(Onze
heures quarante-six minutes)
Le Président
(M. Simard) : Chers collègues, alors, à l'ordre, s'il vous plaît!
Bienvenue à toutes et à tous, aux parlementaires comme aux non-parlementaires.
Comme
vous le savez, la commission est réunie afin de procéder aux consultations
particulières et auditions publiques sur la question de la fuite de
données personnelles chez Desjardins.
Mme la secrétaire,
vous allez bien?
La Secrétaire :
Oui.
Le Président
(M. Simard) : Y aurait-il des remplacements ce matin?
La Secrétaire :
Oui, M. le Président. Alors, M. Reid (Beauharnois) est remplacé par M. Lafrenière
(Vachon); M. Derraji (Nelligan) est remplacé par Mme Rizqy
(Saint-Laurent); et M. Ouellet (René-Lévesque) est remplacé par M. Gaudreault
(Jonquière).
Le
Président (M. Simard) :
Très bien. Alors, comme nous avons, malgré nous, commencé
légèrement en retard, j'aurais besoin
de votre consentement afin que nous puissions poursuivre après l'heure
initialement envisagée. M. le député
de Robert-Baldwin.
M. Leitão : Merci, M.
le Président. Bien sûr, consentement,
mais c'est que je soulignais que c'est quand
même ironique qu'on fasse ça
puisqu'on est ici sous une procédure un peu spéciale. Mais nous allons être
bons joueurs. Consentement.
Remarques préliminaires
Le
Président (M. Simard) :
Très bien. Merci pour ce consentement. Alors, comme vous le
savez, chaque audition commence par
des remarques générales, des remarques préliminaires. Alors, il y a
des remarques qui sont faites de part et d'autre de cette table. Et nous allons commencer par la partie gouvernementale. M. le député de Saint-Jérôme, la parole est à vous.
M. Youri Chassin
M. Chassin : Merci, M. le Président. J'aimerais rappeler, en commençant, que, si le gouvernement a décidé d'aller de l'avant avec les audiences d'aujourd'hui, c'est en
raison de l'aspect humain de la fuite de données chez Desjardins. Donc, au-delà
des actions déjà entreprises par le gouvernement, si nous sommes ici, c'est
pour répondre aux nombreuses questions des
clients touchés, des Québécois qui ont des inquiétudes, qui veulent savoir ce
qu'ils risquent et ce qui a été fait pour qu'ils soient protégés. Ce sont leurs questions, leurs histoires que nous avons
tous entendues en comté, comme députés, que nous avons tous à l'esprit
ce matin.
Il
est important de rappeler, pour que les débats du jour puissent avoir lieu dans
l'ordre... de se rappeler, donc, qu'il existe une différence fondamentale entre
les dossiers de protection des dossiers... des données personnelles, pardon,
dans les ministères et les organismes
et la protection des données financières dans les institutions privées. La
responsabilité de l'État existe dans les deux cas, mais n'est pas la même.
J'insiste sur ce point parce que le mélange des genres n'aide en rien
les Québécois touchés par la fuite de données.
Le
premier sujet, nos ministères l'ont bien en main avec des projets de loi. Nous
aurons l'occasion d'en débattre à satiété à cette occasion.
Le
deuxième, c'est celui auquel on s'intéresse aujourd'hui, soit ce qui est fait
en matière de protection des données financières des individus au sein
d'institutions bancaires privées.
Nous
sommes conscients qu'une enquête est présentement en cours et nous respectons
le fait que certaines informations doivent demeurer confidentielles
puisque celles-ci se déroulent toujours à l'heure actuelle. Je parle, bien sûr, de ces enquêtes, M. le Président. Nous
croyons toutefois qu'il est pertinent de rencontrer les acteurs que nous avons
convoqués aujourd'hui pour qu'ils nous expliquent ce qui s'est passé, les
mesures en réaction à la fuite de données, mais aussi pour nous orienter sur
l'encadrement gouvernemental qui pourrait contribuer à la meilleure protection
des données financières des Québécois.
Encore
une fois, l'ampleur des événements nous force à faire preuve d'écoute et de
rigueur par respect pour tous ceux qui ont été touchés par la fuite de données.
On parle de 4,2 millions de Québécois qui ont des inquiétudes légitimes
et qui veulent avoir des réponses, et surtout un peu de paix d'esprit. Notre
devoir de parlementaires est de représenter les intérêts
de la population québécoise à l'Assemblée nationale, et c'est ce que nous
allons faire aujourd'hui en recevant Desjardins, Equifax et tous les autres
groupes qui se joindront à nous tout au long de la journée. Merci, M. le
Président.
• (11 h 50) •
Le
Président (M. Simard) : Merci à vous, M. le député de
Saint-Jérôme. Je cède maintenant la parole au député de Vachon.
M. Ian Lafrenière
M. Lafrenière : Merci beaucoup, M. le
Président. Alors, salutations aux collègues
qui sont aujourd'hui présents. Je ne referai pas la genèse de tout ce qui s'est passé en cette commission
pour arriver ici aujourd'hui, mais malheureusement
c'est un constat qui est triste, qu'on
arrive à cette façon-là de procéder, parce qu'au final ce que les citoyens
veulent entendre, c'est qu'est-ce qui
s'est passé. Ils veulent entendre Desjardins. Oui, il est vrai, M. le Président, que, dans le passé, on a entendu Desjardins s'exprimer, que ce soit dans
les médias ou même au niveau du fédéral, mais il y a des questions
que les... et je suis persuadé que
mes collègues ici ont entendu beaucoup de questions
des citoyens qui les ont interpelés dans leur comté,
que ce soit ici...
Et
aujourd'hui on va écouter Desjardins, on va interroger. Il va
y avoir Equifax, l'OPC, l'association des banques canadiennes, l'AMF et José Fernandez. La SQ avait été invitée au tout
début, et, étant donné que l'enquête est toujours active, ils ont décliné l'invitation, et
ça, mon collègue l'a dit tout à l'heure, on en est très conscients.
Aujourd'hui, M. le Président, ce qu'on veut, c'est trouver des réponses pour
les citoyens. Et je dois vous avouer que moi-même, j'ai reçu
une lettre de Desjardins quand tout ça a commencé, et ça m'a insécurisé. Ça m'a
insécurisé sur le coup, mais ça m'a
insécurisé sur le futur, en disant : Quand est-ce que ça va arriver?
Quelle journée il va y arriver quelque
chose?
Et un
des enjeux qu'on va devoir adresser aujourd'hui, c'est le vol d'identité aussi, vol d'identité
qui a de grandes conséquences pour les citoyens. Lorsqu'on se fait voler
son identité, lorsque des gens font des emprunts, font des transactions en
notre nom, il y a de lourdes conséquences. Lors du débat, la semaine passée,
j'en ai parlé amplement. Aujourd'hui, on a entendu une victime, Mme Aubry, qui
est venue en parler, et ce sont des conséquences réelles. Je l'ai vu
moi-même sur le terrain. C'est des gens qui sont dévastés, et ça reste. C'est extrêmement
difficile de s'en sortir.
Alors,
je pense que, comme parlementaires, aujourd'hui, on a un travail important. Le travail important
qu'on a, c'est de poser les questions au nom de nos citoyens. Moi, je
tends la main à mes collègues des oppositions en disant : Travaillons
ensemble, posons les bonnes questions au nom de nos citoyens.
Et
je veux aussi rassurer les gens qui nous écoutent en disant : C'est le
début, ce n'est pas la fin. Alors, oui, aujourd'hui, il y a
une journée où on va pouvoir poser des questions. Mais, parallèlement
à ça, notre gouvernement est déjà dans l'action, et il y aura des projets de loi qui vont être déposés incessamment. Et,
comme vous le savez, M. le Président, lorsqu'il y a un dépôt
de projet de loi, il y a une possibilité de convoquer des groupes pour les
entendre, et ça sera fait aussi.
Alors,
trois projets de loi distincts, autant d'occasions d'entendre des gens. Alors,
je veux rassurer les oppositions en
disant : Aujourd'hui, oui, on entend six groupes, mais, dans le futur, il
y en aura d'autres. Travaillons ensemble pour le bien-être des gens qui
nous écoutent. Merci, M. le Président.
Le Président
(M. Simard) : Merci à vous, M. le député de Vachon. Je cède
maintenant la parole au député de Robert-Baldwin et porte-parole de
l'opposition officielle. Cher collègue.
M. Carlos J. Leitão
M. Leitão :
Très bien. Merci beaucoup, M. le Président. Alors, nous aussi, nous allons
participer activement à cette commission.
Nous allons faire notre travail. Je dois quand même nous rappeler à nous tous
que nous sommes ici dans un exercice
qui nous a été imposé par le leader du gouvernement, un exercice imposé et qui
est beaucoup plus restreint que ce que nous aurions souhaité faire.
Permettez-moi, M. le
Président, parce que c'est important, de rappeler un peu la chronologie des
événements. Le 20 juin 2019, Desjardins
a annoncé publiquement la fuite de données. Le 21 juin, le collègue député
de Laurier-Dorion avait demandé une
séance de... un mandat d'initiative dans une autre commission parlementaire. Le
9 juillet, M. le Président, le député de René-Lévesque avait
adressé une demande de mandat d'initiative à la Commission des finances
publiques. Le 9 juillet. Le
28 août, nous avons eu finalement une séance de travail d'à peine
30 minutes, où on n'a pas réussi à s'entendre. Le 3 septembre,
on a finalement eu une séance qui a duré un peu plus de temps.
Et
finalement on a procédé au vote. On avait une liste d'une douzaine de groupes.
On n'a pas été capable de faire approuver
cette liste, et donc la motion a été rejetée, M. le Président. Donc, si nous
nous trouvons ici aujourd'hui, c'est en conséquence de cela. Le
1er novembre, on apprend que ce sont tous les membres de Desjardins qui
ont été touchés par cette fuite. Et,
ce jour-là aussi, moi, j'avais déposé, ainsi que le député de René-Lévesque,
une autre demande de mandat d'initiative. Et c'est à ce moment-là que le gouvernement a court-circuité les
procédures, ce qu'il peut faire avec l'article 146, en imposant
cette commission avec un nombre très restreint de participants.
Nous
voulons entendre Desjardins, et c'est très bien, on va poser des questions,
ainsi qu'Equifax, AMF et les autres. Mais,
comme le député de Vachon a mentionné, on parle ici de la protection des
données personnelles, le vol d'identité. Ça demande une commission parlementaire beaucoup plus large que cela, et
nous souhaitons que cela se fasse. Ça aurait pu être fait sur deux ou
trois jours. Ça n'aurait pas entravé les travaux parlementaires.
Donc, nous allons
participer à cette session, très bien. Comme le député de Vachon a mentionné,
c'est le début et pas la fin. Mais nous
souhaitons que la continuation se fasse ici, dans cette Assemblée, dans cette
commission, qu'on puisse entendre
tous les experts. L'enjeu va bien au-delà de Desjardins. L'enjeu concerne la
protection des données privées de tous
les Québécois dans des organismes privés et publics. Il faut faire la lumière
sur tous ces enjeux-là. Merci, M. le Président.
Le
Président (M. Simard) : Merci à vous, M. le député de
Robert-Baldwin. M. le député de Rosemont, vous avez exactement
2 min 40 s.
Une voix : ...
Le
Président (M. Simard) : Bien oui, une minute, cher collègue. Je
m'excuse. Ce sera plus tard que vous aurez 2 min 40 s.
Désolé.
M. Vincent Marissal
M. Marissal :
O.K. Merci. Bien, bienvenue, chers collègues. Finalement, je dirais, tout ça
pour ça. Je veux rassurer le député de Vachon. On est ici pour les mêmes
raisons. On n'a juste pas pris le même chemin pour se rendre, et c'est malheureux. Je veux remercier le député de
Robert-Baldwin d'avoir fait un excellent exposé, parce que je n'aurai pas le
temps de le faire en une minute.
C'est quand
même ironique, tant d'efforts si longtemps pour arriver ici avec si peu de
temps dans un dossier aussi important.
Il paraît qu'on vit de petites victoires dans l'opposition, mais, si tant est
que celle-ci est une victoire, elle a un goût franchement amer. On n'a pas aimé, personne, en tout cas, de ce
côté-ci de la table, je pense que je parle au nom de mes collègues, la façon dont ça s'est fait. On a
l'impression désagréable de s'être fait rentrer ça dans la gorge un peu de
force. Et d'entendre ce qui a été dit en
plus tôt ce matin au salon bleu, franchement, c'est ajouter l'insulte à
l'injure. Visiblement, certains collègues du gouvernement n'ont pas la
même mémoire que nous de la façon dont ça s'est passé.
Cela dit, on est contents. Puis on est contents
que Desjardins puisse finalement témoigner et on va faire ça avec
professionnalisme et rigueur. Merci, M. le Président.
Le Président (M. Simard) :
Merci, cher collègue. M. le député de Jonquière.
M. Sylvain Gaudreault
M. Gaudreault :
Oui, merci, M. le Président. Comme 4,2 millions de membres de Desjardins,
je suis également touché par cette
fuite de données personnelles extrêmement préoccupante. Nous avons demandé, le
9 juillet dernier, cette commission.
Alors, aujourd'hui, on se retrouve avec un sentiment de trop peu, trop tard.
Mais on va le faire quand même avec toute l'énergie que vous nous connaissez et
toute la rigueur que vous nous connaissez également pour comprendre ce
qui s'est passé et porter un jugement, mais surtout essayer de trouver des
solutions.
Parmi les
solutions qu'on cherchera à trouver, moi, je veux surtout comprendre les
limites réelles du droit québécois versus les compétences fédérales en
protection des données personnelles. Alors, là-dessus, je pense qu'on a un
chantier à examiner de façon très, très serrée... et de bien comprendre ce qui
s'est passé.
Par ailleurs,
bien, j'ai hâte d'entendre également les explications de Desjardins, d'Equifax,
de l'Autorité des marchés financiers,
de l'Office de la protection du consommateur, les banquiers, également, et les
experts, que nous aurions préféré pouvoir contre-vérifier, l'expert
qu'on va recevoir, avec d'autres types d'experts dans le domaine. Merci.
Auditions
Le
Président (M. Simard) : Merci à vous, cher collègue. Alors, nous
procédons maintenant à la seconde étape de ces auditions en débutant, donc, nos échanges et nos présentations.
Alors, M. Cormier, bienvenue parmi nous. Auriez-vous d'abord, pour les fins de nos travaux, l'amabilité
de vous présenter ainsi que de présenter les personnes qui vous accompagnent?
Mouvement Desjardins
M. Cormier
(Guy) : Alors, Guy Cormier,
président et chef de la direction du Mouvement Desjardins. Bonjour, tout le monde. À ma droite, Isabelle Garon, qui est vice-présidente,
Bureau du président, Coopération et Soutien aux administrateurs, à ma gauche, Denis Berthiaume, qui est premier
vice-président exécutif et chef de l'exploitation du Mouvement Desjardins,
et, à sa gauche, M. Yvan-Pierre Grimard,
qui est vice-président, Affaires institutionnelles et gouvernementales, au
Mouvement Desjardins.
• (12 heures) •
Le Président (M. Simard) : Nous
vous écoutons, et vous disposez d'une période de 10 minutes.
M. Cormier
(Guy) : Bien, alors,
écoutez, merci beaucoup, M. le Président de la Commission des finances
publiques. Mesdames messieurs, membres de la commission, bonjour à
toutes et à tous.
Desjardins
comprend très bien la préoccupation des Québécois concernant le vol de données
et de renseignements personnels qui est survenu chez nous. On entend
participer très activement à la mise en place de solutions visant une meilleure protection des
renseignements personnels et la mise en place d'une véritable identité
numérique. Je tiens à vous rassurer d'entrée de jeu que vous avez notre
plus entière collaboration aujourd'hui.
Le
1er novembre dernier, 24 heures après un appel de la Sûreté du
Québec, j'ai informé nos membres publiquement que l'enquête policière tendait à démontrer que l'ensemble des membres
particuliers de Desjardins étaient touchés par la fuite de renseignements. Je rappelle, là, ici, là,
qu'il ne s'agit pas d'un nouveau délit. C'est toujours la même enquête sur le
même délit commis à l'interne par le même employé malveillant qui a agi seul.
Depuis
juillet, tous les membres chez Desjardins bénéficient dorénavant d'une
protection, la Protection membres Desjardins,
une protection automatique et permanente en cas de fraude et de vol d'identité,
une protection qui est unique au
Canada. Ce même jour, le 1er novembre, on avait prévu prononcer, puis on
l'a quand même annoncé, là, l'extension de ce programme de protection. Ce sera tous nos membres chez Desjardins qui
vont dorénavant bénéficier, sans frais, d'un service de surveillance de
crédit d'Equifax. Ils vont recevoir, au cours des prochaines semaines, un code
d'activation. Ils pourront s'inscrire directement à Equifax.
Depuis juin,
chez Desjardins, on a travaillé d'arrache-pied. On a congédié
l'employé fautif. On a développé des nouvelles
protections sans égal au Canada. Et, dans un temps
record, on a mobilisé l'organisation, traité jusqu'à 125 000 appels
par jour. Et aujourd'hui c'est plus
de 41 % des membres, là, qui se sont inscrits sur Equifax, ce qui
constitue un résultat sans précédent
à travers le monde. On a posé des questions à l'interne. On en pose encore. Et
on a continué à faire évoluer nos procédures. On a agi en tout temps
dans l'intérêt de nos membres.
Desjardins, c'est la plus grande institution
financière du Québec et le premier groupe coopératif financier en Amérique du
Nord. C'est 312 milliards d'actifs, 23 milliards de capitalisation,
45 000 employés et près de 120 ans de partenariat avec les Québécois. Desjardins a été classé par Bloomberg
parmi les institutions financières les plus solides à travers le monde.
Desjardins est reconnu par les conventions internationales comme une
institution financière d'importance systémique.
On est encadrés par l'Autorité des marchés financiers du Québec, qui applique à
Desjardins les mêmes exigences que le
Bureau du Surintendant des institutions financières applique aux banques
canadiennes. On est soumis aux mêmes agréments
internationaux de conformité que les banques. On est évalués par les mêmes
agences de notation. On est soumis aux mêmes règles d'audit trimestriel.
À chaque
année, le Mouvement Desjardins investit 70 millions de dollars en sécurité
informatique et en cybersécurité. Nos
processus sont constamment en évolution. Et, je le rappelle, là, dans l'affaire
qui nous préoccupe, là, nos systèmes n'ont jamais, jamais été compromis. La fraude interne, c'est la bête noire de
toute organisation, comme c'est arrivé chez Marriott, comme c'est arrivé chez Disney, comme c'est arrivé
chez Sephora, comme c'est arrivé à Revenu Québec, et même dans le
dossier de santé Québec.
Au début du
mois, le commissaire à la vie privée du Canada a révélé que 28 millions de
Canadiens, 28 millions de Canadiens,
avaient été touchés par des fuites de données dans la dernière année, découlant
de 680 déclarations volontaires. 28 millions en un an. Si on
enlève à peu près les 4 millions de Desjardins puis les 6 millions de
Capital One, là, il reste 18 millions
de Canadiens dont les données ont été volées. C'est qui, les autres
organisations? C'est qui qui a agi avec autant de transparence et le même sens du devoir que Desjardins a démontré dans
les derniers mois? J'ai fait cinq conférences de presse. J'ai accordé des dizaines d'entrevues. Puis j'en suis à ma
deuxième commission parlementaire. Et loin de moi, ici, là, l'idée de jeter la pierre à d'autres entreprises
qui ont été victimes de fraude interne, mais, au contraire, ce que ça démontre,
c'est qu'il faut se retrousser les manches, actuellement, là, pour chercher des
solutions ensemble.
Ce qui s'est
produit chez Desjardins, c'est très sérieux, et on a agi en conséquence. Mais,
si on veut rendre réellement justice
aux membres de Desjardins, là, et, plus largement, aux citoyens du Québec et du
Canada, on doit élargir notre regard tous
ensemble parce qu'il y a eu de nombreux cas avant Desjardins, il y a eu des cas
depuis le 20 juin puis il va continuer malheureusement d'avoir des
cas dans le futur encore. Le vol de données, c'est un fléau mondial.
Chaque année,
la multinationale québécoise CGI discute avec 5 500 de ses clients à
travers le monde. En 2019, au cours
de ses échanges, 20 % de ses clients ont indiqué n'avoir aucun plan pour
améliorer la sécurité des données personnelles qu'ils gèrent et un autre 20 % a indiqué qu'elles souhaitaient
investir dans ce domaine, mais ne savaient tout simplement pas avec quelles balises elles devaient le faire.
La conclusion de ces échanges, c'est qu'à part les pays de l'Union européenne
la grande majorité des pays de l'OCDE tarde trop à réagir à cet enjeu,
la protection des renseignements personnels.
Le
retentissement de ce qui est arrivé chez Desjardins, là, c'est un éveil brutal
qu'on ne doit certainement pas gaspiller. Je nous enjoins tous à voir au-delà de la situation de Desjardins puis à
se poser les vraies questions. Et, chez Desjardins, on a formé un groupe
de travail à l'interne auquel j'ai donné un mandat très clair pour nos membres
et les consommateurs : Constituez un guide des meilleures pratiques à des
fins de sensibilisation et d'éducation. Les meilleurs systèmes vont toujours
nécessiter la vigilance des consommateurs.
Pour les
entreprises, constituer un guide de sensibilisation et de prévention de la
fraude — on a,
chez Desjardins, 360 000 entreprises qui font affaire avec
nous et qui gèrent chacune des données sur leurs clients — puis,
pour les gouvernements et les institutions,
rassembler des informations et ouvrir un réel dialogue sur la notion d'identité
numérique... Nous rendrons, d'ailleurs, public, disponible à tous, un
rapport sur nos travaux au premier trimestre de 2020.
