme tel. Alors, effectivement,
je pense que c'est des obligations qui devraient être renforcées, devraient
être clarifiées. Ce qu'on constate, nous, c'est qu'on en reçoit parfois, donc,
des divulgations de moindre nature, mais, encore une fois, c'est dans une ligne
directrice, ce n'est pas dans la loi. Donc, il faut y réfléchir dans l'environnement
de l'autorité, mais de façon plus globale, je pense, aussi.
M. Gaudreault : Donc, si
cette commission ici arrive avec une recommandation disant : L'AMF
recommande aux parlementaires de modifier la Loi sur la protection des
renseignements personnels dans le secteur privé pour avoir cette obligation de
divulgation, vous seriez d'accord avec cette recommandation?
M. Morisset (Louis) :
Oui.
M. Gaudreault : Parfait.
Merci. Concernant les pénalités pour les problèmes ou les fuites de données, il
y a d'autres législations à travers le monde qui ont, je dirais, des pénalités
proportionnelles selon la durée des conservations des données. Comme, par
exemple, si c'est des données qui sont périmées, entre guillemets, depuis
10 ans, mais que l'institution les garde quand même, puis là elles sont
volées, bien là, ça pourrait être... Je veux dire, il faut faire un ménage,
autrement dit, dans les données. Est-ce que vous pensez que ça pourrait être un
type de système de pénalités?
M. Morisset (Louis) :
Bien, je dirais, encore une fois, je pense que le volet dissuasif, qui vient
avec une pénalité sévère, est certainement un outil pour encourager les
institutions et les organisations à se comporter de la meilleure façon. Je
pense que ce que les entreprises conservent, on doit y réfléchir parce
qu'effectivement il y a des données qui devraient disparaître à un moment donné
pour éviter ce genre de situation.
Le Président (M. Simard) :
Alors, merci à vous, M. Morisset. Madame, messieurs, merci pour votre
contribution à nos travaux.
Sur ce, nous suspendons jusqu'à
15 heures.
(Suspension de la séance à 13 h 28)
15 h (version révisée)
(Reprise à 15 h 4)
Le Président (M. Simard) :
Alors, chers amis, bon retour à toutes et à tous. La commission, comme vous le
savez, est réunie afin de poursuivre les consultations particulières et
auditions publiques sur la question de la fuite de données personnelles chez
Desjardins.
Cet après-midi, nous entendrons Equifax Canada,
l'Association des banquiers canadiens, l'Office de la protection du
consommateur ainsi que M. José Fernandez, professeur titulaire au Département
de génie informatique et génie logiciel à Polytechnique Montréal.
Avant de débuter, je crois comprendre qu'il
y aurait consentement <afin que...
Le Président (M. Simard) :
...
de la protection du consommateur ainsi que M. José Fernandez,
professeur titulaire au Département de génie informatique et génie logiciel à
Polytechnique
Montréal.
Avant de débuter, je crois comprendre
qu'
il y aurait consentement >afin que le député de Gouin remplace
le député de Rosemont. J'ai bien compris qu'il y avait consentement? Il y a consentement.
Alors, bienvenue à vous, M. le député de Gouin.
Comme nous avons légèrement commencé en
retard, j'aurais également besoin de votre consentement afin que nous puissions
légèrement dépasser le temps qui nous était initialement alloué. Il y a
consentement? Très bien.
Alors, nous allons, d'entrée de jeu,
immédiatement, commencer avec le représentant d'Equifax Canada. Vous savez que
M. Heft est présentement en Belgique. Une partie de sa présentation sera en
français, l'autre sera en anglais. Nous avons donc prévu un service de
traduction. Plusieurs d'entre vous ont déjà reçu les masques requis pour
l'audition.
Des voix
: ...
Le Président (M. Simard) :
Pardon? Oui… les masques! Là, comment on appelle ça, d'abord?
Des voix
: ...
Le Président (M. Simard) : Un
casque, oui!
Des voix
: Ha, ha, ha!
Le Président (M. Simard) : Oui,
voilà! Alors, les casques requis. Et donc, conséquemment, je vous inviterais
néanmoins à parler peut-être avec un débit un peu plus lent pour faciliter le
travail de nos traducteurs, qui, par ailleurs, sont d'un très grand
professionnalisme.
Alors, M. Heft, soyez le bienvenu parmi
nous, et vous savez que vous disposez d'une période de 10 minutes.
Equifax Canada inc.
(Visioconférence)
M. Heft (Joel) : Merci
beaucoup. M. le Président, M. le vice-président et membres de la commission, je
suis heureux de participer à l'audience aujourd'hui. Mon nom est Joel Heft, et
je suis vice-président directeur des solutions en matière de brèches et de
réglementations internationales chez Equifax.
Je travaille à Equifax depuis 23 ans.
Je me suis joint à Equifax en 1997 comme avocat général pour l'entreprise
canadienne. En 2007, j'ai été nommé vice-président directeur, avocat général de
l'entreprise internationale d'Equifax, responsable de superviser les affaires
juridiques, les relations gouvernementales, la gouvernance de l'entreprise et
la protection de la vie privée dans les 23 pays où nous exploitons nos
activités à l'extérieur des États-Unis. Au cours des cinq dernières années,
j'ai dirigé les services liés à la réglementation aux brèches à l'échelle
mondiale. Dans le cadre de ce poste, je gère notre équipe de résolution
d'incidents touchant les données partout dans le monde.
Allow me to take a minute
to apologize for not being with you in person today, I truly wish I was, and
for any technical difficulties which may be associated with the translation
services required to make my participation possible by teleconference. I'm not
able to cancel my previously scheduled commitment this week in Europe. But, because
I'm likely the best suited person at Equifax to provide you with the
information about the services that we are providing to Desjardins and its
members, we are trying to be as helpful as possible by having me testify by phone
from Brussels this evening.
I intend to brief you
about the data incident response services that Equifax is providing to
Desjardins and its members, and I intend to use my opening remarks to provide
you with : a, an overview of the data incident response services that
Equifax offers in Canada, and,
b, a description of the services that we are providing to Desjardins in support
of its members.
I was chosen as a witness
because of my responsibility and knowledge regarding incident response services
we are providing to Desjardins. This is where I'll focus my remarks.
Equifax is a global
leader in data incident and response services for organizations,
both private and public, that have experienced a data security incident
impacting employees or customers. Since 2016, we have assisted over 2 500
organizations globally and 500 in Canada alone.
The response and
remediation services we offer to organizations facing a data incident fall into
four categories : notification, call center
support, credit monitoring and identity restauration. I will elaborate on each.
• (15 h 10) •
Notification. This is to
ensure that impacted consumers are efficiently notified of a breach. We provide
mail and email notification services on behalf of <our...
M. Heft (Joel) :
...
call
center support, credit monitoring and identity restauration. I will
elaborate on each.
Notification. This is
to ensure that impacted consumers are efficiently notified of a breach. We
provide mail and email notification services on behalf of >our clients.
Call center support. On
behalf of our clients, we provide incident specific call center support for the
impacted consumer population in order to answer questions about the data incident itself.
Credit monitoring. For
the impacted population, we provide daily credit monitoring and automated
alerts of key changes to the information in the credit reports of impacted consumers. A current credit
report is available to consumers with all credit monitoring solutions.
Identity restauration. We
provide assistance and guidance for identity theft victims to help them restore
their identities as quickly and effectively as possible. Our data incident
response solutions are comprehensive and help provide protection and
remediation to impacted consumers.
Equifax understands all
too well that the threat of data theft, whether by cyberattack or by rogue
insiders, is real and increasing. Cybercrime and data theft that targets
individuals, our businesses and even our governments are some of the greatest threats facing our country. Canadian
companies are continually trying to thwart criminals that operate outside the
rule of law and attempt to extract data for their own gain.
The Privacy Commissioner
of Canada states that in the
last year alone, it has received reports of 680 data breaches at Canadian
companies, impacting over 28 million people. These
attacks on Canadian companies are attacks on Canadian consumers and attacks on
our country. Fighting theses attackers will require partnership and cooperation
amongst government, law enforcement and private business.
I'd like to turn now to
the specific services that we are providing to Desjardins and its members.
Desjardins chose to provide its impacted members with five years of Equifax's
best-in-class consumer credit monitoring and identity theft protection service.
That's called the Equifax Complete Premier Plan. For the benefit of those in
the room and your constituents, let me describe the key features of this plan.
Equifax credit report
monitoring provides alerts of key changes to a consumer's Equifax credit
report. It provides the individual with access to his Equifax credit report on
a daily basis and also contains an easy to read summary of the information
contained in his or her Equifax file; identity theft insurance, which helps
paying certain out-of-pocket expenses in the event a consumer becomes a victim
of identity theft; identity restauration : a dedicated identity
restauration specialist will work a on consumer's behalf to help restore his or
her identity, should the consumer become the victim of identity theft; Internet
scanning : our Internet scanning alerts a consumer in the event that his
or her credit cards numbers, bank account numbers or social insurance numbers
are found on suspected fraudulent websites; and lost wallet assistance : if
a consumer loses his or her wallet, our agents will help the consumer and have
his or her cards and ID cancelled and reissued.
The plan also includes
Equifax's credit score monitoring, access to the Equifax's credit score and
Equifax's credit score trending. Consumers can access our customer care
representatives seven days a week, from 8:00 a.m. to 12:00 a.m. Eastern time.
In order to best serve
affected Desjardins members, we work together with Desjardins to devise new
processes and procedures to improve our traditional services. I'll walk you
through some examples.
We established a new
process for minors who are affected by the data breach. Equifax established a
credit file for the minor where none existed before, and, on the newly created
credit file, an alert flag was posted to ensure any... to the file of a minor would
return a notification of the alert, along with direction to contact the
consumer directly.
New process for
individuals without Internet. To support individuals without Internet or email
access, Equifax worked with Desjardins to establish a new process whereby
impacted consumers could access Equifax's services directly through Desjardins.
But we also addressed
some of the challenges that we faced in the rollout of our services to
Desjardins members. Simply put, at the outset of the announcement of the
Desjardins incident our <systems...
M. Heft (Joel) :
...
impacted consumers could access
Equifax's services directly through Desjardins.
But we also addressed
some of the challenges that we faced in the rollout of our services to
Desjardins members. Simply put, at the outset of the announcement of the
Desjardins incident our >systems and call
centers were overwhelmed by the tremendous and unprecedented demand by
consumers to enroll in our services. During that period, we were unable to meet
our high standards of consumer care. With regard to consumer support in French,
we did not provide a level of service to which we strive and to which
Quebeckers are entitled. We apologize for this.
At all times, however, we
did our best to support consumers during difficult circumstances and endeavored
to make process improvements in their interest. For example, within the first
month of the announcement, we increased call center capacity by over 60%.
Between June 2019 and October 2019, we increased the number of agents in our
call centers by 1,000%, having introduced new waves of agents almost every
week.
I'm pleased to report
that our services levels...
Le Président
(M. Simard) : ...left.
M. Heft (Joel) : ...have improved. Oui?
Le Président
(M. Simard) : There is 30 seconds left, sir, in time... in your
time.
M. Heft (Joel) : O.K., alright, thank you. I'm pleased to report that our service levels
have improved significantly since the outset, and today the average consumer
wait times are mere seconds. It is difficult to overestimate the incredible
demand following the initial announcement of the data incident. To put that in
perspective, during our support of the Desjardins incident, it was common for
us to be enrolling more consumers in credit monitoring services in a single day
than we would typically enroll in an entire...
Let me conclude...
Le Président
(M. Simard) : Sir, your time is over now. Votre temps est
écoulé maintenant. Merci beaucoup pour votre contribution.
M. Heft (Joel) : O.K. Je
m'excuse.
Le Président (M. Simard) :
Non, non, non. Nous vous remercions, monsieur. Et, en fait, j'avais une
question : Quelle heure est-il en Belgique à ce moment-ci?
M. Heft (Joel) : Oh! il
est 9 h 15.
Le Président (M. Simard) :
Wow! Bon. Alors, nous allons maintenant céder la parole à notre collègue le
député de Vachon. Et nous entreprenons, donc, M. Heft, une période
d'échange qui va durer un peu plus de 30 minutes. Différents députés de
l'Assemblée nationale, de différentes formations politiques, s'adresseront à
vous. M. le député de Vachon.
M. Lafrenière :
Well, first of all, thank you so much, M. Heft, for being with us. We do
appreciate that. Thank you for being here today. You don't try to escape
reality.
M. Heft (Joel) : No, never.
M. Lafrenière : Ça va
être la fin de la partie en anglais, M. Heft. Je vais parler en français
pour le reste. Et je vais vous dire que, malheureusement, aujourd'hui, ça
confirme un peu la prétention de certains de mes gens dans mon comté, qui me
disent qu'ils ont de la difficulté d'être servis en français avec Equifax. Sur
votre site Web, encore aujourd'hui, je suis allé faire des vérifications, il y
a du franglais beaucoup. Et, sans mettre en cause votre service ou quoi que ce
soit, il y a une chose qui est claire : pour l'accès à des services en
français, il y a un petit peu de difficultés. Alors, je tenais à vous le redire
aujourd'hui au nom des gens de chez moi, de Vachon.
Question technique, pour vous,
M. Heft : Est-ce qu'il est vrai de dire que votre compagnie a accès à
70 % du marché? Donc, vous n'avez pas accès à toutes les informations, à
toutes les transactions, c'est seulement 70 % du marché.
M. Heft
(Joel) : No, it's... So, we do have, I
think... Is it O.K. if I respond in English?
Le Président (M. Simard) :
Oui, vous pouvez continuer, M. Heft, en anglais.
M. Heft (Joel) : Yes, O.K. So, it is true that we have... I think you said 70% of
the market share. I believe that was the number you gave. Please confirm.
M. Lafrenière :
This is exactly what I said.
M. Heft (Joel) : O.K., perfect. So, while that's true, it doesn't mean that we don't
get the information on virtually 100% of the transactions, the credit
adjudication, the loans, the mortgages taking place in Canada or in Québec in
particular. Now, in Québec, I would argue that our market share is quite
significantly higher than 70%. But that's neither here nor there for my answer.
If you'll indulge, I could explain to you what I mean by that.
M. Lafrenière :
Ça va aller, M. Heft, merci beaucoup. Est-ce qu'il est vrai aussi de dire
que vous n'avez pas accès à l'information en temps réel? Est-ce que vous avez
toujours ces transactions-là en temps réel?
M. Heft (Joel) : We receive trade data from credit... from lenders on a... There's
no exact answer. It's either daily, weekly, or, in some cases, monthly,
depending on the lender and the frequency at which they provide the
information.
M. Lafrenière :
Donc, monsieur…
M. Heft (Joel) : The alerts to the... Sorry.
• (15 h 20) •
M. Lafrenière : M. Heft,
donc, si je comprends bien, il est possible <que...
M.
Heft (Joel) :
...
There's no exact answer. It's either daily, weekly or, in some
cases, monthly, depending on the lender and the frequency at which they provide
the information.
M. Lafrenière :
Donc, M...
M. Heft (Joel) :
The alerts to the... Sorry.
M. Lafrenière :
M. Heft, donc, si je comprends bien, il est possible >que, dans mon
compte... je suis un des individus qui a été touché par Desjardins, il est
possible qu'il y ait une transaction et que je ne sois pas avisé en temps réel.
Est-ce que c'est bien ça, M. Heft?
M. Heft (Joel) : Well, partially. You will be advised by us in real time when we
receive the data from the lender. Does that make sense? I can go much deeper.
M. Lafrenière :
Oui. Donc, ça peut être à la semaine, aux deux semaines ou au mois,
comme vous avez expliqué. Parfait.
J'ai une autre question pour vous,
M. Heft. Ce matin, nos collègues de l'opposition nous ont fait témoigner
une dame qui avait eu un vol d'identité, son identité avait été volée,
Mme Aubry. Et ce qu'on m'a rapporté, c'est que, si une personne se
présente chez vous, chez Equifax, avec un vol d'identité, elle veut retrouver
son identité — puis on sait que c'est très difficile, ça prend près
de 80 heures pour régler son dossier — elle se fait répondre par
Equifax qu'il n'y a rien à faire, on la réfère, donc, à la Commission d'accès à
l'information.
Donc, la personne est victime, elle n'a
rien fait de mal, est une victime d'un vol d'identité, et on n'est pas en
mesure d'aller rétablir son score de crédit avec Equifax, il faut passer par la
Commission d'accès à l'information. C'est ce que les victimes me rapportent. Puis
j'aimerais comprendre pourquoi, parce qu'ils sont... c'est comme s'ils étaient
victimisés deux fois : un, ils se sont fait voler leur identité, et, pour
aller corriger ça, on leur dit : Attendez, votre crédit va aller mieux un
jour.
M. Heft (Joel) : So, can I ask the question of the translator? I think it's easier
for me to understand the question in French, it's very confusing to hear the
question in French and English at the same time, so... I apologized in my
initial comment and I'm going to ask the translator to please translate my
English to French for the members of the commission. But I'll just listen to
the question in French and answer in English. I can understand and, if I can't,
I'll ask for an explanation. Would that be O.K.?
M. Lafrenière :
Oui. Yes.
M. Heft (Joel) : O.K. Thank you. It's just very confusing to hear it in both
languages.
Le Président (M. Simard) :
Voulez-vous répéter, M. le député de Vachon?
M. Lafrenière :
You heard that one right? You want me to tell you that again?
M. Heft (Joel) : I believe the question... No, no, let me play it back and see if I got
it into the two languages. I think you were talking about the specific instance
were someone in your district had trouble both with their credit file and,
potentially, identity theft. Did I catch that right? And...
M. Lafrenière :
...right.
M. Heft (Joel) : ...there were some delays... Pardon?
M. Lafrenière :
You have that right. Actually, it's not even a delay, they've been sent to the
Commission d'accès à l'information.
M. Heft (Joel) : Yes. So, the... It's incredibly... I could talk about the way the
system should work. It's hard to talk about one consumer, but what I would
offer personally is, if that consumer wanted to get in touch with me
personally, I will make sure that they get... I can't do that for every
consumer, but, if it's of importance to you, which it is, I will gladly make
sure that I review their file with the appropriate people in Canada.
Understanding that's not what I do in Canada, but it's important that consumers
are treated... It sounds like an anomaly, and I'd be glad to step in and see
what we can do.
M. Lafrenière :
But to be honest with you, sir, I heard that numerous times, not only for that
person. I used to be police officer for numerous years, and this is the way
they've been answered. But I'm not going to get into details for that.
Une autre question pour
vous, M. Heft : Pour vos employés... vous faites une vérification
d'antécédents judiciaires à l'embauche de vos employés?
M. Heft (Joel) : Yes. I can tell you that, as an employee, I've gone through... I
mean, I was hired 23 years ago, I went through rigorous background checks then.
Our background checks are more rigorous today, way more rigorous than they were
then. I wouldn't be the right person to be able to walk you through, chapter
and verse, what that is, but I can tell you that we do put every employee
through substantial background checks.
M. Lafrenière :
Parfait. C'est fait à l'embauche. Est-ce que c'est fait périodiquement pendant
le travail? Est-ce que vous le refaites une fois que les employés travaillent
pour vous?
M. Heft (Joel) : I believe we do, yes.
M. Lafrenière :
Vous le croyez ou vous êtes sûr, M. Heft?
M. Heft (Joel) : I believe. I would be more than happy to get back to you with that,
I just... Again, it's not what I do day to day, so I'm doing my best to give
you a response. But I can't give you the chapter and verse on that, I just
don't know.
M. Lafrenière :
Parfait. Parce que la réalité fait en sorte que, des fois, on peut embaucher
une personne qui a un bon passé judiciaire, et, par la suite, il peut commettre
des actes criminels. Et je voulais savoir de quelle façon votre entreprise,
étant donné que vous êtes en lien avec de l'information très sensible... de quelle
façon on vérifie le passé de nos employés pour s'assurer qu'il n'y a pas
personne qui est accusé, exemple, de fraude. Parce que je pense que j'ai déjà
vu, dans une revue de presse, des cas d'employés d'Equifax qui ont été accusés.
M. Heft (Joel) : I'm not aware of those. I'm not doubting you, I'm just saying I'm
not aware of anywhere where an employee of Equifax <was...
M. Lafrenière : ...
employés pour s'assurer qu'il n'y a pas personne qui est accusé, exemple, de
fraude. Parce que je pense que j'ai déjà vu, dans une revue de presse, des cas
d'employés d'Equifax qui ont été accusés.
M.
Heft (Joel) :
I'm not aware of those.
I'm not doubting you, I'm just saying I'm not aware of anywhere where an
employee of Equifax >was accused of fraud.
Again, I'm not saying you're wrong, I'm just not aware of it. And it would be
surprising to me but I just... I'm not aware of that.
M. Lafrenière : That will be the end of my question, but I strongly suggest that
you will look into that. Thank you, sir.
M. Heft (Joel) : You have my absolute assurance.
M. Lafrenière : Thank you.
Le Président (M. Simard) :
Merci beaucoup, M. le député de Vachon. Mme la députée de Charlevoix—Côte-de-Beaupré.
Mme Foster : Bonjour. Merci
beaucoup de votre présence ici, aujourd'hui. Première question. Vous êtes
conscient que vous allez devoir offrir un service d'alerte au crédit à tous ces
clients de Desjardins. Il y a sûrement un bon nombre d'entre eux qui en ont
encore pour 50 ans à vivre. Est-ce que vous êtes prêts à cela, comme
organisation? Et quels moyens prenez-vous pour y faire face?
M. Heft (Joel) : Sorry. Can I get a translation of the question? I apologize. Can I get a
translation of that question?
Le Président (M. Simard) :
Alors, pourriez-vous, s'il vous plaît, Mme la députée, répéter votre question
pour assurer une traduction adéquate.
Mme Foster : O.K. Vous êtes
conscient que vous allez devoir offrir les services de clients Desjardins à
vie. Pour beaucoup de ces clients-là, ils en ont encore pour <50 ans...
>40, 50 ans à vivre. Donc, est-ce que vous êtes prêts à faire face
à cela, en tant qu'organisation? Et quels sont les moyens que vous prenez?
M. Heft (Joel) : O.K., I understand the question now, it's about providing service
for life, and some people will live another 40 or 50 years. What are we doing?
Is that the question?
Mme Foster : Oui, le volume
supplémentaire que ça va générer sur 40 ans.
M. Heft (Joel) : O.K. So, yes, I mean... So there's two offerings, one I can speak
to, one I really only know peripherally. The offering of the Equifax credit
monitoring service is for five years, and then it will expire. Now, to put that
in context, five years is above and beyond pretty much anything I've ever seen,
and I run... you know, I've been running this business for the last five years.
There's is a secondary offering that Desjardins is offering, and I can't speak
to the conditions surrounding that one. <So... >But ours is being
offered to those who take it for five years.
Le Président (M.
Simard) : Merci. Mme la députée, auriez-vous une autre question?
Mme Foster :
Est-ce qu'il y avait un moyen< de pouvoir>, pour Desjardins, de
pouvoir inscrire directement au service d'alerte de crédit les clients?
Pourquoi est-ce que ce sont les clients qui doivent impérativement faire la
démarche eux-mêmes de s'inscrire? Est-ce que le problème était de votre côté?
Qui a demandé quoi dans cette histoire-là? Pourquoi c'est le
consommateur qui doit faire les démarches fastidieuses pour s'inscrire au
service?
M. Heft (Joel) : That's actually a really good question, and thank you for asking
it. We've talked about this one a lot. So, the reason... there's a few reasons,
but number one, the worse thing you want to do, in a case of a data incident
like this, is allow a fraudster, a bad person to be able to get access to the
real person's credit file. Are you with me so far? Am I being clear so far?
Mme Foster :
Oui.
M. Heft (Joel) : O.K. So, part of what we do is, if you've ever had access to our
service, before you get access, you go through what's called authentication,
and authentication is a number of questions back and forth to assure that you
are really you. So, there are questions that you will answer to prove that you
are you. That's number one. Without authentication, we would run a big risk of
higher fraud because we wouldn't have any idea that the person getting the file
is actually the person they say they are.