Et, dans le
cadre de ce troisième volet là, sur le volet gouvernemental et institutionnel, là, sur l'identité numérique, j'ai
rencontré, la semaine dernière, Joni Brennan, qui est la présidente du DIACC,
Digital Identity & Authentification Council of Canada. Desjardins est membre fondateur de ce conseil,
qui est destiné à la promotion et à la préparation d'un système canadien d'identité numérique et
qui participe à des discussions au niveau international.
Et, ce matin,
je suis heureux de vous annoncer devant la commission que Desjardins sera
et est l'instigateur de la mise sur pied d'une nouvelle branche francophone du DIACC ici, au Québec, que l'on va dorénavant appeler le forum
de l'identité numérique. Depuis le
20 juin, il y a plusieurs organisations au Québec qui ont manifesté leur volonté de
travailler avec Desjardins pour chercher des solutions. Ce forum, il est
ouvert à toutes les parties prenantes et transcende toute forme
de concurrence ou de corporatisme dans la société. L'enjeu, il est stratégique,
il est économique puis il est social. Avec
ce forum, ce qu'on veut essentiellement, c'est coaliser les acteurs, documenter
ce qu'il se fait ailleurs à travers le monde,
identifier des pistes de solutions qui seraient adaptées à la réalité
québécoise puis aider le gouvernement dans ses prises de décision. Et
j'invite, d'ailleurs, le gouvernement du Québec à se joindre à ce forum.
On est à
l'ère du numérique. Les données sont désormais considérées comme des ressources
dans la société. Elles sont à la base de toutes les innovations technologiques
que l'on connaît. Il ne s'agit pas d'arrêter ce mouvement-là actuellement, là, mais il faut l'encadrer de la
bonne façon. Actuellement, on s'enregistre sur différents réseaux avec des
documents gouvernementaux qui ont été conçus pour d'autres fins à une autre
époque. On a construit, là, autour de ça, depuis les dernières années,
là, un paquet de parapluies informatiques pour protéger ça, mais ce n'est pas
optimal.
Actuellement,
les consommateurs, les citoyens sèment leurs données personnelles un peu
partout au gouvernement, dans
plusieurs ministères, chez leur employeur, à la caisse, à la banque, dans les
municipalités, chez leur fournisseur Internet, chez Hydro-Québec et dans de nombreux, nombreux commerces. On multiplie
les expositions. On multiplie les risques. Il faut redonner à chaque
personne le contrôle de ses données. Il faut redonner du sens. Il faut
construire une véritable identité numérique au Québec et au Canada.
Le gouvernement a annoncé son intention de
légiférer. La législation fait évidemment partie de la solution, mais avec doigté. On ne peut pas cadenasser les
données. Il faut réunir confidentialité, sécurité et fluidité. Il faut tirer
les bonnes leçons de ce qui s'est passé chez Desjardins et ailleurs et
travailler ensemble dans l'intérêt des citoyens et dans l'intérêt de notre
économie.
Merci beaucoup. On est prêts à répondre à vos
questions.
Le
Président (M. Simard) : Très bien. Merci, M. Cormier. Alors,
merci pour cet exposé. Avant de céder la parole à mes collègues, simplement vous rappeler que plusieurs d'entre eux
veulent s'adresser à vous, et, afin de maximiser notre temps, je nous
invite à des réponses à la fois complètes, mais néanmoins synthétiques. Ceci
étant dit, M. le député de Saint-Jérôme, à vous la parole.
M. Chassin :
Merci, M. le Président. Merci, M. Cormier, pour cette présentation.
Bienvenue.
Vous êtes une
institution d'une importance capitale dans l'économie québécoise. Je dirais
même que Desjardins habite en partie
l'imaginaire des Québécois, ce qui explique sans doute le retentissement du vol
de données qu'on a connu. Bon,
évidemment, la fuite de données chez Desjardins, vous en avez été victime. Il y
a 4,2 millions de Québécois qui en ont été victimes. Ça soulève de nombreuses questions. Je vais en poser,
certains de mes collègues aussi. Je vous prierais de garder vos réponses
assez courtes et concises, autant que faire se peut.
J'aimerais
comprendre un élément. Évidemment, vous en parliez dans votre présentation,
c'est un employé mal intentionné qui, chez vous, a mis la main sur ces données.
Est-ce que vous pouvez nous donner un sens des catégories de travailleurs, d'employés de Desjardins qui ont
accès à ces données, sachant que... J'imagine que, par exemple, un directeur
a accès à ces données-là. Quelqu'un qui fait
de l'entretien au sein d'une caisse populaire n'a pas accès. Entre les deux,
quelle serait la proportion des catégories d'emploi qui ont accès aux données?
M. Cormier (Guy) : Bien,
essentiellement... Je vais y aller rapidement. Denis, tu auras peut-être des
questions d'exploitation.
Mais
essentiellement, sur 45 000 employés,
il y a des employés qui ont accès à des données, là. Vous pensez à votre
caissière dans votre caisse, là, elle
regarde son écran, elle a de l'information sur vous, là. Le planificateur
financier, il a de l'information sur
vous. Le directeur de comptes aux entreprises, il a de l'information sur votre
entreprise. Alors, c'est balisé, c'est
encadré. Il n'y a personne chez Desjardins qui ouvre son ordinateur, là, puis
qui a accès à toutes les données de tous les membres, tous les clients, le
matin, instantanément, sur son système, là. Il y a d'importantes mesures de
sécurité qui sont mises de l'avant.
Mais, une
fois que j'ai dit ça, il y a quelques employés, quelques dizaines d'employés,
qui ont accès à beaucoup
plus d'informations pour différentes raisons. Pensez à tout ce qui
touche la lutte au blanchiment d'argent. La lutte au blanchiment d'argent, on a des obligations légales et réglementaires de transmettre de l'information. On
peut penser à la sécurité. On peut penser au marketing. Et, à ce
moment-là, il y a des mesures qui encadrent le nombre de données que les gens
ont accès.
• (12 h 10) •
M. Chassin :
Est-ce que vous pourriez nous donner une proportion approximative?
M. Cormier (Guy) : Sur
45 000 employés, là, on parle de quoi, Denis, quelques dizaines?
M. Berthiaume (Denis) :
Quelques centaines, là.
M. Cormier
(Guy) : Quelques centaines
d'employés sur 45 000 employés
qui ont accès à un peu plus d'informations.
M. Chassin : Et
donc c'est là où il y a des contrôles de sécurité plus serrés, j'imagine,
compte tenu de cet accès-là?
M. Cormier (Guy) : Il y a des
contrôles de sécurité partout. Il y a des contrôles de sécurité face à nos
caissières. Il y a des contrôles de sécurité
face à nos planificateurs financiers. Il y a des contrôles de sécurité par
rapport à tous nos employés. Et, en
fonction du type d'information qu'ils peuvent avoir accès, bien, les contrôles
de sécurité sont modulés en conséquence. Mais tout le monde a des
contrôles de sécurité.
M. Chassin : Et donc vous avez rajouté des contrôles de
sécurité aussi par la suite. Dans l'état actuel des choses, est-ce
que... par exemple, des contrôles de sécurité même avant l'embauche?
M. Cormier
(Guy) : Denis, peut-être, tu peux y aller là-dessus.
M. Berthiaume (Denis) : ...peut-être compléter. Écoutez, un, première des
choses, il y a tout un système
de gestion des accès et des identités
qui sont présents. Alors, il y a un principe de base : à 45 000 employés, les employés ont accès au
système strictement de ce qui est requis dans le cadre de leur travail. Donc,
ça, ça existe. Évidemment, après ça...
M. Chassin :
Mais, avant l'embauche, est-ce que...
M. Berthiaume
(Denis) : Avant l'embauche, il y a des enquêtes de sécurité qui sont
menées.
M. Chassin :
D'accord.
M. Berthiaume (Denis) : Puis, pour ce qu'on appelle des comptes à hauts
privilèges, c'est poussé encore plus loin, donc c'est avant l'embauche.
Et il y a également des mesures additionnelles.
M. Chassin : Merci. Il y a, donc, des données qui ont été volées, qui, évidemment,
contiennent un certain nombre d'éléments qui sont bons longtemps, que ce soit
la date de naissance ou le numéro d'assurance sociale. Est-ce que vous pourriez nous donner un sens de combien de temps
ces données pourraient être éventuellement utilisées contre le détenteur
des données?
M. Cormier
(Guy) : Bien, écoutez... Denis, tu veux-tu y aller? Je pourrai
compléter.
M. Berthiaume
(Denis) : Mais je peux y aller, puis vous pourrez compléter, M. le
Président.
Un
élément qui est important, évidemment, la durée de vie des données. Il y a des données,
effectivement, qui ne bougent
pas, qui ne sont pas mobiles, mais, strictement avec un numéro d'assurance sociale et avec une date de naissance, bien, oui, ce qu'on peut observer, c'est que les
gens peuvent se servir de ça. Effectivement,
quand c'est rendu à l'extérieur,
c'est rendu à l'extérieur. Toutefois, il y a une durée de vie à certaines
données. Donc, pour fins d'authentification, les mécanismes d'authentification
sont beaucoup plus larges que strictement demander une date de naissance et un numéro
d'assurance sociale. Alors, par d'autres mécanismes d'authentification,
questions de sécurité ou différents modes de fonctionnement au
niveau de la sécurité, eh bien, on
vise, dans le fond, à périmer, en quelque part, ces données-là
dans tout le processus d'authentification de nos membres.
M. Chassin : D'accord.
M. Cormier (Guy) : Et, très rapidement, c'est pour ça qu'on a lancé la Protection
membres Desjardins. Le 15 juillet, quand on a lancé la Protection membres Desjardins, c'est, justement, pour protéger ce type de risque là. Aujourd'hui, tous les membres chez Desjardins bénéficient de cette
protection-là. Dans un an, dans deux ans, dans 10 ans, dans 50 ans,
dans 75 ans, tant qu'ils sont
membres chez Desjardins, ils ont accès à... S'il y a une transaction frauduleuse
dans leur compte — ou
non autorisée — on les rembourse. S'ils ont malheureusement un réel vol d'identité, ils appellent chez Desjardins. Gratuitement,
on a des spécialistes, avocats, spécialistes, psychologues, s'il le faut, qui
peuvent les accompagner. Puis, troisièmement, s'ils ont des dépenses personnelles, on rembourse jusqu'à
50 000 $. C'est pour gérer ce risque-là qu'on a mis cette
protection-là.
M. Chassin : Question : Est-ce que vous avez eu, avant les faits, des
indications à l'interne qu'il y aurait des risques de sécurité sur les
données personnelles?
M. Cormier (Guy) : Bien, essentiellement, là, régulièrement, à
chaque année, on investit 70 millions de dollars par année. On investit 70 millions de dollars
par année dans nos différentes mesures de sécurité. Et on a un plan annuel dans
lequel on décide parfois : O.K., on alloue notre argent où?
M. Chassin :
Vous êtes conscients des failles possibles.
M. Cormier (Guy) : La fraude interne, les attaques externes, les
demandes de rançon, la cybersécurité. On parle avec des spécialistes universitaires. On parle avec des spécialistes
internationaux. On se fait accompagner
par des firmes externes. On parle aux
autres institutions financières. On parle à l'environnement pour voir qu'est-ce
qui se passe, actuellement, dans le marché et on investit.
Alors,
parfois, effectivement, les gens disent : Ah! attention, de ce temps-ci,
il y a beaucoup d'hameçonnage par rapport à tel nouveau type de fraude.
O.K., on ajuste nos mesures de... procédures de sécurité. C'est un jeu de chat
et souris, ça, là. Aujourd'hui, pendant que
je vous parle, là, il y a probablement des gens qui écoutent ce que je vais
dire pour essayer d'attaquer Desjardins et d'autres institutions
financières prochainement.
M. Chassin :
Et on ne voudrait pas ça.
M. Cormier
(Guy) : Alors, c'est ça, la réalité.
M. Chassin :
Merci, M. Cormier. Mes collègues vont continuer.
Le
Président (M. Simard) : Tout à fait.
Merci à vous, M. le député de Saint-Jérôme. Mme la
députée de Charlevoix—Côte-de-Beaupré.
Mme Foster : Bonjour. Merci
beaucoup d'être ici aujourd'hui.
Je
commencerais par une mise en situation. On va prendre un cas fictif, Louise.
Louise fait partie des 4,2 millions d'abonnés chez vous qui ont été victimes de vol de données. En juin
dernier, elle ouvre le bulletin de nouvelles, elle apprend qu'il y a eu une fuite massive de données chez
Desjardins. Elle s'inquiète. Elle se demande si elle va recevoir la lettre, si
elle fera partie des clients touchés.
Finalement, quelques semaines plus tard, elle reçoit la lettre. Elle
fait partie des clients qui sont touchés dans la première vague.
Dans la
lettre, on lui dit essentiellement :
Voici, si vous voulez une surveillance de crédit, vous devez vous inscrire à
Equifax. Elle appelle chez Equifax, c'est long, c'est long. Elle appelle deux
fois, trois fois, parce qu'il y a une heure d'attente
à chaque fois, puis elle travaille comme tout le monde. Donc, à un moment
donné, elle ne peut pas juste faire ça dans
sa vie. Par la suite, elle finit par rejoindre Equifax, a sa surveillance de
crédit, mais, au final, elle se dit : C'est lourd, c'est lourd. Est-ce que je reste membre chez
Desjardins? Ça, c'est la première question. Elle décide de rester membre, mais
elle se pose des questions, sans compter le fait qu'on lui répond en anglais
chez Equifax. Ça, c'est une autre chose.
Suite à ça,
moi, j'ai quelques questions. Je vais vous les poser en rafale à partir de
cette mise en situation là, parce que
vous comprenez que, du point de vue du citoyen, je vais essayer de vous les
poser, les questions, mais du point de vue du citoyen, tel qu'ils ont vécu la situation. Je vais poser les quelques
questions en rafale, mais je vous demanderais d'attendre à la fin.
Peut-être les prendre en note puis me les répondre en rafale également. Ce
serait apprécié.
Premièrement,
l'erreur ne vient pas du citoyen, elle vient d'un employé chez Desjardins, tout
ça, mais ultimement la responsabilité
est quand même sur Desjardins, du vol de données. Alors, pourquoi mettre le
singe sur l'épaule du consommateur en
ce qui concerne le service de la surveillance du crédit? C'est long, c'est
fastidieux. Ça a connu des ratés, ça a été compliqué. Pourquoi mettre le
singe sur le dos du client? Il y en a 4,2 millions comme ça.
Également, est-ce que vous vous êtes assurés
avec Equifax, avant d'accorder ce contrat-là de protection, de surveillance, qu'ils avaient les capacités pour
faire face à cette surveillance? Parce que, je comprends, les choses se sont
faites vite, mais le service en
français a connu des ratés et le système informatique également. La capacité
était, bon, plus ou moins suffisante pour répondre à la demande dans les
premiers mois.
Également,
pour ceux qui ne seront pas capables de s'inscrire au service avant le
1er janvier 2020, parce que la première vague, là, on nous dit...
Moi-même, j'ai reçu cette lettre-là. Je faisais partie de la première vague. On
nous dit : À partir du 1er janvier 2020, bien, si vous ne vous
êtes pas inscrit, c'est comme un vide. Qu'est-ce qu'il arrive? Parce
qu'ultimement, je le rappelle, ce n'est pas la faute du client, ce qui est
arrivé.
Également,
Equifax elle-même a été victime d'une fuite de données massive en 2017. Donc,
quelle est la limite de votre responsabilité sur les données de vos
membres que vous avez référés à Equifax si une fuite du genre se reproduit chez
eux?
Finalement, je fais référence à quelque chose
que vous avez dit tout à l'heure et que vous avez dit également lorsque vous
êtes allé au Parlement fédéral devant une commission. Vous avez mentionné que
la Protection membres Desjardins, qui couvre la protection des actifs,
d'accompagnement en cas d'utilisation frauduleuse des renseignements personnels et de remboursement de frais pour des
démarches de restauration d'identité... Donc là, on est hors de la surveillance
de crédit, on est dans l'autre protection
que vous offrez. Vous dites — j'ai accroché un peu : C'est permanent
tant qu'on reste client chez vous. Donc, qu'est-ce qu'il arrive si quelqu'un,
suite à tout ça, décide : Moi, je ne veux plus de compte chez Desjardins? Est-ce que cette protection-là est
permanente? Mais est-ce qu'elle l'est vraiment? Parce que vous avez encore
mentionné tout à l'heure : Tant que la personne demeure membre chez
nous... Alors, voilà. Merci.
M. Cormier (Guy) : Écoutez,
quelques éléments de réponse.
Premièrement, moi, là, avant le 20 juin,
là, il arrive une fuite de renseignements, là, il y a deux entreprises au Canada qui offrent ce service-là, deux, pas trois,
pas quatre, pas cinq, pas 10, deux : Equifax, 70 % de part de marché,
et TransUnion, 30 %. Alors là,
l'eau rentre dans le sous-sol, là, puis il y a deux camions qui passent sur la
rue, là, pas deux, pas trois, pas
quatre, cinq, deux camions. Je peux attendre des semaines et des semaines ou je
dis : Je travaille avec Equifax. On s'est assis avec Equifax. On a pris le
temps de regarder, dans un court délai, quelles étaient les protections. C'est
une firme internationale qui a fait ça à plein d'autres endroits.
Alors, on a fait les vérifications, puis ils
nous ont dit : Oui, on est en mesure d'accompagner adéquatement. Puis, en moyenne, c'est 5 % à 10 % des
gens qui sont victimes d'une fuite qui s'inscrivent. Là, on leur a dit :
O.K., parfait, mais, si c'est plus,
êtes-vous capable d'accompagner tout ça? Oui, on va travailler avec eux comme
tels. Évidemment, au début, là, il y a eu des enjeux que vous avez mentionnés.
Mais rapidement Equifax s'est assis avec nous, puis on a cherché des solutions. Puis Equifax, je dois dire, a fait
preuve d'ouverture. Ils ont augmenté leur capacité de leur site Internet. Ils
ont augmenté leurs ressources en
français. Là, on le voit depuis le 1er novembre, la qualité de la prise en
charge est très différente comme telle.
Mais, je le
répète, et ça, je pense que c'est un élément que les gouvernements devraient
regarder, il y a deux firmes de bureau de crédit au Canada, deux. Alors, à un
moment donné, les institutions financières travaillent avec les entreprises
avec lesquelles elles ont le droit de travailler au Canada. Ça, c'est la
première chose.
La
deuxième chose, c'est probablement
tout ce qui touche au niveau de... pas capable de s'inscrire d'août à décembre
par rapport à la... chez Desjardins. Bien, c'est qu'on laisse cinq à six mois, puis
les gens nous disent, chez Equifax, même chez TransUnion, que, généralement, les gens qui veulent s'inscrire, bien,
s'inscrivent au début. Après quatre, cinq, six mois, bien, déjà, s'il reste 60 %, 65 % des gens qui ne sont pas activés, s'ils ne l'ont pas
activé en juillet, en août, en septembre, en octobre, en novembre, bien, pourquoi après cinq, six mois, là, quand
tous les médias en ont parlé? Alors, les gens nous disent : C'est
rarement tout le monde qui s'inscrit au service de protection.
Pourquoi on a lancé la Protection membres
Desjardins? C'est parce qu'effectivement on voyait que ce n'étaient pas tous les membres chez Desjardins qui
s'inscrivaient puis on se disait : Qu'est-ce qu'on fait s'il y en a juste
10 %, 20 %, 30 % puis que les autres ne le sont pas? Quelle est
notre responsabilité, comme entreprise, comme coopérative? Et c'est là
qu'on s'est dit : Il faut lancer une protection additionnelle. On a lancé
la Protection membres Desjardins, c'est vrai, exclusivement pour nos membres.
Il faut être membre de la coopérative parce que quelqu'un qui décide de quitter
sa coopérative, bien, pourquoi les autres
membres devraient soutenir cette protection-là pour 20, 30, 40 ans quand eux
ont décidé de prendre la décision de
rester dans la coopérative, alors que les autres ont décidé de quitter? La
protection, elle est permanente tant que vous êtes membre de la coop.
C'est un peu le sens de ce qu'on a voulu amener.
• (12 h 20) •
Mme Foster : ...reste encore un
peu de temps?
Le Président (M. Simard) : Oui,
oui, oui. Il vous reste 2 min 50 s.
Mme Foster :
On parle quand même d'une situation exceptionnelle. De dire que la personne qui
décide de ne plus être membre chez
vous perd cette protection-là quand l'erreur qui a été commise au départ ne le
concerne pas, mais concerne Desjardins, c'est un peu particulier.
M. Cormier (Guy) : La dame ou
l'homme qui a ça peut quitter Desjardins, et on va quand même lui offrir une protection de cinq ans avec Equifax, payée par
Desjardins. Alors, même si elle a quitté Desjardins, là, depuis le mois d'août
ou septembre, Desjardins continue de lui
payer une protection Equifax pour les cinq prochaines années en cas de vol
d'identité. Moi, je pense qu'on prend nos responsabilités, là.
Le
Président (M. Simard) : Je sais que le député de Vachon
souhaitait également intervenir. Cher collègue, à vous la parole. Il
vous reste 2 min 11 s.
M. Lafrenière :
Merci beaucoup. Merci pour la présentation. Je ne me trompe pas en disant que
vous êtes dans un système coopératif. Donc, il y a plusieurs caisses. Il
y a combien de caisses au total?
M. Cormier (Guy) : Aujourd'hui,
on est à 212 caisses.
M. Lafrenière :
212 caisses. Est-ce que je me trompe aussi en disant que chacune de ces
caisses-là a une banque de données,
c'est-à-dire, quand moi, je me présente pour ouvrir un compte, la caisse où je
me présente à une base de données avec mes informations?
M. Cormier (Guy) : Je pense,
c'est centralisé. Denis?
M. Berthiaume
(Denis) : C'est un système
central. C'est des accès qui sont donnés aux caisses, caisse par caisse,
mais c'est un système central. On fonctionne avec des systèmes centraux.
M. Lafrenière : Donc, il y a un
système central, mais, dans la caisse, il n'y a aucune copie de mes informations
personnelles qui se retrouvent là.
M. Cormier
(Guy) : Ah! bien non, c'est
sûr qu'il y a des données. Il y a des données papier, là.
Il y a des demandes de crédit. Il y a des cartes de signature. Il y a
ces éléments-là.
M. Lafrenière : Ma prochaine question... Puis vous l'avez
dit, hein, quand vous vous êtes présentés au fédéral, vous avez dit que c'est un problème
qui était majeur, là, la petite bête noire avec nos fraudeurs internes. Je suis
d'accord avec vous.
Je veux savoir quelle journalisation vous faites pour les interrogations qui se
font de vos employés dans les systèmes, à
savoir moi, j'ai eu accès aux dossiers de tant de clients en temps réel. Est-ce qu'il y a une journalisation qui se fait chez vous?
M. Cormier (Guy) : Bien, Denis,
tu veux-tu y aller sur ça?
M. Lafrenière : Puis, je
m'excuse, j'y vais rapidement parce qu'on est serrés dans le temps.
M. Cormier (Guy) : Oui, oui, tout
à fait, tout à fait, vas-y, Denis, là, sur les mesures de sécurité.
M. Berthiaume
(Denis) : Bon, écoutez,
là, évidemment, là, quand on parle de nos mesures de sécurité à
l'interne, la journalisation, chez Desjardins, il s'en fait, de la
journalisation. Maintenant, il faut le voir comme un outil. Ce n'est pas un bâton magique, la journalisation, là. C'est un outil
dans le coffret à outils de toutes sortes de mesures de sécurité qu'on met.
Dans l'encadrement, il y a de la journalisation.
M. Lafrenière : Parfait, ce qui m'amène à l'autre question,
la préembauche. Vous faites une enquête de sécurité de vos employés qui vont se
présenter chez vous?
M. Berthiaume
(Denis) : Tout à fait, oui.
M. Lafrenière :
Pendant l'emploi, est-ce que vous refaites une enquête?
M. Berthiaume (Denis) : Pour les comptes, évidemment, il y a
des catégories d'emploi où, effectivement, les mesures
de sécurité, les enquêtes sont beaucoup plus régulières.
M. Lafrenière : Vous comprenez où je veux vous amener quand je
vous dis ça? C'est parce qu'un employé qui est rentré chez vous avec un dossier
parfait, après quatre, cinq, six ans, problème financier quelconque, décide
d'être malveillant pour le crime
organisé ou quoi que ce soit, est-ce qu'il
y a un drapeau qui va s'allumer automatiquement chez vous s'il n'y a pas de
vérification qui se fait?
M. Berthiaume
(Denis) : Dans nos comptes d'accès à hauts privilèges, il y a des
enquêtes.
M. Lafrenière :
Donc, c'est certain que ce n'est pas tout le monde. Merci.
Le
Président (M. Simard) :
Merci à vous, M. le député de Vachon.
Vous êtes parfaitement dans votre temps. Je cède maintenant la parole à notre collègue la
députée de Saint-Laurent. Madame.
Mme Rizqy :
Merci beaucoup. Bienvenue parmi nous. D'emblée, on vous a proposé d'être
assermentés, chose à laquelle vous avez dit que vous ne souhaitez pas demander
une assermentation pour pouvoir répondre à nos questions.
On
va continuer sur l'employé. Mes questions vont être très précises. Je ne
parlerai pas de façon générale. On parle vraiment du dossier qui nous
concerne, la fuite de données. L'employé en question avait combien d'années de
service chez vous?
M. Cormier (Guy) : Écoutez, il y a une enquête policière en cours actuellement, là. C'est un employé qui travaille depuis longtemps, mais on a
des... Il y a des recours collectifs contre Desjardins puis il y a des enquêtes
policières. Alors, il y a des réponses qu'on va tout faire pour vous donner,
là, mais je peux vous dire que c'est plusieurs années. Mais on a des avis qui
nous disent d'être très prudents dans ce qu'on va exprimer publiquement.
Mme Rizqy : Comprenez-moi bien, je ne demanderai aucune
donnée nominative qui pourrait révéler l'identité de la personne.
M. Cormier
(Guy) : Plusieurs années, plusieurs années.
Mme Rizqy : Et l'employé en question, est-ce qu'il était dans un programme de marketing, de
fidélisation de clients?
M. Cormier (Guy) : C'est un employé qui travaillait dans... qui
avait accès à des bases de données chez Desjardins. Ça peut être au marketing, à la sécurité, aux
ressources humaines, dans le blanchiment d'argent, mais c'est quelqu'un qui
travaillait dans nos bases de données.
Mme Rizqy :
Si vous souhaitez ne pas répondre à une question, vous pouvez le dire tout
simplement. Est-ce que l'employé en question était, lorsqu'il est parti
avec des données, dans un programme de journalisation ou pas?
M. Cormier
(Guy) : Je ne sais pas s'il était...
M. Berthiaume
(Denis) : Regardez, là, on tombe dans... Encore une fois, je réitère,
là, on est dans une enquête, présentement, policière. Alors, on va être très,
très prudents sur ce qu'on va déclarer ici à cette commission.
Mme Rizqy :
Je ne pense pas qu'il y ait quoi que ce soit ici qui peut brimer l'enquête
policière lorsqu'on demande une
question sur la journalisation des données. Oui, il peut y avoir quelque chose
par rapport au recours collectif, j'en suis. Est-ce que vous demandez le
huis clos?
M. Berthiaume
(Denis) : Je ne demande pas de huis clos.
Mme Rizqy :
Si je vous dis que l'employé en question, il n'était pas dans un programme de
journalisation, est-ce que ça, ça peut être vrai?
M. Berthiaume
(Denis) : Regardez, je vous
réitère qu'il y a des mécanismes de sécurité qui existent. La journalisation,
c'est un des mécanismes de sécurité qui est utilisé chez Desjardins.
Mme Rizqy :
L'employé en question...
M. Berthiaume
(David) : Je ne veux pas commenter sur l'employé en question. Il y a
des enquêtes en cours.
Mme Rizqy :
O.K. À quel moment vous avez décidé, avec le Service de police de Laval... à
savoir qui allait récupérer le matériel volé chez l'employé? Quelle
date?
M. Cormier (Guy) : C'est Desjardins. Ce n'est pas avec le Service de
police de Laval que ces démarches-là ont été faites, là. C'est, dans le fond, au moment où le Service de police de
Laval nous a informés que, dans le cadre de l'une de leurs enquêtes, qui
n'est pas reliée à Desjardins, en passant, là, qu'eux pensaient qu'il pourrait
y avoir de l'information de Desjardins qui circule à l'extérieur de Desjardins.
Donc, on était à la fin du mois de mai, à peu près, là.
Mme Rizqy :
Et, à ce moment-là, vous avez pris une décision d'aller récupérer le matériel
volé chez l'employé?
M. Cormier (Guy) : À ce moment-là, on a pris des décisions de
protéger l'information qu'on avait chez nos membres comme tels.
Mme Rizqy :
Est-ce qu'à ce moment-là, à quelque part dans votre service juridique,
quelqu'un vous a informé que, si vous allez récupérer les données chez
l'employé en question, il pourrait compromettre l'enquête criminelle parce
que vous pouvez avoir compromis la preuve
dans un procès futur? Est-ce que vous avez eu ce questionnement avec le service
de police?
M. Cormier (Guy) : La décision que j'ai eu à prendre comme président
de Desjardins, c'est : Est-ce que je protège les membres ou je
protège l'enquête policière? J'ai décidé de protéger mes membres.
Mme Rizqy :
Et aujourd'hui est-ce que ça fait en sorte qu'on n'est pas en mesure d'aller
plus loin dans l'enquête criminelle?
M. Cormier
(Guy) : Ce n'est pas ce que les policiers nous disent.
Mme Rizqy :
D'accord. Et, par rapport toujours à l'employé en question, tantôt, vous avez
dit qu'il avait agi seul. Est-ce que vous êtes certains qu'il a agi seul? Parce
qu'on entend aussi qu'INTERPOL court après d'autres personnes.
M. Cormier (Guy) : Aujourd'hui, le Service de police de Laval, la
Sûreté du Québec et nos propres enquêtes nous indiquent tous que c'est un
employé qui a agi seul. On va laisser l'enquête poursuivre... Puis moi aussi,
j'ai hâte de voir ce que la Sûreté du Québec et le Service de police de
Laval vont poursuivre comme enquête. Mais aujourd'hui, l'information qu'on a en
date d'aujourd'hui, à ma connaissance, c'est un seul employé.
Mme Rizqy :
En décembre 2018, est-ce que vous étiez au courant qu'il y avait déjà une
brèche?
M. Cormier (Guy) : Non. En décembre 2018, là, si vous référez à ce
qui a pu être véhiculé, Desjardins a régulièrement transmis de l'information aux corps policiers
parce qu'on avait trouvé qu'il y avait des transactions frauduleuses dans
certains comptes. Ce qu'on fait, là, à chaque semaine, régulièrement, c'est par
rapport à la lutte au blanchiment d'argent ou à des situations comme ça.
On a transmis de l'information au Service de police de Laval sans savoir vers
où ça nous mènerait.
Mme Rizqy :
Mais vous saviez qu'il y avait déjà une brèche en décembre 2018 ou pas?
M. Berthiaume (Denis) : Moi, je réitère, là, ce qui a été fait en
décembre 2018. Quand il y a des actions frauduleuses qui se passent, quand on pense qu'il y a un risque
de fraude, automatiquement, on amène le dossier vers les autorités policières
rapidement, quand on pense qu'il y a un acte
criminel qui peut être commis. Par la suite, ça a pris un certain temps, il y a
eu du travail conjoint avec nos
équipes d'enquête interne, avec les policiers de Laval. Et c'est le 22 mai
que les policiers de Laval nous sont revenus avec la donnée qui, là,
pointait vers une fuite. Avant ça, on n'avait pas d'indication à l'interne.
Mme Rizqy :
Mais, en décembre 2018, vous aviez déjà des lumières assez suffisantes pour
appeler le Service de police de Laval, non?
M. Berthiaume (Denis) : Non. C'est un cas de fraude. Encore une fois, là,
c'est une transaction qui nous apparaît suspecte qui a amené à une déclaration.
Il y en a, là, régulièrement, des transactions qui nous apparaissent suspectes,
qu'on amène vers les corps policiers, et là eux vont démarrer une
enquête. C'est comme ça que ça s'est passé.
M. Cormier
(Guy) : ...quelqu'un qui dépose un chèque, dans un compte, dans une
caisse.
Mme Rizqy :
Je comprends parfaitement, mais je suis vraiment dans le cas de l'employé
malveillant. Dans le cas de l'employé malveillant, est-ce que c'est lui
aussi que vous avez identifié en 2018?
M. Cormier (Guy) : Il n'y a pas
de lien.
Mme Rizqy :
Il n'y a pas de lien? D'accord.
M. Cormier (Guy) : Il n'y a pas de lien du tout, du tout. Il n'y a
aucun lien. L'information qu'on a, c'est que, nous, là, comme on fait dans plein d'autres
transactions, on avise un corps policier qu'il y a une transaction qui nous
paraît bizarre, susceptible d'être
peut-être criminelle, dans un compte. On envoie ça, parfois c'est au fédéral,
parfois c'est à la Sûreté du Québec. C'est ça qui s'est passé.
• (12 h 30) •
Mme Rizqy :
O.K., parfait. Et, au niveau de votre gestion de risque, est-ce que c'est par
la suite que... Lorsque vous avez réalisé qu'effectivement ça touchait
énormément de monde — initialement,
vous avez été informés que c'était environ deux millions de personnes — au niveau du risque, étiez-vous suffisamment
assurés pour ce risque ou, à partir du mois de juillet, vous avez fait
des appels dans certaines compagnies d'assurance pour être assurés davantage?
Et,
là-dessus, ça m'amène à la question suivante, parce que... Est-ce que vous avez
géré le risque en fonction aussi des
pénalités? En ce moment, quand je regarde les lois désuètes, c'est autour de
10 000 $ maximum, 100 000 $ pour une récidive.
Est-ce que vous êtes suffisamment assurés pour ce type de fraude?
M. Cormier (Guy) : Bien, écoutez, on est une institution financière
qui a des réassureurs pour plein de types de situations. Parfois, c'est la
fraude. On est un assureur de dommages. Quand il y a des inondations, on
indemnise, mais, à partir d'un certain niveau, c'est un réassureur qui
indemnise. Donc, ça fait partie de nos activités courantes en termes de risque, donc ça fait partie de nos mesures de
risque. On a des réassureurs. Parfois, on prend les risques nous-mêmes. Dans
ce cas-ci, là, on a mis une provision de
70 millions dans notre deuxième trimestre, 40 millions pour la
Protection membres Desjardins,
30 millions pour le service d'Equifax et quelques frais juridiques. Et, en
date d'aujourd'hui, on n'a pas changé cette provision-là au troisième
trimestre.
Le Président
(M. Simard) : Merci. M. le député de Robert-Baldwin.
M. Leitão :
Merci beaucoup, M. le Président. Alors, M. Cormier, M. Berthiaume,
bonjour, merci d'être là. J'ai une question
très précise qui est venue d'un citoyen, qui me l'a adressée et qui m'a demandé
de vous la poser, donc je le fais.
Depuis le début de cet événement, on est sous l'impression ou, en tout cas, ce
citoyen est sous l'impression que les données qui ont été volées, c'est identification personnelle, nom, adresse, date
de naissance, etc. La question qui se pose, et que je me pose aussi, et que je vous la pose : Est-ce
que les soldes des comptes ont aussi été volés? Donc, l'information qui circule
inclut non seulement nom, adresse, date de naissance, etc., mais aussi le solde
en dépôt?
M. Berthiaume (Denis) : Il y a certains éléments de détention qui
faisaient partie de la fuite, donc, oui. La réponse, c'est oui. En même temps,
je réitère qu'il n'y avait pas de numéro de compte, il n'y avait pas de
question de sécurité et il n'y avait pas de numéro d'identification
personnel qui ont fuité. Il y avait certains éléments de détention, oui.
M. Leitão :
Merci, merci pour la réponse. Et donc c'est là la question à laquelle on doit
venir, poursuivant ce que le député
de Vachon avait mentionné tantôt, donc le vol d'identité. Le vol d'identité,
alors, devient encore plus dangereux dans ce cas-ci, puisqu'on a non seulement les noms, adresses, etc., des
personnes, dates de naissance, mais aussi si cette personne a potentiellement
un actif intéressant à son compte ou pas. Donc ça, ça permet au voleur de
peut-être mieux cibler d'éventuelles opérations frauduleuses.
Maintenant,
ce que je trouve important et que beaucoup de citoyens nous posent la question,
et je ne sais pas si vous pouvez répondre, c'est : Qu'est-ce qui se passe
maintenant? Donc, il y a des personnes, 4,4 millions de Québécois
qui ont vu leurs données personnelles maintenant se trouver on ne sait pas trop
où. L'enquête nous dira où ça se trouve. Maintenant,
qu'est-ce qui se passe? Il y a les mesures de protection que vous avez mises en
place, très bien, mais, en termes de protection de leurs actifs,
protection de leur identité, comment vous voyez la suite des choses?
M. Cormier (Guy) : Bien, je vous dirais trois choses. La première,
c'est qu'avec la mise sur pied de la Protection membres Desjardins le message que je passe aux membres chez Desjardins,
c'est que Desjardins va vous prendre en charge si vous êtes victime,
malheureusement, d'un vol d'identité. Et les gens, ils n'ont qu'à communiquer
chez Desjardins. Si c'est dans vos
comptes chez Desjardins, on vous rembourse, et, si vous êtes malheureusement
victime d'un vol d'identité, nous
sommes la seule institution financière qui vous accompagne comme on le fait, au
Canada, avec des spécialistes, avec des remboursements jusqu'à
50 000 $ si vous avez des dépenses personnelles, puis avec un
accompagnement très, très personnalisé. Donc, ça, c'est la première chose qui
est importante pour rassurer les membres.
La deuxième chose,
bien, c'est qu'il faut en discuter maintenant en tant que société. Moi, je
pense que c'est anormal, encore,
qu'en 2020 on s'identifie avec des permis de conduire, des numéros
d'assurance sociale, des numéros de carte
d'assurance maladie. Il y a des pays dans le monde qui ont pris une avance
importante sur le Québec et le Canada par rapport à la protection des
renseignements personnels. C'est un fléau, là, on le voit, il y a
28 millions de Canadiens qui ont été
victimes de ça. Alors, je pense que ce qu'il faut faire maintenant, c'est une
vraie, véritable réflexion de société pour aller plus loin.
Le Président
(M. Simard) : Merci. M. le député de La Pinière, il vous
resterait à peine 30 secondes.
M. Barrette : M. le Président, M. Cormier, M. Berthiaume, dans toute
l'industrie où il y a des grandes banques de données, là, les banques, là, vous tous et toutes,
là, aujourd'hui, dans votre industrie, on réclame des
gouvernements qu'ils interviennent pour resserrer
les règles. Avez-vous une opinion là-dessus? Manifestement, les règles
actuelles n'ont pas marché. Alors, je vous
demande deux choses : Étiez-vous à date? Et, si les règles actuelles ne
fonctionnent pas, qu'est-ce que vous recommandez au gouvernement? C'est
ça, l'enjeu, là, ici, là.
Le
Président (M. Simard) :
Merci, M. le député de La Pinière. Alors, nous cédons maintenant
la parole au député de Rosemont
pour une période de 2 min 40 s. Cher collègue.
M. Marissal :
Oui, en effet. Merci. Je coupe...
(Panne de son)
M. Marissal :
Pardon?
Une voix :
...
M. Marissal : Merci. Je coupe court aux salutations. Ce n'est
pas par manque de politesse, c'est par manque de temps. Ça, je le dis souvent. J'aimerais ça, mieux
comprendre, parce qu'il y a quelque
chose qui me mystifie. Fin 2008,
vous indiquez à la police que vous avez identifié quelque chose de
possiblement croche, 2018, fin 2018. Six mois plus tard, c'est la police qui vous dit qu'il y a
eu effectivement un problème de l'ordre que vous mentionnez, mais
c'est pire encore. Comment ça se
fait, là, je vais faire court, comment ça se fait que, pendant six mois, vous
n'aviez pas compris, vous ne vous
étiez pas aperçus que vous vous étiez fait voler quatre millions de dossiers
dans vos propres fichiers? Ça me... Je ne la pogne pas.
M. Cormier (Guy) : Bien, la réponse est simple. À chaque jour, on
envoie plein d'informations à lutte au blanchiment d'argent, aux corps
policiers, sur des transactions qui nous apparaissent douteuses. C'est des millions
de transactions qu'il y a chez Desjardins dans une semaine, des millions, des
milliards dans une année. Il y en a plein qu'on doit même, réglementairement parlant, déclarer à des
autorités gouvernementales. Après chacune de ces transactions-là, notre
travail à nous, ce n'est pas de les
investiguer, c'est le travail de la police ou des autorités réglementaires.
C'est notre règlement de faire ça.
M. Marissal :
...fait voler dans vos propres fichiers, là. Il y a eu un vol chez vous, puis
vous ne le saviez pas.
M. Cormier (Guy) : Bien, au mois de décembre, là, on en... Aujourd'hui, probablement qu'il y a des
gens chez Desjardins qui envoient de l'information à des corps
policiers, aujourd'hui, là, aujourd'hui, pendant qu'on se parle. Est-ce que c'est un vol chez Desjardins? Je n'en
ai aucune idée. C'est après que la police nous dit : Ah! bien, nous, on
a... dans le cadre d'une enquête,
puis ça aurait même pu venir d'une autre enquête, dire : On a trouvé de
l'information reliée à Desjardins. Je comprends le lien qu'on essaie de faire,
mais la réalité, là, c'est qu'aujourd'hui on envoie probablement de l'information à Ottawa sur la lutte au blanchiment
d'argent, par rapport au terrorisme, par rapport à la cybercriminalité. Mais
on ne met pas, nous, nos efforts à enquêter ça individuellement, on laisse les
policiers faire leur...
(Panne de son)
M. Berthiaume
(Denis) : Peut-être un élément, si vous permettez...
M. Marissal :
Rapidement, s'il vous plaît.
M. Berthiaume (Denis) : Juste un élément rapidement, là. Décembre,
c'était une transaction. Il n'y a pas eu de connexion possible à faire
entre ça puis le fait qu'il y avait de la donnée qui était sortie, là.
C'étaient deux choses.
M. Marissal :
Mon point, c'est qu'il y a quelqu'un qui rentre dans votre système, un employé,
il remplit quatre clés USB, il part avec le stock, vous ne le savez pas.
M. Cormier (Guy) : Fraude interne. La fraude interne, c'est la
fraude... Parlez à tous les spécialistes aujourd'hui, ils vont tous vous le
dire : la fraude interne, c'est la plus difficile à contrer. C'est arrivé
chez Revenu Québec, c'est arrivé dans le système de santé, c'est arrivé
dans plein d'organisations. 680 entreprises au Canada ont déclaré une
fuite de renseignements personnels. Alors, je comprends qu'on peut vouloir
faire porter le bonnet d'âne à Desjardins, là, mais Desjardins a été transparent, a été clair et a été... a fait preuve de
franchise dans ce dossier-là, et je pense que là il faut juste aussi
prendre le recul de se dire : L'enjeu est beaucoup plus grand que
strictement Desjardins.