• (15 h 30) •
The second reason is,
there's a consent aspect. Some people just don't want it, they don't want to
know about it. It's a personal choice. I don't agree with it. I have it, my
wife has it, my children have it, but there are people that do not want it. And
we, or any of our customers, wouldn't be in a position to force it to them
because, frankly, that would be taking their privacy rights of not wanting it,
so it's an <opt-in versus an opt-out...
>
15 h 30 (version révisée)
< M. Heft (Joel)T :
...and we or any of our customers wouldn't be in a position to force it to them
because, frankly, that would be taking their privacy rights of not wanting it.
So it's an >opt in versus an opt out.
Le Président (M. Simard) :
Mme la députée de Charlevoix, cela vous satisfait? M. le député de Saint-Jérôme,
il vous reste 3 min 40 s, cher collègue.
M. Chassin :
D'accord. Merci, M. le Président. Merci, M. Heft.
Dans votre rapport annuel — et
je cite — vous mentionnez : «We understand that credit reporting
agencies like Equifax have an important responsibility to protect the personal
data we hold.» Évidemment, vous n'êtes pas sans savoir que ce qui nous occupe aujourd'hui,
c'est un événement où un vol de données est survenu chez Desjardins. Et,
vous-même ayant été victimes d'une fuite de données en 2017, à quel point vous
sentez-vous aujourd'hui mieux outillés qu'en 2017 pour faire face à cette
réalité?
M. Heft (Joel) : That is
another really good question, and I thank you for asking that. When our CEO
presented in front of... I think it was a Senate committee about a year ago, he
laid out the $1,250,000,000 that we have spent or will spend from 2017 until
the end of 2021 to absolutely overhaul and, you know, strengthen every system
related to our business. We have put substantial time, substantial effort and a
tremendous degree of seriousness, professionalism and, frankly, the absolute
best talent available into meeting exactly the quote you just read me. So I thank
you for asking because, listen, everybody would wish it didn't have...
M. Chassin :
Au-delà des moyens...
M. Heft (Joel) : Sorry.
M. Chassin :
Let me say this in English. Do you feel confident that you've reduced
substantially the risk of another event like this?
M. Heft (Joel) : Thank you
for asking me in English. I feel incredibly confident that we have. And we're
on a path to being even better than we are today. But, yes, the answer to your
question is absolutely, yes.
M. Chassin :…ask for how long are you doing business in Québec or have you
been doing business?
M. Heft (Joel) : We have been
doing business in Québec... I will say that it's roughly 90 years.
M. Chassin :
So, basically, you have a 70% market share. You've been doing business in
Québec for a long time. Can you explain, sir, why Equifax struggles to provide <service
in English... >service in French, the only official language in Québec?
M. Heft (Joel) : Well, I
mean, there's two points in time that I'd like to give to be able to answer
your question. I've said in my opening comments that due to the overwhelming
response to the offering in the case we're talking about today, for a period of
time, we did not meet our incredibly high standards to service — let's
just use — the French canadians, Quebeckers, in French for that
period of time.
M. Chassin :
Well, do you feel that you will be able today to say that you will update at least
your Web site in French?
Le Président (M. Simard) :
Très bien.
M. Heft (Joel) : Absolutely,
yes.
Le Président (M. Simard) :
Merci.
M. Heft (Joel) : Now, to
finish my answer, though, if I can just finish, you know, for the period...
Le Président (M. Simard) :
No, sorry, sir.
M. Heft (Joel) : O.K.
Le Président (M. Simard) :
Nous allons changer. M. le député de Robert-Baldwin, à vous la parole.
M. Leitão : Très bien.
Merci beaucoup.
For the purposes of efficiency, I will
conduct our exchange in English so we can go a little faster, since our time is
limited. Just to check something quickly with you, you said you've been doing
business in Québec for nine years or 90?
M. Heft (Joel) : 90.
M. Leitão : 90.
M. Heft (Joel) :
Quatre-vingt-dix.
M. Leitão : 90 years, O.K.,
that changes things. Nine years, we could understand the difficulty in
providing services in French, but 90, well, it's quite a long time. But anyways.
You mentioned as well that, from June to October,
you increased the number of, you know, employees answering questions
from the citizens by 1,000%. That's fine, but what does <that…
M. Leitão :
...
you mentioned as well that, from June to October,
you
increased the number of, you know, employees
answering questions from the citizens by a 1,000%. That's fine, but what does >that translate into actual numbers of
people? You went from one to 10, you went from 10 to 100?
M. Heft (Joel) : No. <We've got... I don't have... >I'm going to give
you general because I don't have the exact numbers as of today in front of me,
but we've gone from approximately 40 to over 400.
M. Leitão :O.K.. Thank you.
M. Heft (Joel) : And the thing that I want to point out to you though...
M. Leitão :O.K., go ahead.
M. Heft (Joel) : Yes, sorry. Yes. I want to point out that again we have... I have
already apologized for the period of time post-Desjardins. But, if you want to
look at the 90 years of servicing any language in Canada through our consumer call centers, there has been... I mean, we
keep stats every minute of every day, as you can imagine. There has been
exemplary service up to the Desjardins breach. And, frankly, for a considerable
amount of time now… I could tell you that today, just today, we were answering…
and this has been for a least a month and a half, we have been answering French
and English calls in under five seconds. So, you know, it doesn't…
M. Leitão :O.K., thank you, thank you. Just on another issue, and, again, I'm sorry, I have to go quick
because our time is limited, but, on another issue, you say that one of the
services... Well, you offer several services, one of them being a notification,
credit monitoring, and all that. How do you communicate with people? Is it by
phone, by Internet? How is that done?
M. Heft (Joel) : If I could ask in what context because we do mail...
M. Leitão : In the context of Desjardins, so the five-year protection. If you
do notice there's something untowards in somebody's credit report, you contact
the citizen how, by phone, by Internet?
M. Heft (Joel) : By Internet so that it's real time.
M. Leitão :O.K., by Internet.
Of course, you're aware that not everybody has access to Internet, and particularly the more vulnerable people,
seniors, it's a bit more difficult, which brings me to my next question which was raised by one of my
colleagues just before. I propose to you that we should perhaps reverse the
process, in the sense that rather then being the citizens that contact you and
have to register, again I didn't quite follow the reasoning, why don't you deal
directly with the financial institution, Desjardins, so that Desjardins
will provide you with the necessary information for you to start the monitoring? Why do you have to have the
individuals contact you to register?
M. Heft (Joel) : Well… and the two answers I gave, I'll just summarize them quickly
because I know we're under the gun. Number one is for the security and the
protection of the consumers themselves, and number two is the product requires
consent. The consumer needs to consent. We're not even allowed to monitor their
file without their consent. So, as long as the Québec,
canadian privacy laws stay the way they are, the
consumer's consent is required for us to provide the service.
M. Leitão :O.K., which brings
me to another question, which
is, as I'm sure you know or, at least, I'm under that impression, the data that
you hold, in fact, is not yours. I mean, it's ours. It's my data. It's the
individual's personal information. You manage that data. So, again, how could we reverse the process
so that it's Equifax that monitors the situation, but only at the request of the individual, so, if somebody else
asks for some sort of a credit update, that will not be processed until and
unless the citizen approves?
M. Heft (Joel) : I understand that there's a parallel proceeding going on in the
province of Québec where
they're looking at the Credit Bureau. I'm not part of it. I have no, you know,
stake in it. But, you know, I think that that question
is a very good one, should be asked hopefully at that
level versus this one because I just… You know, I'm not in a position to
respond to that. All I know is that the way it stands...
• (15 h 40) •
M. Leitão : If that were to be decided by the <Legislature...
M. Heft (Joel)T :
...in it. But, you know, I think that that
question is
a very good one, should
be asked hopefully at that level versus this one because I just… You know, I'm
not in a position to respond to that. All I know is that the way it stands...
M. Leitão :
If that were to be decided by the >Legislature,
then, obviously, <you would… >for you, it wouldn't be, you know, a
technical problem to follow that instruction.
M. Heft (Joel) : Yes. It may be a security problem. But, you
know, these are all things that, I think, with the
fullness of time, we can discuss and have really fruitful and... I think the one
thing is, and I hear it in all of your voices, what we're all trying to do is
find the very best solution for impacted consumers. And so I think we all agree
on that. And I think that what you're raising is a very, very honest, very
solid, very well thought out thought that needs to be or should be vetted out
in a different forum.
M. Leitão :Thank you. One last
question from my side because I
want to clarify something that you said earlier and I want to make sur that we
all understand. One of my colleagues mentioned that a number of people affected
by the data breach at Desjardins are fairly young, and therefore they'll be around for a number of
years. The service you provide is for five years only. Is that correct?
M. Heft (Joel) : It's for five years from the day the person signs up, yes.
M. Leitão : Correct. What happens after? What happens on year six?
M. Heft (Joel) : In year six, our service would lapse. It would no longer be, you know, valid, unless the consumer
specifically liked it so much that they wanted to keep it up. But our
relationship with the consumer is for a five year term.
M. Leitão : And <I understand… >finally I understand that this
service is available, obviously, but for a price. <This is not... >You're
not providing these additional protection services free of charge. In this
case, it's Desjardins that is
paying for the five years. But, if a consumer wants to maintain the service
beyond five years, he would have to negotiate with you some sort of fee or
something?
M. Heft (Joel) : You are correct.
M. Leitão :O.K.Thank you.
Le Président
(M. Simard) :Mme
la députée de Saint-Laurent, je vous avise qu'il vous reste 2 min 44 s
Mme Rizqy : Pour ce qui est des scores de crédit, vous ne croyez pas que, pour
tous ceux qui sont affectés par Desjardins, par Capital One, que vous devriez peut-être revoir leur score de crédit parce que ça a un effet direct sur les prêts qui leur sont consentis puisqu'ils paient, par conséquent, lorsque
leur cote de crédit est diminuée, des montants d'intérêt supplémentaires?
M. Heft (Joel) : So let me play the question back. Will the consumer score be affected as result of the breach,
or Capital One breach, or Desjardins, or any breach? Was that the question?
Mme Rizqy : Any breach.
M. Heft (Joel) : Yes. No, I mean, it's hard to say without... Scores are very
complicated things for someone like me to explain just because I don't... You know, it's not what I do every day, but
they should…
Mme Rizqy : ...president of Equifax, you know that, right? And I think credit scores is something that is a core
business for you. And, when we have right now a woman who has two mortgages
that she never contracted and now she has to fight with Equifax to make sure
that that can go away, do you think this is fair?
And, in the meantime, if
I can go back, March 2017, you were first alerted that you had a breach. Back
in May, first data breach, and you went only public in September 2017. In the
meantime, you have three top executives who decided to sell their shares. For a
business who has 17 billion dollars at the stock market, I think you should
be aware what is your core business.
M. Heft (Joel) : Well, I'm aware of scores. What I would say is I don't know enough
about any particular individual because everybody's score is different. I don't
know anything... I don't know enough about any particular individual to be able
to respond to that question on
an individual basis. Will a person's credit score generally be affected by the
fact that they may have had a Capital One card and were part of the Capital One
breach? If the story stopped right there, the answer would be most likely no.
If bad stuff happened as a result of… it's not even any data breach, it's
anyone, then there is a chance that, you know, if somebody applies for credit...
Mme Rizqy : Excuse me. I have to reclaim my time because time is very limited. I'm
very sorry about that.
M. Heft (Joel) : Yes. Sorry.
Mme Rizqy : But we have people here, in Québec… lives are devastated because now they have to fight with Equifax
to just wash away all the mortgages that were wrongfully contracted. Do you
have a fast track to help all the Quebeckers who now have to fight to make sure that their credit score is back
to normal?
Le Président
(M. Simard) :Malheureusement, cela met fin à votre...
Mme Rizqy : That can… yes or no. A fast track?
M. Heft (Joel) : Well, if their...
Le Président
(M. Simard) :Très
bien. Nous allons devoir passer...
M. Heft (Joel) : Let me just answer. In the context of what we're talking about
today...
Le Président
(M. Simard) : Thank you, sir. Your time
is over.
M. Heft (Joel) : …if they are on a Desjardins product, they have restoration <services...
Mme Rizqy : ...
now have to fight to make sure that their credit score is back to
normal?
Le Président (M. Simard) :
Malheureusement, cela met fin à votre...
Mme Rizqy :
That can be answered by a yes or a no, a fast track.
M. Heft (Joel) :
Well, if their...
Le Président (M. Simard) :
Très bien. Nous allons devoir passer...
M. Heft (Joel) :
Let me just answer. In the context of what we're talking about
today...
Le Président (M. Simard) :
Thank you, sir. Your time is over.
M. Heft (Joel) :
... if they are on a
Desjardins
product, they have restoration >services.
Le Président (M. Simard) :O.K., thank you,
sir.Maintenant, je cède la parole au député de Gouin,
2 min 40 s
M. Nadeau-Dubois : Merci.
Bonjour, M. Heft. Permettez-moi de vous partager — je le ferais
si vous étiez ici en personne, je vais le faire même si vous êtes à distance — ma
déception à l'effet qu'Equifax, qui est censée être responsable de la
protection des données de maintenant plus de 4 millions de Québécois qui
ont été victimes de cette brèche de données... déçu, donc, qu'Equifax n'ait pas
jugé pertinent de nous envoyer quelqu'un ici en personne en mesure de répondre
avec précision aux questions des députés de l'Assemblée nationale du Québec.
Ceci étant dit, j'ai une question très
précise pour vous. Êtes-vous capable de me dire, à l'heure actuelle, combien il
y a d'employés dans vos bureaux de Montréal qui desservent l'ensemble du Québec
pour donner des services aux gens, aux clients de Desjardins qui ont été
victimes de la brèche de données dont nous discutons aujourd'hui?
M. Heft (Joel) :In the Montréal office specifically, I can't answer that question. I
do not know.
M. Nadeau-Dubois : Au
Québec?
M. Heft (Joel) :I can't... This is a question that we can certainly get from our
operations team, but I don't run that team. I don't have access to, you know,
those numbers. I apologize. I just don't know the answer to that question.
M. Nadeau-Dubois : Merci.
Lorsque Desjardins vous a fait part qu'ils avaient été l'objet d'un vol de
données, pouvez-vous nous expliquer pourquoi Equifax n'a pas simplement inscrit
une alerte de fraude sur le dossier de crédit des victimes? À ce que je sache,
c'est une démarche qui est gratuite et qui est obligatoire en vertu de la loi.
M. Heft (Joel) :Well, any consumer can call us and put a fraud alert on their file.
We couldn't put it on for them. They need to put it on themselves.
M. Nadeau-Dubois : Est-ce
que vous pouvez nous expliquer pourquoi, <quand les consommateurs... >quand
plusieurs consommateurs québécois tentent d'appeler, l'appel est redirigé vers
un centre d'appel situé en Inde?
M. Heft (Joel) :I'm interpreting that your question is : Why do people get an
agent that's located in India?
M. Nadeau-Dubois :
…the question.
M. Heft (Joel) : Yes. I know that we do have call centers, because we operate many
hours during the day, that are located in various jurisdictions and I would
gather that there is a possibility that some of the calls could be answered from
somebody located in India.
M. Nadeau-Dubois : Est-ce
que vous jugez que c'est sécuritaire dans le contexte actuel?
M. Heft (Joel) :Is it secure? Absolutely. Absolutely. <Those are...
>Any facility that is handling our consumers has to meet
our own security standards.
Le Président (M. Simard) :
Très bien. Merci. Je cède maintenant la parole au député de Jonquière.
M. Gaudreault : Oui.
Alors, merci beaucoup d'être avec nous, M. Heft.
Alors, moi, j'ai un gros malaise parce que
j'ai l'impression que plus il y a de fuites, plus c'est payant pour Equifax.
Alors, vous comprenez que, comme citoyen et comme consommateur, ça me cause des
problèmes parce que vous avez, comme entreprise, augmenté vos revenus de façon
incroyable cette année à cause, justement, de la multiplication des fuites de
données comme chez Desjardins ou comme chez Capital One. Par exemple, en sol
canadien, Equifax a récolté 39 millions de juillet à septembre dernier,
et, depuis janvier, la cagnotte s'élève à 114,9 millions de dollars. Donc,
plus il y a de fuites, plus c'est intéressant pour vous, alors que, moi, ce qui
m'intéresse, c'est vraiment la protection des données des citoyens, la
protection des données des consommateurs. Donc, parfois, j'en viens à me dire :
Est-ce que c'est la meilleure façon de protéger les données des consommateurs
de faire affaire avec des entreprises qui font de l'argent avec ce système-là?
Donc, c'est un genre de paradoxe que j'ai de la difficulté à m'expliquer.
Mais, quand même, vous êtes présents
partout à travers le monde. Avec votre expérience, êtes-vous capable de nous
donner des exemples des meilleures pratiques que vous avez vues, à travers le
monde, sur la protection des données personnelles, de l'identité numérique à
travers le monde? On s'attend toujours à des exemples venant de la Scandinavie,
là. Mais est-ce qu'il y a d'autres exemples à travers le monde qui peuvent nous
inspirer, nous, comme parlementaires, pour pouvoir modifier la loi, toujours
dans un souci de protection, d'abord et avant tout, des citoyens et des données
personnelles? Merci.
• (15 h 50) •
M. Heft
(Joel) : It's a great question. It's clearly
something that... As I have the opportunity to travel around the world, many,
many, many governments like <yours...
M. Gaudreault : ...la
loi,
toujours dans un souci de protection d'abord et avant tout des
citoyens
et des données personnelles? Merci.
M. Heft (Joel)
It's a great question. It's clearly something that... As I have the
opportunity to travel around the world, many, many, many governments like >yours are looking at and trying to, you know, figure out what
is the best way to protect the consumers, citizens. I'm not sure anybody... I
think <it's going to take... >it's really going to take a
concerted effort between government, business and consumers. I think you have
to have all three who really need to study this a lot harder and come up with a
solution that I haven't seen yet. I have not seen it yet.
Le Président (M. Simard) :
Très bien. Alors, M. Heft, je tenais à vous remercier d'avoir participé à
cette commission. Au revoir.
M. Heft (Joel) : Au
revoir. Merci beaucoup.
Le Président (M. Simard) :
Alors, voilà. Nous allons donc suspendre nos travaux, le temps de faire place à
nos prochains invités.
(Suspension de la séance à 15 h 51)
>
(Reprise à 15 h 56)
Le Président (M. Simard) :
Alors, très chers amis, à l'ordre, s'il vous plaît! Avant de reprendre nos
travaux...
Des voix
: ...
Le Président (M. Simard) :
À l'ordre, s'il vous plaît! Merci beaucoup. Alors, avant de reprendre nos
travaux, je tenais à souligner la présence dans cette salle d'un ancien parlementaire
qui a siégé ici très longtemps, qui a notamment été chef de l'opposition
officielle, M. Guy Chevrette. Soyez le bienvenu, monsieur.
Très bien. Alors, nous allons recevoir...
nous recevons, en fait, des représentants de la l'Association des banquiers
canadiens. Madame, monsieur, soyez les bienvenus. Auriez-vous d'abord l'amabilité
de vous présenter? Et vous savez que vous disposez d'une période de
présentation de 10 minutes.
Association des banquiers canadiens (ABC)
M. Prud'homme (Eric) :
Alors, bonjour. Permettez-moi de vous remercier pour cette occasion que vous
m'offrez aujourd'hui de m'adresser à vous. Alors, mon nom est Eric Prud'homme.
Je suis directeur général à la direction du Québec de l'Association des
banquiers canadiens. À mes côtés se trouve ma collègue Angelina Mason, avocate
en chef et vice-présidente des affaires juridiques à l'association des
banquiers.
L'association est la voix de 70 banques
membres, soit des banques canadiennes ainsi que des filiales et des succursales
de banques étrangères, exerçant des activités au Canada. Les banques, qui
emploient 275 000 personnes au Canada, dont près de 45 000 au
Québec, contribuent à l'essor et à la prospérité économique du pays. L'ABC, l'association
des banquiers, préconise l'adoption de politiques publiques favorisant le
maintien d'un système bancaire solide et dynamique, capable d'aider les
citoyens à atteindre leurs objectifs financiers.
Nous tenons à préciser que le Mouvement
des caisses Desjardins n'est pas membre de l'association des banquiers, étant
donné que l'association représente des institutions bancaires sous
réglementation fédérale, assujetties à la Loi sur les banques.
Les banques sont conscientes de la
confiance que les consommateurs leur accordent pour garder en sécurité les
dépôts ainsi que les renseignements personnels et financiers. Elles emploient
des équipes de professionnels hautement qualifiés en matière de cybersécurité
et de protection des données et investissent massivement dans la technologie et
les mesures de sécurité. Entre 2007 et 2017, les six plus grandes banques
canadiennes ont investi 84,5 milliards dans la technologie, dont une
grande partie en solutions destinées aux mesures de sécurité.
Malgré l'évolution soutenue des cybermenaces,
les banques maintiennent un excellent bilan en matière de protection de leurs
systèmes et de leurs clients. À titre d'institution financière sous
réglementation fédérale, les membres de l'association des banquiers sont déjà
assujettis à des exigences législatives et réglementaires strictes en matière
de cybersécurité et de protection des renseignements personnels. La protection
des renseignements personnels ayant toujours été une pierre angulaire des
activités bancaires, des mesures solides à cette fin font partie intégrante des
politiques et des pratiques des banques depuis longtemps.
Toutes les banques ont prévu une politique
en matière de renseignements personnels et ont nommé un responsable de la
conformité pour veiller à ce que cette politique soit respectée et que les
renseignements personnels des clients soient protégés et tenus à jour, comme
l'exige la Loi sur la protection des renseignements personnels et les documents
électroniques. Je vais y référer par la suite en utilisant l'expression «loi
fédérale».
• (16 heures) •
Alors, nous sommes d'avis que la loi
fédérale fonctionne bien. Elle a permis d'atteindre un bon équilibre entre la
protection des renseignements personnels d'un individu et l'usage légitime des
renseignements personnels par les organisations. Basée sur des principes et
technologiquement neutre, la loi fédérale <fournit...
>
16 h (version révisée)
< M. Prud'homme (Eric)T :
...alors, nous sommes d'avis que la loi fédérale fonctionne bien. Elle a permis
d'atteindre un bon équilibre entre la protection des
renseignements
personnels d'un individu et l'usage légitime des
renseignements
personnels par les
organisations. Basée sur des principes et
technologiquement neutre, la loi fédérale >fournit les dispositions
nécessaires pour encadrer les innovations, les nouvelles technologies et les
nouveaux modèles de gestion.
Dans les très rares cas de fuite de
données, les banques sont tenues de signaler certaines atteintes à la sécurité
mettant en cause des données personnelles au Commissariat à la protection de la
vie privée du Canada et d'aviser les personnes affectées par l'atteinte en
question ainsi que les organisations susceptibles d'atténuer les dommages
causés par l'incident. Dans l'avis aux personnes atteintes, les banques doivent
inclure suffisamment d'information pour permettre à ces personnes de comprendre
l'importance pour elles de l'atteinte et de prendre, si cela est possible, des
mesures en vue de réduire le risque de préjudice qui pourrait en résulter ou
d'atténuer un tel préjudice. Dans les cas où l'atteinte pourra produire d'importants
dommages, les banques surveillent les activités sur le compte afin de détecter
un piratage de renseignements personnels potentiel ou actuel et d'arrêter toute
activité non autorisée, le cas échéant. Par ailleurs, dans certains cas, les
banques indemnisent le titulaire du compte pour la perte de fonds due à des
opérations non autorisées. Également, les banques font appel aux agences de
crédit afin de réduire le risque de dommages.
Parallèlement, les banques sont
assujetties à l'obligation de signaler les incidents liés à la technologie et à
la cybersécurité établis par le Bureau du Surintendant des institutions
financières — «bureau du surintendant» pour la suite, c'est moins
long. Lorsqu'une institution financière sous réglementation fédérale fait face
à un incident lié à la technologie ou à la cybersécurité qui pourrait avoir des
conséquences importantes sur ses activités habituelles, elle est tenue de le
signaler au bureau du surintendant dans un intervalle de 72 heures. Aussi,
les banques doivent communiquer les mises à jour au bureau du surintendant à
mesure que de nouveaux renseignements deviennent disponibles, notamment au
sujet de leur plan de redressement à court et à long terme, et lui soumettre un
compte rendu sur les leçons apprises.
La cybersécurité et la résilience sont des
priorités collectives pour les banques. Il n'y a aucun avantage concurrentiel à
travailler individuellement. Avec l'augmentation des opérations effectuées
électroniquement, les réseaux et les systèmes deviennent de plus en plus
interconnectés, ce qui amplifie la collaboration entre les banques, les gouvernements,
les forces de l'ordre et d'autres secteurs. Aujourd'hui, au Canada, 72 %
des consommateurs utilisent principalement les services bancaires en ligne et
mobiles, une hausse par rapport aux 52 % d'il y a tout juste quatre ans.
Les banques ont activement participé aux
consultations du gouvernement fédéral qui ont mené au développement de la
Stratégie nationale de cybersécurité et appuient fermement la démarche intégrée
public-privé envers la cybersécurité et la cyberrésilience. Les banques
maintiennent leur collaboration avec les organismes gouvernementaux dans
l'échange de connaissances récentes, y compris le nouveau Centre canadien pour
la cybersécurité, et participent activement à des projets avec d'autres
organisations comme l'Échange canadien des menaces cybernétiques. Ces actions
favorisent grandement la collaboration entre les secteurs public et privé,
assurent la protection des consommateurs et, par conséquent, mènent à la
création d'un cyberenvironnement plus résilient et plus sécurisé.
Pour conclure, j'aimerais rappeler que les
banques attachent une grande importance à la protection des données
personnelles des citoyens. En effet, parallèlement à l'évolution rapide de la
technologie et à l'adoption des outils bancaires numériques par un nombre
croissant de consommateurs, les banques poursuivent leur recherche de solutions
technologiques susceptibles d'améliorer la protection des renseignements
personnels de leurs clients. Un simple exemple serait les solutions
d'identification et d'authentification numérique.
Je vous remercie pour votre temps. Nous
serons heureux de répondre à vos questions.
Le Président (M. Simard) :
Alors, merci beaucoup, cher monsieur. Je cède immédiatement la parole au député
de Rousseau.
M. Thouin : Merci. Bonjour,
Mme Mason, M. Prud'homme. Merci d'être ici aujourd'hui.
Évidemment, le dossier principal, là, à la
base de cette rencontre, c'est le dossier des fuites, là, chez Desjardins.
Donc, après que la fuite de données ait été rendue publique, Desjardins a réagi
rapidement en offrant à plusieurs de ses... plusieurs services à leurs clients.
Le plus connu de ces services-là et qui a été le plus discuté, c'est le service
de surveillance de crédit offert par Equifax. D'ailleurs, ils viennent de nous
en parler il n'y a pas si longtemps. Qu'est-ce que vous pensez de ce
service-là?
M. Prud'homme (Eric) :
Alors, moi, ce que je peux vous dire, c'est qu'au niveau de la cybersécurité,
ce qui est <important...
M. Thouin : ...à plusieurs
de ses... plusieurs services à leurs clients. Le plus connu de ces services-là
et qui a été le plus discuté, c'est le service de surveillance de crédit offert
par Equifax. D'ailleurs, ils viennent de nous en parler
il n'y a pas si
longtemps.
Qu'est-ce que vous pensez de ce service-là?
M. Prud'homme (Eric) :
Alors, moi, ce que je peux vous dire, c'est qu'
au niveau de la
cybersécurité, ce qui est >important, et c'est ce qu'on a dit à
l'Association des banquiers canadiens lors des consultations au niveau fédéral
sur la stratégie nationale en matière de cybersécurité, c'est le fait de
pouvoir partager et discuter avec tous les intervenants de l'écosystème
financier. Dans le domaine... Au niveau du secteur bancaire, ce sont des milliards
de dollars qui sont investis au niveau de la technologie, incluant les systèmes
de cybersécurité.
Donc, c'est le partage d'information, être
en mesure, justement, de pouvoir parler aux différents acteurs de la société,
qui évoluent dans le domaine de la cybersécurité et dans le domaine financier.
M. Thouin : Est-ce que, autre
que ce système-là qu'ils ont mis en place, là, de surveillance de crédit, là,
plus précisément, est-ce qu'il y a d'autres types de protection que vous auriez
proposé de mettre en place dans une des autres institutions, si ça arrivait?
M. Prud'homme (Eric) :
Alors, d'abord, moi, je dois vous dire une chose, là, c'est... La protection
des données personnelles, pour les banques, là, ça fait partie de leur ADN,
O.K.? Première chose.
Deuxième chose, dans mon entourage... moi,
je vis au Québec, je suis ici. Dans mon entourage, il y a beaucoup de personnes
proches de moi qui ont été touchées. Donc, on est très conscients de ça, et je
ne peux pas parler au nom de Desjardins. Je ne représente pas Desjardins,
Desjardins n'est pas une banque. Mais, moi, ce que je peux vous dire, ce que je
sais de l'industrie bancaire, c'est que tout est mis en place, justement, pour
que des choses comme ça ne puissent pas se produire.
D'abord, on a des mesures... on a des
systèmes d'alerte, O.K., au niveau... À partir du moment où un employé se
mettrait à tenter d'utiliser de l'information à laquelle il n'a pas accès, il y
a des drapeaux rouges qui vont se lever, puis on va agir automatiquement. Ça, c'est
une chose.
Maintenant, au niveau physique, il y a des
mesures physiques qui sont en place. Ce n'est pas tout le monde qui a accès aux
buildings où il y a de l'information sensible qui est entreposée. Ce n'est pas
tout le monde qui a accès aux équipements, en plus des systèmes, bien sûr, au
niveau de la technologie, les coupe-feux et ces choses-là, et l'information est
classée selon son niveau de sensibilité.
M. Thouin : ...M. Prud'homme,
je suis plus dans après. Tu sais, une fois que c'est arrivé, là, comment on
gère ça? Là, Desjardins a décidé de mettre ça dans les mains d'Equifax, mais
pourquoi ça n'a pas été géré à l'interne? Pourquoi ce n'est pas à l'interne
directement qui offre le service de protection, de surveillance du crédit, par
exemple?
M. Prud'homme (Eric) :
Bon, alors, écoutez, moi, encore une fois, je ne vais pas parler au nom de
Desjardins, je vais vous dire ce qu'il se fait dans l'industrie bancaire.
Je l'ai mentionné lors de notre
présentation, à partir du moment, dans le système bancaire, où il y aurait une
fuite de données ou un vol de données personnelles, on a l'obligation d'aviser
le Commissariat à la protection de la vie privée du Canada. O.K.? Et qu'est-ce
qu'on fait, à ce moment-là? On avise et puis on va aviser aussi les gens qui
ont potentiellement été touchés par ça. Maintenant, ces gens-là, dans le
système bancaire, bien sûr, s'ils n'ont pas partagé... qu'ils n'ont pas
participé à cette fuite de données là, sont indemnisés. On les accompagne, tous
les efforts sont mis, des employés et des banques, pour les soutenir dans ces
moments difficiles là. Encore là, je le rappelle, il y a des gens près de moi
qui ont été touchés ici par ces choses-là, donc je peux très bien comprendre
que ce n'est pas des situations faciles.
Et, oui, on va aussi avoir recours, dans
certains cas, aux bureaux de crédit pour suivre l'évolution des choses. Et
aussi, les comptes qui auraient pu être affectés, on va, en plus de tous les systèmes
qu'on a en place... il faut comprendre qu'on a des systèmes en place, là, c'est
plusieurs couches de systèmes de sécurité, une par-dessus l'autre. O.K.? Et,
excusez l'expression, là, mais c'est ça, et voilà, donc on est là... On est là
pour les consommateurs, et bien évident qu'on est là pour les consommateurs,
parce que les banques sont dans une relation à long terme et tout est basé sur
la confiance dans les relations avec les consommateurs.
M. Thouin : Dernière question
très rapide, facile, oui ou non. Donc, vous avez <écrit... vous avez >dit
tantôt que, dans des très rares cas de fuites de données dans notre système
bancaire, là, avec les banques à charte fédérale... Question : Est-ce que
Capital One est membre de l'ABC?
M. Prud'homme (Eric) :
Oui, Capital One est membre de l'ABC.
M. Thouin : Merci.
Le Président (M. Simard) :
Merci beaucoup. M. le député de Vanier.
M. Asselin : Merci, M. le
Président. M. Prud'homme, Me Mason, je suis quand même curieux de savoir,
si Desjardins avait été membre de l'ABC, auriez-vous réagi de la même façon que
Desjardins l'a fait?
M. Prud'homme (Eric) :
Alors, j'ai déjà un petit peu commencé à expliquer. Nous, au niveau fédéral,
là, la première chose, O.K., on parle... Vous parlez de fuites de données, c'est
bien ça?
M. Asselin : Oui, oui.
• (16 h 10) •
M. Prud'homme (Eric) :
O.K. Moi, je vais vous parler au niveau fédéral, O.K., qu'est-ce qu'il se passe
s'il y avait une fuite de données chez une banque.
Bon, d'abord, il faut informer — je
me répète, mais je vais le dire — le <commissaire...
M. Prud'homme (Eric) :
...j'ai
déjà
un petit peu commencé à expliquer. Nous,
au
niveau fédéral, là, la première chose,
O.K., on parle... Vous parlez de
fuites de données, c'est bien ça?
M. Asselin : Oui, oui.
M. Prud'homme (Eric) :
O.K. Moi, je vais vous parler au niveau fédéral, O.K., qu'est-ce qu'il se passe
s'il y avait une fuite de données chez une banque. Bon, d'abord, il faut
informer — je me répète, mais je vais le dire — le
commissaire... le >Commissariat à la protection de la vie privée du
Canada. On avise les personnes qui ont potentiellement pu être touchées...
M. Asselin : ...vous avez
l'impression que ça n'a pas été fait?
M. Prud'homme (Eric) :
Ah! ce n'est pas ça que je dis, là. Moi, je suis en train de vous expliquer, si
vous voulez... Alors, ça, c'est la première étape, commissariat. Il y a une
ligne directrice aussi, auprès du Bureau du Surintendant des institutions
financières, en ce qui concerne les incidents qui touchent les systèmes
technologiques ou de cybersécurité. Encore là, on est obligés... il faut agir
le plus tôt possible puis dans un délai maximum de 72 heures pour aviser
le Bureau du Surintendant des institutions financières. Et il faut prendre les
démarches, justement, pour ne pas que des choses comme ça se reproduisent. Mais
jamais on ne laisse tomber les clients dans le secteur bancaire. On est là, on
les accompagne et puis on les indemnise.
M. Asselin : Est-ce que
je peux prendre le risque de vous demander : Ce que vous venez d'entendre,
là, avant vous, comment vous trouvez ça?
M. Prud'homme (Eric) :
Bien, écoutez, d'abord, j'étais présent seulement pour quelques minutes. Alors,
moi, ce que je peux vous dire, ce qui est important, c'est qu'un exercice comme
aujourd'hui... puis c'est ça, la cybersécurité, c'est qu'on puisse écouter et,
comment dire, partager les meilleures pratiques entre les différents intervenants
du secteur bancaire.
Et, là-dessus, peut-être, je peux vous
dire que, nous, à chaque année, l'Association des banquiers canadiens... Vous
allez me demander : Mais qu'est-ce que vous faites, justement? Bien, on
essaie toujours d'être au-delà des systèmes les plus performants. Et on
organise un sommet sur la cybersécurité, avec des experts qui viennent de
partout, du monde entier, une journée complète où on fait un genre, excusez-moi
l'anglicisme, mais un genre de brainstorming sur les meilleures pratiques, les
meilleurs systèmes en place. Donc, c'est ça, on a tous un rôle à jouer dans
l'écosystème financier.
M. Asselin : Merci
beaucoup.
Le Président (M. Simard) :
Merci à vous, M. le député de Vanier. M. le député de Saint-Jérôme, il vous
reste 8 min 30 s
M. Chassin :
Est-ce que ce n'est pas le député de Vachon qui prenait la suite, M. le
Président?
Le Président (M. Simard) :
Alors, M. le député de Vachon, c'est parce que vous êtes le plus loin, hein,
puis j'ai de la difficulté à vous voir.
M. Lafrenière : Je suis
loin de vous, je m'excuse...
Le Président (M. Simard) :
Vous êtes trop petit. Alors, je vous laisse la parole.
M. Lafrenière : ...mais
très près de nos invités. Merci beaucoup, M. Prud'homme, Mme Mason,
merci d'être là aujourd'hui. J'ai quelques petites questions techniques. Lors
de votre présentation, vous avez parlé de l'échange d'information, puis je veux
vous amener là-dedans, puis je ne veux pas partir un débat Québec-Canada. Je
ferais plaisir à certains de mes amis ici. Ce n'est pas ça que je veux faire du
tout, mais je veux comprendre de quoi.
Vous m'avez parlé de l'information que
vous transmettez, que vous avez l'obligation de transmettre du côté canadien.
Qu'est-ce qu'il en est du côté du Québec? Est-ce que vous envoyez ça au centre
de <défense... de >cyberdéfense du gouvernement du Québec? Est-ce
que c'est partagé, à ce moment-là?
M. Prud'homme (Eric) :
On est de juridiction fédérale, là. Donc, nous, on va aviser le surintendant
des institutions financières, mais on va aviser aussi les intervenants
pertinents dans le secteur. Donc, je mentionnais... Entre autres, on travaille
avec les corps policiers. Donc, oui, on va informer les corps policiers.
M. Lafrenière : ...mais
pas le centre de cyberdéfense.
M. Prud'homme (Eric) :
Bien, on va travailler avec... au niveau, là... le centre d'échange de
cybermenaces, au niveau fédéral, bien, tout autre intervenant où on est en
mesure de transmettre de l'information. Ça peut être le Centre antifraude
aussi. <Peut-être... >Vous me faites penser, justement, au
niveau... dans le cadre <de nos... >des consultations, au niveau
fédéral, sur l'établissement d'une stratégie nationale au niveau de la
cybersécurité… On comprend aussi que, maintenant, au niveau de la Gendarmerie
royale du Canada, il y a une unité spéciale dédiée à la cybersécurité. Donc,
tout ça, c'est des choses positives qui sont en place, justement, pour que,
collectivement, on puisse étudier ces questions.
M. Lafrenière : Notre
temps est super limité. Je suis désolé, je vais y aller avec des questions
rapides, comme dirait quelqu'un, en rafale, un peu. Donc, vous le partagez du
côté canadien. Tantôt, vous nous avez dit que les caisses ne font pas partie de
votre association. Est-ce que vous partagez l'information avec les caisses
Desjardins?
M. Prud'homme (Eric) :
Bon, je reviens un peu au niveau... On va parler avec les différents secteurs,
différents joueurs clés du secteur financier. On va parler des grandes...
M. Lafrenière : ...précisément
Desjardins?
M. Prud'homme (Eric) :
Oui, on a des discussions sur les grandes tendances, sur qu'est-ce qu'il se
passe dans l'industrie financière, avec tous les intervenants. Desjardins est
un intervenant important au Québec.
M. Lafrenière : O.K. Puis
je comprends, quand vous nous avez parlé tantôt des sommets, tout ça, mais je
parle vraiment... Il arrive une crise, il y a une fuite de données du côté d'un
de vos membres, l'association des banquiers. Est-ce que cette information-là
que vous transmettez en 72 heures est transmise chez Desjardins et vice
versa?
M. Prud'homme (Eric) :
Bien, nos obligations sont de les transmettre au bureau, par exemple... au
Commissariat à la protection de la vie privée du Canada. Dans certaines circonstances,
ça touche les systèmes technologiques et la cybersécurité. Ça va être au Bureau
du Surintendant des institutions financières. Après ça, dans les limites
permises par la loi, on va transmettre des informations quand <on...
M. Prud'homme (Eric) :
...à la protection de la vie privée du
Canada. Dans certaines
circonstances,
ça touche les
systèmes
technologiques et la cybersécurité. Ça va
être au Bureau du Surintendant des institutions financières. Après ça, dans les
limites permises par la loi, on va transmettre des informations quand >on
le peut, quand c'est permis par la loi.
M. Lafrenière : Parfait. Et,
si je résumais ça, entre Desjardins du côté provincial puis l'association des
banquiers, il n'y a pas de transfert d'information. J'ai bien compris?
M. Prud'homme (Eric) :
On va avoir des discussions, on va avoir des dialogues, on va...
M. Lafrenière : Parfait.
Autre question pour vous.
Mme Mason
(Angelina) : Sorry, but can I assist? So there
are operational components of our association where we would share information
like that and we do share information like that with Desjardins.
What we have advocated
for, under the privacy legislation, is broader powers to allow us to share for
more than just fraud, but for financial crimes generally, to include
cybersecurity. We have also advocated for changes in the law that help support
more sharing in that context, in particular what we call a safe harbor, so that
when you share information in that context, you're protected, so you don't lose
privilege over documents that would otherwise be protected legally, so you're
not accused of misrepresentation because of a potential actor that may have turned
out not to be… a potential bad actor. But you are able to share in order to
protect against the cyber threats.
M. Lafrenière : Parfait. Merci
beaucoup. Tout à l'heure, vous nous avez parlé de meilleures pratiques que vous
partagez, justement, dans vos sommets, dans les rencontres. Pour les employés
du côté bancaire, on ne parlera pas de Desjardins du tout, mais, du côté
bancaire, j'imagine qu'il y a des vérifications d'antécédents qui sont faites
avant l'embauche.
M. Prud'homme (Eric) :
Oui, tout à fait.
M. Lafrenière : Est-ce
qu'il y en a qui sont faites pendant que l'employé est en entreprise?
M. Prud'homme (Eric) :
Oui. Après ça, il faut voir est-ce que ces personnes-là ont accès ou non, dans
le cadre de leur travail, à des informations confidentielles ou personnelles.
Mais oui, ça peut se faire, oui.
M. Lafrenière : Vous m'avez
répondu : Ça peut se faire.
M. Prud'homme (Eric) :
Non, non, mais ça dépend. Par exemple, <les gens qui... >tous les
gens qui sont en contact avec des données personnelles, c'est sûr qu'il y a des
vérifications en continu qui sont effectuées. On a des systèmes aussi de
sécurité en place, là, je ne les nommerai pas tous, là.
M. Lafrenière : ...
M. Prud'homme (Eric) :
C'est ça.
M. Lafrenière :
Comprenez-moi, la raison pour laquelle je vous pose ces questions-là, c'est
parce qu'on apprend du passé. Je viens d'une organisation où, en 2011, on a
vécu un grand bris de sécurité avec des vols de données, puis on sait que, par
la suite, ce qui a été dit, c'est que, justement, le danger, c'est qu'on
vérifie, on enquête beaucoup les gens avant qu'ils travaillent, mais, une fois
en poste, on les oublie un peu. Là, vous m'avez dit : On peut.
Je veux juste vous mettre à votre
attention que le danger, c'est d'avoir un employé pendant 20, 30 ans dans notre
entreprise, puis c'est rarement les plus récents, les plus jeunes qui le
font... Est-ce qu'il y a de la vérification qui se fait par la suite?
M. Prud'homme (Eric) :
Oui, tout à fait, il y a des vérifications en place. Et, je veux dire, la
protection de l'information confidentielle, c'est majeur. Peut-être, ma
collègue voudrait compléter.
Mme Mason
(Angelina) : It's a multilayered approach. So
part of it is the background check, part is how you train your employees,
including monitoring their activities. So it's not simply checking of their
character, but also having checks and balances on what types of activities
they're conducting. So, if you're conducting transactions and there's something
unusual... you normally touch 10 to 15 accounts in a day, all of a sudden,
there's a hundred accounts, there's flags for that. There's also physical types
of monitoring, whether it's cameras in the branch or if you go to certain
elements of our facilities, you can't even bring a device in with you. So, if
you're in some of the most sensitive areas where information is stored, you're
not even able to take a device in with you. So there's a range of different types
of checks and balances to ensure that, if there's any unusual activity, we
detect it.
Le Président (M. Simard) :
...cher collègue.
M. Lafrenière : Oui,
rapidement. Donc, j'ai bien compris qu'il y a de la journalisation qui se fait
des recherches qui sont faites dans vos bases de données.
M. Prud'homme (Eric) :
Oui. Comme ma collègue l'a expliqué, c'est qu'il y a différents niveaux, et
tout ça, c'est imbriqué ensemble.
M. Lafrenière : En
terminant, rapidement, il ne reste pas beaucoup de temps, on a parlé tantôt de
supposition de personne, de vol d'identité. Vous avez entendu ce qui nous a été
dit tout à l'heure, comment on peut aider ces gens-là qui sont victimes de vol
d'identité. Ils doivent se présenter et retrouver leur crédit. On sait que c'est
très difficile, ça prend plusieurs heures. De quelle façon les banques aident,
justement, les victimes de vol d'identité?
M. Prud'homme (Eric) :
Bien, tout à fait. Écoutez, moi, je vais vous parler au nom de l'Association
des banquiers canadiens. On a écrit, justement, un livre blanc sur
l'identification numérique et on supporte un système fédéré d'identification
numérique à travers le Canada. Donc, tant le gouvernement fédéral que les gouvernements
provinciaux, comme vous le savez, détiennent des informations. Au niveau
fédéral, c'est pour les passeports, par exemple, c'est... et, au niveau
provincial, c'est les permis de conduire, le numéro... au niveau fédéral, le
numéro d'assurance sociale. Et, dans le secteur privé, on a en place des
systèmes très solides d'identification numérique. Donc, les banques, donc, par
exemple...
• (16 h 20) •
M. Lafrenière : ...question
très <précise.
M. Prud'homme (Eric) :
...et
au niveau provincial, c'est les permis de conduire, le numéro
de...
au niveau fédéral, le numéro d'assurance sociale. Et, dans le
secteur privé, on a en place des
systèmes très solides d'identification
numérique. Donc, les banques, donc,
par exemple...
M. Lafrenière : ...
question
très >précise. Une personne qui s'est fait voler son identité, qui se
présente dans une banque, pour retrouver son score de crédit, vous allez
l'aider?
M. Prud'homme (Eric) : Bien
sûr. Bien sûr, on est dans une relation basée sur la confiance et à long terme,
et donc c'est au coeur de...
M. Lafrenière : Je vous
ai bien entendu, mais vous savez que, dans les recherches qui ont été faites
sur le «dark Web», il y a aussi des données de banques canadiennes qui ont été
trouvées, hein? Vous n'êtes pas à l'abri de ça, vous le savez aussi?
M. Prud'homme (Eric) :
Même le gouvernement...
Le Président (M. Simard) :
Peut-être en conclusion. Merci.
M. Prud'homme (Eric) :
...n'est pas à l'abri des...
Le Président (M. Simard) :
Merci beaucoup. Merci. Mme la députée de Saint-Laurent, à vous la parole.
Mme Rizqy : On va
continuer sur la même lancée si vous le permettez. Une personne qui se fait
voler ses données chez Desjardins, qu'un prêt hypothécaire est contracté chez Banque
Nationale, un prêt auto à Banque de Montréal, concrètement, qu'est-ce qu'il
arrive? Comment vous l'aidez? À part le livre blanc, là, comment vous l'aidez
pour rétablir son score?
M. Prud'homme (Eric) :
Alors, bien, d'abord, ce qui est important, là... ma collègue a mentionné que,
quand... il doit y avoir de l'échange d'information, et il y en a, tant que
c'est permis par la loi, justement. Et, nous, justement, à l'Association des
banquiers canadiens, on a mis de l'avant qu'il devait y avoir des possibilités,
par exemple, pour élargir à certains niveaux la législation pour permettre à
bien lutter au niveau de la cybercriminalité contre les crimes financiers qui
pourraient arriver.