Le
Président (M. Simard) : Très bien. Merci, M. Cormier. Je
cède maintenant la parole au député de Jonquière.
M. Gaudreault :
Oui. On aimerait bien parler à beaucoup de spécialistes, mais malheureusement
on va en recevoir juste un aujourd'hui, là. Ce n'est pas qu'on n'en a
pas demandé.
Moi, je veux juste essayer de comprendre, là,
comment un employé, la personne suspecte, là, peut avoir eu accès à 4,2 millions de données. Lui, dans sa
tâche, là, il avait libre accès à tout ou il était dédié à un secteur en
particulier? Alors, ça, c'est ma première
question. Et, complémentairement à ça, comment ça se fait que son patron n'a
pas fait un «double check», là, sur le travail qu'il faisait?
M. Berthiaume
(Denis) : Bon. La première des choses, là, c'est sûr que la personne
qui a commis l'acte malveillant, c'est un
spécialiste des données, ce n'était pas... c'est un spécialiste des données qui
a trouvé une façon de déjouer les
mécanismes de sécurité qu'on avait en place. Il ne s'est pas levé le matin en
ayant accès à l'ensemble de ça, il a déjoué
les paramètres de sécurité afin de se donner ces accès-là puis éventuellement
exfiltrer ces données-là. Alors, c'est ce qui s'est passé.
M. Gaudreault :
Bon. Et il n'y a jamais personne qui s'est aperçu qu'il avait trouvé le moyen
de déjouer. Donc, la question qu'on
se pose — puis je
fais du pouce sur la question non répondue du député de La Pinière :
Comment on fait, là, pour empêcher ce
déjouement, de déjouer ces données-là? C'est quoi qui vous manque, là, dans les
lois présentement pour que nous, là, on puisse corriger ça puis agir pour
empêcher un futur suspect ou un futur employé de chez vous ou ailleurs
de procéder de la même manière? C'est quoi, la première chose qu'on devrait
faire pour empêcher que ça arrive?
M. Berthiaume
(Denis) : Bien, la première des choses que je peux vous dire, c'est
que le stratagème qui a été utilisé, là, Desjardins a pris ses responsabilités.
C'est sûr que le stratagème, il ne reviendra pas. Ça, c'est très, très clair.
M. Gaudreault :
Mais ma question, c'est nous, là, d'un point de vue législatif et
parlementaire.
M. Cormier (Guy) : Bien, je pense qu'essentiellement, là, il y a une
autorité des marchés financiers qui encadre très bien le
Mouvement Desjardins, qui met les mesures en place puis qui met les mêmes
mesures que pour toutes les autres institutions financières canadiennes.
Donc, je ne pense pas que c'est strictement...
• (12 h 40) •
M. Gaudreault :
Donc, ne rien changer...
M. Cormier (Guy) : Ce n'est pas qu'il n'y a rien à changer, je pense qu'il faut vraiment se questionner
sur la quantité d'information qu'on
demande parfois à des citoyens pour faire des transactions ou pour faire...
pour utiliser des données. Exemple,
est-ce que, quand on a besoin de faire une transaction avec une institution
financière, on a besoin de toutes ces informations-là
comme telles? Parfois, ça vient par la lutte au blanchiment d'argent, on va
nous demander : Va chercher cette
information-là pour confirmer telle donnée. O.K., on a cette information-là.
Est-ce que c'est celle-là qu'on avait besoin? On aurait pu en prendre une autre comme telle. Je pense qu'il faut se
questionner sur certaines mesures qu'on met de l'avant pour voir la
quantité d'information qu'une institution financière a besoin par rapport...
pour opérer.
M. Gaudreault :
Oui, mais, moi, là, comme membre de Desjardins, là, je veux dire, quand
j'appelle, on me demande mon numéro de carte de crédit, mon code crypté
en arrière, mon numéro de téléphone...
Le Président
(M. Simard) : Très bien.
M. Gaudreault :
...on demande le nom de jeune fille de ma mère, je veux dire, il faut qu'on le
trouve, là, la solution, alors...
Le
Président (M. Simard) : Merci beaucoup. Merci beaucoup. Donc,
cela conclut nos échanges. Madame, messieurs, merci d'être venus parmi
nous.
Et, afin de faire
place à l'AMF, nous allons suspendre temporairement nos travaux.
(Suspension de la séance à
12 h 41)
(Reprise à 12 h 45)
Le
Président (M. Simard) :
Alors, chers amis, merci d'avoir fait diligence. Représentants de l'AMF,
bienvenue. Auriez-vous l'amabilité de vous présenter? Et vous savez que
vous disposez d'une période de 10 minutes.
Autorité des marchés
financiers (AMF)
M. Morisset (Louis) : Parfait. Alors, merci, M. le Président. Alors,
mon nom est Louis Morisset, je suis le président-directeur général de l'Autorité
des marchés financiers. Je suis accompagné aujourd'hui, à ma gauche, de mon
collègue Patrick Déry, surintendant de l'encadrement de la solvabilité et, à
ma droite, de ma collègue Gouro Sall Diagne, directrice
principale de la surveillance des institutions de dépôt.
Alors,
nous sommes ici aujourd'hui pour vous éclairer sur le type d'intervention que nous menons en continu auprès des institutions financières et
sur celles que nous avons menées plus précisément dans le dossier du vol de
données chez Desjardins avant et depuis
le 20 juin dernier. Je vous exposerai nos principales conclusions à l'heure actuelle ainsi que les prochaines étapes que nous entrevoyons dans ce
dossier, étant entendu que je ne pourrai révéler certaines informations
spécifiques concernant le dossier en raison de la confidentialité des travaux
de surveillance de l'autorité.
L'un
des rôles confiés à l'autorité est celui de régulateur prudentiel des institutions financières qui sont autorisées, en vertu de nos lois, à faire affaire au Québec. L'autorité exerce, à l'égard
du Mouvement Desjardins notamment, un rôle similaire
à celui joué auprès des banques par le BSIF, le Bureau du Surintendant des institutions financières, au niveau fédéral. L'objectif principal d'un
encadrement prudentiel est de favoriser rehaussement en continu de la solidité
des institutions financières afin qu'elles soient en mesure d'honorer tous les
engagements pris envers les consommateurs malgré la matérialisation possible de risques importants auxquels elles sont
exposées. C'est ce que le législateur nous demande de faire par notre mandat d'encadrement
de la solvabilité des institutions financières.
Et bien que l'application de la Loi sur la protection des renseignements personnels dans
le secteur privé ne relève pas de l'Autorité des marchés financiers, nous nous intéressons à tout ce qui pourrait
ébranler les institutions financières, leur
réputation, et ultimement leur solvabilité. L'autorité effectue ainsi une vigie
en continu des principaux risques susceptibles d'affecter la solvabilité des institutions
financières. Ces risques peuvent
prendre plusieurs formes telles qu'une nouvelle crise financière, une catastrophe naturelle importante,
ou encore un incident opérationnel majeur, par exemple, un vol de
renseignements personnels, sujet dont nous discutons aujourd'hui. Nous intégrons
les résultats de cette vigie à nos activités d'encadrement de même que dans la priorisation et l'allocation de nos ressources
dédiées à la surveillance des institutions
financières. L'autorité reconnaît que les institutions
financières sont des entreprises
privées en situation de concurrence et qu'elles doivent prendre des
risques raisonnables. Dans ce contexte, l'autorité tient les conseils d'administration et la haute direction responsables de la viabilité de leurs institutions. Dit autrement, notre rôle n'est pas de gérer
les institutions à leur place.
Ce que je
souhaite souligner d'entrée de jeu,
d'abord, depuis la crise financière de 2007‑2008, beaucoup de travaux
ont été menés, au Québec et au niveau fédéral, pour rehausser la surveillance
et les attentes à l'endroit des institutions financières,
et cela même si nos institutions ont été beaucoup moins touchées par cette
crise qu'ailleurs dans le monde. De plus,
l'encadrement du secteur financier au Canada fait l'objet d'une évaluation en
profondeur par le FMI, le Fonds monétaire international, tous les cinq
ans. C'est un exercice rigoureux auquel l'autorité a été à nouveau soumise tout
récemment, au même titre que le BSIF et
d'autres agences fédérales ou provinciales. Le dernier rapport d'évaluation du
FMI, qui a été rendu public le
24 juin dernier, conclut que les pratiques déployées par l'autorité et le
BSIF sont similaires et globalement conformes aux meilleures pratiques
internationales. Je tenais donc à vous réitérer aujourd'hui que nous prenons
notre mission très au sérieux et que nous
nous efforçons de ne déployer, au Québec, rien de moins que les meilleures
pratiques au monde, à l'aune desquelles, d'ailleurs, nous sommes évalués
régulièrement par le FMI.
Par ailleurs, l'autorité produit annuellement un
rapport sur les institutions financières. Ces rapports, qui rendent compte de nos travaux et de notre lecture des
risques importants, sont déposés à l'Assemblée nationale par le ministre des
Finances et disponibles sur notre site
Internet. Ils témoignent, à chaque année sans exception depuis 2013, des
préoccupations grandissantes de
l'autorité à l'égard des cyberrisques. Par exemple, dans notre rapport de 2014,
nous écrivions : «Le facteur d'incertitude
lié au cyberrisque contribue à accroître l'importance qui devrait lui être
accordée. Toutes les organisations y sont confrontées, et a fortiori les
institutions financières.
«[...]l'atteinte
à la réputation d'une institution financière peut être la conséquence ultime
d'une cyberattaque résultant, par exemple, du vol ou de la perte de
renseignements confidentiels de clients.»
• (12 h 50) •
Autre
exemple, dans notre rapport de 2015, nous écrivions : «Les cyberattaques
peuvent provenir de plusieurs sources par exemple, la malveillance
interne, le piratage, l'espionnage, l'usurpation d'identité [ou] le vol de
données.»
Nous avons
dès lors demandé à quelque 80 institutions financières, dont Desjardins,
de compléter un questionnaire d'autoévaluation de 78 questions.
Dans le cadre de cet exercice, les institutions se sont dites conscientes des
menaces auxquelles elles font face et
affirmaient avoir entrepris des actions pour rehausser leurs pratiques et
niveau de préparation.
Nous avons accru
l'intensité de nos activités de surveillance dédiée à ces risques auprès de
toutes les institutions financières. Nous avons été le premier régulateur
prudentiel au Canada à publier, pour consultation, en janvier dernier, un
projet de ligne directrice sur la gestion des risques liés aux technologies de
l'information et des communications.
Ainsi, à la
question : Est-ce que l'autorité avait identifié le risque possible d'un
vol massif de données par un employé malveillant?, la réponse est oui. À la
question : Est-ce que l'autorité a porté ce risque à l'attention des
dirigeants des institutions financières
qu'elle supervise?, la réponse est oui. Et à la question : Est-ce que
l'autorité a demandé à toutes les institutions financières qu'elle surveille, incluant Desjardins, de rehausser leur
vigilance et leur mécanisme de contrôle à l'égard de ce risque?, la
réponse est oui.
Maintenant, un événement majeur qui atteint une
institution financière génère de l'inquiétude, en particulier lorsqu'il s'agit d'une institution de la taille de
Desjardins. La gestion ordonnée d'une crise, lorsqu'elle survient, constitue
l'autre important volet de la mission d'un régulateur prudentiel. Nous devons
identifier rapidement tout enjeu potentiel et porter un jugement sur l'efficacité
des mécanismes déployés par l'institution pour y faire face ou la contraindre à
agir si tel n'est pas le cas.
L'autorité
est bien outillée pour jouer ce rôle, tant en termes de pouvoir que de capacité
organisationnelle. Nos outils d'échange d'information et d'intelligence
d'affaires sont à point. Nous pouvons générer et actualiser aussi souvent que nécessaire, plusieurs fois par jour, s'il le faut,
nos tableaux de bord et nos indicateurs. La modernisation de nos pouvoirs,
avec l'adoption du projet de loi n° 141 en
juin 2018, est également venue renforcer notre coffre à outils.
Pour pouvoir
bien jouer notre rôle, toutefois, il faut que l'autorité soit avisée rapidement
et en toute transparence par l'institution touchée. Je réaffirme que ce
fut le cas dans le présent dossier. Desjardins nous a signalé l'incident dans les heures suivant la première prise de
connaissance de celui-ci et nous a tenus informés de tous ses développements au
fur et à mesure par la suite.
Nous nous
sommes assurés que les mesures requises avaient été déployées afin de colmater
promptement le stratagème identifié. Nous avons obtenu réponse à nos
questions, permettant de confirmer la prise en charge adéquate et proactive de
l'incident par les dirigeants de Desjardins. Nous avons effectué un suivi serré
de la capacité financière et opérationnelle de l'institution, des
réactions des marchés financiers, des investisseurs institutionnels et des
agences de notation. Nous avons été en
constante communication avec la Banque du Canada et d'autres régulateurs
responsables de l'encadrement de certaines activités de Desjardins,
notamment hors Québec.
Sur
cette base, de même que par la réaction des parties prenantes que je viens
d'évoquer, je peux affirmer que l'autorité est satisfaite de l'ensemble des
actions prises jusqu'ici par Desjardins afin de protéger l'intérêt de ses
membres et leurs actifs, et que l'autorité demeure confiante que les
dirigeants de l'institution prennent la situation en charge avec la rigueur, la
transparence et la célérité que commande la situation.
Ce
dossier n'est toutefois pas terminé. Nous nous sommes assurés que l'institution
procéderait à un bilan complet et détaillé de l'incident afin d'identifier
toute mesure additionnelle ou changement structurel devant être mis en place.
Cet exercice est en cours notamment
à l'aide de consultants externes. Des décisions seront prises et des plans
d'action devront être développés et déployés au cours des prochains mois par
l'institution. L'autorité aura pleinement accès à l'analyse et aux constats et elle reverra les éventuels plans
d'action qui en découleront. Nous nous ferons notre propre tête sur la rigueur
et sur le caractère adéquat et complet de tous ces éléments.
Je
peux toutefois vous affirmer que nous serons satisfaits uniquement de mesures alignées avec les meilleures
pratiques observées sur le marché,
que nous effectuerons un suivi serré de la mise en oeuvre intégrale et dans les
temps des plans d'action et que nous
nous assurerons que les constats qui pourraient découler des enquêtes en cours
seront également traités avec célérité.
En terminant,
rapidement, je voudrais vous souligner que, dans la foulée de l'incident chez
Desjardins, nous avons rehaussé significativement notre présence médiatique au
cours des derniers mois afin d'aider la population à se protéger contre de probables tentatives de fraude. Vous aurez peut-être
ainsi vu à la télé ou entendu à la radio nos messages incitant les citoyens à la vigilance s'ils
reçoivent des appels, des courriels ou des textos non sollicités leur demandant des renseignements personnels. Nous invitons les citoyens à ne jamais répondre à ces demandes ni à cliquer
sur les hyperliens qu'elles peuvent contenir. Nous avons mesuré par sondage
l'impact de notre campagne de sensibilisation, et les résultats sont intéressants.
Le Président
(M. Simard) : Merci. M. Morisset.
M. Morisset
(Louis) : Merci, monsieur.
Le
Président (M. Simard) :
Vous finissez sur une note positive en disant que les résultats étaient intéressants. Alors, voilà. Je cède maintenant la parole au député de
Richelieu. Cher collègue.
M. Émond :
M. le Président, messieurs, madame, bonjour, merci d'être avec nous aujourd'hui
pour nous aider à faire un peu plus la
lumière, à nous éclairer sur cette situation,
parce que, si on se réunit aujourd'hui, si on en discute, c'est parce
qu'il y a quand
même 4,2 millions de Québécois qui sont préoccupés. Je dirais plus que ça, je
pense que l'ensemble des Québécois sont préoccupés. En tout cas, dans
mon comté, M. le Président, j'en ai entendu parler beaucoup encore aujourd'hui.
Des citoyens de ma circonscription sont avec nous et suivent nos travaux aujourd'hui
parce qu'ils ont des inquiétudes. Ma propre
maisonnée chez moi, il y a des inquiétudes. On a été touchés, j'ai été
touché personnellement, et les membres de ma famille, par
la fuite des données chez Desjardins.
Je vous remercie pour votre présentation, et je prenais connaissance de votre document,
qui fait la description de votre
mission. C'est indiqué, et à raison, que vous êtes investis de vastes pouvoirs,
l'AMF, hein? Puis, bien entendu, il y
a des notions de confidentialité qui
doivent dicter vos interventions, parce que, pour le bénéfice de nos auditeurs,
des gens qui nous écoutent, vous êtes
l'organisme mandaté par le gouvernement du Québec pour encadrer le secteur financier québécois puis prêter assistance aux
consommateurs de produits et services financiers.
Mais,
dans le cas qui nous occupe, le 20 juin dernier, suite à l'annonce
publique de la fuite de données chez Desjardins, on comprend, donc, que c'était de votre rôle, de votre responsabilité d'entrer en contact avec la société pour vous assurer du respect des intérêts des consommateurs québécois. Vous en avez parlé
dans votre mot d'introduction, mais j'aimerais avoir un peu plus de détails. Expliquez-nous votre rôle dans cette situation
précise. Et puis, pour avoir le fil des événements un peu, quelle est la nature du contact que vous
avez eu avec les gens de Desjardins immédiatement
lorsque vous avez été avisés du fait?
Le Président
(M. Simard) : Merci. M. Morisset.
M. Morisset (Louis) : Merci pour votre question. Écoutez, comme je l'ai
mentionné, en effet, lorsque Desjardins a été mis au parfum de cette information-là, ils nous ont contactés immédiatement, et nous avons évidemment, dès ce
moment, travaillé avec eux pour nous
assurer, dans notre rôle de régulateur prudentiel, qu'ils allaient prendre les
mesures appropriées, comme vous
l'avez mentionné, pour protéger leurs clients, leurs membres, mais également
s'assurer que la confiance du public
demeure à travers ce processus et qu'on favorise la stabilité, donc, du système
financier, notamment de la viabilité chez Desjardins.
Comme on l'explique,
dans le document qu'on vous a remis — on vous a remis deux
documents — le
rôle de régulateur prudentiel, c'est
essentiellement de s'intéresser à la solvabilité, à la stabilité financière, à
la solidité financière des
institutions afin qu'elles soient en mesure d'honorer leurs engagements auprès
de la population, et ça, même si des crises surviennent. Et, quand une crise survient, bien sûr, c'est notre rôle, à
ce moment-là, de s'y intéresser de près pour s'assurer que l'institution
prenne les choses en charge.
Dans
le cas de Desjardins, comme je l'ai mentionné, nous croyons que les mesures
qu'ils ont déployées pour préserver, évidemment, les actifs de leurs clients
sont les mesures appropriées, et nous les accompagnons, si je peux m'exprimer
ainsi, dans ce processus.
M. Émond :
Vous avez indiqué, dans votre introduction, que vous avez... lorsque vous avez
été avisés de la fuite de données, vous en avez pris connaissance, vous avez
mis en marche le protocole selon votre mission qui vous encadre, là, et vous avez même contacté les autres
institutions financières pour discuter avec eux, pour les prévenir, quoi, qu'il
venait de se passer un vol chez le
mouvement coopératif Desjardins, puis j'aimerais vous entendre plus là-dessus.
Puis ma question, c'est : Est-ce
que c'était déjà arrivé par le passé que vous avez été amenés à investiguer, de
vous pencher sur ce type de fuites de
données? Et est-ce que c'est dans vos normes de prévenir ensuite l'ensemble du
milieu financier qu'il vient de se passer
quelque chose, cette fois-ci, qui était majeur? Peut-être, à d'autres occasions
dans le passé, est-ce que vous avez dû le faire pour des moments
peut-être un peu moins importants?
• (13 heures) •
M. Morisset
(Louis) : Encore une fois,
merci pour votre question, puis j'espère y apporter un éclairage approprié.
Encore une fois, dans notre rôle de
régulateur prudentiel, la volonté de l'autorité, c'est de s'assurer que
Desjardins demeure solide malgré les
turbulences, puis pour s'assurer qu'elle demeure solide, parce que, dans une
crise comme celle qu'ils ont vécue,
il aurait pu y avoir une crise de confiance plus importante au sein de la
population. Ça aurait pu avoir des répercussions
financières sur l'institution.
Alors, les
contacts entre nous et la Banque du Canada, par exemple, sont usuels,
sont nécessaire pour s'assurer que, s'il
se passait quelque chose, qu'on allait pouvoir travailler de concert. Ça
n'arrive pas fréquemment, des contacts avec la Banque du Canada, dans ce type de situation là. C'est arrivé en 2007‑2008,
lors de la grande crise financière qu'on a connue. Mais des contacts
avec d'autres régulateurs et aussi avec la Banque du Canada peuvent arriver de
façon régulière. Du côté des équipes de
Patrick ou de Gouro, évidemment, qui sont au coeur de ces activités-là, on le
voit fréquemment, mais, dans un
contexte de crise, ça arrive relativement, je dirais, rarement, Dieu merci.
Mais, dans ce cas-ci, il était important, nous, aux premières heures de cette situation-là, de s'assurer que, s'il se
passait quelque chose, on allait tous travailler de manière coordonnée
avec tous les autres régulateurs, dont la Banque du Canada, qui encadrent
Desjardins.
Je ne sais pas si, Patrick, tu souhaiterais
ajouter quelques éléments sur...
M. Émond :
Bien, je pense... Je vous remercie pour votre réponse puis, M. le Président, je
passerais la parole à mon collègue pour la suite des choses, s'il vous
plaît.