Mme Rizqy : Ce n'est pas
une question de lutter, faire de la prévention. La question du député de
Vachon, vous avez répondu que, oui, vous l'accompagnez, vous avez parlé d'un
livre blanc.
Moi, je vous pose la question suivante
avec un cas concret : Si on a une personne qui est chez Desjardins, s'est
fait voler son identité, par la suite, deux prêts ont été contractés à son nom.
Elle habite au Saguenay, elle veut blanchir son dossier de crédit. Vous avez
répondu : Oui, on l'accompagne. Concrètement, vous l'accompagnez comment?
Parce qu'en ce moment elle se trouve pas mal seule, la dame en question.
M. Prud'homme (Eric) :
Bon, bien, écoutez, d'abord, tout ce qui est fait à l'intérieur d'une banque
puis dans les limites, bien sûr, de ce qui est permis par la législation, ça va
être fait, justement, parce qu'on est dans une relation à long terme. On veut
garder ces clients-là et on va les accompagner dans la... justement, aussi, en
travaillant avec des bureaux de crédit. Tout est fait, et on a des services de
sécurité corporative. Il y a des politiques en place, dans chacune des banques,
au niveau de la protection des données personnelles. Il y a des mesures qui
sont en place, justement, pour pouvoir accompagner ces gens-là.
Mme Rizqy : Si je vous
soumets respectueusement la solution suivante : Si on a des gens qui sont,
par exemple, identifiés chez Desjardins, que leurs dossiers ont été volés et
que, par la suite, ces gens-là vous le disent, là, à vous, l'ABC, qui regroupe
70 différentes institutions financières : Mon dossier a été volé, pourquoi
vous n'avez pas mis en place une mesure accélérée de traitement qui permet
d'automatiquement blanchir et d'éliminer les prêts qui ont été contractés,
surtout lorsque la personne cogne aux banques puis dit : Voici le rapport
de police?
M. Prud'homme (Eric) :
Alors, moi, je peux vous parler de ce qu'on fait à l'Association des banquiers
canadiens. On n'est pas directement au niveau des opérations, mais c'est une
très bonne question. Tout ce qui touche aussi à l'éducation financière, la
littératie financière pourrait aider aussi les gens à bien comprendre. Donc,
deux fois par année, deux fois... non, mais c'est important, on est...
Mme Rizqy : Je comprends,
mais, monsieur, la littératie numérique, je sais parfaitement c'est quoi. C'est
superbien, j'en suis puis je suis moi-même professeure, j'adore la pédagogie. Mais,
maintenant, on est le après, et, dans le après, c'est vrai que, dans le vol de
données, ce ne sera pas tout le monde qui aura un vol d'identité. Là, j'arrive
de façon beaucoup plus spécifique, le vol d'identité, où est-ce que, là, la vie
bascule pour ces gens. Et c'est pour ça que...
M. Prud'homme (Eric) : ...oui,
ce n'est pas des situations faciles.
Mme Rizqy : Là, je
comprends qu'il y a un livre blanc, mais il n'y a pas véritablement un
accompagnement pour blanchir le dossier, pour permettre rapidement, de façon
accélérée, avec un rapport de police... Puis moi, je pense que, probablement,
ça pourrait être une mesure, à l'avenir, qu'on pourrait voir avec vous,
d'appliquer... parce que, sinon, les gens se retrouvent avec des délais
déraisonnables et des scores de crédit qui sont grandement affectés et qui, par
la suite, lorsqu'ils vont vouloir contracter un prêt hypothécaire, bien, soit
qu'ils ne l'auront pas, soit ils vont le payer trop cher.
M. Prud'homme (Eric) :
Moi, je peux vous dire qu'il y a des mesures en place, justement, puis les
employés de banque sont présents, sont formés, puis ils vont accompagner les
personnes qui vivent des situations difficiles. On le fait sur une base... à
d'autres niveaux, là, pas nécessairement en matière de vol d'identité, mais... Oui,
oui, mais on le fait aussi au...
Une voix
: ...
M. Prud'homme (Eric) :
Non, non, mais on le fait au niveau des vols d'identité, mais on le fait aussi
au niveau... lorsque les gens, dans leur situation, leur vie quotidienne, ils
ont des situations plus difficiles, on va les écouter puis on va mettre en
place des solutions pour rencontrer leurs besoins du mieux possible. Peut-être
que ma collègue voudrait ajouter quelque chose?
Mme Rizqy : Bien, j'ai
compris votre réponse. Je vais passer, puisque le temps passe très rapidement...
<Vous avez... >Ça peut arriver, auprès de vos institutions
financières, évidemment, le vol interne par des employés. C'est quelque chose
que vous faites face <très...
M. Prud'homme (Eric) :
...des solutions pour rencontrer leurs besoins du mieux possible.
Peut-être
que ma
collègue voudrait ajouter
quelque chose.
Mme Rizqy : Bien, j'ai
compris votre réponse. Je vais passer, puisque le temps passe très rapidement...
Vous avez... Ça peut arriver, auprès de vos
institutions financières,
évidemment, le vol interne par des employés. C'est
quelque chose que
vous faites face >très souvent. Est-ce que vous rapportez tous les
crimes dans une dénonciation policière ou il arrive que les crimes ne soient
pas rapportés et, par conséquent, pas comptabilisés?
M. Prud'homme (Eric) : Bien,
on travaille avec les forces policières puis on va rapporter... Quand il y a un
crime, c'est rapporté aux forces policières. Et, d'abord, on travaille à plusieurs
niveaux...
Mme Rizqy : Est-ce que la
dénonciation policière va être devant les tribunaux ou... Justement, est-ce que
vous allez dans une procédure publique ou pas?
M. Prud'homme (Eric) :
Peut-être, ma collègue voudrait compléter... juste pour la traduction, le temps
que ça se rende.
Mme Mason
(Angelina) : ...will engage the authorities
where appropriate, if you're talking about a theft. And we also... obviously,
if there's any real risk of significant harm to individuals, we will notify
them directly. When we're talking about assisting individuals who have suffered
because of...
Mme Rizqy : This is not my question. …my question back then but now my current question is : When you identify an employee who commit a wrongful
action, when you go to the police, do you go after that public, do you go and
press charges or sometimes you don't do it?
Mme Mason (Angelina) : I believe, in most cases, it would be... you involve the police. Whether
or not it's followed through on is another question, but we definitely take measures.
Mme Rizqy : ...without follow through on, with that respect, is that not your responsibility to make sure there's going to be a follow-up with
that? Because if we don't press charges, what's going to happen, is that the
track that we have, the records that are going to show up is maybe that we
don't have current numbers for the task force to see if we have enough people
working against all the identity theft inside of the bank.
Mme Mason (Angelina) : I can say that we have shared volumes of information with the
authorities. We do... as part of our association, we share information about
fraud and about varied ranges of crimes and we share with the appropriate
authorities, RCMP and others. We have been involved in multiple task forces,
identifying when there has been identify theft fraud by organised crime. We
have worked collaboratively with the RCMP on these initiatives. We
definitely take measures to endeavor, to have these people prosecuted.
M. Prud'homme (Eric) :
Tout est fait, justement, pour ne pas que ces situations comme ça se produisent,
et, quand ça se produit, on travaille avec différents intervenants, tant les
corps policiers et, justement, on trouve la meilleure approche, la meilleure
solution pour que ces choses-là ne se reproduisent pas. Nos systèmes de
sécurité sont en constante évolution, et ça comprend aussi ce dont vous parlez.
Mme Rizqy : Oui, parfait,
mais c'est juste qu'on a certains experts qui mentionnent que ce n'est pas tous
les crimes à l'intérieur des banques qui sont commis par certains employés,
qu'on retrouve par la suite sur la place publique. Et là ça fait en sorte que
c'est un peu ce qu'on appelle un «catch-22». C'est que, si on n'est pas devant
un tribunal, on ne sait pas nécessairement combien de fois une banque s'est
fait frauder à l'intérieur, qui s'est fait voler à l'intérieur, peu importe le
montant, peu importe le nombre de dossiers. Ça fait en sorte que, par la suite,
on ne peut pas prendre des mesures adéquates pour savoir si, oui ou non, on a assez
de policiers qui travaillent en matière de fraude.
Puis je vais continuer sur une autre
affaire, j'aimerais maintenant parler du ratio assurance. Vos banques, quel est
le ratio d'assurance en termes... par exemple, Banque de Montréal, Banque
Nationale, est-ce que vous savez si elles sont proprement assurées pour tous
les vols de données, conformément à ce qu'il arrive maintenant aux États-Unis?
M. Prud'homme (Eric) :
Moi, je peux répondre du point de vue d'un consommateur. Un consommateur qui
serait victime d'un vol, qui aurait... disons, à l'intérieur d'une banque, s'il
y avait, justement, une fuite de données, et un consommateur serait impacté,
cette personne-là serait indemnisée.
Mme Rizqy : ...je ne vous
demande pas si, par exemple, jusqu'à 100 000 $, un compte bancaire...
Ça, c'est correct. Je vous demande en matière de poursuite. Habituellement, il
y a des gestions de risque qui doivent être faites, les banques doivent
contracter des assurances pour la gestion de risque. Quel est le ratio
d'assurance en ce moment? Est-ce qu'on parle de 200 millions,
300 millions?
Puis je vous donne un ordre d'idée de
grandeur. Dans le cas de Marriott, ils ont payé 162 millions d'amendes; dans
le cas de Facebook, 500 millions; Equifax, 700 millions de dollars
US. Alors, moi, je me pose la question, lorsque vous vous réunissez une fois
par année, est-ce que vous parlez de la gestion de risque? Parce que c'est...
Présentement, le plus gros risque, c'est ça, c'est les risques de poursuite.
Aujourd'hui, Desjardins fait face à 4,8 milliards de recours collectifs.
Moi, je me demande si nos banques sont assez assurées.
• (16 h 30) •
M. Prud'homme (Eric) :
Bien, moi, je vous dirais... Vous parlez de gestion de risque. Bien sûr, j'ai
parlé de certaines lignes directrices du Bureau du Surintendant des
institutions financières. Il y en a plusieurs, lignes directrices, et la
gestion du risque, c'est au coeur aussi des opérations bancaires. Bien sûr, c'est
un enjeu, la gestion du risque. Il y a des <discussions qui ont lieu
entre...
>
16 h 30 (version révisée)
<17883
Mme Rizqy :
...de recours collectif. Moi, je me demande si nos banques sont assez assurées.
M. Prud'homme (Eric)T :
Bien, moi, je vous dirais... vous parlez de gestion de risques. Bien sûr, j'ai
parlé de certaines lignes directrices du Bureau du Surintendant des
institutions financières, il y en a
plusieurs lignes directrices, et la
gestion du risque, c'est au coeur aussi des opérations bancaires, bien sûr, C'est
un enjeu, la gestion du risque. Il y a des >discussions qui ont lieu
entre la haute direction, les conseils d'administration, les hauts dirigeants.
Donc, c'est au coeur, la gestion du risque. Il y a même, vous le savez
sûrement, <il y a >une ligne directrice sur la bonne gouverneure
de l'entreprise.
Mme Rizqy : Et quel est
le montant que vous suggérez à vos banques pour être assurées?
Mme Mason (Angelina) :…into the particular insurance profiles of any particular member. I
can tell you that cybersecurity is a significant risk that our banks manage in
consultation with the Superintendent of financial institutions. They deal with
everything from the resiliency of the bank, how they would manage if there was
to be an incident, table tops, you name it. They go... they apply significant
efforts in this area to ensure that this risk is properly managed. And I would
come to the fact that this is not a risk that is isolated to the banking industry,
this is a risk to society, both governments, you're dealing with it across sectors, which is why I just want
to take a moment to say, We have been in this area, ahead of… leaders in this
space...
Le Président (M. Simard) :
Très bien.
Mme Mason (Angelina) : ...and we've been advocating for cybersecurity standards.
Le Président (M. Simard) :
Merci, madame.
Mme Mason (Angelina) :
Yes. Thank you.
Le Président (M. Simard) :
Merci, beaucoup. M. le député de Gouin.
M. Nadeau-Dubois : Merci,
M. le Président. Bonjour, M. Prud'homme et Mme Mason. J'ai peu de
temps, ça fait que je vais vous demander de faire des réponses brèves dans la
mesure du possible.
Vous avez répondu, tout à l'heure, à une
question d'un collègue en confirmant que Capital One est membre chez vous.
Vous n'êtes pas sans savoir que cette institution-là a fait face assez
récemment à une fuite de données importantes, 6 millions de Canadiens
touchés. On parle de noms, d'adresses, de numéros de téléphone, courriels,
revenus, dates de naissance, cotes de crédit, soldes bancaires, et, dans
1 million de cas, les numéros d'assurance sociale. Qu'est-ce que votre...
qu'est-ce que Capital One a fait ou a pris comme mesures pour protéger ces
gens-là par la suite?
M. Prud'homme (Eric) :
D'abord, moi, je vais vous parler au nom de l'industrie en ce qui concerne...
dans l'ensemble de l'industrie, qu'est-ce qu'il se fait à partir du moment où
il y aurait une fuite d'information qui est détectée. D'abord, c'est sûr, comme
je l'ai mentionné tantôt, ce n'est vraiment pas facile quand une situation
arrive sur le plan personnel, ce type de situation là, puis on en est très
conscient. Encore une fois, il faut comprendre que ces choses-là, c'est hyper
malheureux quand ça arrive, mais ça arrive dans différents secteurs aussi.
Alors, nous, comme association, on a participé aux consultations au niveau du
gouvernement fédéral, et on échange aussi de l'information avec le Centre
canadien de cybersécurité , justement, qui réunit plusieurs experts dans le
domaine de la cybersécurité, justement, pour qu'on développe au niveau
pancanadien d'un solide système d'écosystèmes pour tout protéger.
M. Nadeau-Dubois : Que
font vos membres concrètement pour aider concrètement leurs clients qui,
concrètement, font face... sont victimes d'une fuite de données comme celle-là?
M. Prud'homme (Eric) :
Bon, à partir du moment où y a une fuite de données qui serait détectée, il y a
un suivi, un monitoring, excusez-moi, là, qui est fait des comptes qui pourraient
être affectés. Donc, on a toujours des équipes de spécialistes qui travaillent
sept jours sur sept, 24 heures sur 24 à faire des suivis. Ma collègue a
mentionné, justement, si jamais on détecte des activités qui sortent de
l'ordinaire, il y a des drapeaux rouges qui sont levés à ce moment-là, il y a
des actions précises qui sont prises, et on va accompagner et on va indemniser
les gens qui pourraient être touchés dans ces situations-là.
Le Président (M. Simard) :
En conclusion.
M. Nadeau-Dubois : Vous
redonnez l'argent, mais les données, elles, quelle responsabilité est-ce que vos
membres assument <pour ce qui... >en ce qui a trait à la portion
des données qui, elles, sont en circulation?
M. Prud'homme (Eric) :
Bien, s'il faut, on va travailler avec des bureaux de crédit pour, justement,
faire un suivi sur une... si jamais il y avait une utilisation de ces
données-là.
Le Président (M. Simard) :
Très bien. Merci, monsieur. M. le député de Jonquière.
M. Gaudreault : Merci.
Merci beaucoup de votre présence. La fuite concernant Capital One, qui est
un nouveau membre, concerne 106 millions de clients aux États-Unis...
bien, la source, c'est-à-dire, de la fuite viendrait aux États-Unis, mais, sur
ces 106 millions, il y a en 6 millions qui seraient des Canadiens.
Comment on gère ça entre deux législations, là, complètement différentes, la législation
américaine, la législation canadienne? On a des gens qui vivent au Québec aussi.
Je vois que, dans vos membres, vous avez la Banque de Chine, il y a des
institutions internationales, alors là, les règles ne sont pas les mêmes, là.
Et la source de la fuite vient des États-Unis, mais pourtant il y a des clients
canadiens.
M. Prud'homme (Eric) :
Bien, dans... Oui?
Une voix
: ...
M. Prud'homme (Eric) : Ah!
vas-y. Je vais laisser ma collègue répondre.
Mme Mason (Angelina) :Regardless of where the information is housed, the fact that it <is…
M. Gaudreault : ...il y
a des institutions internationales, alors là, les règles ne sont pas les mêmes,
là. Et la source de la fuite vient des États-Unis, mais pourtant il y a des
clients canadiens.
M. Prud'homme (Eric) :
Bien, dans... Oui?
Une voix
: ...
M. Prud'homme (Eric) :
Ah! vas-y. Je vais laisser ma
collègue répondre.
Mme Mason (Angelina) :
Regardless of where the
information
is housed, the fact that it >is
Canadian... that these are consumers in Canada, the legislation of
PIPEDA applies. So, our banks are accountable, so they're responsible for ensuring
for the security of that information and ensuring our laws are followed with respect to notifying
individuals and ensuring that they have the appropriate information if there is any real risk of
harm. And that's what happens in these cases. So, even though the breach
happened in the US, notification procedures in all laws of Canada applied in that circumstance.
M. Gaudreault : C'est
vrai. Mais, si on veut être capable de mieux protéger les données personnelles
des clients, on a des institutions maintenant qui sont internationales... je
comprends qu'il peut y avoir des procédures après, une fois que la fuite est
arrivée, mais, si on veut agir en amont, est-ce qu'il y a des solutions qui se
posent ou des instances internationales qui peuvent être interpelées?
M. Prud'homme (Eric) :
Bien, l'Association des banquiers canadiens, on est membres de différentes organisations
au niveau international où il y a des forums de discussion sur différents
sujets qui touchent l'industrie bancaire, justement, pour rester à l'affût tant
au niveau international que canadien, bien sûr, de qu'est-ce qu'il se fait en
termes de meilleures pratiques.
M. Gaudreault : Merci.
Le Président (M. Simard) :
Merci. Merci à vous, M. le député de Jonquière. Alors, sur ce, nous vous
remercions beaucoup pour votre présence parmi nous.
Nous allons suspendre temporairement nos
travaux afin de faire place à l'Office de la protection du consommateur.
(Suspension de la séance à 16 h 37)
(Reprise à 16 h 39)
Le Président (M. Simard) :
À l'ordre, s'il vous plaît! Nous allons reprendre nos travaux. Alors, mesdames,
monsieur, bienvenue. Auriez-vous d'abord l'amabilité de vous présenter? Et vous
savez que vous disposez d'une période de 10 minutes pour votre exposé.
Office de la protection du consommateur (OPC)
Mme Champoux (Marie-Claude) :
Alors, bonjour. Mon nom est Marie-Claude Champoux. Je suis présidente de l'Office
de la protection du consommateur. Laissez-moi vous présenter ceux qui
m'accompagnent : d'abord, Mme Marjorie Théberge, la vice-présidente à
l'office, de même que Me André Allard, directeur des affaires juridiques à
l'office également. En fait, j'aurais dû dire Me Marjorie Théberge.
Alors, je vous remercie de l'invitation
qui nous a été lancée. En tant que présidente de l'Office de la protection des
consommateurs, je ne peux demeurer insensible à la situation des millions de Québécois
touchés par la fuite de renseignements personnels chez Desjardins.
• (16 h 40) •
La protection des renseignements personnels
est, de toute évidence, un sujet qui préoccupe l'office, bien qu'il ne fasse
pas partie de sa mission première. C'est en effet la Commission d'accès à
l'information qui assume cette responsabilité. Malgré <tout...
Mme Champoux (Marie-Claude) :
...je ne peux demeurer insensible à la
situation des millions de
Québécois
touchés par la fuite de renseignements
personnels chez Desjardins.
La
protection des renseignements
personnels est, de toute évidence, un sujet qui préoccupe l'office, bien
qu'il ne fasse pas partie de sa mission première. C'est
en effet la
Commission
d'accès à l'information qui assume cette
responsabilité. Malgré >tout,
au bénéfice des consommateurs, l'office agit de manière préventive en matière
de protection des renseignements personnels, et je peux vous dire qu'on
intensifiera nos efforts. On envisage d'insister sur le message de vigilance
qui suit, très général mais tout de même essentiel : Il faut éviter de
donner des renseignements personnels quand ce n'est pas nécessaire. D'ailleurs,
ce matin, l'office a modifié son site Internet afin que la section Protection
des renseignements personnels soit visible sur sa page d'accueil afin d'en
faciliter l'accès.
L'office profite d'une excellente
notoriété auprès de la population québécoise. Les consommateurs se tournent
vers l'organisme pour des sujets qu'il ne couvre pas, dont, parmi tant d'autres,
la protection des renseignements personnels. L'office se sert ainsi des
tribunes dont il dispose pour véhiculer des messages préventifs dans les médias
ou dans son site Web, entre autres. D'ailleurs, dans son site, l'office invite
déjà les consommateurs à protéger leur numéro d'identification personnelle, le
NIP, de leur carte de crédit. On les incite à vérifier si leur dossier de
crédit contient des renseignements exacts et à jour. On les prévient aussi de
se méfier des courriels provenant supposément d'une institution financière dans
lesquels l'expéditeur demande des renseignements bancaires ou personnels. Ce ne
sont ici que quelques exemples.
Je signale au passage que la Loi sur la
protection du consommateur prévoit, selon les circonstances, une exonération ou
une limite de responsabilité pour le consommateur en cas d'utilisation non
autorisée de sa carte de crédit par un tiers. On peut ici penser à une fraude,
au vol ou à la perte d'une carte. Cette protection a très certainement sauvé
bien des gens de malheurs. En revanche, elle ne s'applique pas lorsqu'il est question
d'une nouvelle carte de crédit qui aurait été obtenue par un tiers malveillant
au nom du consommateur avec des renseignements personnels obtenus illégalement.
Je poursuis en vous parlant de la Loi sur
la protection du consommateur, l'une des quatre lois dont l'office est
responsable. Elle régit les relations entre les consommateurs et les
commerçants, entre autres, en matière de crédit. Une importante partie de cette
loi touche en effet les contrats de carte de crédit, de marge de crédit, de
prêt d'argent, de vente à tempérament, etc.
Une fuite de données, quelle qu'elle soit,
peut ultimement, dans les situations les plus critiques, se traduire par un vol
d'identité. Je ne vous apprends rien ici. Et le vol d'identité a des
conséquences majeures dans la vie du consommateur, car il peut entraîner des
inscriptions à son dossier de crédit qui lui sont défavorables, des
transactions faites en son nom par une autre personne; c'est assez
catastrophique, vous en conviendrez.
On peut se demander quelles sont les
conséquences d'un vol d'identité. On en connaît plusieurs. Elles sont
nombreuses. Ce qui nous préoccupe particulièrement à l'office, ce sont les
traces qui se répercutent dans le dossier de crédit du consommateur. Pourquoi? Parce
que le dossier de crédit, c'est un élément central dans la vie d'un consommateur.
Concrètement, une note défavorable peut grandement lui nuire s'il demande une
carte de crédit, s'il veut emprunter de l'argent ou s'il souhaite profiter d'un
plan de financement. Mais ce n'est pas tout. Une note défavorable au dossier de
crédit d'une personne peut aussi lui nuire dans plusieurs sphères de sa vie citoyenne :
souscrire une assurance, louer un véhicule ou même obtenir un emploi.
Présentement, il n'est pas si simple pour
le consommateur d'accéder à son dossier de crédit, d'autant plus que des frais
peuvent lui être exigés. Une inscription peut être faite, une nouvelle
transaction peut y figurer, une modification peut y être apportée sans que le consommateur
en soit informé. Une autre personne pourrait aussi accéder à son dossier, le
tout à son insu. Ces faits sont troublants, surtout quand on considère que tous
les renseignements que contient le dossier de crédit d'une personne sont des
renseignements qui la concernent. Un peu plus de transparence ne pourrait
qu'être positif.
Peut-être le savez-vous, tout consommateur
a la possibilité de contester une note à son dossier de crédit, notamment s'il
est victime d'un vol d'identité. Au moment où je vous parle, une note, bien que
contestée, influence la cote de crédit d'un consommateur, et ce, jusqu'à ce qu'il
fournisse des preuves. Entre-temps, c'est le consommateur qui en paie le prix.
Par exemple, s'il souhaite conclure un contrat de crédit, peut-être aura-t-il
accès à un montant moindre, peut-être ne pourra-t-il obtenir de crédit, acheter
la voiture dont il a besoin pour se rendre au travail. C'est le consommateur
qui porte le fardeau de la preuve, un fardeau lourd et stressant. Encore ici, peut-être
faudrait-il réfléchir à changer les règles du jeu pour mieux servir les consommateurs.
J'ouvrirai maintenant une courte
parenthèse. À l'office, il arrive qu'un consommateur communique avec nous parce
qu'un créancier, disons un commerçant, lui exige une somme d'argent qui n'est
pas due. Ça peut arriver, et je vous donne un exemple. Si le consommateur
annule un contrat avec un commerçant itinérant dans les 10 jours de sa
conclusion, dans un tel cas, l'annulation est faite en tout respect de la Loi
sur la protection du consommateur et le commerçant ne peut plus exiger cette
somme du consommateur. Mais, dans une situation comme celle-là, nous sommes
bien au fait que certains commerçants menaceraient le consommateur de porter
une inscription à son dossier de crédit s'il ne paie pas, et c'est regrettable,
mais <plusieurs...
Mme Champoux (Marie-Claude) :
...dans les 10 jours de sa conclusion, dans un tel cas, l'annulation est
faite en tout respect de la
Loi sur la protection du consommateur et le
commerçant ne peut plus exiger cette somme du
consommateur. Mais, dans
une
situation comme celle-là, nous sommes bien au fait que certains
commerçants menaceraient le
consommateur de porter une inscription à son
dossier de crédit s'il ne paie pas, et c'est regrettable, mais >plusieurs
vont payer pour ne pas voir leur dossier entaché. Avec tout ça, je veux
seulement démontrer que les solutions qui pourraient être amenées relativement
au dossier de crédit et au vol d'identité seraient aussi à même de venir en
aide aux consommateurs dans un autre contexte, soit quand le consommateur ne
doit pas la créance qui lui est exigée.
Pour en revenir au sujet qui nous
intéresse plus précisément, je souhaite mettre aussi en lumière les faits qui
suivent. Actuellement, le commerçant, par exemple, une institution financière
qui consulte un dossier de crédit pourrait très bien n'avoir aucune indication
quant au fait que le consommateur s'est possiblement fait voler son identité.
Comme je l'ai rapidement expliqué plus tôt, le contenu du dossier pourrait faire
en sorte que l'institution financière n'accorde pas de prêt à cette personne ou
accorde le prêt mais à des conditions moins favorables, exemple, un taux de
crédit plus élevé, sur la base d'un dossier de crédit comprenant des
transactions faites par un être mal intentionné. Les heurts du vol d'identité
se répercutent dans la cote de crédit du consommateur sans que cette institution
financière le sache, mais surtout sans que le consommateur le sache. Il ne
saura donc pas que le prêt lui a été accordé à des conditions moins favorables que
ce qu'il aurait pu obtenir.
Je ne vous apprendrai rien, la notion de
protection des renseignements personnels est plus que complexe. Elle touche la
cueillette de renseignements, leur conservation, leur utilisation, leur
communication, leur destruction. À l'office, la question qu'on se pose, c'est :
Comment pouvons-nous faire pour réduire les conséquences d'un vol d'identité
sur les consommateurs québécois? Nous devons y répondre tous ensemble et
continuer à explorer toutes les avenues possibles. Bien entendu, nous nous
réjouirons si des mesures sont proposées pour mieux outiller les consommateurs en
matière de protection des renseignements personnels et pour mieux les protéger
en cas de vol d'identité. Les pistes d'amélioration sont nombreuses, on le
sait, on l'a vu dans les derniers mois, plusieurs ont déjà été avancées.
Je termine en vous rassurant qu'à l'Office
de la protection du consommateur nous accueillerons avec enthousiasme toute
solution, dont toutes celles qui, particulièrement, viendront soutenir le
consommateur québécois victime d'un vol d'identité de la part d'un individu
malveillant. Alors, je vous remercie toutes et tous de votre attention.
Le Président (M. Simard) :
Merci à vous, Mme Champoux. Donc, avant de poursuivre nos travaux, je vous
indique qu'afin d'entrer dans nos temps le gouvernement dispose d'une période
de 14 min 45 s, l'opposition officielle, d'une période de
9 min 50 s, et les deuxième et troisième groupes d'opposition,
d'une période de 2 min 27 s Je cède maintenant la parole au
député de Vachon.
M. Lafrenière : Merci
beaucoup. Merci, mesdames, monsieur. Merci d'être là avec nous. En passant,
avec votre présentation, vous avez changé complètement les questions que
j'avais pour vous. Je suis persuadé que ma collègue de Saint-Laurent a entendu
de la musique à ses oreilles. On a parlé beaucoup aujourd'hui des questions
pour retrouver la cote de crédit pour les citoyens qui vivent ça. Parce que je
vais me permettre de dire que c'est un calvaire, ces gens-là se retrouvent tout
seuls, c'est très difficile, puis j'aurais le goût de vous entendre là-dessus,
puis je vais vous parler vraiment juste de ça parce que je trouve ça
hyperimportant.
Aujourd'hui, on a entendu des gens
d'Equifax, et ce qu'on s'est fait dire par plusieurs citoyens qui l'ont vécu,
lorsqu'il arrive un vol d'identité, donc des transactions frauduleuses, problèmes
avec leur crédit, ils se présentent devant l'entreprise puis ils se font dire :
Bien, écoutez, vous ne pouvez pas changer votre cote, puis ça ne fonctionne
pas, ils se retrouvent à aller devant la Commission d'accès à l'information.
Pouvez-vous nous en parler un peu? Est-ce que c'est quelque chose que vous
connaissez?
Mme Champoux (Marie-Claude) :
Oui, c'est quelque chose dont on entend parler beaucoup, effectivement, le
fardeau de la preuve est toujours sur le dos du consommateur. Alors, effectivement,
oui, c'est difficile pour un consommateur de changer son dossier de crédit.
M. Lafrenière : Puis,
selon vous, à l'OPC, quelle serait l'obligation de... puis je parle d'une
firme, on aurait pu convoquer une autre agence, je pense qu'on aurait eu le même
résultat. Quelle serait la responsabilité de cette agence-là? Parce que, de ce
que je comprends, c'est que le citoyen est laissé à lui-même, il n'y a pas
personne qui remet un guide en disant : Bien, regardez, vous avez été
victime de vol d'identité, votre crédit, votre score de crédit a été affecté,
voici ce que vous devez faire. Moi, ce que les gens m'ont rapporté, c'est
qu'ils doivent se dépêtrer eux-mêmes, puis aller devant la Commission d'accès à
l'information, puis ce qu'on se fait dire, c'est près de 80 heures de
travail acharné pour réussir à s'en sortir. Est-ce qu'il y a une obligation qui
demande à ces agences-là de remettre, justement, des indications, quoi faire?
• (16 h 50) •
M. Allard (André) : Oui,
si vous permettez. D'abord, la réponse à cette question-là supposerait qu'on
formule des recommandations, puis on n'est pas ici pour formuler des recommandations,
on est plutôt ici pour faire l'état des lieux dans la perspective d'un
consommateur. Il faut aller en amont, en amont de tout le processus
d'inscription, même des annotations dans les dossiers de crédit. Ce sont des
annotations qui sont inscrites par les entreprises sans qu'elles vérifient. Par
exemple, lorsque le consommateur voit que son inscription lui est défavorable,
il s'aperçoit effectivement qu'il y en a une, inscription, c'est le premier
défi qu'il doit relever. Et il se peut qu'il conteste l'exactitude de cette
inscription ou même la légitimité de cette <inscription...
M. Allard (André) : ...
exemple,
lorsque le consommateur voit que son inscription lui est défavorable, il
s'aperçoit
effectivement
qu'il y en a une, inscription, c'est le
premier défi qu'il doit relever. Et il se peut qu'il conteste l'exactitude de
cette inscription ou
même la légitimité de cette >inscription. La
présidente, tout à l'heure, a mentionné un exemple où, dans certains cas, les
entreprises inscrivent des annotations défavorables, alors que le consommateur
a exercé un droit qui lui était conféré par la loi. Donc, elle est litigieuse,
il s'agit d'une dette litigieuse qui a été inscrite au dossier de crédit. Donc,
il s'agit donc d'une inscription dont l'entreprise décide elle-même de son
bien-fondé. Donc, ça, c'est un premier problème, parce que contester une telle
annotation est très difficile. À la limite, on souhaiterait être poursuivi pour
qu'on puisse faire la preuve qu'on n'a pas contracté cette dette-là. Mais les
entreprises ne nous poursuivent pas, elles inscrivent au dossier une annotation
défavorable avec les...
M. Lafrenière : Je
m'excuse, c'est parce que le temps est très compté ici.
M. Allard (André) : Je
suis désolé.
M. Lafrenière : Non, non,
vous n'avez pas à être désolé, voyons. Et c'est quoi, le recours, pour le
consommateur, à ce moment-là?
M. Allard (André) : Dans
le pire cas, il devra saisir lui-même les tribunaux pour poursuivre à la fois
l'agence et l'entreprise, pour pouvoir contester… l'inexistence d'une dette, ce
qui représente un défi colossal.
M. Lafrenière : Question
pour vous. Des agences de crédit, on en a entendu une, tout à l'heure, Equifax,
dans le dossier de Desjardins : Est-ce que vous avez eu beaucoup de plaintes,
à l'OPC, pour l'accès aux services ou l'accès dans la langue de leur choix,
c'est-à-dire en français? Est-ce que c'est le genre de plaintes que vous avez
reçues? Sans tomber dans des chiffres, est-ce que vous avez reçu des plaintes?
Mme Champoux (Marie-Claude) :
Très peu de plaintes chez nous. Bien, pour la langue, pas du tout, c'est
probablement plus à l'Office québécois de la langue française, s'il y en a
eues, mais, chez nous, il n'y a pas eu de plainte concernant la langue. Puis on
a eu quelques appels suite à la fuite, en fait, suite aux nombreuses fuites des
derniers mois, on a eu quelques appels, mais quelques dizaines à peine à
l'office, qu'on a référés soit à l'Autorité des marchés financiers ou,
justement, la Commision d'accès à l'information, là, parce que, comme ce n'est
pas une loi qui est sous notre gouverne, là, on n'y répondait pas, mais
c'est... Nous, on reçoit 150 000 appels par année, à l'office, sur
des sujets divers, alors quelques dizaines, c'est vraiment très, très peu.
M. Lafrenière : Dans la
minute qui me reste... Tout à l'heure, on parlait du dossier de crédit. On sait
que les commerçants ont accès au dossier de crédit, ils peuvent aller le
consulter. Selon vous, les mesures de sécurité qui sont appliquées pour savoir,
justement, qui l'a consulté, le dossier de crédit puis qu'est-ce qu'il en a
fait, est-ce que vous êtes... Est-ce que c'est une connaissance que vous avez,
à l'OPC? Je prends une chance.
M. Allard (André) : En
fait, la situation que vous évoquez, c'est que, lors d'une transaction entre un
commerçant et un consommateur, la personne qui connaît mieux la situation
financière du consommateur, c'est l'entreprise. Le consommateur n'a pas accès,
en temps réel, de façon continue, à son dossier de crédit, alors que son information
personnelle, relativement à sa situation financière, qu'il ignore puisqu'elle
est mesurée avec une cote qu'on ne lui communique jamais... c'est l'entreprise
qui connaît le mieux la situation financière du consommateur. Le consommateur
est donc , encore une fois, dans une situation défavorisée, ne sachant pas
pourquoi ou sur quelle base la négociation ou la discussion du contrat va se
tenir.
M. Lafrenière : Merci
beaucoup. Merci, je vais laisser la parole.
Le Président (M. Simard) :
Merci à vous, M. le député de Vachon. M. le député de Vanier.
M. Asselin : Merci
beaucoup, M. le Président. Mme Champoux, Mme Théberge, Me Allard.
J'ai bien compris que vous n'avez pas reçu beaucoup de plaintes suite aux
incidents de chez Desjardins.
Mme Champoux (Marie-Claude) :
Oui, vous avez effectivement bien compris, on a... en fait, on n'a pas eu de
plainte, on a eu quelques appels qui sont entrés dans notre système
téléphonique, mais des appels que nous avons redirigés.
M. Asselin : Si un membre
de chez Desjardins appelait chez vous, qu'est-ce que vous lui conseillerez?
Mme Champoux (Marie-Claude) :
Ça dépendait probablement de la nature du sujet, mais on le référait soit à l'Autorité
des marchés financiers, soit à la Commision d'accès à l'information, soit à la
police, dans le fond, On n'est pas... À l'office, on gère quatre lois.
M. Asselin : La fuite de
données vous concerne quand même, non?
Mme Champoux (Marie-Claude) :
On gère quatre lois, à l'Office de la protection du consommateur, et la loi sur
la protection des renseignements personnels n'en est pas une. Alors, oui, on a
une préoccupation parce que les consommateurs sont affectés par ça, mais on ne
gère pas cette loi-là, donc.
M. Asselin : Est-ce que,
dans vos outils de communication, vous avez modifié l'information qui vous
concerne sur vos sites?< ou...>
Mme Champoux (Marie-Claude) :
Oui. <On a... >Bien, comme je le disais en introduction, on a quand
même un onglet Protection des renseignements personnels sur notre site Web,
onglet qui était un petit peu plus difficile à trouver jusqu'à ce matin mais
qu'on a effectivement ramené en page d'accueil pour que l'information soit plus
accessible. Dans nos activités de communication, dans nos ateliers, oui, on
fait des activités de prévention pour la protection des renseignements
personnels auprès des consommateurs, mais je réitère que ce n'est pas une loi
qui est sous notre responsabilité.
M. Asselin :
Actuellement, quelles sont les activités de sensibilisation que vous conseillez
aux gens concernant ce qu'il est arrivé?
Mme Champoux (Marie-Claude) :
On ne fait pas d'activité de sensibilisation sur ce qu'il est arrivé, on fait
des activités générales de sensibilisation dans une... Pour que le consommateur
soit bien protégé dans l'ensemble de son dossier, on lui procure certains
conseils sur <la...
M. Asselin : ...que
vous conseillez aux gens concernant ce qu'il est arrivé?
Mme Champoux (Marie-Claude) :
On ne fait pas d'activité de sensibilisation sur ce qu'il est arrivé, on
fait des activités générales de sensibilisation dans une... Pour que le
consommateur soit bien protégé dans l'ensemble de son dossier, on lui procure
certains conseils sur >la protection des renseignements personnels, mais
ce n'est pas en lien avec les fuites qui ont eu lieu.
M. Asselin : O.K. Merci.
Le Président (M. Simard) :
Merci beaucoup. Mme la députée de Charlevoix—Côte-de-Beaupré.
Mme Foster : Bonjour.
Merci d'être ici aujourd'hui. À l'Office de la protection du consommateur, est-ce
que vous avez des spécialistes de la protection des données personnelles parmi
vos employés?
Mme Champoux (Marie-Claude) :
En fait, on a une personne qui est responsable de la protection des
renseignements personnels de l'Office, mais on n'a pas de conseiller pour les
consommateurs, par exemple,
Mme Foster : Est-ce que
vous croyez, suite aux événements, que ça pourrait être une bonne idée? Parce
que ce qu'on entend depuis ce matin, c'est que c'est un problème qui va aller
en augmentant, et ce, dans toutes les sphères de la société.
Mme Champoux (Marie-Claude) :
Je ne sais pas. Est-ce que vous demandez s'il devrait y avoir plus de
conseillers? À ce moment-là, ça serait peut-être plus à la Commission d'accès à
l'information, qui est responsable de la loi sur la protection des
renseignements personnels. Ou je ne sais pas si vous voulez que l'Office
devienne responsable de la loi sur la...
Mme Foster : Non. Ce
n'est pas ce que j'ai dit, ce n'est pas ce que j'ai dit. Dans votre rapport
annuel de gestion, vous mentionnez accorder une importance primordiale au fait
d'informer les consommateurs sur leurs droits, leurs recours, leurs responsabilités.
Qu'est-ce que vous avez fait pour informer les membres de Desjardins? Tantôt,
on parlait un peu de... tu sais, vous dites que vous n'êtes pas allé dans la
sensibilisation, c'est plus en allant sur le site Web ou en vous contactant
que, là, on peut avoir des renseignements, mais est-ce qu'il y a autre chose
qui a été fait de façon proactive?
Mme Champoux (Marie-Claude) :
De façon proactive pour les membres Desjardins en particulier, non, mais, auprès
de la population, oui, on fait des activités de sensibilisation et de
prévention.
Mme Foster : Oui, O.K. Puis
également, dans votre rapport annuel, vous mentionnez que vous exercez des
actions de sensibilisation pour rappeler aux commerçants leurs obligations.
Mme Champoux (Marie-Claude) :
Oui.
Mme Foster : Est-ce qu'il
y a des actions de sensibilisation qui ont été faites auprès des entreprises
bancaires pour leur rappeler leurs obligations, par exemple?
Mme Champoux (Marie-Claude) :
Bien, on a des rencontres assez régulières avec les entreprises, effectivement,
entre autres, parce que nous sommes responsables des dossiers de crédit. Comme
vous savez peut-être, on a lancé un document de consultation, le printemps
dernier, sur une modernisation de la loi sur le crédit. Alors, oui, on a des
rencontres, mais pas au niveau de la protection des renseignements personnels,
parce que, au risque de me répéter, ce n'est pas une loi qui est sous notre
responsabilité.
Mme Foster : Qui est sous
votre responsabilité. À votre avis, ce serait quoi, le meilleur moyen pour que
les Québécois se protègent? Parce que, tout à l'heure, vous avez parlé de renverser
le fardeau de la preuve — parce que, on le sait, c'est un processus
qui est lourd quand on est victime, on en a parlé un peu tantôt, vous avez
parlé de renverser le fardeau de la preuve — mais quel changement,
là, nous, on pourrait faire ici, comme législateurs, qui pourraient en arriver
à ce résultat-là?
Mme Champoux (Marie-Claude) :
Comme j'ai dit, nous, on... je pense que Me Allard le disait tout à
l'heure, on n'est pas là pour vous faire des propositions, on fait tout
simplement état de ce qui est présentement les faits. On va accueillir,
évidemment, les recommandations et les propositions des membres de l'Assemblée
nationale, puis on se conformera avec plaisir, mais effectivement nous, on est
là pour vous présenter la situation des consommateurs telle quelle.
Mme Foster : État de la
situation et non pas mode recommandation. Parfait. Merci.
Le Président (M. Simard) :
Merci à vous, Mme la députée. M. le député de Vachon, il vous reste
4 min 9 s
M. Lafrenière : Je
m'excuse, je vous ai menti tout à l'heure. Je vous ai dit que j'avais des
questions juste là-dessus, mais vous m'avez guidé sur d'autres choses. Vous
avez parlé des commerçants, et je voulais savoir si vous aviez reçu des
plaintes à l'OPC concernant l'utilisation de <bandes de... de >bases
de données, c'est-à-dire les fameux dossiers de crédit, de la part de
commerçants. Je ne veux pas parler de côté criminel, ce n'est pas votre cour,
je comprends bien ça, mais est-ce que vous avez reçu des plaintes à l'OPC quant
à l'utilisation par des commerçants? On va mettre ça clair, là, un commerçant
qui utiliserait la base de données à d'autres fins, comme du marketing, comme
des ventes différentes, est-ce que vous avez déjà reçu des plaintes comme ça
chez vous?
Mme Champoux (Marie-Claude) :
Je peux vous le garantir, que ce n'est pas dans les tops de nos plaintes, mais
je ne peux pas vous garantir qu'on n'a jamais eu aucune. Moi, je n'en ai pas
entendu parler, qu'il y ait eu des plaintes, mais <j'ai... >évidemment
je n'ai pas nécessairement chacune des plaintes, là. C'est une information,
toutefois, que je pourrais fournir à la commission plus tard, là, quand on aura
fait le décompte, mais c'est certain que ce n'est pas une plainte qui arrive
souvent. Ça, ça serait allé sous mon radar.
M. Lafrenière : Sans
aller dans les recommandations, on va rester loin de ça, cependant, est-ce
qu'il y a de la sensibilisation qui peut être faite de votre part auprès des
commerçants quant à leurs rôles et responsabilités en utilisant cette base de
données? Puis là je vais mettre ça clair, là, pas de cachette, sans présumer
que certains commerçants pourraient le faire, c'est arrivé récemment, on a vu
des cas dans les médias tout, tout, tout récemment, de leur rappeler que
l'utilisation de cette base de données, quand on parle de la base de crédit,
doit être faite dans le cadre d'une transaction initiée par un consommateur, et
non pas pour faire du marketing ou d'autre chose. Est-ce que c'est le genre de
communication, de prévention, ça, que vous pourriez faire à votre niveau?
• (17 heures) •
Mme Champoux (Marie-Claude) :
Certainement. C'est certainement des communications qu'on pourrait faire.
Évidemment, l'office a un petit budget, a de petits <moyens, alors, des
fois...
>
17 h (version révisée)
<17903
M. Lafrenière :
...dans le cadre d'une transaction initiée par un consommateur et non pas pour
faire du marketing ou d'autre chose.
Est-ce que c'est le genre de
communication, de prévention que vous pourriez faire à votre niveau?
Mme Champoux (Marie-Claude)T :
Certainement. C'est
certainement des communications qu'on pourrait
faire. Évidemment, l'office a un petit budget, a de petits >moyens. Alors,
des fois, il faut faire des choix sur quels sont les campagnes puis les moyens
de communication qu'on utilise, <puis... >mais c'est effectivement
quelque chose qui pourrait être <sur notre... >dans notre palette.
Le Président (M. Simard) :
Merci beaucoup. Il vous reste deux minutes, cher collègue.
M. Lafrenière : Sur la
même lancée, est-ce que les agences de crédit pourraient se retrouver à avoir
les mêmes recommandations de votre part sur comment aider, comment guider les
consommateurs qui se retrouvent dans le trouble?
Mme Champoux (Marie-Claude) :
Je ne sais pas si nous sommes des spécialistes de consommateurs sur le... pour
les guider dans un processus législatif ou un processus... juridique, pardon,
mais d'adopter des bonnes pratiques, oui, ça pourrait être effectivement des
conseils qu'on peut donner.
M. Lafrenière : Parce
que, bien honnêtement, les gens qu'on a entendus aujourd'hui, il n'y a pas
personne qui semblait vraiment les diriger à la bonne place, sans méchanceté,
là. Puis, pour le citoyen, le consommateur, je me dis : Écoute, on se
retrouve dans un cul-de-sac, on se fait dire : Ce n'est pas chez nous. Ta
cote de crédit est affectée? «Too bad», en bon français. Attends, ça va revenir,
un jour, correct.
Alors, je me dis, il y a sûrement
quelqu'un qui peut les aider. Puis je ne demande pas de le prendre par la main
puis d'aller lui faire faire les démarches, mais, au moins, d'aviser. Parce
que, de ce que j'ai compris tout à l'heure, même de la part d'Equifax, on leur
dit : Nous, on ne peut pas rien faire. On ne les guide même pas vers la
Commission d'accès, qui est quand même assez lourde.
Mme Champoux (Marie-Claude) :
On pourrait probablement le regarder, là. Je ne sais pas, est-ce que ça
prendrait la forme d'un guide? Est-ce que ça... des bonnes pratiques qu'on
pourrait partager avec les agences de crédit? Ce n'est pas quelque chose sur
lequel l'office s'est penché, mais on pourrait certainement le regarder, là.
M. Lafrenière : Sans tomber
dans les recommandations, seulement une idée, comme ça.
Mme Champoux (Marie-Claude) :
On vous écoute et on vous répond.