Le Président (M. Simard) : M.
le député de Rousseau.
M. Thouin : Merci, M. le Président.
Madame, messieurs, merci d'être ici aujourd'hui.
Deux, trois
questions, peut-être mieux comprendre vos positions dans le communiqué que vous
avez publié, là, le jour même de
l'incident. Vous vous êtes dit satisfaits des gestes posés par Desjardins afin
de protéger l'intérêt des membres, là,
et leurs actifs. Vous vous êtes aussi dit confiants que les dirigeants de
l'institution ont pris la situation en charge avec rigueur et
transparence.
Je pense que
vous avec déjà expliqué assez bien, là, pourquoi vous avez jugé la situation
satisfaisante, en fait, les prises de
position satisfaisantes, mais j'aimerais ça savoir si vous croyez qu'il y a
d'autres actions qui auraient pu être posées par la société pour mieux protéger leurs clients suite aux fuites de
données. C'est peut-être la première question, j'aurai autre chose par
la suite, s'il vous plaît.
M. Morisset (Louis) : Parfait.
Bien, merci pour votre question. Patrick, veux-tu y répondre?
M. Déry
(Patrick) : Oui. Bien,
merci. Bonjour, tout le monde. Je crois que la citation à laquelle vous faite
référence correspondait à la gestion, je dirais, de la nouvelle le jour même,
et c'est par rapport à ce qui avait été fait pour communiquer à la
population, aux membres, que l'institution les protégerait, qu'on se déclarait
satisfaits.
Est-ce qu'il
y a d'autres mesures? Ça, c'est ce que M. Morisset a évoqué dans sa
présentation. Il y a un bilan qui est présentement en cours, qui est amorcé au
sein de l'institution. Nous, notre rôle, lorsqu'il arrive en événement comme
ça, c'est que les institutions fassent en
sorte de tirer les leçons qui en découlent, et éventuellement, lorsque le bilan
sera complété, nous allons
accompagner l'institution pour s'assurer que toutes les mesures additionnelles
qui pourraient être requises au sein de l'institution soient mises en
place.
Mais il y a
comme deux étapes. Il y avait la gestion de communiquer publiquement à
l'ensemble de la population ce qui
était arrivé. Ça, on était satisfaits de la façon dont ça a été fait. Et il y
aura, à venir, dans les prochains mois, un exercice beaucoup plus en
profondeur pour aller comprendre comment c'est arrivé, pourquoi c'est arrivé.
Il y a un processus que l'institution peut
faire par elle-même, mais il y a aussi les enquêtes en cours, tant par la
police que les commissions d'accès à l'information qui ont annoncé,
également, des enquêtes. Lorsque l'ensemble de ces faits là, cette base de
faits là sera connue, nous allons également
en tenir compte dans les suivis que nous ferons avec l'institution pour que
toutes les leçons de cette crise-là soient bien prises en compte.
M.
Thouin : Merci. Peut-être de façon plus générale, là, par rapport aux
interventions possibles dans le monde entier et par nos gouvernements aussi, on sait tous que, à l'ère du numérique,
les données personnelles sont très prisées, sont très prisées par certaines entreprises avec des
intentions plus louables, marketing, bon, et tout ça, on sait comment ça
fonctionne, statistiques,
mais très prisées aussi par des organisations qui ont de moins bonnes
intentions. Donc, le risque de fuites de données est existant partout,
oui, chez Desjardins, mais oui dans les banques, dans les gouvernements, les
entreprises privées, médias sociaux,
systèmes d'achat en ligne, et puis, tu sais, on a de l'info qu'on donne
partout, tellement vrai que 680 entreprises,
je pense, Desjardins mentionnait tantôt, là, qui ont déclaré des vols de
données personnelles au Canada. Et je
sais bien que, dans... et je vous cite, là, dans l'application de la Loi sur la
protection des renseignements personnels dans le secteur privé, ça ne relève pas de l'Autorité des marchés financiers.
On s'intéresse quand même à la chose parce que ça peut impacter les
institutions avec lesquelles on travaille.
Dans le même
communiqué — je
vous ramène au communiqué — vous
avez dit qu'un tel incident met en perspective,
justement, le risque omniprésent qui pèse désormais sur les organisations en
matière de risques reliés à la sécurité de l'information. Et, pour faire peut-être un peu de pouce sur les
propos de mon collègue de La Pinière tantôt, est-ce que vous jugez que le gouvernement précédent aurait pu ou
aurait dû agir plus tôt pour assurer une meilleure protection des renseignements
personnels des Québécois?
M. Morisset (Louis) : Écoutez, c'est une question qui est difficile
pour nous, à l'autorité, de répondre, en ce sens que, dans notre rôle à nous,
qui est le rôle de régulateur prudentiel, comme je l'expliquais, on doit
s'intéresser aux risques des
institutions, on doit s'intéresser aux contrôles que les institutions mettent
en place pour gérer ces risques-là. Et, dans le cas d'une institution comme celle de Desjardins, le risque opérationnel,
le risque de sécurité d'information, le risque des technologies d'information sont des risques
auxquels on s'est intéressé. Puis, comme je le mentionnais un petit peu tôt,
nous, dès 2013, on a un peu sonné l'alarme en disant : Ce sont des risques qui
se développent, qu'on voit et on incite les institutions à les gérer, et à s'y attarder, et à investir, évidemment,
là où il faut pour éviter la matérialisation de ces risques-là.
Maintenant,
le risque zéro n'existe pas, mais donc, dans la perspective de l'autorité,
c'est certain que le risque de fuite de renseignements personnels s'inscrit dans
un risque plus global, je dirais, qui est le risque opérationnel auquel
on s'intéresse, le risque de cybersécurité.
Puis, encore une fois, je peux juste réitérer que nous avons, de longue date maintenant, posé des gestes concrets pour
sensibiliser les institutions à cet égard-là.
Je
vais juste mentionner, je l'ai mentionné dans mon propos d'ouverture, la ligne
directrice dont j'ai parlé, qui évoque les
attentes de l'autorité en matière de gestion du risque des technologies de l'information, qu'on a publié pour commentaires
en janvier et que nous allons, dans les
prochaines semaines, prochains mois tout au plus, finaliser pour... comment je
dirais, pour rendre disponible aux
institutions financières, sera une ligne directrice, je dirais, assez robuste,
qui réfère à des standards internationaux sur la gestion des risques de
cette nature-là.
Donc, encore une
fois, l'autorité constate qu'il y a des standards qui se développent, des
standards qui évoluent rapidement, et on
veut que les institutions s'accrochent à ces standards, choisissent les bons
standards et les suivent. Alors, encore
une fois, je pense que, de notre perspective, on a identifié ce risque-là et on
a mené des actions concrètes pour sensibiliser et rehausser la vigilance
des institutions à l'égard du risque.
M.
Thouin : Je vous remercie. Peut-être, juste avant de passer la parole,
tantôt, vous avez dit que, selon un rapport du FMI, là, l'AMF et le BSIF, là,
sont à la hauteur des standards mondiaux, mais je conclurais tout de même qu'il
me semble que, sachant... Tu sais, on
sait qu'il y a des pays où c'est déjà arrivé et qui ont pris des mesures
beaucoup plus robustes. Bien, il me
semble qu'on n'a pas besoin d'attendre que ça arrive pour prendre ces
mesures-là. On peut sûrement regarder les bonnes pratiques qui ont été
faites ailleurs et aller au maximum maintenant. Voici mon opinion.
Le
Président (M. Simard) :
Merci, M. le député de Rousseau. M. le
député de Saint-Jérôme, il vous reste une période de 4 min 20 s.
M. Chassin : Merci,
M. le Président. Je vais continuer
dans quelques instants, là, sur les meilleures pratiques, tel que mon
collègue de Rousseau l'a évoqué.
Vous
avez souligné, là, que vous allez réaliser, donc, un bilan détaillé de cet
incident-là. J'imagine qu'il y a une partie relative à l'incident qui doit
demeurer confidentielle. J'imagine qu'il y a peut-être une réflexion ou des
lignes directrices qui émaneront de ce
bilan-là, que vous pourrez peut-être rendre publiques. Je vous pose la question
un peu à l'avance pour avoir votre perspective là-dessus.
M. Morisset
(Louis) : Bien, le bilan qui est en cours, d'abord, c'est un bilan qui
est mené au sein de Desjardins. Ils se sont,
comme M. Cormier l'a mentionné tantôt, outillés avec des ressources externes
pour les accompagner là-dedans, et
nous, nous allons regarder de près, évidemment, les constats, les recommandations. Nous allons
nous faire, comme je l'ai dit, notre
propre tête sur ce qui s'en dégage et sur les plans d'action qui devront être
développés. Au besoin, nous irons chercher des ressources externes également,
si nécessaire, pour nous accompagner dans ce travail-là.
Ce
que j'ai mentionné, c'est que, là, au sein de Desjardins, ce qui est arrivé est
arrivé, malheureusement, et on doit aller au fond des choses puis voir s'il y a d'autres mesures
additionnelles qui sont nécessaires, s'il
y a des structures qui doivent
changer. Bref, il faut aller au fond des choses. Si on peut dégager éventuellement de cela des apprentissages qu'on pourra apporter, à travers des lignes directrices ou autrement, aux
autres institutions financières, nous le ferons, mais là on est vraiment dans une gestion d'un incident particulier. Et,
comme je le mentionnais tout à
l'heure, il existe des standards internationaux en matière de gestion
des risques technologiques, et on incite les institutions à s'y accrocher.
Le Président
(M. Simard) : M. le député, je vous incite à être synthétique. M.
le député.
M. Chassin : J'aimerais revenir, parce que vous aviez parlé,
dans votre allocution, que vous aviez identifié le risque. Vous allez dire: La réponse est oui, on l'a
communiquée, cette information-là, on a demandé de rehausser les mesures de
sécurité, la vigilance, vous avez utilisé ce
mot-là, et donc vous avez des éléments pour aussi évaluer à quel point ça a été
suivi. Je ne veux pas vous mettre dans une
position difficile, mais le jour où vous avez fait paraître un communiqué de
presse pour vous déclarer satisfaits
des mesures prises par Desjardins... Vous m'ouvrez un peu la porte.
Aujourd'hui, est-ce que vous seriez en mesure de dire que vous êtes
satisfaits des mesures prises non seulement par Desjardins, mais par les
assureurs, par les autres acteurs qui relèvent de votre responsabilité?
• (13 h 10) •
M. Morisset
(Louis) : Je vais revenir sur la ligne directrice que nous allons
rendre publique, là, finale dans les prochaines
semaines. Je pense qu'on va trouver beaucoup de réponses à cet égard-là. Les
attentes de l'autorité vont être bien,
bien claires quant aux mécanismes de gouvernance, quant aux lignes de défense,
le rôle des différents paliers dans ces organisations-là. Donc, je pense
qu'à travers...
M. Chassin :
...votre évaluation ou votre satisfaction par rapport au suivi de ces
lignes-là?
M. Morisset
(Louis) : Oui. Je céderais la parole à Patrick pour poursuivre
là-dessus.
M. Déry
(Patrick) : Juste pour faire une petite nuance, on ne peut pas, comme
régulateur prudentiel, vous comprendrez
pourquoi, commenter sur la situation d'une institution versus une autre dans le
détail. Ça peut être contre-productif
ou amener le résultat contraire à la mission qu'on a de favoriser la confiance
et la stabilité financière. On pourrait précipiter une crise ou provoquer une
crise si on était maladroit dans nos communications.
Par
contre, ce qu'on fait, c'est que, de façon générale, on va communiquer les
leçons apprises des meilleures pratiques. On va sensibiliser sans révéler tous
les détails à d'autres institutions lorsqu'on voit des pratiques moins bonnes que ce qu'on a vu ailleurs. On voit l'ensemble,
nous, des entreprises. On est capable de guider les directions des compagnies
en question vers des meilleures pratiques lorsqu'on voit des zones possibles
d'amélioration.
M. Chassin :
...en conclusion, je pourrais vous amener... parce qu'on a entendu Desjardins
parler, entre autres, d'identité numérique. Est-ce que, pour vous, c'est une
piste à poursuivre?
M. Morisset (Louis) : Absolument, puis on sera heureux de pouvoir
contribuer à ces réflexions-là, si on nous y invite.
M. Chassin :
Vous en faites déjà, du travail, là-dessus?
M. Morisset
(Louis) : Oui, oui, oui.
M. Chassin :
Merci.
Une voix :
Est-ce qu'on a quelques secondes ou c'est terminé, M. le Président?
Le Président
(M. Simard) : C'est terminé, cher collègue. Vous pourrez
éventuellement poursuivre plus tard. Mme la députée de Saint-Laurent, à vous la
parole pour 10 min 40 s.
Mme Rizqy :
Merci. J'aimerais juste bien comprendre. Donc, cet été, vous avez fait un
communiqué de presse pour dire que vous avez apprécié la gestion de
Desjardins. C'est bien ça?
M. Morisset (Louis) : Oui. Lorsque Desjardins est sorti, effectivement,
on a été en contact avec eux, évidemment, dans les heures qui ont précédé, puis la prise en charge de cette
situation-là, effectivement, nous a satisfaits, à ce moment-là. On était
au tout début, bien sûr.
Mme Rizqy :
Parce ce vous êtes conscient que, dans votre mission, encadrer, surveiller les
activités... mais vous avez aussi l'autre volet, protéger les
consommateurs et les mettre en garde de toute approche frauduleuse.
Vous
vous rappelez que, vers le mois d'août, après plusieurs semaines, il y avait
moins de 20 % des membres de Desjardins qui étaient en mesure d'être
inscrits à Equifax, n'est-ce pas?
M. Morisset
(Louis) : Oui.
Mme Rizqy :
Vous vous rappelez aussi que plusieurs n'ont pas été capables d'avoir un
service en français.
M. Morisset
(Louis) : C'est ce qu'on comprend, oui.
Mme Rizqy :
Et vous vous rappelez aussi qu'il y a plusieurs membres de Desjardins qui sont
des aînés, qui n'ont pas non plus accès à un service Internet ou ne sont pas à
l'aise et que le clavier avait des défaillances lorsqu'on tapait en
français. Vous vous en rappelez?
M. Morisset (Louis) : Oui, bien
sûr.
Mme Rizqy :
Lorsque vous parliez tantôt de l'OCDE, des rapports, dans les règles de bonne
gouvernance, il y a aussi une question de gestion de risques. Ça aussi,
j'aimerais qu'on revienne là-dessus, car, il n'y a pas si longtemps, il y avait des entreprises... là, maintenant, je
ne fais pas référence à Desjardins, je parle aux entreprises, institutions
financières, et tout cela.
Il n'y a pas
si longtemps, il y avait des choix qui ont été faits, de polluer parce que les
pénalités coûtaient moins cher. Alors, il
y avait ça comme dans gestion de risques. Et maintenant je m'en viens ici, au
Canada. On voit qu'ailleurs dans le monde,
depuis 2012, 2013, 2014, il y a eu plusieurs fuites de données et des pénalités
à l'international, on parle de centaines de millions de dollars. Un
Marriott, 162 millions; British Airways, 300 millions; Facebook,
500 millions de dollars.
Ici, au
Canada, dans le dossier, par exemple, d'une entreprise ou d'une institution
financière qui se fait prendre, en ce moment, l'amende est de
10 000 $ et pour un maximum de 100 000 $, récidive.
Pensez-vous qu'il est grand temps qu'on augmente les pénalités?
M. Morisset
(Louis) : Merci. Peut-être,
je reviendrais juste d'abord sur le premier volet de votre question. C'est
pour ça que je l'ai mentionné tantôt,
pourquoi l'autorité est intervenue rapidement pour tenter de rejoindre la
population qui peut avoir des difficultés à s'inscrire. Donc, on a fait
plusieurs mesures pour sensibiliser la population.
Maintenant,
pour revenir sur le dernier volet de votre question, les choix législatifs au
Québec, au Canada ont été différents, au fil des années, sur l'ampleur des
pénalités. On voit des différences notables entre le Canada et les pays ailleurs dans le monde. Est-ce que des pénalités
plus sévères pourraient avoir un effet plus dissuasif? Possiblement. Cela
étant dit, ce sont des choix de longue date
qui ont été faits dans notre juridiction. Peut-être qu'il est temps de les
revoir à cet égard-là.
Mme Rizqy :
Par exemple, la Loi sur la protection des renseignements personnels dans le
secteur privé, on parle de 1978 ou 1979, si ma mémoire est bonne, donc ça fait
pratiquement 40 ans. Donc, si, à l'époque, 10 000 $, ça peut
être une grosse tape sur les doigts, vous comprendrez qu'aujourd'hui, en 2019,
ce n'est pas grand-chose.
Alors, c'est
pour ça que, oui, je pense que, si... Il y a plusieurs pays, je parle de
l'Angleterre, je parle des États-Unis, je parle de la France, parce que
vous faites référence à l'OCDE. Ils sont membres eux aussi de l'OCDE et ils ont
fait le choix d'avoir des amendes sévères
pour, justement, qu'à l'interne le privé puisse aussi se dire : Bon, si
jamais on a un employé qui a accès à
plusieurs bases de données, on va s'assurer d'avoir mis plusieurs pare-feu et
vraiment s'assurer que, dans ce
cas-ci, il ne va pas exposer l'entreprise à des poursuites non seulement
civiles, criminelles, mais aussi des pénalités excessivement élevées.
Pensez-vous,
je vous repose la question, qu'ici il serait peut-être grand temps d'avoir des
pénalités qui rejoignent la norme internationale des pays membres du G7?
M. Morisset (Louis) : Bien,
encore une fois, c'est difficile pour moi de commenter spécifiquement. Je pense
que
ça fait partie d'un environnement
canadien, québécois, où les pénalités sont beaucoup moins sévères qu'aux
États-Unis ou qu'ailleurs dans le
monde à bien des égards, dans ce domaine comme dans d'autres. Alors, je pense
que c'est un choix de société que vous, comme parlementaires, avez tout
le loisir de revoir ou de réfléchir.
Mme Rizqy : Merci beaucoup,
Me Morisset.
Le Président (M. Simard) : M.
le député de Robert-Baldwin, il vous reste six minutes, cher collègue.
M. Leitão : Merci, M. le
Président. Alors, M. Morisset, M. Déry, madame, bonjour, merci d'être
là.
Écoutez, je
vais vous amener sur certains éléments. On a parlé tantôt de l'identification
numérique, et vous avez déjà fait un
certain... un petit peu de travail à cet égard-là. Pouvez-vous nous parler
brièvement de ce vous avez fait, brièvement?
M. Morisset (Louis) : Je
céderais la parole à Patrick.
M. Déry
(Patrick) : Écoutez,
à l'autorité, on s'intéresse évidemment à l'innovation dans le secteur financier, ce qu'on appelle les «fintech»,
donc l'innovation technologique appliquée à la finance, qui couvre un paquet,
je dirais, de chantiers ou d'éléments
d'innovation. Et, parmi... un, un d'entre eux, c'est la finance ouverte ou, en
anglais, on parle d'«open banking».
Vous n'êtes
pas sans savoir qu'on a un rendez-vous de l'autorité avec l'industrie à chaque
année, M. le député, et, lundi
prochain, on a un atelier spécifiquement sur cette question. Et une des
premières, je dirais, contraintes qu'on frappe lorsqu'on discute d'«open
banking» ou d'innovation dans le secteur financier, c'est la protection des
renseignements personnels.
Donc, avant
même, je dirais, l'enjeu qu'on gère dans la situation de Desjardins, du vol de
données, toute l'innovation qui se déploie dans le secteur financier nous a
amenés à s'intéresser de près aux travaux, aux recherches, aux idées de spécialistes du domaine qui peuvent aider à
renforcer la protection de ton identité comme consommateur de services
financiers dans l'Internet. Donc, oui, on s'intéresse à cette question-là. On a
beaucoup de spécialistes à l'interne, à l'autorité, qui suivent ces
questions-là.
M. Leitão :
Merci. Bien, juste ça, je pense, M. le Président, on pourrait avoir une
commission parlementaire juste sur
ça, pour entendre les experts dans ce domaine. Et je vous cite juste un
rapport, un discours du président de l'exploitation de la Banque du Canada, M. Dinis, qui a parlé
de la cybersécurité, de lever les obstacles, et donc, pour lui, c'est surtout
la collaboration qui est la voie à
suivre. Donc, voilà, je pense que... je nous incite, nous tous, à aller dans
cette direction aussi de collaboration et d'un regard large sur cette
question.
Revenons à l'ordre du jour. Bon, ici, on n'est
pas dans les grandes tactiques de cybercrime très sophistiqué, on est carrément
dans le vol de données. Comment est-ce que ça a pu arriver? Comment est-ce
qu'une personne peut aller chercher, malgré
tous les moyens de contrôle internes qui, je suis sûr, existent, comment cela a
pu se passer? Je ne sais pas si vous
avez une réponse à ça ou pas. Et, surtout, qu'est-ce qu'on fait pour prévenir
de telles fuites massives qui viennent de l'interne à l'avenir?
M. Morisset
(Louis) : Bien, on ne peut
pas répondre à la question, comment s'est arrivé, qu'est-ce qui est arrivé.
Je pense que l'institution elle-même attend
l'enquête policière pour savoir exactement ce qu'il s'est passé. Vous avez
entendu les réponses que les membres
de Desjardins ont données plus tôt avant nous.
Mais je pense
que ce qu'il faut faire, c'est de réitérer, renforcer les contrôles en place au
niveau de la gestion du risque
technologique. Et, nous, comme régulateur, on va poursuivre évidemment nos
efforts, nos démarches. Puis la ligne directrice
à laquelle je faisais référence tantôt va être utile pour amener les
institutions à focaliser encore davantage sur ce risque.