M. Lafrenière : Merci beaucoup.
Bien gentille, merci.
Le Président (M. Simard) :
Merci, M. le député de Vachon. M. le député de Robert-Baldwin.
M. Leitão : Très bien.
Merci beaucoup, M. le Président. Alors, bonjour. Merci d'être là. On va rester
dans les enjeux soulevés par le collègue de Vachon. Moi, ce qui m'intéresse
beaucoup, c'est la question de l'accès au dossier de crédit.
Donc, de la façon dont le système
fonctionne présentement, un commerçant, banque ou autre, un commerçant a un
accès direct au dossier de crédit d'un consommateur. Il n'a qu'à entrer un code
et il a accès directement à ça. <Il peut y inscrire... >Il peut
non seulement aller retirer des informations, mais il peut aussi inscrire des
informations.
Est-ce qu'un consommateur, lui aussi, a le
droit d'accéder à son propre dossier de crédit?
Mme Champoux (Marie-Claude) :
En fait, le consommateur a accès à un dossier de crédit résumé, si je peux me
permettre l'expression. Ce n'est pas un dossier complet. La plupart du temps,
pour avoir le dossier complet, il y a des frais.
M. Leitão : Très bien.
Est-ce que vous pensez... Est-ce que l'office pense que, justement, cette
information-là, en fin de compte, appartient au consommateur? C'est mon
information. Ça résume les emprunts et les choses que moi, j'ai faites, comme
consommateur. Vous ne pensez pas que ça devrait être l'inverse? Donc, le
consommateur, lui, il peut et il devrait avoir accès en tout temps à son
dossier de crédit, et ça serait aux autres, aux commerçants, d'obtenir une
autorisation pour avoir accès au dossier de crédit.
Mme Champoux (Marie-Claude) :
Disons, sans commenter sur la façon, il est évident que l'Office de la
protection du consommateur souhaite plus de transparence pour les consommateurs
versus leur dossier de crédit.
M. Leitão : Merci. Parce
que c'est une question de transparence, mais c'est aussi une question d'accès,
parce que ça... S'il y a des choses à corriger, comme Me Allard a dit, c'est
extrêmement complexe de corriger, et on renverse complètement le fardeau de la
preuve, ce qui n'est pas du tout la situation normale dans notre système
juridique. Et puis, en plus, si on veut faire ça, évidemment, ça implique toutes
sortes de frais additionnels.
Alors, ma question est : Pour vous,
en tant qu'Office de protection du consommateur, est-ce que vous pensez que ça
serait dans votre mission, d'émettre des recommandations ou des «guidelines»,
enfin, quelque chose pour sensibiliser les autorités réglementaires à faire ce
renversement de situation où le dossier de crédit appartient au consommateur,
et c'est à lui et lui seul à donner accès à cette information à des commerçants
ou autres?
Mme Champoux (Marie-Claude) :
Comme je vous dis, sur la façon, lui seul... Je ne commenterai pas sur la façon
que ça doit être fait, mais effectivement l'Office de la protection du consommateur
souhaite que le consommateur ait un meilleur accès à son dossier puis, en fait,
dans un souci de transparence et d'accessibilité pour son dossier, tout à fait.
M. Leitão : O.K. Merci.
Aussi, en termes de protection du consommateur, on a entendu ce matin <d'Equifax...
Mme Champoux (Marie-Claude) :
...sur la façon que ça doit être fait, mais
effectivement l'
Office
de la protection du consommateur souhaite que le
consommateur ait un
meilleur accès à son dossier puis, en fait, dans un souci de transparence et
d'accessibilité
pour son dossier,
tout à fait.
M. Leitão :
O.K.
Merci. Aussi,
en termes de
protection du
consommateur, on
a entendu ce matin >d'Equifax, et je suis sûr que c'est la même chose
avec d'autres agences de crédit, qu'ils offrent toute une série de services
additionnels, des services de protection. Et ces services-là, bien sûr, ne sont
pas gratuits. Ça implique des frais, donc quelqu'un doit payer pour ça. Encore
une fois, est-ce que ces frais-là... est-ce qu'ils sont... Bien, ils sont dans
le droit de charger, oui, mais est-ce que vous pensez que ces frais-là ne
devraient pas exister, qu'en fin de compte ça devrait faire partie du service
de base ou du service courant de l'agence de crédit, non seulement de gérer la
banque de données, mais aussi de fournir des services de protection? Ça devrait
faire partie du package?
Mme Champoux (Marie-Claude) :
Je ne sais pas quels sont les services supplémentaires dont Equifax parlait,
alors c'est difficile pour moi de dire... Est-ce que tous les services
devraient être gratuits? Je l'ignore, je ne suis pas une spécialiste.
Alors, c'est sûr que moi, je pense que
l'accès pour le consommateur, certainement, devrait être plus facile. Mais,
pour ce qui est des services de protection, je ne les connais pas, ça fait que
je suis incapable de vous répondre.
M. Leitão : D'accord. Parce
que la façon dont le système fonctionne présentement, Equifax se fait... enfin,
va chercher ses revenus, pour la plupart, chez les commerçants. Donc, le
commerçant, quand il consulte le dossier d'Equifax — je mentionne
Equifax, ça peut être un autre — donc c'est là <qu'ils se
font... >qu'ils font leurs revenus. Très bien.
Mais aussi, en offrant des services
directement aux consommateurs, des services de notification, des services de
«credit monitoring», etc., ils chargent aussi des frais et là directement aux
consommateurs. Là, je pense que l'office a un rôle à jouer, d'indiquer, de
lever un drapeau. On disait : Mais non, ces services-là que vous chargez
aux consommateurs, en fin de compte, devraient faire partie de votre offre de
services standard pour tout le monde.
M. Allard (André) : En
fait, le seul commentaire que j'aurais le goût de formuler, c'est que les dossiers
de crédit, ce sont des outils que se sont donnés les entreprises pour évaluer
la solvabilité et mesurer le risque lorsqu'ils font affaire avec un
consommateur. C'est un outil qu'ils se sont donné, à eux, pour pouvoir faire
leur travail correctement, de façon responsable.
M. Leitão : O.K. Bon, c'est
un peu particulier, mais bon...
Sur un autre ordre d'idées, mais on reste
toujours dans ce domaine-là, est-ce que vous pensez que c'est toujours
pertinent qu'un consommateur, d'une façon pas... excusez-moi, qu'un commerçant,
d'une façon presque routinière, pour la moindre des transactions, ait accès à
une enquête de crédit? Est-ce que c'est toujours pertinent de procéder avec une
enquête de crédit? Sachant très bien que le plus qu'on a d'enquêtes de crédit,
évidemment, ça va avoir un effet sur le score de crédit.
Mme Champoux (Marie-Claude) :
Mais on demande au commerçant d'évaluer la capacité de crédit avant de faire un
prêt à un consommateur. Puis ça, c'est la Loi sur la protection du consommateur
qui prévoit ça. On leur donne... Oui, bien, quand on parle de crédit, c'est
nécessairement soit un achat à crédit ou un prêt d'argent. Alors, on donne
cette obligation au commerçant de vérifier le crédit. Alors, c'est sûr que...
M. Leitão : D'accord. Je
n'ai pas de problème avec ça. La question que je me pose et que, donc, je vous
pose : Est-ce que cet outil-là est utilisé par des commerçants dans des
cas où il n'y a pas vraiment nécessité de procéder à une enquête de crédit?
M. Allard (André) : Bien,
on a assisté, depuis quelques années, à cette propension des entreprises à
vérifier le dossier de crédit, même si ce n'est pas en vue de consentir du
crédit. Alors, les assureurs, pour se louer un logement, par exemple, ou...
enfin, d'autres transactions qui sont étrangères à un contrat de crédit. Oui, c'est
de plus en plus utilisé.
M. Leitão : Et ça serait
peut-être intéressant et utile que l'office dise quelque chose là-dessus, parce
qu'il me semble que ce n'est pas pertinent, donc ce n'est pas dans l'intérêt
public. Et je passe la parole à ma collègue parce que, sinon, je vais...
Le Président (M. Asselin) :
Mme la députée de Saint-Laurent, il vous reste encore deux minutes.
• (17 h 10) •
Mme Rizqy : Parfait. Mais
je reste là-dessus, parce que je comprends que tout le monde parle d'éduquer
les citoyens, mais les citoyens ne savent pas qu'à chaque fois qu'il y a une
demande de crédit leur score est affecté. Est-ce que ça, vous ne pensez pas que
ça devrait être divulgué de façon claire à chaque fois qu'il y a une demande
qui est faite, que ce soit pour le logement, le prêt auto ou les achats
crédit-bail, là? Est-ce que vous ne pensez pas qu'on devrait le dire clairement
aux citoyens puis avoir leur consentement, à ce moment-là, un consentement
éclairé?
Me Allard, je sais que vous ne voulez pas
faire de recommandation, mais l'article <292...
Mme Rizqy : ...de façon
claire à chaque fois
qu'il y a une demande qui est faire,
que ce
soit pour le logement, le prêt auto ou les achats crédit-bail, là?
Est-ce
que vous ne pensez pas qu'on devrait le dire clairement aux
citoyens
puis avoir leur
consentement, à ce moment-là, un
consentement
éclairé?
Me Allard, je sais que vous ne voulez
pas faire de
recommandation, mais
l'article >292 de
la loi est quand même assez clair. Vous avez aussi, dans votre mission, un
devoir d'éduquer la population. Alors, je vous demande, à titre d'avocat,
pouvez-vous, s'il vous plaît, nous faire un éclairage, en ayant en tête qu'il y
a des gens qui nous écoutent à la maison, puis on doit faire aussi de l'éducation
citoyenne?
M. Allard (André) : Bien,
ça nous ferait plaisir de faire des recommandations dans un contexte où on va
travailler sur une proposition qui pourrait être formulée. En fait, notre
présence ici, encore une fois, puisqu'on parlait initialement, là, de la fuite
de Desjardins et donc des conséquences, nous, on est là pour éclairer peut-être
les parlementaires sur les conséquences que peut avoir une fuite lorsque les
données sont utilisées par des personnes malveillantes pour des fins autres ou
des fins illégitimes. Alors, voilà, simplement un état des lieux.
Mme Rizqy : Vous
comprendrez qu'on ne vous reçoit pas juste pour nous faire un état des lieux.
On essaie de... À la fin, nous, on a un travail à faire de parlementaire. Puis
je pense qu'on n'est pas mal assez éclairés autour de la table. Dites-moi...
Tantôt, vous avez dit : Il faut changer les règles du jeu. Quelles règles
voulez-vous changer?
M. Allard (André) : En
fait, les règles, on l'a mentionné, on se retrouve dans une situation où le consommateur
ignore sa cote de crédit. S'il veut le faire, il doit payer, et là j'ai vérifié
ce matin, entre 12 $ et 30 $ par mois pour avoir la même information
que l'entreprise avec laquelle il transige possède à son égard. Donc, c'est une
situation qui peut effectivement être susceptible ou être préoccupante. Et je
terminerais simplement en disant que, s'il y avait un seul élément positif dans
cette controverse avec Desjardins, c'est qu'il y a 4,2 millions de
personnes qui ont soudainement accès...
Le Président (M. Simard) :
Très bien. Merci, monsieur.
M. Allard (André) : ...à
son dossier de crédit avec tout ce que les...
Le Président (M. Simard) :
Merci. M. le député de Gouin.
M. Nadeau-Dubois : Merci
beaucoup d'être ici cet après-midi. Pas que je n'aime pas les banquiers, mais
je dois... Je suis capable de leur trouver des qualités, mais c'est bien d'avoir
des gens qui, avant tout, se préoccupent de la protection des consommateurs.
Vous dites être ici pour faire un état des lieux.
Est-ce que je comprends bien si je dis qu'on
a actuellement, d'une part, des entreprises qui veulent offrir du crédit, d'autre
part, des institutions financières qui sont aussi des entreprises... souvent,
des très grandes entreprises, qui veulent connaître les scores de crédit des
individus? Et, au milieu, on a les agences de crédit qui sont, elles aussi, on
l'a vu tantôt, de très grandes entreprises, des grandes multinationales. On a
tous des grands joueurs très puissants économiquement, qui ont, tous, des
intérêts. Les agences de crédit donnent des services non pas aux individus,
mais aux entreprises. C'est surtout un intermédiaire entre différentes
entreprises.
Qui est là, dans le système actuel, pour
protéger les consommateurs, les consommatrices? J'ai l'impression qu'on a plein
de grandes entreprises qui se donnent des services entre elles. Qui est là pour
protéger les gens ordinaires?
Mme Champoux (Marie-Claude) :
Je pense qu'il y a nous, en partie, l'Office de la protection du consommateur.
Je pense qu'effectivement la Commission d'accès à l'information peut être là
aussi pour la protection des renseignements personnels. Je connais moins l'état
des lieux chez eux, mais c'est sûr que nous, c'est notre mission première, la
protection des consommateurs, puis on tente de le faire au meilleur de nos
ressources et de nos capacités.
M. Nadeau-Dubois : Est-ce
que vous jugez que les consommateurs... puis ce n'est pas un critique de votre
rôle, là, comprenez-moi bien. Est-ce que vous jugez que les consommateurs, les
consommatrices au Québec, actuellement, sont suffisamment protégés?
Mme Champoux (Marie-Claude) :
Je dirais qu'à l'Office de la protection du consommateur on souhaite toujours
une meilleure protection des consommateurs.
M. Nadeau-Dubois : Est-ce
que vous jugez qu'actuellement l'office a tous les outils pour faire son
travail?
Mme Champoux (Marie-Claude) :
Vous me mettez dans une drôle de position. Je pense qu'à l'office on fait des
miracles avec la petite équipe et le petit budget que nous avons.
Le Président (M. Simard) :
Merci beaucoup, Mme Champoux. M. le député de Jonquière.
M. Gaudreault : Oui.
Merci beaucoup de votre présence. Desjardins, ce matin, a plaidé à plusieurs
reprises pour développer ou construire une identité numérique des Québécois et
des Québécoises. Comment vous voyez ça? Est-ce que vous avez réfléchi
là-dessus? Avez-vous des idées à nous proposer? Et comment cette identité
numérique pourrait garantir une plus grande protection des consommateurs?
Mme Champoux (Marie-Claude) :
Je dois vous avouer que je n'ai pas l'expertise et je ne pense pas qu'à
l'office nous avons l'expertise pour juger de la pertinence ou de l'efficacité
d'une identité numérique. On n'a pas cette expertise-là à l'office.
M. Gaudreault : O.K. Mais
seriez-vous ouverts à <recevoir...
Mme Champoux (Marie-Claude) :
Je dois vous avouer que je n'ai pas l'expertise et je ne pense pas qu'à
l'office, nous avons l'expertise pour juger de la pertinence ou de l'efficacité
d'une identité numérique. On n'a pas cette expertise-là à l'office.
M. Gaudreault :
O.K.
Mais seriez-vous ouverts à >recevoir le mandat, par exemple, du gouvernement,
au moins, pour aller chercher les bonnes pratiques à cet égard à l'étranger, toujours
dans un souci de protection du consommateur, là?
Mme Champoux (Marie-Claude) :
C'est certain que, si le gouvernement ou l'Assemblée nationale nous donnait le
mandat, ça nous ferait plaisir de le prendre puis de collaborer avec les
experts puis ceux qui connaissent ça définitivement mieux que nous.
M. Gaudreault : Oui,
parce qu'il y différentes manières de prendre le problème, mais moi, je pense
qu'une des bonnes manières de prendre le problème qu'on a devant nous, c'est
vraiment sous l'angle du consommateur, donc sous l'angle de la personne, sous
l'angle du citoyen un peu perdu à travers l'ensemble des données et des
institutions avec qui il fait affaire et qui sont parfois gigantesques, là, à
côté de lui.
En tout cas, on retient ça pour l'instant.
Avec le temps qu'il me reste, d'autres collègues l'ont abordé un peu tantôt,
mais, si vous aviez une suggestion à nous faire immédiatement... je sais que
vous ne voulez pas trop embarquer dans les recommandations, mais je vous
demande de le faire pareil. Vous avez parlé de renverser le fardeau de la
preuve, d'autres ont parlé de modifier la loi, là, pour s'assurer d'une
divulgation obligatoire des incidents, là, de vol de données. Vous iriez où,
là, dans tout ça?
Mme Champoux (Marie-Claude) :
Je vais réponde ce que nous avons répondu depuis le début. Je suis désolée,
mais effectivement on ne fera pas de recommandation ou suggestion, mais ça va nous
faire plaisir de travailler avec...
M. Gaudreault : Je vais
formuler ma question différemment.
Le Président (M. Simard) :
Très succinctement, cher collègue.
M. Gaudreault : Oui. Une
divulgation obligatoire des incidents, est-ce que ça permettrait de protéger
davantage les consommateurs?
Mme Champoux (Marie-Claude) :
Certainement que la transparence, c'est toujours bon pour les consommateurs.
Le Président (M. Simard) :
Très bien. Merci beaucoup pour votre participation à cette commission.
Sur ce, nous allons momentanément
suspendre nos travaux pour faire place au professeur José Fernandez.
(Suspension de la séance à 17 h 17)
(Reprise à 17 h 20)
Le Président (M. Simard) :
À l'ordre, s'il vous plaît! Nous allons reprendre nos travaux.
Nous recevons M. Fernandez, qui est
professeur titulaire au département de génie informatique et génie logiciel à Polytechnique
Montréal. Cher monsieur, bienvenue parmi nous. Vous savez que vous disposez
d'une période de présentation de 10 minutes. Alors, à vous la parole.
M. José Fernandez
M. Fernandez (José) :
Merci. Je me présente, donc, José Fernandez. Merci de m'avoir présenté.
Je suis ici en représentation du réseau de
chercheurs pancanadiens en cybersécurité, <le...
Le Président (M. Simard) :
...Polytechnique
Montréal. Cher monsieur, bienvenue parmi nous. Vous
savez que vous disposez d'une période de présentation de 10 minutes.
Alors, à vous la parole.
M. Fernandez (José) :
Merci. Je me présente, donc José Fernandez. Merci de m'avoir présenté.
Je suis ici en
représentation du
réseau de chercheurs pancanadiens en cybersécurité, >le SERENE-RISC, qui
est dirigé par mon collègue le professeur Benoît Dupont, qui s'excuse de ne pas
pouvoir être venu présenter les propos de ce réseau.
Comme vous savez, je suis professeur à
l'école polytechnique, chercheur en cybersécurité depuis 15 ans, membre de
l'Ordre des ingénieurs, et, en tant que professeurs et en tant que chercheurs,
nous maintenons plusieurs liens de collaboration avec les agences du gouvernement,
l'industrie et, bien sûr, comme vous l'avez sûrement entendu parler, avec le
groupe Desjardins, avec lequel nous maintenons des liens de collaboration en
termes de recherche et développement en cybersécurité, et ce, depuis 2017.
Donc, vous comprendrez que je ne prendrai pas
position sur qu'est-ce qu'il s'est passé à Desjardins en concret, pour la
simple raison que je n'ai pas les informations nécessaires, en tant qu'expert,
pour analyser le dossier. En temps et... Je crois comprendre aussi que c'est
encore sous enquête. En temps et lieu, ces faits ou les résultats de cette
enquête pourront être interprétés par des experts dans le domaine, et ce ne
sera certainement pas moi.
Ce sur quoi je veux vous parler aujourd'hui,
c'est le phénomène généralisé. En tant qu'experts, nous nous sommes tous mis
d'accord sur qu'est-ce qu'une fuite de données. Il est important de, en tant
que bon professeur d'université, bien clarifier les choses. Quand on parle
d'une fuite de données dans un contexte informatique, il y en a deux types. Il
y a ce qu'on appelle un incident, et, lorsque l'incident... lorsqu'on a une
preuve ou lorsqu'on a un indice qu'il y a eu une pénétration des systèmes
informatiques, après ça, il y a une brèche lorsqu'on a vraiment preuve que les
informations se sont retrouvées dans les mains d'une personne non autorisée.
Alors, on a deux types d'incidents ici: un
dans lequel l'incident se doit à la pénétration des systèmes par quelqu'un de
l'extérieur, un accès non autorisé à travers une faille informatique, dans les systèmes
ou autre, et l'autre type d'incident, dans lequel on a une menace interne,
quelqu'un à l'intérieur, en bon anglais, un «inside job» ou un «inside threat».
Un employé ou quelqu'un de proche de l'organisation, à qui on avait donné accès
à ces informations-là, va prendre ces informations pour des fins non autorisées.
Alors, les deux cas se retrouvent. Alors,
je vais vous citer, par exemple, trois études publiées récemment : un
rapport de la compagnie Verizon en 2019, qui fait l'analyse de 40 000 incidents,
dont 2 000 sont des brèches confirmées, et on va trouver que, dans ces
2 000 brèches là, dans différentes... trois quarts de ces
incidents-là sont dans le secteur bancaire. À peu près entre 20 % à
40 %, selon l'année, sont des «inside threats», des menaces internes, des
gens qui sont partis avec des données, qui avaient accès à ces données-là de
façon légitime.
Le rapport récent du commissionnaire à la
vie privée du gouvernement fédéral… fait possible… justement, par la nouvelle
loi qui oblige les compagnies à dévoiler ces informations-là, fait état de
statistiques similaires. À peu près 30 %, à peu près un tiers des
incidents sont des menaces internes. Également, un rapport publié par nos collègues
à l'Université Carnegie Mellon fait état aussi de ce constat-là.
Alors, ce qu'il faut dire ici, c'est qu'en
termes de technologie et en termes de procédés, d'arrêter ou de... Quand on
parle d'une brèche informatique de quelqu'un de l'externe, on parle surtout de
contre-mesures technologiques, des contre-mesures procédurales qui sont là pour
surtout prévenir l'entrée non autorisée, alors que, lorsqu'on parle de détecter
que quelqu'un va vouloir prendre les informations et les vendre à l'extérieur,
là, on est dans les intentions, et c'est très difficile, parce que, là, il
faut, à quelque part, l'intention de la personne, et là on est surtout dans les
méthodes de détection. Il y a quand même certaines méthodes de détection, mais
elles sont très primitives. C'est beaucoup moins mature dans l'industrie,
autant en termes de technologies, que de procédés, que la prévention d'attaques
externes.
Alors, cette distinction-là est à faire,
et lorsque vous serez plus avancés dans vos travaux, et lorsque les faits
seront sortis, il faut considérer qu'il y a deux poids, deux mesures, <alors...
>parce que c'est deux choses très différentes, avec des technologies et
des procédés très différents.
<Ce qui me... >La raison pour
laquelle j'ai accepté de remplacer M. Dupont et venir vous témoigner ici,
malgré le fait que je travaille avec Desjardins, c'est parce que je trouvais
très important, à ce stade-ci, de souligner quelque chose sur lequel j'ai déjà
sorti dans les médias peu après l'incident... enfin, peu après l'incident,
j'ai attendu quand même quelques semaines. C'est le vrai problème, ce que
je considère être le vrai problème. Je ne suis pas seul, puis beaucoup d'autres
experts, entre autres, mes collègues dans le DIACC, le conseil canadien de l'identité
et des accès digitaux... C'est le fait qu'en ce moment, au Canada, on n'a
pas... ni au Québec, on n'a pas de mécanisme de ce qu'on appelle identité
numérique.
Alors, quand on parle d'identité <numérique...
M. Fernandez (José) :
...être le vrai problème. Je ne suis pas seul, puis
beaucoup d'autres
experts, entre autres, mes collègues dans le DIACC, le conseil canadien de
l'identité et des accès digitaux... C'est le fait
qu'en ce moment, au
Canada,
on n'a pas... ni au
Québec, on n'a pas de mécanisme de ce qu'on appelle
«identité numérique».
Alors, quand on parle d'identité >numérique,
il faut faire attention. Identité numérique, c'est une chose, c'est de savoir
qui est cette personne, mais de savoir à tout coup que cette personne-là n'est
pas un imposteur. On parle bien d'authentification, de méthode
d'authentification. Alors, aujourd'hui, sur les pages Web, sur l'Internet, ce
serait l'usager, mot de passe. Cependant, cette méthode d'authentification n'est
bonne que pour les pages Web. Elle ne me permet pas de m'authentifier en
personne, elle n'est aussi pas très sécuritaire. Alors, c'est pourquoi il y a maintenant,
dans d'autres pays, tel qu'en Europe, surtout, en Estonie, en Belgique, en
Espagne, même en Afrique maintenant, le Sierra Leone, la Tunisie…
commencent à se doter de moyens pour avoir cette identité numérique ou plutôt
des moyens d'authentification. On parle surtout de cartes d'identité, et
ces cartes d'identité permettent maintenant de s'authentifier autant en
personne qu'à travers l'Internet, le Web, potentiellement par téléphone aussi
pour des transactions avec le gouvernement, mais aussi des transactions dans le
secteur privé.
Ce qu'il est important de comprendre,
c'est que la technologie derrière ces méthodes d'authentification numérique est
la même, essentiellement, que celle des cartes de crédit aujourd'hui. Au
Canada, nous avons été innovateurs, en tout cas plus que les Américains, dans
la transition vers des cartes à puce dans le secteur bancaire et les cartes de
crédit. C'est ce qui fait qu'il y a eu une réduction des fraudes avec les
cartes assez importante. Et ce que la plupart des experts se pointent à dire,
c'est que, si on pouvait étendre cette même technologie, ce même savoir dans
les transactions avec le gouvernement et les autres transactions non bancaires,
non financières, on aurait probablement une réduction de ces incidents de vol
d'identité. Parce que le problème aujourd'hui, c'est qu'en 2019, excusez-moi,
mais c'est tout à fait ridicule que, lorsque j'appelle un fournisseur de
services, on me pose comme question de sécurité : Quel est le nom de jeune
fille de votre mère? Le nom de jeune fille de votre mère, c'est
Tardieu — bonjour, maman — parce que c'est dans ma carte
d'assurance maladie. Mon baptistère, ici, en bas de la côte, là, à la paroisse
Notre-Dame-de-Foy, ça dit José Manuel Fernandez Tardieu. Tous mes documents
officiels le contiennent. C'est ridicule qu'en 2019 j'aie à cacher ma date
d'anniversaire et j'aie à cacher mon adresse, alors qu'elle est sur le CIDREQ,
sur le registre des entreprises. <Donc... >Et c'est ça, le
problème, on est littéralement encore à l'âge de pierre, et c'est d'autant plus
dommage que la technologie derrière ça, en grande partie, a été inventée et
développée au Canada.
Alors, c'est sur ça que je vous laisse. Ce
désir d'aller vers une meilleure infrastructure d'authentification numérique,
ce n'est pas nouveau. Ça fait une trentaine d'années que la technologie existe.
On était à la veille de faire ce changement-là au Canada au début des années 2000.
Je pense qu'une des raisons pour lesquelles j'ai accepté de venir témoigner ici
devant vous, MM. les parlementaires, c'est pour souligner le message que c'est
le temps qu'on fasse ce changement-là.
Ce n'est pas seulement une question de
sécurité — je veux finir avec ça — c'est aussi une question
de développement économique. À partir du moment qu'on a une infrastructure de
confiance sur l'identité des personnes, on peut se permettre de faire beaucoup
plus en ligne, on peut se permettre de faire beaucoup plus de transactions
bancaires, de commerce de façon beaucoup plus efficace, et ça, c'est un
accélérateur économique. Il ne faut pas négliger cet effet-là positif de cette
transition. Alors, je termine là-dessus, M. le Président.
Le Président (M. Simard) :
Merci à vous, M. Fernandez. Je cède maintenant la parole au groupe gouvernemental
en vous annonçant une bonne nouvelle, on a majoré légèrement le temps. Vous
disposez de 15 min 30 s, tandis...
Une voix
: Vous êtes
généreux, M. le Président.
Le Président (M. Simard) : Que
voulez-vous, ça m'arrive parfois, mais aussi pour l'opposition officielle,
qui... Étant donné votre grande gentillesse, vous disposez de
10 min 20 s Les deuxième et troisième groupes d'opposition
disposent de 2 min 35 s
Je cède maintenant la parole au député de Charlevoix—Côte-de-Beaupré...
Mme Foster : ...
Le Président (M. Simard) :
Île d'Orléans. À vous, chère collègue.
Mme Foster : Merci. Merci
beaucoup. Merci d'être ici. Puisque vous êtes ici, nous allons profiter de
votre expertise. Je comprends que vous ne voulez pas parler de Desjardins. Maintenant,
je ferais appel à votre expertise universitaire vaste et large dans le domaine.
On a entendu parler d'un phénomène qui
revient tout le temps. On entend parler souvent de ce fameux «dark Web». Est-ce
que vous pouvez nous démystifier ça un peu? Comment les données qui proviennent
de vols et de fuites circulent sur le «dark Web» après un vol? Quelles sont les
possibilités de fraude? Est-ce que ce sont les fraudes... Les fraudes les plus
probables sont-elles d'être capables d'ouvrir un compte bancaire ailleurs ou
encore d'ouvrir un compte Vidéotron? Vous comprenez un peu, là. Ça mène à quel
type de fraude?
M. Fernandez (José) : Oui,
vous avez posé plusieurs questions.
Mme Foster : Oui, il y en
a deux en une, là, oui, oui, oui.
• (17 h 30) •
M. Fernandez (José) : Je
vais les prendre une à une. En ce qui concerne le «dark Web», c'est quoi? Le
«dark Web», c'est un Internet parallèle qui n'est pas recensé par les moteurs
de recherche, par <Google. Donc, il est là...
>
17 h 30 (version révisée)
<17861
Mme Foster :
...ou encore d'ouvrir un compte Vidéotron. Vous comprenez un peu, là? Ça mène à
quel type de fraude?
M. Fernandez (José)T :
Oui. Vous avez posé
plusieurs
questions.
Mme Foster : Oui. Il y
en a deux en une, là, oui, oui, oui.
M. Fernandez (José)T :
Je vais les prendre une à une.
En ce qui concerne le «dark Web», c'est
quoi? Le «dark Web», c'est un Internet parallèle qui n'est pas recensé par les
moteurs de recherche, par >Google. Donc, il est là, ça utilise une technologie
très similaire à l'Internet normal, des fureteurs, mais il n'est pas recensé. Donc,
à moins que vous sachiez où trouver l'information, ce n'est pas nécessairement
très évident de la trouver. Alors, <c'est aussi... >une des
conséquences, c'est que c'est difficile pour les corps policiers de retrouver
qu'est-ce qu'il se passe. Et donc c'est un moyen qui est utilisé à des fins tout
à fait louables, par exemple, pour éviter la censure dans des pays où c'est
moins démocratique, pour pouvoir protéger la vie privée des personnes. Mais
aussi des criminels, effectivement, l'utilisent pour pouvoir transiger toutes
sortes de choses, de la drogue en ligne, mais pourquoi pas aussi des
informations volées en ligne, que ce soient des informations personnelles ou
autres.
Le deuxième volet de votre question, et ça
revient un peu à mon propos, ce n'est pas seulement les institutions
financières qui utilisent les informations personnelles comme mode d'identification.
Je vous dirais aujourd'hui que, si je veux ouvrir un compte dans la plupart des
institutions financières, il faut que je me présente, que je présente des
pièces d'identité. Mais c'est souvent ce que je... la partie plus «soft», <plus...
moins... >peut-être moins bien protégée, mais qui est aussi dérangeante,
c'est effectivement les fournisseurs de services, les Vidéotron, les
Hydro-Québec, qui... M. Fernandez, pour des fins de sécurité, pouvez-vous
répondre à quelques questions? Et alors est-ce que, là... Bon, bien sûr, dans
certains cas, l'impact sera moindre parce qu'il n'y a pas nécessairement de
transaction financière, mais ça peut être dérangeant de se faire couper son
compte Hydro ou se faire couper son compte téléphone ou autre.
Et, je vous dirais, ça, le point
téléphone, c'est important, ça, parce qu'il y a... Une des façons qui a été
utilisée pour défrauder, pour faire des attaques ciblées sur des personnes, c'est,
justement, d'utiliser ces informations personnelles pour se faire passer par la
personne ciblée auprès des compagnies de téléphone, et, à partir de ce
moment-là, on peut prendre le contrôle du téléphone et envoyer tous les codes
de sécurité. Et ça, c'est quelque chose qui doit changer.
Mme Foster : Equifax
donne une protection qui se limite à cinq ans pour ce qui est... l'espèce de
surveillance du crédit. Selon votre expertise, est-ce que c'est suffisant ou
est-ce que des données peuvent être utilisées largement... parce que ce sont
des données intemporelles... que sont le numéro d'assurance sociale, le nom de
famille de la... le nom de jeune fille de la mère, bon. Est-ce que, selon vous,
cinq ans, c'est suffisant pour ce qui est de la surveillance du crédit?
M. Fernandez (José) : Écoutez,
en ce moment, la plupart des informations qui sont utilisées pour l'authentification,
donc les données personnelles, <sont des... >presque toutes sont
des données permanentes, O.K. : votre nom, votre numéro d'assurance
sociale, votre date de naissance. Après ça, il y a l'adresse, etc. Donc, je ne
veux pas me prononcer sur — parce que je ne suis pas un expert en
fraude bancaire, je comprends bien, mais je ne suis pas un expert — est-ce
que cinq ans est suffisant.
Mais ce que je peux commenter, c'est qu'un
des problèmes d'utiliser une information personnelle pour l'authentification, c'est
qu'on ne peut pas la changer. Et c'est là que, justement, il faut aller à des technologies...
au minimum, usager, mot de passe, parce que le mot de passe, on peut le
changer. Une carte d'identification, ce n'est pas basé sur la biométrie, on
peut la changer. Je la perds, je me la fais voler... C'est ce qu'il arrive en
Espagne ou en Belgique, vous perdez votre carte... la faire voler, vous allez
voir les corps policiers, ils vous en donnent une autre. Il n'y en a pas, de
problème, parce qu'on peut la changer. Et un des problèmes d'utiliser ça, c'est
le fait que ce sont des informations pérennes. C'est ça qui fait que... Il y a
des gens qui l'ont demandé, mais on ne peut pas vraiment changer son numéro
d'assurance sociale.
Mme Foster : O.K. Est-ce
qu'on a des moyens de mesurer quelle proportion des victimes de vol, d'incidents,
là, de vol de données... qui subissent, effectivement, par la suite, des vraies
fraudes ou des vrais vols d'identité? Est-ce qu'on a un moyen?
M. Fernandez (José) : Je
suis très content que vous posiez cette question-là. C'est une question qui
nous a troublés, moi et mes collaborateurs au Département de criminologie à l'Université
de Montréal. M. Dupont... C'est une question qu'on s'est posée puis qu'on
essaie d'établir depuis plusieurs années. Et puis on a même essayé de faire des
modèles économétriques là-dessus. C'est difficile, O.K., parce qu'on n'a pas
une vision globale des marchés noirs de vente. Mais ce qui était le cas et ce
qu'on peut voir... ce qu'on a vu, dans les études qu'on a faites il y a
quelques années, c'est que le pourcentage reste relativement bas, O.K.? On
parle d'entre... les meilleures estimations, entre... peut-être 1 %, mais,
au maximum, dans le 5 %. Les taux de... le nombre de mots de passe, de NIP
de cartes qui ont été volés, on parle, potentiellement, <de 10 % à
20 % de... >aux États-Unis, de 10 % à 20 % de tous les
numéros de cartes bancaires. Maintenant, quel pourcentage de ceux-là se font
frauder? C'est peut-être moins de 1 %, oui. Mais, encore une fois, <c'est
très... >c'est une science très inexacte.
Mme Foster : O.K.
Le Président (M. Simard) :
Merci beaucoup. M. le député de Richelieu.
M. Émond : Merci
beaucoup, M. le Président. M. Fernandez, bonjour. Bienvenue parmi nous.
Vous l'avez dit d'entrée de jeu, vous êtes ici en remplacement de votre <collègue...
M. Fernandez (José) :
...mais, encore une fois, c'est très... c'est une science très inexacte.
Le Président (M. Simard) :
Merci beaucoup.
M. le député de Richelieu.
M. Émond :
Merci
beaucoup, M. le Président. M. Fernandez, bonjour. Bienvenue parmi nous.
Vous l'avez dit d'entrée de jeu, vous êtes ici en remplacement de votre >collègue
M. Dupont. Et je me dois de préciser que votre présence a été acceptée,
consentie par tous les partis qui sont présents ici, à cette commission. Je
m'excuse pour cette façon très maladroite, mais très parlementaire, de vous
souhaiter la bienvenue parmi nous.
Et puis je comprends que vous ne souhaitez
pas parler de Desjardins, puis c'est correct, mais on va plutôt parler de votre
expertise. Vous avez parlé d'identité numérique tantôt — très intéressant — de
méthodes d'authentification. Vous avez parlé des meilleures pratiques en
Belgique, en Espagne, avec un système de cartes d'identité. J'aimerais vous
entendre davantage sur cette méthode d'authentification parce que croyez-vous
que... On a entendu les gens d'Equifax tantôt qui nous parlaient...
Trouvez-vous que les méthodes d'identification pour se connecter à leur service...
est-ce que vous les jugez, présentement, suffisamment sécuritaires? Je l'ai
fait moi-même tantôt pendant la pause pour accéder à mon propre compte puisque
j'ai été parmi les victimes de la fuite de données chez Desjardins puis je vais
vous dire que c'est quand même... bien, moi, ça ne me rassure pas vraiment, mais
c'est ce qui nous est offert.
Mais j'aimerais vous entendre sur
l'identité numérique, comment on pourrait l'améliorer. Parlez-moi davantage de
votre carte, ce qu'on retrouve en Belgique, en Espagne, de quelles méthodes...
Qu'est-ce qu'on pourrait faire au Québec pour se tourner vers de type d'identité
numérique?
M. Fernandez (José) :
Alors, moi aussi, je suis un client d'Equifax, étrangement depuis avant la
brèche, et moi aussi, je suis un client de Desjardins, et je suis dans la liste
fameuse. Donc, effectivement, Equifax utilise une méthode d'authentification
par usager, mot de passe. Je vous dirais que c'est dans les bonnes pratiques,
là. Ça, <c'est... >en termes d'un professeur d'université, c'est
un C plus, là, c'est la moyenne de classe.
Mais je pense qu'au Québec, étant donné
qu'on se veut être un leader en termes de hautes technologies, on se veut être
un leader aussi en termes de cybersécurité, étant donné le savoir qu'on a, il y
a plusieurs universités qui oeuvrent dans le domaine, un écosystème vibrant de
start-up et de fournisseurs de services dans ce domaine-là. Je pense qu'étant
donné qu'on est aussi dans un contexte canadien, je pense qu'on doit oser avoir
meilleur que juste un C plus, les moyennes de classe. Et c'est dans ce
contexte-là que je pense qu'effectivement on devrait aller vers une
authentification numérique.
Alors, l'authentification numérique, c'est
quoi? C'est une information secrète qui est sur votre carte numérique, une
carte d'identification. Ça peut être un permis de conduire avec une puce. C'est
comme une carte de crédit, mais il y a votre photo dessus. Et <cette... >l'information
secrète qui est à l'intérieur de cette puce-là est inviolable. On ne peut pas
la sortir. Et il y a un processeur sur cette carte à puce qui fait une opération
mathématique, et le résultat de cette opération mathématique là prouve à
quiconque le veut que vous êtes vraiment José Fernandez. Et, de plus est, le
résultat de ce calcul-là ne peut être utilisé qu'une seule fois.
Donc, si j'ai prouvé à la SAAQ que j'étais
José Fernandez pour vendre une auto, cette information-là que la SAAQ aurait
temporairement pour vérifier que c'est moi, elle n'est plus valable plus tard
pour faire une autre transaction. Donc, si j'avais un «insider» , justement, à
la SAAQ qui aurait eu accès à ce code mathématique et voudrait faire une
transaction frauduleuse plus tard, il ne pourrait pas. Alors, <ça se
base... >la sécurité de cela se base sur la technologie des cartes à
puce.
L'autre possibilité, c'est de mettre ses
identifiants sur des téléphones cellulaires, ce qui, dans certains cas, peut
être acceptable, mais il y a des risques importants de les mettre sur les
téléphones cellulaires étant donné qu'il y a plein d'autres logiciels qu'on
installe sur nos portables qui feraient en sorte que ça puisse être dangereux.
Mais, dans certains contextes, pour certains types de transactions, ça pourrait
être acceptable, comme on le fait aujourd'hui, d'ailleurs, déjà avec nos cartes
de crédit puis nos cartes de débit qu'on peut mettre sur nos téléphones.
M. Émond : O.K., merci, tout
à fait. Puis, pour information, le gouvernement a mandaté le Centre québécois
de l'excellence numérique pour travailler déjà sur l'identité numérique. Ça, c'est
ce qui s'en vient, c'est l'après. Mais, dans le maintenant, il y a quand même
plusieurs préoccupations qui demeurent. Les gens d'Equifax tantôt... Les
personnes qui se sont fait dérober leur identité, dans le cas qui nous occupe
aujourd'hui, se sont fait offrir de s'inscrire sur Equifax.
Puis là je me rapporte à des cas très
personnels dans ma circonscription, mais que je suis certain qui ont touché
l'ensemble des collègues, entre autres, avec les personnes âgées qui ont eu beaucoup
de difficultés... Et je ne vais pas revenir sur le fait que le français n'était
pas toujours... ou complètement absent du processus, là, mais bien dans le
processus lui-même, où c'est la personne qui doit absolument, lui-même,
s'inscrire et passer au travers du processus, qui est, pour certaines personnes,
pas si simple. Moi, des personnes âgées dans mon comté qui ont eu beaucoup de
difficultés puis qui ont effectué un va-et-vient entre le téléphone, la caisse
populaire elle-même... puis, dans ce processus-là, personne ne pouvait
intervenir à leur place pour les aider dans le processus. Personne, au
Mouvement Desjardins, ne pouvait pas, par exemple, procéder à l'inscription
avec eux pour les accompagner. Probablement pour des notions de sécurité, là,
la personne devait le faire elle-même.
• (17 h 40) •
Mais quelles seraient les bonnes pratiques
pour être en mesure d'accompagner les Québécois et les Québécoises plus <vulnérables...
M. Émond : ...
intervenir à leur place pour les aider dans le processus. Personne, au
Mouvement Desjardins, ne pouvait pas, par exemple, procéder à l'inscription
avec eux pour les accompagner. Probablement pour des notions de sécurité, là,
la personne devait le faire elle-même.
Mais quelles seraient les bonnes
pratiques pour être en mesure d'accompagner les Québécois et les Québécoises
plus >vulnérables ou moins performants pour être capables de faire
eux-mêmes l'inscription auprès d'Equifax? Est-ce qu'il existe des méthodes qui permettent
d'aider les gens sans entrer dans de nouvelles brèches de sécurité?
M. Fernandez (José) : C'est
une excellente question. Et, d'ailleurs, ça, c'est un sujet de recherche qui
nous touche beaucoup. Dans le réseau SERENE-RISC, c'est ce qu'on appelle
l'utilisabilité de la sécurité. Il y a des chercheurs, comme Sonia Chiasson, à
l'Université Carleton, et qui sont des spécialistes dans ce domaine-là, qui
disent : Il ne faut pas juste créer des solutions de sécurité qui ne
seront pas utilisables, mais il faut aussi regarder le côté psychologique,
humain.
Et je vous rejoins là-dessus, sans
commenter directement sur la question Equifax, moi aussi, j'ai des parents
âgés, et <à chaque... >eux, ils sont chanceux, à chaque...ils ont
quelqu'un pas loin qui connaît bien ça, qui peut les aider. Mais je suis tout à
fait sensible à cette question-là. Et c'est un défi pour nous, les chercheurs,
mais, je pense, aussi pour vous, les parlementaires, de s'assurer que les
décisions et les programmes qui sont mis de l'avant seront inclusifs de ce
type... de cette population-là qui est peut-être moins confortable avec la
technologie, effectivement.
M. Émond : Parfait. Merci
beaucoup. Je vais passer la parole à un collègue, M. le Président.
Le Président (M. Simard) :
M. le député de Saint-Jérôme, à vous la parole. Il vous reste
3 min 20 s
M. Chassin :
Alors, je ne vous demanderai pas votre téléphone pour le passer à ma mère, M. Fernandez.
Vous êtes certainement mieux équipé que moi.
Ceci étant dit, je veux revenir... Dans
votre présentation, vous avez parlé d'un certain nombre de données que je n'ai
pas prises en note, mais où des institutions financières représentaient le
trois quarts des cas. Et là, donc, j'essaie de réfléchir à des hypothèses. Pourquoi
est-ce que le secteur bancaire semble plus touché par des fuites de données?
Est-ce que c'est parce qu'ils sont plus négligents? Est-ce que c'est parce que
la valeur des données est plus élevée, et donc peut-être que ce secteur est
plus attaqué, ou peut-être parce qu'il détecte davantage les attaques, alors
que d'autres entreprises, par exemple, peuvent se faire voler et dérober des
données sans nécessairement le réaliser?
C'est des hypothèses que je lance.
Dites-nous, selon vous, quelles seraient les hypothèses intéressantes.
M. Fernandez (José) :
...répondre. Alors, je ferai suivre à Mme la secrétaire les références des
rapports que j'ai mentionnés, si ça vous est utile.
Alors, le rapport de Verizon a
concrètement fait état du fait que la raison principale, hein, ils ont bien
regardé en détail ces fraudes-là, c'est parce que ces fraudes-là sont...
derrière ces vols d'information, il y a des fraudes bancaires. C'est dans le
but de faire de la fraude bancaire. Et, surtout aux États-Unis, c'est commun. Le
type de fraude le plus commun, c'est de, tôt dans la saison des impôts, faire
des faux retours d'impôt où est-ce qu'on demande un retour d'impôt et on envoie
le chèque à une autre adresse, ou on va voler le chèque, ou on fait directement
un dépôt direct. Alors, c'est parce qu'on fait de l'argent avec.
Une voix
: ...
M. Fernandez (José) :
O.K., oui. Maintenant, je veux me permettre un commentaire pas par rapport à
Desjardins, mais à l'ensemble des institutions financières au Canada, parce
qu'effectivement, dans ses liens industriels, on en a eu d'autres avec d'autres
institutions financières au Canada, pas juste Desjardins, mais d'autres, des
banques à charte et autres. Et je pense qu'il y a quelqu'un autour de la salle qui
pourrait peut-être faire écho là-dessus sans le nommer, mais les budgets de
cybersécurité des institutions financières sont en haut, très en haut de la
moyenne. Le niveau de maturité de leurs experts et les moyens déployés sont
très en haut de la moyenne des autres secteurs de l'industrie. Ça, je suis prêt
à l'affirmer, certainement.
M. Chassin :
Est-ce que, donc, vous avez essayé de faire de l'économétrie, là, sur combien
de fois, quand on est touchés par une fuite de données, on est victimes de
fraude? J'aurais tendance à vous poser la question inverse aussi. Combien de
fois une entreprise, par exemple, victime d'un vol de données s'en rend compte?
Est-ce qu'on a une idée de la proportion?
M. Fernandez (José) :
Oui, c'est une bonne question. Comme je vous disais, de détecter qu'il y a eu
une fraude ou une pénétration de l'externe est pas mal plus facile que de
détecter que quelqu'un est parti avec les données sur une clé USB à l'interne. Il
y a des méthodes de détection pour les deux, mais les méthodes de détection de
quelqu'un qui avait droit à accéder à ces données-là part avec l'information,
c'est beaucoup plus difficile et c'est une technologie et un savoir-faire qui
est beaucoup moins mature.
M. Chassin :
L'Association des banquiers canadiens nous a parlé, dans le fond, qu'ils
militaient — là, je traduis un peu leurs propos — pour que
les lois fédérales leur permettent d'échanger davantage d'information entre
institutions financières sur les crimes financiers. Est-ce que vous pensez que
ça peut être une piste intéressante?