• (13 h 20) •
M. Leitão :
Merci. Et, dans cette quête, donc, d'améliorer les procédures de gestion du
risque, est-ce qu'on devrait garder une meilleure réglementation, meilleur
encadrement sur l'utilisation des données? Donc, il y avait, chez Desjardins
comme dans toutes les autres institutions financières — et
ici on ne cible pas Desjardins, c'est toutes les institutions financières — donc, des groupes d'employés qui ont accès à toute la banque de données interne de
l'entreprise pour toutes sortes de
stratégies, de politiques, de marketing, etc. Encore une fois, ce n'est pas
Desjardins, c'est toute l'industrie. Est-ce
qu'on devrait réglementer cet accès-là aux banques de données internes des
institutions financières?
M. Morisset
(Louis) : Parfait. Bien,
écoutez, je reviens, encore une fois, sur la ligne directrice. On va toucher
ces aspects-là dans la ligne directrice. Peut-être Patrick souhaiterait
ajouter quelques éléments?
M. Déry
(Patrick) : Oui. En fait,
juste sur le mot «réglementer», que je m'interroge sur le sens, la portée de
votre question. Mais, nous, quand on
parle de standards internationaux, on a les normes NIST, les normes COBIT, les
normes ISO, qui sont toutes des
façons de faire ce que vous dites, là, comment qu'une entreprise doit gérer les
accès en fonction de qui doit avoir accès ou pas à des renseignements pour
faire leur travail, etc. La gouvernance entourant ça, les mécanismes de
sécurité, tout ça, c'est codifié par des spécialistes qui font des conférences
à l'année longue sur ces domaines-là.
Et, nous, ce
qu'on dit aux institutions financières : Ne réinventons pas la roue.
Assurez-vous de choisir, parmi les standards qui existent, les
meilleures pratiques qui s'appliquent à vous et montrez-nous, démontrez-nous un
régulateur, que vous gagnez en maturité,
vous rehaussez vos postures en vous inspirant de ces meilleures pratiques là.
Et c'est comme ça, je crois... le mot
«réglementation» n'est peut-être pas comme un règlement, là, mais par
l'encadrement, par le travail de
surveillance qu'on va faire, qu'on pense atteindre l'objectif d'avoir des
institutions qui suivent les meilleures pratiques au fur et à mesure
qu'elles évoluent.
Mme Rizqy : Merci. M. le
Président...
Le Président (M. Simard) : Bien
sûr, madame... chère collègue, allez-y. Il vous reste 50 secondes.
Mme Rizqy :
À la page 5 de votre article que vous avez déposé, la gestion ordonnée
d'une crise, dans votre mandat, encadrer
et surveiller les activités, lorsque vous êtes informé qu'une institution
financière vit une situation de crise, est-ce que vous les accompagnez? Est-ce que vous leur offrez aussi votre
expertise? Parce que vous en faites, vous, des enquêtes, donc vous comprenez parfaitement à quel point
c'est important de protéger la preuve et la chaîne qu'on doit tenir par rapport
à la preuve, qui pourrait nous être utile dans une enquête policière. Est-ce
que vous, dans ce cas-ci... avez-vous fait un accompagnement auprès de
l'institution financière ou pas du tout?
M. Morisset (Louis) : Non. Dans
ce cas-ci, nous n'avons pas fait ce genre d'accompagnement.
Mme Rizqy :
Pensez-vous que ça pourrait être utile, justement, d'avoir une ligne d'urgence
avec, vraiment, un modus operandi pour dire que...
Le Président (M. Simard) : En
conclusion.
Mme Rizqy : ...lorsqu'on sait
qu'il y a une preuve qui est potentiellement chez un employé...
Le Président (M. Simard) : En
conclusion.
M. Morisset
(Louis) : Je vous dirais, je
pense que les corps policiers sont bien placés pour aider dans un tel contexte.
Le Président (M. Simard) :
Merci. Merci beaucoup. M. le député de Rosemont, à vous la parole.
M. Marissal :
M. le Président, alors, je vous salue et remercie prestement pour gagner du
temps.
Page 5,
à la question : Est-ce que l'autorité a demandé à toutes les institutions
financières qu'elle surveille, incluant Desjardins, de rehausser leur
vigilance et leur mécanisme de contrôle à l'égard de ce risque?, la réponse est
oui. Je comprends donc que la vigilance dont
on parle ici n'était pas à un niveau adéquat puisque vous avez demandé de rehausser.
Et qu'est-ce qui devait être relevé dans la vigilance? Qu'est-ce qui clochait?
M. Morisset
(Louis) : Oui. Bien, je céderais la parole à Patrick Déry, s'il vous
plaît.
M. Déry
(Patrick) : Écoutez, comme on l'a dit dans le discours, puis on y fait
référence dans un hyperlien qu'on peut aussi vous remettre, un
communiqué de 2016 qu'on a émis, l'exercice d'autoévaluation qu'on a mené
auprès des institutions visait à prendre acte ou à faire un constat, je dirais,
du niveau d'autoévaluation de chaque compagnie par rapport à sa maturité. Et
évidemment que, comme c'est des risques émergents, des sujets qui prennent de
plus en plus d'ampleur, qui deviennent
aujourd'hui un problème, un fléau auquel il faut s'attaquer... Il y a quelques
années, le niveau de maturité n'était
pas, je dirais, au niveau qu'il est aujourd'hui et au niveau qu'il sera demain.
C'est un processus de rehaussement continu de la posture dans toutes les
institutions qu'on surveille, auxquelles on...
M. Marissal :
Je vous arrête une seconde. Je ne veux pas être impoli, mais je n'ai pas de
temps. Vous avez demandé de rehausser après la fuite ou le vol de
données chez Desjardins, cet été.
M. Déry
(Patrick) : Ce qu'on a dit, c'est que, dès 2015, en faisant un
exercice d'autoévaluation, ce qui ressortait de l'exercice, c'est ce qu'on a communiqué à chacune des
institutions : parfait, on regarde le constat, vous reconnaissez que
c'est un enjeu émergent et sur lequel on
doit s'y attarder. Nous, on vous demande de rehausser votre jeu par rapport à
ça dès 2015, et c'est un suivi qu'on fait en continu depuis.
M. Marissal :
Et qu'est-ce qui a été fait chez Desjardins en particulier?
M. Déry
(Patrick) : Malheureusement, je ne peux pas commenter un dossier
spécifique, parce que, là, c'est révéler...
puis une compagnie par rapport à une autre, on créerait des problèmes qui sont
incompatibles avec la mission de l'autorité.
Mais, de façon générale, les éléments de gouvernance, de saine gestion de leurs
risques, etc., c'est ça qu'on veut voir rehausser.
M. Marissal :
Question un peu technique ici, là. Page 6 : «Pour pouvoir bien jouer
son rôle, toutefois, l'autorité doit être
avisée rapidement par l'institution touchée, et ce, en toute transparence.» Le
«doit» ici, est-ce qu'il fait référence à une obligation légale ou c'est
quelque chose qu'on prend pour acquis, que l'institution le fera?
M. Morisset
(Louis) : ...je veux dire, bien, c'est une attente dans nos lignes
directrices. Donc, ce n'est pas...
M. Marissal :
Mais ce n'est pas une obligation légale.
M. Morisset
(Louis) : Bien, c'est une attente explicite, mais ce n'est pas
enchâssé dans la loi.
M. Marissal :
Est-ce que ce serait utile d'avoir une telle obligation légale?
M. Morisset
(Louis) : Il faut y réfléchir, absolument.
Le Président
(M. Simard) : Merci beaucoup. M. le député de Jonquière.
M. Gaudreault : Oui, merci. J'étais un peu dans ce même sens,
parce que, contrairement aux lois fédérales — qui s'appliquent évidemment aux banques et aux
institutions, aux entreprises de télécommunication, par exemple — la
Loi sur la protection des renseignements personnels dans le secteur privé du Québec n'a pas d'obligation de
divulgation des incidents de vols de données, par exemple.
Donc,
est-ce que, même pour le privé, il devrait y avoir cette obligation de
divulguer les incidents, soit à la Commission
d'accès à l'information ou à une autre institution renforcée ou plus forte et à
votre institution quand c'est le cas d'une institution financière?
M. Morisset
(Louis) : Bien, notre perspective là-dessus, c'est clairement oui.
Tous les incidents doivent être rapportés
pour permettre, justement, une meilleure gestion de crise lorsqu'une crise
survient ou une gestion de l'incident comme
tel. Alors, effectivement, je pense que c'est des obligations qui devraient
être renforcées, devraient être clarifiées. Ce qu'on constate, nous, c'est qu'on en reçoit parfois, donc, des
divulgations de moindre nature, mais, encore une fois, c'est dans une ligne directrice, ce n'est pas dans la
loi. Donc, il faut y réfléchir dans l'environnement de l'autorité, mais de façon plus globale,
je pense, aussi.
M. Gaudreault : Donc, si cette commission ici arrive avec une recommandation disant : L'AMF recommande aux parlementaires de modifier la
Loi sur la protection des renseignements personnels dans le secteur privé pour
avoir cette obligation de divulgation, vous seriez d'accord avec cette
recommandation?
M. Morisset
(Louis) : Oui.
M. Gaudreault :
Parfait. Merci. Concernant les pénalités pour les problèmes ou les fuites de
données, il y a d'autres législations
à travers le monde qui ont, je dirais, des pénalités proportionnelles selon la
durée des conservations des données. Comme
par exemple, si c'est des données qui sont périmées, entre guillemets, depuis
10 ans, mais que l'institution les garde quand même, puis là elles sont volées, bien là, ça pourrait être... Je
veux dire, il faut faire un ménage, autrement dit, dans les données.
Est-ce que vous pensez que ça pourrait être un type de système de pénalités?
M. Morisset
(Louis) : Bien, je dirais,
encore une fois, je pense que le volet dissuasif, qui vient avec une pénalité
sévère, est certainement un outil pour encourager les institutions et les
organisations à se comporter de la meilleure façon. Je pense que ce que les entreprises conservent, on
doit y réfléchir parce qu'effectivement il y a des données qui devraient
disparaître à un moment donné pour éviter ce genre de situation.
Le
Président (M. Simard) : Alors, merci à vous, M. Morisset.
Madame, messieurs, merci pour votre contribution à nos travaux.
Sur ce, nous suspendons jusqu'à 15 heures.
(Suspension de la séance à 13 h 28)
(Reprise à 15 h 04)
Le
Président (M. Simard) :
Alors, chers amis, bon retour à toutes et à tous. La commission,
comme vous le savez, est réunie afin de poursuivre les consultations
particulières et auditions publiques sur la question de la fuite de données
personnelles chez Desjardins.
Cet
après-midi, nous entendrons Equifax Canada, l'Association des banquiers canadiens, l'Office de la protection du consommateur ainsi que M. José Fernandez, professeur titulaire au Département de
génie informatique et génie logiciel à Polytechnique Montréal.
Avant de
débuter, je crois comprendre qu'il y
aurait consentement afin que le député de
Gouin remplace le député de Rosemont.
J'ai bien compris qu'il y avait consentement? Il y a consentement. Alors, bienvenue à vous, M. le député
de Gouin.
Comme nous
avons légèrement commencé en retard, j'aurais également besoin de votre
consentement afin que nous puissions légèrement dépasser le temps qui
nous était initialement alloué. Il y a consentement? Très bien.
Alors, nous
allons, d'entrée de jeu, immédiatement, commencer avec le représentant
d'Equifax Canada. Vous savez que M. Heft est présentement en Belgique. Une
partie de sa présentation sera en français, l'autre sera en anglais. Nous avons
donc prévu un service de traduction. Plusieurs d'entre vous ont déjà reçu les
masques requis pour l'audition.
Des voix : ...
Le Président (M. Simard) : Pardon?
Oui... les masques! Là, comment on appelle ça, d'abord?
Des voix : ...
Le Président (M. Simard) : Un
casque, oui!
Des voix : Ha, ha, ha!
Le Président (M. Simard) : Oui,
voilà! Alors, les casques requis. Et donc, conséquemment, je vous inviterais néanmoins à parler peut-être avec un débit un peu
plus lent pour faciliter le travail de nos traducteurs, qui, par ailleurs, sont
d'un très grand professionnalisme.
Alors, M. Heft, soyez le bienvenu parmi nous, et
vous savez que vous disposez d'une période de 10 minutes.
Equifax Canada inc.
(Visioconférence)
M. Heft
(Joel) : Merci beaucoup. M. le Président, M. le vice-président et membres de la commission, je suis heureux
de participer à l'audience aujourd'hui. Mon nom est Joel Heft, et je suis vice-président directeur des
solutions en matière de
brèches et de réglementations internationales chez Equifax.
Je travaille à Equifax depuis 23 ans. Je me
suis joint à Equifax en 1997 comme avocat général pour l'entreprise canadienne.
En 2007, j'ai été nommé vice-président directeur, avocat général de l'entreprise
internationale d'Equifax, responsable de
superviser les affaires juridiques, les relations gouvernementales, la gouvernance de l'entreprise et la protection de la vie privée dans les 23 pays où nous exploitons
nos activités à l'extérieur des États-Unis. Au cours des cinq dernières années, j'ai dirigé les services liés à la réglementation aux brèches à l'échelle mondiale. Dans le cadre de ce poste, je gère
notre équipe de résolution d'incidents touchant les données partout dans le
monde.
Allow me
to take a minute to apologize for not being with you in person today, I truly
wish I was, and for any technical
difficulties which may be associated with the translation services required to
make my participation possible by teleconference.
I'm not able to cancel my previously scheduled commitment this week in Europe.
But, because I'm likely the best
suited person at Equifax to provide you with the information about the services
that we are providing to Desjardins and its members, we are trying to be
as helpful as possible by having me testify by phone from Brussels this
evening.
I intend
to brief you about the data incident response services that Equifax is
providing to Desjardins and its members, and I intend to use my opening remarks to provide
you with : a, an overview of the data incident response services that Equifax offers in Canada, and, b, a description of the services that we are providing to
Desjardins in support of its members.
I
was chosen as a witness because of my responsibility and knowledge regarding
incident response services we are providing to
Desjardins. This is where I'll focus my remarks.
Equifax
is a global leader in data incident and response services for organizations, both private and public,
that have experienced a
data security incident impacting employees or customers. Since 2016, we have
assisted over 2,500 organizations globally and 500
in Canada alone.
The response and remediation
services we offer to organizations facing a data incident fall into four
categories : notification, call center support,
credit monitoring and identity restauration. I will elaborate on each.
• (15 h 10) •
Notification.
This is to ensure that impacted consumers are efficiently notified of a breach.
We provide mail and email notification services on
behalf of our clients.
Call
center support. On behalf of our clients, we provide incident specific call
center support for the impacted consumer population in
order to answer questions about
the data incident itself.
Credit monitoring. For the
impacted population, we provide daily credit monitoring and automated alerts of
key changes to the information in the credit reports of impacted consumers. A
current credit report is available to consumers with
all credit monitoring solutions.
Identity restauration. We
provide assistance and guidance for identity theft victims to help them restore
their identities as quickly and effectively
as possible. Our data incident response solutions are comprehensive and help
provide protection and remediation to impacted consumers.
Equifax understands all too
well that the threat of data theft, whether by cyberattack or by rogue
insiders, is real and increasing. Cybercrime
and data theft that targets individuals, our businesses and even our governments are some of the greatest threats facing our country. Canadian
companies are continually trying to thwart criminals that operate outside
the rule of law and attempt to extract data for their own gain.
The
Privacy Commissioner of Canada
states that in the last
year alone, it has received reports of 680 data breaches at Canadian companies,
impacting over 28 million
people. These attacks on Canadian companies are attacks on Canadian consumers and attacks on our
country. Fighting theses attackers will require partnership and cooperation
amongst government, law enforcement and private business.
I'd
like to turn now to the specific services that we are providing to Desjardins
and its members. Desjardins chose to provide its impacted members with five
years of Equifax's best-in-class consumer credit monitoring and identity theft protection service. That's
called the Equifax Complete Premier Plan. For the benefit of those in the room
and your constituents, let me describe the key features of this plan.
Equifax
credit report monitoring provides alerts of key changes to a consumer's Equifax
credit report. It provides the individual with access to his Equifax credit report on a daily basis
and also contains an easy to read summary of the information contained
in his or her Equifax file; identity theft insurance, which helps paying
certain out-of-pocket expenses in the event
a consumer becomes a victim of identity theft; identity restauration : a
dedicated identity restauration specialist will work a on consumer's
behalf to help restore his or her identity, should the consumer become the
victim of identity theft; Internet
scanning : our Internet scanning alerts a consumer in the event that his
or her credit cards numbers, bank
account numbers or social insurance numbers are found on suspected fraudulent
websites; and lost wallet assistance : if a consumer loses his or her wallet, our agents will help the consumer
and have his or her cards and ID cancelled and reissued.
The
plan also includes Equifax's credit score monitoring, access to the Equifax's
credit score and Equifax's credit score trending. Consumers can access our customer
care representatives seven days a week, from 8:00 a.m. to 12:00 a.m.
Eastern time.
In
order to best serve affected Desjardins members, we work together with
Desjardins to devise new processes and procedures to
improve our traditional services. I'll walk you through some examples.
We
established a new process for minors who are affected by the data breach.
Equifax established a credit file for the minor where none existed before, and,
on the newly created credit file, an alert flag was posted to ensure any... to
the file of a minor would return a notification of the
alert, along with direction to contact the consumer directly.
New process for individuals
without Internet. To support individuals without Internet or email access,
Equifax worked with Desjardins to establish
a new process whereby impacted consumers could access Equifax's services
directly through Desjardins.
But
we also addressed some of the challenges that we faced in the rollout of our
services to Desjardins members. Simply put, at the outset of the announcement of the Desjardins incident
our systems and call centers were overwhelmed by the tremendous and unprecedented demand by consumers to enroll in our
services. During that period, we were unable to meet our high standards of
consumer care. With regard to consumer support in French, we did not provide a
level of service to which we strive and to which Quebeckers are
entitled. We apologize for this.
At all times, however, we did our best to support consumers during difficult
circumstances and endeavored to make process improvements in their
interest. For example, within the first month of the announcement, we increased
call center capacity
by over 60%. Between June 2019 and October 2019, we increased the number of
agents in our call centers by 1,000%, having introduced new waves of
agents almost every week.
I'm pleased to report that our
services levels...
Le Président (M. Simard) :
...left.
M. Heft (Joel) : ...have improved. Oui?
Le Président (M. Simard) :
There is 30 seconds left, sir, in time... in your time.
M.
Heft (Joel) : OK,
alright, thank you. I'm pleased to report that our service levels have improved
significantly since
the outset, and today the average consumer wait times are mere seconds. It is
difficult to overestimate the incredible demand following the initial
announcement of the data incident. To put that in perspective, during our
support of the Desjardins incident,
it was common for us to be enrolling more consumers in credit monitoring
services in a single day than we would typically enroll in an entire...
Let me conclude...
Le
Président (M. Simard) : Sir, your time is over now. Votre temps est écoulé maintenant. Merci beaucoup
pour votre contribution.
M. Heft (Joel) : O.K. Je
m'excuse.
Le
Président (M. Simard) : Non, non, non. Nous vous remercions,
monsieur. Et en fait j'avais une question : Quelle heure est-il en
Belgique à ce moment-ci?
M. Heft (Joel) : Oh! il est
9 h 15.
Le
Président (M. Simard) : Wow! Bon. Alors, nous allons maintenant
céder la parole à notre collègue le député de Vachon. Et nous entreprenons,
donc, M. Heft, une période d'échange qui va durer un peu plus de
30 minutes. Différents députés de l'Assemblée nationale, de
différentes formations politiques, s'adresseront à vous. M. le
député de Vachon.
M.
Lafrenière : Well, first of all, thank you so much, M. Heft, for being
with us. We do appreciate that. Thank you for being
here today. You don't try to escape reality.
M. Heft (Joel) : No, never.
M. Lafrenière :
Ça va être la fin de la partie en anglais, M. Heft. Je vais parler en
français pour le reste. Et je vais vous
dire que, malheureusement, aujourd'hui, ça confirme un peu la prétention de
certains de mes gens dans mon comté, qui me disent qu'ils ont de la
difficulté d'être servis en français avec Equifax. Sur votre site Web, encore
aujourd'hui, je suis allé faire des
vérifications, il y a du franglais beaucoup. Et, sans mettre en cause votre
service ou quoi que ce soit, il y a une chose qui est claire : pour
l'accès à des services en français, il y a un petit peu de difficultés. Alors,
je tenais à vous le redire aujourd'hui au nom des gens de chez moi, de Vachon.
Question
technique, pour vous, M. Heft : Est-ce qu'il est vrai de dire que
votre compagnie a accès à 70 % du marché? Donc, vous n'avez pas
accès à toutes les informations, à toutes les transactions, c'est seulement
70 % du marché.
M. Heft
(Joel) : No, it's... So, we do have, I
think... Is it OK if I respond in English?
Le Président (M. Simard) : Oui,
vous pouvez continuer, M. Heft, en anglais.
M. Heft (Joel) : Yes, OK. So, it is true that we
have... I think you said 70% of the market share. I believe that was the number you gave. Please confirm.
M. Lafrenière :
This is exactly what I said.
M.
Heft (Joel) : OK,
perfect. So, while that's true, it doesn't mean that we don't get the
information on virtually 100% of the transactions, the credit adjudication, the
loans, the mortgages taking place in Canada or in Québec in particular. Now, in Québec, I would argue
that our market share is quite significantly higher than 70%. But that's
neither here nor there for my answer. If you'll indulge, I could explain
to you what I mean by that.
M. Lafrenière :
Ça va aller, M. Heft, merci beaucoup. Est-ce qu'il est vrai aussi de dire
que vous n'avez pas accès à l'information en temps réel? Est-ce que vous
avez toujours ces transactions-là en temps réel?
M. Heft (Joel) : We receive trade data from credit...
from lenders on a... There's no exact answer. It's either daily, weekly, or, in some cases, monthly, depending on the lender and the
frequency at which they provide the information.
M.
Lafrenière : Donc, monsieur...
M. Heft (Joel) : The alerts to the... Sorry.
• (15 h 20) •
M.
Lafrenière : M. Heft, donc, si je comprends bien, il est possible
que, dans mon compte... je suis un des individus qui a été touché par Desjardins, il est possible
qu'il y ait une transaction et que je ne sois pas avisé en temps réel. Est-ce
que c'est bien ça, M. Heft?
M. Heft
(Joel) : Well, partially. You will be advised by us in real time
when we receive the data from the lender. Does that
make sense? I can go much deeper.
M. Lafrenière :
Oui. Donc, ça peut être à la semaine,
aux deux semaines ou au mois, comme vous avez expliqué. Parfait.
J'ai une
autre question pour vous, M. Heft. Ce matin, nos collègues de l'opposition
nous ont fait témoigner une dame qui
avait eu un vol d'identité, son identité avait été volée, Mme Aubry. Et ce
qu'on m'a rapporté, c'est que, si une personne se présente chez vous, chez
Equifax, avec un vol d'identité, elle veut retrouver son identité — puis on sait que c'est très difficile, ça prend près de
80 heures pour régler son dossier — elle se fait répondre par Equifax qu'il n'y
a rien à faire, on la réfère, donc, à la Commission d'accès à
l'information.
Donc, la personne est victime, elle n'a rien
fait de mal, est une victime d'un vol d'identité, et on n'est pas en mesure d'aller rétablir son score de crédit avec
Equifax, il faut passer par la Commission d'accès à l'information. C'est ce que
les victimes me rapportent. Puis j'aimerais
comprendre pourquoi, parce qu'ils sont... c'est comme s'ils étaient victimisés
deux fois : un, ils se sont fait voler
leur identité, et, pour aller corriger ça, on leur dit : Attendez, votre
crédit va aller mieux un jour.
M. Heft (Joel) : So, can I ask the question of the
translator? I think it's easier for me to understand the question in French, it's very confusing to
hear the question in French and English at the same time, so... I apologized in
my initial comment and I'm going to ask the translator to please
translate my English to French for the members of the commission. But I'll just listen to the question in French and
answer in English. I can understand and, if I can't, I'll ask for an
explanation. Would that be OK?
M. Lafrenière :
Oui. Yes.
M. Heft (Joel) : OK. Thank you. It's just very confusing to hear it in both
languages.
Le Président (M. Simard) :
Voulez-vous répéter, M. le député de Vachon?
M. Lafrenière : You
heard that one right? You want me to tell you that again?
M. Heft (Joel) : I believe the question... No, no, let me play it back and see if I
got it into the two languages. I think you
were talking about the specific instance were someone in your district had
trouble both with their credit file and, potentially, identity theft. Did
I catch that right? And...
M. Lafrenière :
...right.
M. Heft (Joel) : ...there were some delays... Pardon?
M.
Lafrenière : You have that right. Actually, it's not even a delay,
they've been sent to the Commission d'accès à
l'information.
M.
Heft (Joel) :
Yes. So, the... It's incredibly... I could talk about the way the system should
work. It's hard to talk about one consumer, but what I would offer personally is, if that
consumer wanted to get in touch with me personally, I will make sure that they get... I can't do that for
every consumer, but, if it's of importance to you, which it is, I will gladly
make sure that I review their file with the appropriate people in Canada.
Understanding that's not what I do in Canada, but it's important that consumers
are treated... It sounds like an anomaly, and I'd be glad to step in and see
what we can do.
M.
Lafrenière : But to be honest with you, sir, I heard that numerous
times, not only for that person. I used to be police officer for numerous
years, and this is the way they've been answered. But I'm not going to get into
details for that.
Une autre question pour vous, M. Heft :
Pour vos employés... vous faites une vérification d'antécédents judiciaires
à l'embauche de vos employés?
M. Heft
(Joel) : Yes. I can tell you that, as an
employee, I've gone through... I mean, I was hired 23 years ago, I went through rigorous background checks then.
Our background checks are more rigorous today, way more rigorous than they were then. I wouldn't be the right person to
be able to walk you through, chapter and verse, what that is, but I can tell
you that we do put every employee through substantial background checks.
M. Lafrenière : Parfait.
C'est fait à l'embauche. Est-ce que c'est fait périodiquement pendant le
travail? Est-ce que vous le refaites une fois que les employés
travaillent pour vous?
M. Heft (Joel) : I believe we
do, yes.
M.
Lafrenière : Vous le croyez ou vous êtes sûr, M. Heft?
M.
Heft (Joel) : I
believe. I would be more than happy to get back to you with that, I just...
Again, it's not what I do day to day, so I'm doing my best to give you a
response. But I can't give you the chapter and verse on that, I just don't know.
M. Lafrenière :
Parfait. Parce que la réalité fait en sorte que, des fois, on peut embaucher
une personne qui a un bon passé judiciaire, et, par la suite, il peut commettre
des actes criminels. Et je voulais savoir de quelle façon votre entreprise, étant donné que vous êtes en lien avec
de l'information très sensible... de quelle façon on vérifie le passé de
nos employés pour s'assurer qu'il n'y a pas
personne qui est accusé, exemple, de fraude. Parce que je pense que j'ai déjà
vu, dans une revue de presse, des cas d'employés d'Equifax qui ont été
accusés.
M. Heft (Joel) : I'm not aware of
those. I'm not doubting you, I'm just saying I'm not aware of anywhere where an employee of Equifax was accused of fraud. Again, I'm not
saying you're wrong, I'm just not aware of it. And it
would be surprising to me but I just... I'm not aware of that.
M. Lafrenière : That will be the end of my question,
but I strongly suggest that you will look into that. Thank you, sir.
M.
Heft (Joel) : You have my absolute assurance.
M.
Lafrenière : Thank you.
Le
Président (M. Simard) :
Merci beaucoup, M. le
député de Vachon. Mme la députée de Charlevoix—Côte-de-Beaupré.
Mme
Foster : Bonjour. Merci beaucoup de votre présence ici, aujourd'hui.
Première question. Vous êtes conscient que vous allez devoir offrir un
service d'alerte au crédit à tous ces clients de Desjardins. Il y a sûrement un
bon nombre d'entre eux qui en ont encore pour
50 ans à vivre. Est-ce que vous êtes prêts à cela, comme organisation? Et
quels moyens prenez-vous pour y faire face?
M. Heft (Joel) : Sorry. Can I get a
translation of the question? I apologize. Can I get a translation of that
question?
Le
Président (M. Simard) : Alors, pourriez-vous, s'il vous plaît, Mme la
députée, répéter votre question pour assurer une traduction adéquate?
Mme Foster :
O.K. Vous êtes conscient que vous allez devoir offrir les services de clients
Desjardins à vie. Pour beaucoup de ces
clients-là, ils en ont encore pour 40, 50 ans à vivre. Donc, est-ce que
vous êtes prêts à faire face à cela, en tant qu'organisation? Et quels sont les moyens que vous prenez?
M. Heft (Joel) : OK, I understand the question now,
it's about providing service for life, and some people will live another 40 or 50 years. What are we doing? Is that the
question?
Mme Foster :
Oui, le volume supplémentaire que ça va générer sur 40 ans.
M.
Heft (Joel) : OK.
So, yes, I mean... So, there's two offerings, one I can speak to, one I really
only know peripherally.
The offering of the Equifax credit monitoring service is for five years, and
then it will expire. Now, to put that in context, five years is above and beyond
pretty much anything I've ever seen, and I run... you know, I've been running this
business for the last five years. There's is a secondary offering that
Desjardins is offering, and I can't speak to the conditions surrounding that
one. But ours is being offered to those who take it for five years.
Le Président (M.
Simard) : Merci. Mme la députée, auriez-vous une autre question?
Mme
Foster : Est-ce qu'il y avait un moyen, pour Desjardins, de pouvoir
inscrire directement au service d'alerte de crédit les clients? Pourquoi est-ce que ce sont les clients qui
doivent impérativement faire la démarche eux-mêmes de s'inscrire? Est-ce
que le problème était de votre côté? Qui a demandé quoi dans cette histoire-là?
Pourquoi c'est le consommateur qui doit faire les démarches fastidieuses pour
s'inscrire au service?
M. Heft (Joel) : That's actually a
really good question, and thank you for asking it. We've talked about this one a lot. So, the reason... there's a few
reasons, but number one, the worse thing you want to do, in a case of a data
incident like this, is allow a
fraudster, a bad person to be able to get access to the real person's credit
file. Are you with me so far? Am I being clear so far?
Mme
Foster : Oui.
M. Heft (Joel) : OK. So, part of
what we do is, if you've ever had access to our service, before you get access,
you go through
what's called authentication, and authentication is a number of questions back and
forth to assure that you are really
you. So, there are questions that you will answer to prove that you are you.
That's number one. Without authentication, we would run a big risk of higher fraud because we wouldn't have any
idea that the person getting the file is actually the person they say
they are.
The second reason is there's a consent
aspect. Some people just don't want it, they don't want to know about it. It's a personal choice. I don't
agree with it. I have it, my wife has it, my children have it, but there are
people that do not want it. And we,
or any of our customers, wouldn't be in a position to force it to them because,
frankly, that would be taking their privacy rights of not wanting it, so
it's an opt in versus an opt out.
• (15 h 30) •
Le
Président (M. Simard) :
Mme la députée de Charlevoix, cela vous satisfait? M. le député de Saint-Jérôme, il vous reste 3 min 40 s,
cher collègue.
M. Chassin :
D'accord. Merci, M. le Président. Merci, M. Heft.
Dans votre rapport annuel — et je cite — vous mentionnez : «We understand that credit
reporting agencies like Equifax have an important responsibility to protect the personal data we hold.» Évidemment,
vous n'êtes pas sans savoir que ce
qui nous occupe aujourd'hui, c'est un événement où un vol de données
est survenu chez Desjardins. Et, vous-même ayant été victimes d'une fuite de données en 2017, à quel point vous
sentez-vous aujourd'hui mieux outillés qu'en 2017 pour faire face
à cette réalité?
M. Heft
(Joel) : That is
another really good question, and I thank you for asking that. When
our CEO presented in front of... I think it was a
Senate committee about a year ago, he laid out the $1,250,000,000 that we have
spent or will spend from 2017 until the end
of 2021 to absolutely overhaul and, you know, strengthen every system related
to our business. We have put substantial time, substantial effort and a
tremendous degree of seriousness, professionalism and, frankly, the absolute best talent available into meeting
exactly the quote you just read me. So, I thank you for asking because, listen,
everybody would wish it didn't have...
M.
Chassin : Au-delà des moyens...
M. Heft (Joel) : Sorry.
M. Chassin : Let me say this in English. Do you
feel confident that you've reduced substantially the risk of another event like this?
M. Heft (Joel) : Thank you for asking me in English. I feel
incredibly confident that we have. And we're on a path
to being even better than we are today. But, yes, the answer to your question
is absolutely, yes.
M.
Chassin : ...ask for how long are you doing business in Québec or have
you been doing business?
M.
Heft (Joel) : We have been doing business in
Québec... I will say that it's roughly 90 years.
M. Chassin : So,
basically, you have a 70% market share. You've been doing business in Québec
for a long time. Can you explain, sir, why Equifax
struggles to provide service in French, the only official language in Québec?
M.
Heft (Joel) : Well, I mean, there's two points
in time that I'd like to give to be able to answer your question. I've said in my opening comments that due to the
overwhelming response to the offering in the case we're talking about today, for a period of time, we did not meet our
incredibly high standards to service — let's just use — the
French canadians, Quebeckers, in French for that period
of time.
M. Chassin : Well, do you
feel that you will be able today to say that you will update at least your Web
site in French?
Le Président
(M. Simard) : Très bien.
M. Heft (Joel) : Absolutely, yes.
Le Président
(M. Simard) : Merci.
M. Heft (Joel) : Now, to finish my
answer, though, if I can just finish, you know, for the period...
Le
Président (M. Simard) : No, sorry, sir.
M. Heft (Joel) : OK.
Le
Président (M. Simard) : Nous allons changer. M. le député de
Robert-Baldwin, à vous la parole.
M. Leitão :
Très bien. Merci beaucoup.
For the purposes of efficiency, I will
conduct our exchange in English so we can go a little faster, since our time is limited. Just to check
something quickly with you, you said you've been doing business in Québec for
nine years or 90?
M.
Heft (Joel) : 90.
M.
Leitão : 90.
M.
Heft (Joel) : Quatre-vingt-dix.
M. Leitão : 90 years,
OK, that changes things. Nine years, we could understand the difficulty in
providing services in French, but 90, well, it's quite
a long time. But anyways.
You mentioned as well that, from June
to October, you increased the number of, you know, employees answering questions from the citizens by
1,000%. That's fine, but what does that translate into actual numbers of people? You went from one to 10, you went from 10 to 100?
M. Heft (Joel) : No. I'm going to give you general
because I don't have the exact numbers as of today in front of me, but we've gone from approximately 40 to over 400.
M.
Leitão : OK. Thank you.
M.
Heft (Joel) : And the thing that I want to
point out to you though...
M.
Leitão : OK, go ahead.
M. Heft (Joel) : Yes, sorry. Yes. I want to point out
that again we have... I have already apologized for the period of time
post-Desjardins. But, if you want to look at the 90 years of servicing any
language in Canada through our consumer call centers, there has been...
I mean, we keep stats every minute of every day, as you can imagine. There has
been exemplary service up to the Desjardins breach. And, frankly, for a
considerable amount of time now... I could tell you that today, just today, we were answering... and this has been for
a least a month and a half, we have been answering French and English
calls in under five seconds. So, you know, it doesn't...
M.
Leitão : OK, thank you, thank you. Just on another issue, and, again,
I'm sorry, I have to go quick because our
time is limited, but, on another issue, you say that one of the services...
Well, you offer several services, one of them being a notification, credit monitoring, and all that. How do you
communicate with people? Is it by phone, by Internet? How is that done?
M.
Heft (Joel) : If I could ask in what context
because we do mail...
M. Leitão : In the context of Desjardins, so the
five-year protection. If you do notice there's something untowards in somebody's credit report, you contact the citizen how, by phone,
by Internet?
M.
Heft (Joel) : By Internet, so that it's real
time.
M. Leitão : OK, by Internet. Of course, you're aware that not everybody has access to
Internet, and particularly the more vulnerable people, seniors, it's a bit more
difficult, which brings me to my next question which was raised by one of my colleagues just before. I propose to you
that we should perhaps reverse the process, in the sense that rather then being the citizens that contact
you and have to register, again I didn't quite follow the reasoning, why don't
you deal directly with the financial institution, Desjardins, so that Desjardins will provide you
with the necessary information for you to
start the monitoring? Why do you have to have the individuals contact you to
register?
M. Heft (Joel) : Well... and the two answers I gave,
I'll just summarize them quickly because I know we're under the gun. Number one is for the
security and the protection of the consumers themselves, and number two is the
product requires consent. The
consumer needs to consent. We're not even allowed to monitor their file without
their consent. So, as long as the Québec, canadian privacy laws stay the way they are, the
consumer's consent is required for us to provide the service.
M. Leitão : OK, which brings me to another question, which is,
as I'm sure you know or, at least, I'm under that impression, the data that you hold, in fact, is
not yours. I mean, it's ours. It's my data. It's the individual's personal information. You manage that data. So, again, how could we reverse the process so
that it's Equifax that monitors the situation, but only at the request of the individual, so, if
somebody else asks for some sort of a credit update, that will not be processed
until and unless the citizen approves?
M.
Heft (Joel) : I understand that there's a
parallel proceeding going on in the province of Québec where they're looking at the
Credit Bureau. I'm not part of it. I have no, you know, stake in it. But, you
know, I think that that question is a very
good one, should be asked hopefully at that level versus this one because I
just... You know, I'm not in a position to respond to
that. All I know is that the way it stands...
• (15 h 40) •
M.
Leitão : If that
were to be decided by the Legislature, then, obviously, for you, it wouldn't
be, you know, a technical problem to follow that
instruction.
M.
Heft (Joel) :
Yes. It may be a security problem. But, you know, these are all things that, I think, with the fullness of time, we can discuss and have
really fruitful and... I think the one thing is, and I hear it in all of your
voices, what we're all trying to do
is find the very best solution for impacted consumers. And so I think we all
agree on that. And I think that what
you're raising is a very, very honest, very solid, very well thought out
thought that needs to be or should be vetted out in a different forum.
M.
Leitão : Thank you. One last question from my side because I want to clarify something that you said earlier, and I want to make sur that we
all understand. One of my colleagues mentioned that a number of people affected
by the data breach at Desjardins are fairly young, and therefore they'll be around
for a number of years. The service you provide is for
five years only. Is that correct?
M. Heft (Joel) : It's for five years from the day the person signs up, yes.
M. Leitão : Correct. What happens after? What happens on year six?
M.
Heft (Joel) : In
year six, our service would lapse. It would no longer be, you know, valid, unless the consumer specifically liked it so much
that they wanted to keep it up. But our relationship with the consumer is for a
five-year term.
M.
Leitão : And
finally I understand that this service is available, obviously, but for a
price. You're not providing these additional protection services free of charge. In this case, it's Desjardins that is paying for the five years. But, if a consumer wants to maintain the service beyond five years, he would
have to negotiate with you some sort of fee or something?
M. Heft (Joel) : You are correct.
M. Leitão : OK. Thank you.
Le Président (M. Simard) : Mme
la députée de Saint-Laurent, je vous avise qu'il vous reste
2 min 44 s.
Mme Rizqy : Pour ce qui est des
scores de crédit, vous ne croyez pas que, pour tous ceux qui sont affectés par Desjardins,
par Capital One, que vous devriez peut-être revoir leur score de crédit parce que
ça a un effet direct sur les prêts qui leur sont consentis puisqu'ils
paient, par conséquent, lorsque leur cote de crédit est diminuée, des montants
d'intérêt supplémentaires?
M. Heft (Joel) : So let me play the question back. Will the consumer score be affected as
result of the breach, or Capital One breach, or Desjardins, or any breach? Was that the question?
Mme Rizqy : Any breach.
M.
Heft (Joel) :
Yes. No, I mean, it's hard to say without... Scores are very complicated things
for someone like me to explain just because I don't... You know, it's not what I do every day, but
they should...
Mme
Rizqy :
...president of Equifax, you
know that, right? And I
think credit scores is something that is a core business for you. And, when we have right now a
woman who has two mortgages that she never contracted and now she has to
fight with Equifax to make sure that that can go away, do you think this is
fair?
And,
in the meantime, if I can go back, March 2017, you were first alerted that you
had a breach. Back in May, first data breach, and you
went only public in September 2017. In the meantime, you have three top
executives who decided to sell their shares.
For a business who has $17 billion at the stock market, I think you should
be aware what is your core business.
M.
Heft (Joel) :
Well, I'm aware of scores. What I would say is I don't know enough about any
particular individual because everybody's score is
different. I don't know anything... I don't know enough about any particular
individual to be able to respond to that question on an individual basis. Will a person's credit
score generally be affected by the fact that they may have had a Capital One card and were
part of the Capital One breach? If the story stopped right there, the answer would be most likely no. If bad stuff
happened as a result of... it's not even any data breach, it's anyone, then
there is a chance that, you know, if somebody applies for credit...
Mme
Rizqy : Excuse me. I have to reclaim my time
because time is very limited. I'm very sorry about that.
M. Heft (Joel) : Yes. Sorry.
Mme Rizqy : But we have people here, in Québec... lives are devastated because now they have to fight with Equifax
to just wash away all the mortgages that were wrongfully contracted. Do you
have a fast track to help all the Quebeckers who now have to fight to make sure that their credit score is back
to normal?
Le Président (M. Simard) : Malheureusement,
cela met fin à votre...
Mme Rizqy : That can... yes or no. A fast track?
M. Heft (Joel) : Well, if their...
Le Président (M. Simard) : Très
bien. Nous allons devoir passer...
M. Heft (Joel) : Let me just answer. In the context of what we're talking about
today...
Le Président (M. Simard) : Thank you, sir. Your time is over.
M. Heft (Joel) : ...if they are on a Desjardins product, they have restoration services.
Le Président (M. Simard) : OK,
thank you, sir. Maintenant, je cède la parole au député de Gouin,
2 min 40 s.
M. Nadeau-Dubois : Merci. Bonjour, M. Heft. Permettez-moi de
vous partager — je
le ferais si vous étiez ici en personne, je vais le faire même si vous êtes à
distance — ma déception à l'effet qu'Equifax, qui est
censée être responsable de la protection
des données de maintenant plus de 4 millions de Québécois qui ont été
victimes de cette brèche de données... déçu, donc, qu'Equifax n'ait pas
jugé pertinent de nous envoyer quelqu'un ici en personne en mesure de répondre
avec précision aux questions des députés de l'Assemblée nationale du Québec.
Ceci étant
dit, j'ai une question très précise pour vous. Êtes-vous capable de me dire, à
l'heure actuelle, combien il y a
d'employés dans vos bureaux de Montréal qui desservent l'ensemble du Québec pour
donner des services aux gens, aux clients de Desjardins qui ont été
victimes de la brèche de données dont nous discutons aujourd'hui?
M. Heft
(Joel) : In the Montréal office specifically,
I can't answer that question. I do not know.
M. Nadeau-Dubois :
Au Québec?
M.