Le Président (M. Simard) :
Très rapidement, s'il vous plaît.
M. Fernandez (José) :
Écoutez, pas seulement entre eux, mais avec nous, les chercheurs, parce que ça
nous permettrait d'arriver à des conclusions peut-être plus intéressantes pour
vous, des vrais faits, du «event-based decision-making».
Le Président (M. Simard) :
Merci beaucoup. Je cède maintenant la parole à une professeure en service
public et chercheure aussi, voilà, Mme la députée de Saint-Laurent.
Mme Rizqy : Merci
beaucoup. Juste pour être très claire, le Pr Dupont, lui, il est titulaire de
la Chaire de recherche du Canada en sécurité, identité et technologie de
l'Université de Montréal. Et vous, Pr Fernandez, vous êtes à la Polytechnique
et vous êtes le <titulaire...
Le Président (M. Simard) :
...en services publics et chercheure aussi. Voilà. Mme la députée de
Saint-Laurent.
Mme Rizqy : Merci
beaucoup. Juste pour être très claire, le Pr Dupont, lui, il est titulaire de
la Chaire de recherche du Canada en sécurité, identité et technologie de
l'Université de Montréal, et, vous, Pr Fernandez, vous êtes à la Polytechnique
et vous êtes le >titulaire de la chaire de recherche industrielle en
cybersécurité et intelligence artificielle à la Polytechnique de Montréal. C'est
bien ça?
M. Fernandez (José) : Juste
pour clarifier, il y a un programme de recherche avec Desjardins, et ce programme
de recherche là...
Mme Rizqy : Non, mais je
voulais distinguer les deux chaires de recherche. Il y a deux différentes... Il
y en a une avec l'Université de Montréal. Donc, c'est juste...
M. Fernandez (José) :
Oui, oui, effectivement, il y a une chaire de...
Mme Rizqy :
Inquiétez-vous pas, je pose mes questions de façon très précise et chirurgicale
habituellement.
M. Fernandez (José) :
Oui, d'accord, O.K., d'accord. Oui, M. Dupont a sa chaire de recherche, et
moi, j'ai la mienne. Ce sont deux chaires bien différentes.
Mme Rizqy : Parfait.
Maintenant qu'on a dit ça, je regarde... Vous savez, quand on est chercheur,
souvent, les noms sont importants. Donc, si, par exemple, vous êtes le premier
chercheur, votre nom va apparaître, le deuxième et le troisième. Quand je m'en
vais sur celui de M. Dupont, je ne vois pas votre nom dans sa chaire de
recherche. Je vois d'autres noms de chercheurs associés. Quand, par contre, je
vais sur votre site Web, le premier nom que je vois après Polytechnique, donc,
dans vos partenaires, c'est d'abord Desjardins en premier, suivi de Polytechnique.
Je vais vous parler...
D'emblée, parce qu'il faut crever l'abcès,
il y a des gens qui nous regardent, et aujourd'hui c'est la question à
1 million de dollars, vous ne voulez pas parler de Desjardins, mais la
consultation s'appelle Desjardins. Et, en ce moment, c'est que, sincèrement,
j'ai un profond malaise parce que le conflit n'a pas été divulgué à nous, les
parlementaires. Alors, je vous pose la question. Est-ce que vous, vous avez
divulgué votre conflit d'intérêts ici à la secrétaire ou au président de la
commission avant de venir ici?
M. Fernandez (José) : Non,
parce que j'ai été invité en tant que représentant du groupe SERENE-RISC.
Mme Rizqy : D'accord. En
tout respect, je vois votre bac d'ingénieur, et vous êtes au courant que, dans
votre code de déontologie, articles 3.05 et 3.03, vous avez aussi un
devoir de dénoncer un conflit d'intérêts. Et, parmi la politique, même de la Polytechnique,
de laquelle vous êtes professeur, l'article 7.4, Politique relative à
l'intégrité ou conflit d'intérêts en recherche... Pour nous, c'était important
de le savoir. Puis j'espère que la prochaine fois, si jamais vous êtes invité,
vous aurez le réflexe juste de dénoncer votre conflit d'intérêts.
Mais maintenant on va apprécier vos
réponses. Et vous avez parlé beaucoup de l'identité numérique. Est-ce que vous
avez relaté le nombre de pays qui ont désormais l'identité numérique? Et, si
oui, ces pays-là, est-ce qu'ils ont eu des fuites?
M. Fernandez (José) : Je
veux juste te faire un commentaire par... Si vous me permettez...
Mme Rizqy : Ah! pour moi,
ce sera «vous», ce ne sera pas «tu».
M. Fernandez (José) :
Mais l'invitation a eu lieu ce lundi, O.K.? Et la première chose que j'ai faite
en arrivant ici, c'est de présenter mon conflit d'intérêts.
Mme Rizqy : L'invitation
a eu lieu lundi, on est jeudi. Je pense que... Nous, on l'a appris ce matin
dans le journal.
M. Fernandez (José) :
Donc, par rapport à votre question, vous m'avez posé la question : Quels
sont les pays qui ont déployé une identité numérique? C'est ça?
Mme Rizqy : Quels sont
les pays qui ont eu des failles par la suite malgré qu'ils ont l'identité
numérique?
M. Fernandez (José) :
Écoutez, les trois pays que j'ai mentionnés, qui sont les plus connus, dont les
projets d'identité numériques sont le plus avancé ou le plus... sont l'Estonie,
l'Espagne et la Belgique. Que je sache, il n'y a pas eu de... Je ne connais pas
d'incident par rapport à l'identité numérique déployée par l'État dans ces
pays-là.
Mme Rizqy : ...que
l'Estonie, malgré qu'elle ait utilisé l'identité numérique, en 2014, il
semblerait qu'il y a eu quand même une faille de données assez importante.
M. Fernandez (José) : Je
ne suis pas au courant de cette faille de données là.
Mme Rizqy : D'accord. Et
est-ce que vous êtes au courant de comment fonctionne la journalisation dans le
secteur bancaire?
M. Fernandez (José) : La
journalisation, bien sûr, il s'agit de... Bon, que ce soit dans le secteur
bancaire ou dans les systèmes informatiques, la journalisation, c'est tout simplement
la pratique d'enregistrer les transactions de façon informatique, si on parle
au niveau du système informatique, de les enregistrer sur des serveurs dans ce
qu'on appelle un journal, oui.
Mme Rizqy : Moi, il n'y a
pas... Quand j'étais un peu plus jeune — eh oui, j'ai déjà été un peu
plus jeune — je travaillais dans une banque, et, dès lors qu'un
membre de mon équipe rentrait dans un dossier qu'il n'avait pas le droit de
rentrer, on avait quand même une alerte. On pouvait savoir qu'effectivement
telle personne, malgré qu'il n'y a pas eu d'appel, qu'il n'y a pas eu de courriel,
aucune demande du client... la personne était entrée dans le dossier et, rapidement,
on pouvait le savoir et rencontrer l'employé en question, lui poser certaines
questions, et probablement le mettre sous enquête, et même, des fois, conduire
à un congédiement. Croyez-vous que la journalisation est quand même assez
importante dans les institutions financières, notamment après avoir entendu
l'ABC, qui disait que c'est quand même une pratique très courante dans le
secteur des banques canadiennes qui sont régies par l'ABC?
• (17 h 50) •
M. Fernandez (José) :
Oui. Je ne vais pas faire de commentaire... Enfin, comment dire? De façon
générale, quel que soit le secteur industriel, que ce soit le secteur bancaire
ou un autre, la journalisation est une bonne idée. Ça fait partie des bonnes
pratiques de la sécurité informatique. Et je vous dirais plus, que, <justement...
M. Fernandez (José) :
...je ne vais pas faire de commentaire... Enfin, comment dire? De façon
générale, quel que soit le secteur industriel, que ce soit le secteur bancaire
ou un autre, la journalisation est une bonne idée. Ça fait partie des bonnes
pratiques de la sécurité informatique. Et je vous dirais plus, que >justement...
La Loi Sarbanes-Oxley, aux États-Unis, qui était sur la protection de
l'intégrité des états financiers de compagnies cotées en bourse, faisait était
que, justement, il fallait déployer des mesures, y compris la journalisation,
pour s'assurer qu'il n'y ait pas manipulation de ces données-là. Donc, oui, la
journalisation est une bonne pratique, est une pratique standard en sécurité informatique.
Mme Rizqy : O.K. Alors,
une institution financière qui collecte quand même beaucoup d'informations et
de données... Lorsqu'un employé est mis sur un programme, par exemple, de
fidélisation de clients et qu'il a accès à presque tous les clients, mais qu'il
n'a pas été mis sous un effet de journalisation, est-ce que ça, ça peut conduire
à une plus grande brèche informatique?
M. Fernandez (José) : Répétez
la question. Je veux juste... que je comprends bien.
Mme Rizqy : Si vous
mettez un employé en charge d'un programme assez important puis qu'il a accès à
tous les clients, tout le monde, peu importent les comptes, cette personne-là,
tout à coup, se retrouve, là, avec les clés de la maison, est-ce que cette personne-là,
le premier réflexe, ça ne serait pas de la mettre dans un programme de
journalisation?
M. Fernandez (José) :
Ouf! Les programmes de journalisation sont faits au niveau des applications informatiques.
On ne fait pas de programme de journalisation pour une personne, O.K., différentes
applications. Et, en fait, je ne le sais pas, si vous avez une application Web,
par exemple, pour faire une demande de crédit ou autre chose, on va programmer,
au niveau de cette application-là, les transactions pour cette application-là.
Mme Rizqy : ...souvent travailler
avec un ordinateur de l'employeur, non?
M. Fernandez (José) :
Mais ce que je suis en train de vous dire, c'est qu'il est extrêmement
difficile de faire un journal de toutes les activités de tous les ordinateurs,
de toutes les applications, surtout dans une très, très grande organisation.
Alors, c'est très difficile de faire un journal pour toutes les activités. En
général, les journaux sont un par application, un pour telle base de données,
un pour telle page Web. Et, justement, un des problèmes technologiques
importants, qui est, en fait, un problème de recherche aussi, d'innovation, c'est
comment centraliser tous ces journaux-là.
Mme Rizqy :
<Tout
le monde... >Si vous me permettez, puisque le temps file et que je dois
aller dans un débat de fin de séance, je vais y aller rapidement. Je ne vous
parle pas de tout le monde. Je vous parle de quelqu'un qui confie la clé de la
maison puis qu'on lui dit : Vous avez accès à tout le monde, à tous nos
clients. Cette personne-là, habituellement, on va s'assurer de faire un suivi
très étroit, non?
M. Fernandez (José) :
Écoutez, il y a ici deux aspects. Là, <vous me posez... >si vous
me posez une question sur quelles devraient être les pratiques en termes
de sécurité du personnel et de vigilance des personnes, ça, ce n'est pas mon
domaine, demandez à un ex-policier. Mais, si vous me demandez quelles sont
les mesures qui sont mises en place pour surveiller des systèmes informatiques,
je vais vous donner la même réponse. En général, cette surveillance-là, elle
est faite par application. Alors, si le monsieur théorique que vous disez avait
accès à une application critique, et cette application critique là, parce
qu'elle est critique, n'est pas journalisée, ça, ce n'est pas très bon. Si
cette application-là est critique et journalisée, oui, mais est-ce que ça veut
dire que toutes les applications sont enregistrées ou journalisées? Ça, ce n'est
pas nécessairement le cas.
Le Président (M. Simard) :
M. le député de Robert-Baldwin.
M. Leitão : Très bien. Merci
beaucoup.
Le Président (M. Simard) :
Il vous reste deux minutes, cher collègue.
M. Leitão : Eh bien, merci,
M. le Président. Votre générosité s'est arrêtée là.
Écoutez, on va y aller rapidement. Vous
avez mentionné qu'en ce qui concerne les fuites de données il y a essentiellement
deux sources, la source extérieure, externe, et la source intérieure. Moi, j'ai
une théorie, mais <qui... >je n'ai pas les moyens de la prouver ou
pas, mais j'ai l'impression... Pas une théorie. J'ai l'impression que les
institutions financières en général ont mis et mettent beaucoup de ressources
sur la détection des menaces extérieures. Donc, tout ce qui est cybersécurité,
ils mettent de plus en plus de systèmes et de mécanismes de détection, et on
met beaucoup de ressources financières pour contrer ces menaces externes, et
que peut-être les menaces internes, les moyens de détection de ces menaces
internes n'ont pas nécessairement... ne se sont pas améliorées au même rythme
que les mesures de détection des menaces externes. Pensez-vous que c'est une
impression qui peut se tenir?
M. Fernandez (José) :
Oui, et une des raisons pour ça, c'est que, pour pouvoir détecter l'intention
de quelqu'un de faire quelque chose, il faut regarder des données autres que
juste les transactions de journal dont parlait votre collègue Mme la députée.
Il faut regarder potentiellement d'autres informations pour que ce soit efficace.
Il faut regarder les e-mails, il faut regarder sur quels sites Web ils sont
allés, O.K.? Et c'est là qu'effectivement il y a des techniques d'intelligence
artificielle qui peuvent dire : Ah! cette personne-là, peut-être qu'elle n'est
pas contente avec son travail et peut-être qu'elle va faire quelque chose de
mauvais. Et la problématique avec ça, c'est une problématique éthique très
importante.
Donc, théoriquement, c'est possible.
Est-ce qu'on veut vraiment le faire? Et, si on veut le faire, il faudrait que ce
soit encadré, parce qu'il y a un revers très important en termes de protection
de la vie privée.
M. Leitão : Très rapidement...
M. le Président, vous êtes distrait.
Le Président (M. Simard) :
Cher collègue...
M. Leitão : Vous êtes distrait.
Donc, vous êtes... Je me <permets...
M. Fernandez (José) :
...
avec ça, c'est une problématique éthique très importante.
Donc, théoriquement, c'est possible.
Est-ce qu'on veut vraiment le faire? Et, si on veut le faire, il faudrait que
ce soit encadré parce qu'il y a un revers très important en termes de
protection de la vie privée.
M. Leitão : Très
rapidement, M. le Président, vous êtes distrait...
Le Président (M. Simard) :
Cher collègue...
M. Leitão : Vous êtes
distrait, donc vous êtes... Je me >permets d'y aller rapidement.
Le Président (M. Simard) :
...
M. Leitão : Hein, pardon?
Le Président (M. Simard) :
Je suis distrait pour 10 secondes.
M. Leitão : Juste pour
mentionner peut-être quelque chose qui pourrait être intéressant, c'est que
les...
Le Président (M. Simard) :
Très bien. Merci beaucoup, M. le député. M. le député de Gouin, à vous la
parole.
M. Nadeau-Dubois : Moi,
je suis plus habitué que mon collègue à faire avec peu de temps. Ce n'est pas
une qualité, hein, c'est de la nécessité.
D'abord, un bref retour sur cette fameuse
question, là, d'apparence de conflit d'intérêts. Je veux prendre le temps de
dire ici, au micro, à quel point c'est regrettable, cette situation-là. Et je
veux dire que c'est surtout regrettable que vous en soyez l'objet
personnellement puis qu'il y ait une controverse médiatique autour de ça, alors
que, dans les faits, vous êtes surtout une victime collatérale de la manière
que le gouvernement a décidé de travailler, c'est-à-dire extrêmement rapidement
et de manière cavalière, avec les oppositions. Si on avait eu le temps de
travailler ce mandat d'initiative de manière transpartisane, en prenant le
temps de faire les choses, on aurait pu se constituer un bassin d'experts
beaucoup plus large, et la situation fâcheuse dans laquelle vous vous trouvez
aujourd'hui ne se serait pas produite. Je pense que c'est important de le
mentionner d'emblée.
Maintenant, sur le fond, qu'est-ce que les
institutions financières au Québec, au Canada devraient faire de mieux pour
éviter les situations comme on a vécu chez Desjardins?
M. Fernandez (José) : En
ce qui concerne la prévention de cet incident, et je vais faire l'hypothèse non
vérifiée que c'est vraiment un «insider threat», écoutez, effectivement, il y a
l'analyse à faire, O.K.? Il y a des options technologiques qui sont
potentiellement intrusives. Il y a peut-être des... Je pense que tous sont
conscients, toutes les banques sont conscientes que ça aurait pu leur arriver.
Donc, elles sont toutes préoccupées puis elles sont en train de regarder leurs
procédures internes pour voir si on peut faire mieux.
Ce que je trouve... Et ça, c'est
important, mais je pense qu'ultimement la façon plus efficace et peut-être plus
intéressante pour la société de minimiser les risques... Oui, <on peut
tenir... >on peut regarder les banques et les tenir responsables si
elles ont fait des erreurs graves. Mais je pense que c'est à nous aussi de nous
organiser et dire : Bien, comment est-ce qu'on peut faire pour que, si ça
arrive, les conséquences soient minimales, là? Et je reviens encore sur mon
discours d'une société où est-ce qu'on a une identification numérique, où le
vol de données de la banque ne serait pas si grave que ça.
M. Nadeau-Dubois : Vous
avez parlé des bénéfices économiques d'une telle mesure, j'imagine, pour les
entreprises elles-mêmes. Pourquoi c'est bon pour les consommateurs, cette
mesure-là?
M. Fernandez (José) :
Bien, je reviens à ma mère, à mon père. Mon père, qui est mourant, qui a le
cancer, il a besoin de faire des transactions pour pouvoir renouveler sa carte
de la RAMQ. Bien, il pourrait le faire de chez lui, sur son lit de mort, pour
pouvoir avoir ses médicaments, O.K.? Il n'aurait pas besoin de se déplacer.
Le Président (M. Simard) :
Très bien. Merci beaucoup, M. le député de Gouin. Je cède maintenant la parole
au député de Jonquière.
M. Gaudreault : Oui. Je
pense que votre témoignage est un éloquent exemple des conséquences de
l'identité numérique. Je veux vous entendre là-dessus, spécifiquement sur la
question de l'identité numérique. Est-ce que le Québec est capable d'agir seul
pour construire une identité numérique?
M. Fernandez (José) :
Oui, oui, parce qu'essentiellement, au Canada, la question de l'identité étant
seulement une question provinciale, comment est-ce qu'on prouve notre identité
aujourd'hui? On n'a pas de carte d'identité canadienne. On a soit un permis de
conduire soit une carte de la RAMQ.
M. Gaudreault : C'est un
passeport.
M. Fernandez (José) : Au
niveau international, mais le passeport est surtout utilisé pour les
transactions internationales. Donc, je pense que, dans un contexte canadien...
En Europe, c'est surtout à un niveau national, ce sont... parce qu'il y a un
ministère de l'Intérieur, un corps policier national qui émet des cartes
d'identité. Dans un contexte canadien, ce que je crois qui est plus
raisonnable, c'est que ce soit vraiment à un niveau provincial que ce soit pris
étant donné qu'on a déjà l'infrastructure, on a déjà les procédés pour émettre
un permis de conduire ou une carte de la SAAQ.
M. Gaudreault : Donc, vous
pensez qu'on a tout ce qu'il faut en termes de droit civil, de compétence... parce
que cette identité numérique pourrait-elle être applicable sur les banques,
considérant que les banques sont de compétence fédérale?
M. Fernandez (José) : C'est
une très bonne question. Je ne suis pas un expert en droit, mais je pense qu'en
termes d'infrastructures, en termes de procédés, 90 % du travail est déjà
fait parce qu'on a des fonctionnaires, on a déjà des procédés pour... Si j'ai
besoin d'une nouvelle carte de la RAMQ, un nouveau... cette partie-là,
administrative, qui est une grande partie du coût, elle est déjà mise en place.
• (18 heures) •
M. Gaudreault : O.K. Moi,
je veux aussi quand même faire une référence, là, à votre présence et à votre
chaire, qui est supportée par Desjardins, et je voudrais juste préciser quand
même... parce que le député de Richelieu, tout à l'heure, faisait référence au
fait qu'on avait consenti à votre présence. C'est vrai. Mais, en ce qui nous
concerne, on en avait demandé quatre, autres experts, pas parce qu'on n'a pas
confiance en vous et pas parce qu'on n'aime pas ce que vous dites, <mais
comme...
>
18 h (version révisée)
<1001
M. Gaudreault :
...votre chaire qui est supportée par Desjardins, mais je voudrais juste
préciser
quand même... parce que
le député de
Richelieu,
tout
à l'heure, faisait référence au fait qu'on avait consenti à votre présence.
C'est vrai. Mais,
en ce qui nous concerne, on avait demandé quatre autres
experts, pas parce qu'on n'a pas confiance en vous et pas parce qu'on n'aime
pas ce que vous dites, >mais, comme dans plein de situations, plein de mandats
d'initiative ou de commissions parlementaires de ce type, on peut avoir plusieurs
experts comme vous. Mais d'autres institutions, par exemple, le Centre d'études
en droit économique, l'UQAM, Michel Carlos, spécialiste dans la lutte contre la
fraude, M. Waterhouse, expert en sécurité informatique, ça aurait permis
d'aller encore plus loin à partir de vos interventions. <Alors... Mais...
Puis ce n'est pas... >Mais le gouvernement a refusé. Donc, on est...
M. Fernandez (José) :
Mais, si je me permets...
Le Président (M. Simard) :
En conclusion.
M. Fernandez (José) : Si
vous permettez, je pense qu'aucun de ces collègues-là, et j'en connais plusieurs,
<ne se serait... >même n'étant pas associé à un programme de
recherche de Desjardins, ne se serait prononcé aujourd'hui pour la simple
raison qu'on ne connaît pas les faits. Donc, je suis désolé de la situation qui
a été causée. Mais, honnêtement, vous auriez fait venir Steve Waterhouse, Éric
Parent, Claude Vigeant, ils n'ont pas les faits.
Le Président (M. Simard) :
Merci beaucoup. Merci. Alors, Pr Fernandez, merci, pour votre contribution à
nos travaux.
Sur ce, j'ajourne...
M. Leitão : ...
Le Président (M. Simard) :
Oui? Oui, M. le... Un instant, s'il vous plaît, cher collègue.
M. Leitão : Avant l'ajournement,
j'aimerais...
Le Président (M. Simard) :
Bon, s'il vous plaît, collègue, attendez-moi une seconde.
Des voix
: ...
Le Président (M. Simard) :
À l'ordre, s'il vous plaît! À l'ordre, s'il vous plaît! Je vous demanderais de
reprendre vos places. Le député de Robert-Baldwin a demandé la parole.
M. Leitão : M. le député
de Jonquière...
Le Président (M. Simard) :
Nous avons des questions d'intendance à finaliser ensemble. Ce ne sera pas
tellement long.
M. Leitão : Attendez, M. Fernandez,
attendez un peu.
Le Président (M. Simard) :
D'accord. Alors, voilà, merci pour votre collaboration. M. le député de Robert-Baldwin.
M. Leitão : Merci. Alors,
M. le Président, conformément à l'article 176 de notre règlement, je vous
demande de nous réunir en séance de travail mardi prochain sur les heures
réglementaires de nos travaux afin que notre commission puisse déterminer les
conclusions et les recommandations que nous entendons formuler.
Le Président (M. Simard) :
Très bien. Alors, j'entends votre demande de respecter l'article 176. Nous
allons faire les démarches diligentes et requises pour que nous puissions
trouver une date qui nous soit commune à tous. Ça pourrait être celle-là ou une
autre. Mais il nous faudra, bien entendu, répondre aux exigences formulées par l'article 176.
Et, soit dit en passant, j'en profiterai... pour ceux qui le peuvent, après l'ajournement
de nos travaux, si vous pouviez rester pour qu'on puisse voir les plages de
disponibles à votre agenda.
Alors, sur ce, merci pour votre excellente
collaboration durant cette journée de travail. Et on se retrouve le mardi 26 novembre
à 10 heures, où nous poursuivrons un nouveau mandat. Bonne fin de soirée.
(Fin de la séance à 18 h 3)