Heft (Joel) : I
can't... This is a question that we can certainly get from our operations team,
but I don't run that team. I don't have access to, you know, those numbers. I
apologize. I just don't know the answer to that question.
M. Nadeau-Dubois :
Merci. Lorsque Desjardins vous a fait part qu'ils avaient été l'objet
d'un vol de données, pouvez-vous nous
expliquer pourquoi Equifax n'a pas simplement inscrit une alerte de fraude sur
le dossier de crédit des victimes? À ce que je sache, c'est une démarche
qui est gratuite et qui est obligatoire en vertu de la loi.
M. Heft (Joel) : Well, any consumer can call us and put
a fraud alert on their file. We couldn't put it on for them. They need to put it on themselves.
M. Nadeau-Dubois :
Est-ce que vous pouvez nous expliquer pourquoi, quand plusieurs consommateurs
québécois tentent d'appeler, l'appel est redirigé vers un centre d'appel
situé en Inde?
M. Heft
(Joel) : I'm interpreting that your question
is : Why do people get an agent that's located in India?
M. Nadeau-Dubois : ...the
question.
M. Heft (Joel) : Yes. I know that we do have call
centers, because we operate many hours during the day, that are located in various jurisdictions,
and I would gather that there is a possibility that some of the calls could be
answered from somebody located in India.
M. Nadeau-Dubois : Est-ce que
vous jugez que c'est sécuritaire dans le contexte actuel?
M. Heft (Joel) : Is it secure? Absolutely. Absolutely.
Any facility that is handling our consumers has to meet our own security standards.
Le Président (M. Simard) : Très
bien. Merci. Je cède maintenant la parole au député de Jonquière.
M. Gaudreault :
Oui. Alors, merci beaucoup d'être avec nous, M. Heft.
Alors, moi,
j'ai un gros malaise parce que j'ai l'impression que plus il y a de fuites,
plus c'est payant pour Equifax. Alors,
vous comprenez que, comme citoyen et comme consommateur, ça me cause des
problèmes parce que vous avez, comme
entreprise, augmenté vos revenus de façon incroyable cette année à cause,
justement, de la multiplication des fuites de données comme chez Desjardins ou comme chez Capital One. Par exemple,
en sol canadien, Equifax a récolté 39 millions de juillet à septembre dernier, et, depuis
janvier, la cagnotte s'élève à 114,9 millions de dollars. Donc, plus il y
a de fuites, plus c'est intéressant
pour vous, alors que, moi, ce qui m'intéresse, c'est vraiment la protection des
données des citoyens, la protection
des données des consommateurs. Donc, parfois, j'en viens à me dire :
Est-ce que c'est la meilleure façon de protéger
les données des consommateurs de faire affaire avec des entreprises qui font de
l'argent avec ce système-là? Donc, c'est un genre de paradoxe que j'ai
de la difficulté à m'expliquer.
Mais, quand
même, vous êtes présents partout à travers le monde. Avec votre expérience,
êtes-vous capable de nous donner des
exemples des meilleures pratiques que vous avez vues, à travers le monde, sur
la protection des données personnelles,
de l'identité numérique à travers le monde? On s'attend toujours à des exemples
venant de la Scandinavie, là. Mais
est-ce qu'il y a d'autres exemples à travers le monde qui peuvent nous inspirer,
nous, comme parlementaires, pour pouvoir modifier la loi, toujours dans
un souci de protection, d'abord et avant tout, des citoyens et des données
personnelles? Merci.
• (15 h 50) •
M. Heft
(Joel) : It's a
great question. It's clearly something that... As I have the opportunity to
travel around the world, many, many, many governments
like yours are looking at and trying to, you know, figure out what is the best way to protect the consumers, citizens. I'm not
sure anybody... I think it's really going to take a concerted effort between
government, business and consumers. I think you
have to have all three who really need to study this a lot harder and come up with a solution that I haven't seen yet. I have not seen it yet.
Le
Président (M. Simard) : Très bien. Alors,
M. Heft, je tenais à vous remercier d'avoir participé à cette commission.
Au revoir.
M. Heft (Joel) : Au revoir.
Merci beaucoup.
Le
Président (M. Simard) :
Alors, voilà. Nous allons donc suspendre nos travaux, le temps de faire place à
nos prochains invités.
(Suspension de la séance à 15 h 51)
(Reprise à 15 h 56)
Le Président (M. Simard) :
Alors, très chers amis, à l'ordre, s'il vous plaît! Avant de reprendre nos
travaux...
Des voix : ...
Le Président
(M. Simard) : À l'ordre, s'il vous plaît! Merci
beaucoup. Alors, avant de reprendre
nos travaux, je tenais à souligner la
présence dans cette salle d'un ancien parlementaire qui a siégé ici très longtemps,
qui a notamment été chef de l'opposition officielle,
M. Guy Chevrette. Soyez le bienvenu, monsieur.
Très bien. Alors, nous allons recevoir... nous recevons, en
fait, des représentants de la
l'Association des banquiers canadiens. Madame, monsieur, soyez les bienvenus.
Auriez-vous d'abord l'amabilité de vous présenter? Et vous savez que
vous disposez d'une période de présentation de 10 minutes.
Association des banquiers canadiens (ABC)
M. Prud'homme
(Eric) : Alors, bonjour.
Permettez-moi de vous remercier pour cette occasion que vous m'offrez aujourd'hui de m'adresser à vous. Alors, mon nom
est Eric Prud'homme. Je suis directeur général à la direction du Québec de
l'Association des banquiers canadiens. À mes
côtés se trouve ma collègue Angelina Mason, avocate en chef et vice-présidente
des affaires juridiques à l'association des banquiers.
L'association
est la voix de 70 banques membres, soit des banques canadiennes ainsi que
des filiales et des succursales de
banques étrangères, exerçant des activités au Canada. Les banques, qui emploient
275 000 personnes au Canada, dont près de 45 000 au Québec, contribuent à l'essor et à la prospérité
économique du pays. L'ABC, l'association des banquiers, préconise l'adoption de politiques publiques
favorisant le maintien d'un système bancaire solide et dynamique, capable
d'aider les citoyens à atteindre leurs objectifs financiers.
Nous tenons à
préciser que le Mouvement des caisses Desjardins n'est pas membre de
l'association des banquiers, étant
donné que l'association représente des institutions bancaires sous
réglementation fédérale, assujetties à la Loi sur les banques.
Les banques
sont conscientes de la confiance que les consommateurs leur accordent pour
garder en sécurité les dépôts ainsi que les renseignements personnels et
financiers. Elles emploient des équipes de professionnels hautement
qualifiés en matière de cybersécurité et de protection des données et
investissent massivement dans la technologie et les mesures de sécurité. Entre 2007 et 2017, les
six plus grandes banques canadiennes ont investi 84,5 milliards dans la
technologie, dont une grande partie en solutions destinées aux mesures
de sécurité.
Malgré
l'évolution soutenue des cybermenaces, les banques maintiennent un excellent
bilan en matière de protection de
leurs systèmes et de leurs clients. À titre d'institution financière sous
réglementation fédérale, les membres de l'association des banquiers sont déjà assujettis à des exigences
législatives et réglementaires strictes en matière de cybersécurité et de
protection des renseignements personnels. La
protection des renseignements personnels ayant toujours été une pierre
angulaire des activités bancaires, des mesures solides à cette fin font partie
intégrante des politiques et des pratiques des banques depuis longtemps.
Toutes les banques ont prévu une politique en
matière de renseignements personnels et ont nommé un responsable de la
conformité pour veiller à ce que cette politique soit respectée et que les
renseignements personnels des clients soient protégés et tenus à jour, comme l'exige la Loi sur la
protection des renseignements personnels et les documents électroniques. Je
vais y référer par la suite en utilisant l'expression «loi fédérale».
• (16 heures) •
Alors,
nous sommes d'avis que la loi fédérale fonctionne bien. Elle a permis
d'atteindre un bon équilibre entre la protection des renseignements
personnels d'un individu et l'usage légitime des renseignements personnels par
les organisations. Basée sur des principes
et technologiquement neutre, la loi fédérale fournit les dispositions nécessaires pour encadrer les innovations,
les nouvelles technologies et les nouveaux modèles de gestion.
Dans les très rares
cas de fuite de données, les banques sont tenues de signaler certaines
atteintes à la sécurité mettant en cause des données personnelles au
Commissariat à la protection de la vie privée du Canada et d'aviser les personnes affectées par l'atteinte en question
ainsi que les organisations susceptibles d'atténuer les dommages causés par
l'incident. Dans l'avis aux personnes atteintes, les banques doivent inclure suffisamment
d'information pour permettre à ces personnes
de comprendre l'importance pour elles de l'atteinte et de prendre, si cela
est possible, des mesures en vue de
réduire le risque de préjudice qui pourrait en résulter ou d'atténuer un tel
préjudice. Dans les cas où l'atteinte pourra produire d'importants dommages, les banques surveillent les
activités sur le compte afin de détecter un piratage de renseignements personnels potentiel ou actuel
et d'arrêter toute activité non autorisée, le cas échéant. Par ailleurs, dans certains cas, les banques indemnisent le titulaire du
compte pour la perte de fonds due à des opérations non autorisées. Également,
les banques font appel aux agences de crédit afin de réduire le risque de
dommages.
Parallèlement, les
banques sont assujetties à l'obligation de signaler les incidents liés à la technologie
et à la cybersécurité établis par le Bureau
du Surintendant des institutions
financières — «bureau du surintendant» pour la suite, c'est moins long. Lorsqu'une institution financière sous réglementation fédérale fait face à un incident lié à la technologie ou à la cybersécurité qui
pourrait avoir des conséquences importantes sur ses activités habituelles, elle
est tenue de le signaler au bureau du surintendant dans un intervalle de
72 heures. Aussi, les banques doivent communiquer les mises à jour au bureau du surintendant à mesure que de
nouveaux renseignements deviennent disponibles, notamment
au sujet de leur plan de redressement à court et à long terme, et lui
soumettre un compte rendu sur les leçons apprises.
La
cybersécurité et la résilience sont des priorités collectives pour les banques.
Il n'y a aucun avantage concurrentiel à travailler individuellement. Avec l'augmentation des opérations effectuées électroniquement, les réseaux et les systèmes
deviennent de plus en plus
interconnectés, ce qui amplifie la collaboration entre les banques, les gouvernements, les forces de l'ordre et
d'autres secteurs. Aujourd'hui, au Canada, 72 %
des consommateurs utilisent principalement les services bancaires en
ligne et mobiles, une hausse par rapport aux 52 % d'il y a tout juste
quatre ans.
Les
banques ont activement participé aux consultations du gouvernement fédéral qui
ont mené au développement de la
Stratégie nationale de cybersécurité et appuient fermement la démarche intégrée
public-privé envers la cybersécurité et
la cyberrésilience. Les banques maintiennent leur collaboration avec les organismes
gouvernementaux dans l'échange de connaissances
récentes, y compris le nouveau Centre canadien pour la cybersécurité, et
participent activement à des projets avec
d'autres organisations comme l'Échange canadien des menaces cybernétiques. Ces
actions favorisent grandement la collaboration
entre les secteurs public et privé, assurent la protection des consommateurs
et, par conséquent, mènent à la création d'un cyberenvironnement plus
résilient et plus sécurisé.
Pour conclure,
j'aimerais rappeler que les banques attachent une grande importance à la
protection des données personnelles des
citoyens. En effet, parallèlement à l'évolution rapide de la technologie et à
l'adoption des outils bancaires numériques
par un nombre croissant de consommateurs, les banques poursuivent leur
recherche de solutions technologiques susceptibles
d'améliorer la protection des renseignements personnels de leurs clients. Un
simple exemple serait les solutions d'identification et
d'authentification numérique.
Je vous remercie pour
votre temps. Nous serons heureux de répondre à vos questions.
Le
Président (M. Simard) : Alors, merci beaucoup, cher monsieur. Je
cède immédiatement la parole au député de Rousseau.
M. Thouin :
Merci. Bonjour, Mme Mason, M. Prud'homme. Merci d'être ici
aujourd'hui.
Évidemment,
le dossier principal, là, à la base de cette rencontre, c'est le dossier des
fuites, là, chez Desjardins. Donc, après que la fuite de données ait été rendue
publique, Desjardins a réagi rapidement en offrant à plusieurs de ses... plusieurs services à leurs clients. Le plus connu
de ces services-là et qui a été le plus discuté, c'est le service de
surveillance de crédit offert par
Equifax. D'ailleurs, ils viennent de nous en parler il n'y a pas si longtemps.
Qu'est-ce que vous pensez de ce service-là?
M. Prud'homme (Eric) : Alors,
moi, ce que je peux vous dire, c'est qu'au niveau de la cybersécurité, ce qui est important,
et c'est ce qu'on a dit à l'Association des banquiers canadiens lors des
consultations au niveau fédéral sur la stratégie
nationale en matière de cybersécurité, c'est le fait de pouvoir partager et
discuter avec tous les intervenants
de l'écosystème financier. Dans le
domaine... Au niveau du secteur bancaire, ce sont des milliards de dollars qui sont investis au niveau de la technologie,
incluant les systèmes de cybersécurité.
Donc,
c'est le partage d'information, être en mesure, justement, de pouvoir parler
aux différents acteurs de la société,
qui évoluent dans le domaine de la cybersécurité et dans le domaine financier.
M. Thouin :
Est-ce que, autre que ce système-là qu'ils ont mis en place, là, de
surveillance de crédit, là, plus précisément,
est-ce qu'il y a d'autres types de protection que vous auriez proposé de mettre
en place dans une des autres institutions, si ça arrivait?
M. Prud'homme (Eric) : Alors, d'abord, moi, je dois vous dire une chose,
là, c'est... La protection des données personnelles, pour les banques,
là, ça fait partie de leur ADN, O.K.? Première chose.
Deuxième
chose, dans mon entourage... moi, je vis au Québec, je suis ici. Dans mon
entourage, il y a beaucoup de personnes proches de moi qui ont été touchées.
Donc, on est très conscients de ça, et je ne peux pas parler au nom de Desjardins. Je ne représente pas Desjardins,
Desjardins n'est pas une banque. Mais, moi, ce que je peux vous dire, ce que je
sais de l'industrie bancaire, c'est que tout est mis en place, justement, pour
que des choses comme ça ne puissent pas se produire.
D'abord,
on a des mesures... on a des systèmes d'alerte, O.K., au niveau... À partir du
moment où un employé se mettrait à
tenter d'utiliser de l'information à laquelle il n'a pas accès, il y a des
drapeaux rouges qui vont se lever, puis on va agir automatiquement. Ça,
c'est une chose.
Maintenant, au niveau
physique, il y a des mesures physiques qui sont en place. Ce n'est pas tout le
monde qui a accès aux buildings où il y a de l'information sensible qui est
entreposée. Ce n'est pas tout le monde qui a accès aux équipements, en plus des systèmes, bien sûr, au niveau de la
technologie, les coupe-feux et ces choses-là, et l'information est
classée selon son niveau de sensibilité.
M.
Thouin : ...M. Prud'homme, je suis plus dans après. Tu sais, une
fois que c'est arrivé, là, comment on gère ça? Là, Desjardins a décidé de
mettre ça dans les mains d'Equifax, mais pourquoi ça n'a pas été géré à
l'interne? Pourquoi ce n'est pas à l'interne directement qui offre le
service de protection, de surveillance du crédit, par exemple?
M. Prud'homme (Eric) : Bon, alors, écoutez, moi, encore une fois, je ne
vais pas parler au nom de Desjardins, je vais vous dire ce qu'il se fait
dans l'industrie bancaire.
Je
l'ai mentionné lors de notre présentation, à partir du moment, dans le système
bancaire, où il y aurait une fuite de
données ou un vol de données personnelles, on a l'obligation d'aviser le
Commissariat à la protection de la vie privée du Canada, O.K.? Et qu'est-ce
qu'on fait, à ce moment-là? On avise et puis on va aviser aussi les gens qui
ont potentiellement été touchés par
ça. Maintenant, ces gens-là, dans le système bancaire, bien sûr, s'ils n'ont
pas partagé... qu'ils n'ont pas participé
à cette fuite de données là, sont indemnisés. On les accompagne, tous les
efforts sont mis, des employés et des banques, pour les soutenir dans ces
moments difficiles là. Encore là, je le rappelle, il y a des gens près de moi
qui ont été touchés ici par ces choses-là, donc je peux très bien comprendre
que ce n'est pas des situations faciles.
Et,
oui, on va aussi avoir recours, dans certains cas, aux bureaux de crédit pour
suivre l'évolution des choses. Et aussi, les comptes qui
auraient pu être affectés, on va, en plus de tous les systèmes qu'on a en
place... il faut comprendre qu'on a des systèmes
en place, là, c'est plusieurs couches de systèmes de sécurité, une par-dessus l'autre, O.K.? Et, excusez l'expression, là, mais c'est ça, et voilà, donc on
est là... On est là pour les consommateurs, et bien évident qu'on est là pour
les consommateurs, parce que les banques sont dans une relation à long terme et
tout est basé sur la confiance dans les relations avec les
consommateurs.
M. Thouin :
Dernière question très rapide, facile, oui ou non. Donc, vous avez dit tantôt
que, dans des très rares cas de fuites de
données dans notre système bancaire, là, avec les banques à charte fédérale...
Question : Est-ce que Capital One est membre de l'ABC?
M. Prud'homme
(Eric) : Oui, Capital One est membre de l'ABC.
M. Thouin :
Merci.
Le Président
(M. Simard) : Merci beaucoup. M. le député de Vanier.
M. Asselin : Merci, M. le Président. M. Prud'homme, Me
Mason, je suis quand même curieux de savoir, si Desjardins avait été
membre de l'ABC, auriez-vous réagi de la même façon que Desjardins l'a fait?
M. Prud'homme (Eric) : Alors, j'ai déjà un petit peu commencé à
expliquer. Nous, au niveau fédéral, là, la première chose, O.K., on
parle... Vous parlez de fuites de données, c'est bien ça?
M. Asselin :
Oui, oui.
• (16 h 10) •
M. Prud'homme
(Eric) : O.K. Moi, je vais
vous parler au niveau fédéral, O.K., qu'est-ce qui se passe s'il y avait une
fuite de données chez une banque.
Bon, d'abord, il faut informer — je me répète, mais je vais le dire — le Commissariat à la protection de la vie
privée du Canada. On avise les personnes qui ont potentiellement pu être
touchées...
M. Asselin :
...vous avez l'impression que ça n'a pas été fait?
M. Prud'homme (Eric) : Ah! ce n'est pas ça que je dis, là. Moi, je suis
en train de vous expliquer, si vous voulez... Alors, ça, c'est la
première étape, commissariat. Il y a une ligne directrice aussi, auprès du
Bureau du Surintendant des institutions financières, en ce qui concerne les
incidents qui touchent les systèmes technologiques ou de cybersécurité. Encore là, on est obligés... il faut agir le plus
tôt possible puis dans un délai maximum de 72 heures pour aviser le Bureau
du Surintendant des institutions financières.
Et il faut prendre les démarches, justement, pour ne pas que des choses comme
ça se reproduisent. Mais jamais on ne laisse
tomber les clients dans le secteur bancaire. On est là, on les accompagne et
puis on les indemnise.
M. Asselin :
Est-ce que je peux prendre le risque de vous demander : Ce que vous venez
d'entendre, là, avant vous, comment vous trouvez ça?
M. Prud'homme
(Eric) : Bien, écoutez, d'abord, j'étais présent seulement pour
quelques minutes. Alors, moi, ce que je peux
vous dire, ce qui est important, c'est qu'un exercice comme aujourd'hui... puis
c'est ça, la cybersécurité, c'est qu'on
puisse écouter et, comment dire, partager les meilleures pratiques entre les
différents intervenants du secteur bancaire.
Et là-dessus,
peut-être, je peux vous dire que, nous, à chaque année, l'Association des
banquiers canadiens... Vous allez me
demander : Mais qu'est-ce que vous faites, justement? Bien, on essaie
toujours d'être au-delà des systèmes les
plus performants. Et on organise un sommet sur la cybersécurité, avec des
experts qui viennent de partout, du monde entier, une journée complète où on fait un genre, excusez-moi
l'anglicisme, mais un genre de brainstorming sur les meilleures
pratiques, les meilleurs systèmes en place. Donc, c'est ça, on a tous un rôle à
jouer dans l'écosystème financier.
M. Asselin :
Merci beaucoup.
Le Président
(M. Simard) : Merci à vous, M. le député de Vanier. M. le député
de Saint-Jérôme, il vous reste 8 min 30 s.
M. Chassin :
Est-ce que ce n'est pas le député de Vachon qui prenait la suite, M. le
Président?
Le
Président (M. Simard) : Alors, M. le député de Vachon, c'est
parce que vous êtes le plus loin, hein, puis j'ai de la difficulté à
vous voir.
M. Lafrenière :
Je suis loin de vous, je m'excuse...
Le Président
(M. Simard) : Vous êtes trop petit. Alors, je vous laisse la
parole.
M. Lafrenière :
...mais très près de nos invités. Merci beaucoup, M. Prud'homme,
Mme Mason, merci d'être là aujourd'hui.
J'ai quelques petites questions techniques. Lors de votre présentation, vous
avez parlé de l'échange d'information, puis je veux vous amener là-dedans, puis je ne veux pas partir un débat
Québec-Canada. Je ferais plaisir à certains de mes amis ici. Ce n'est
pas ça que je veux faire du tout, mais je veux comprendre de quoi.
Vous
m'avez parlé de l'information que vous transmettez, que vous avez l'obligation
de transmettre du côté canadien. Qu'est-ce qu'il en est du côté du
Québec? Est-ce que vous envoyez ça au centre de cyberdéfense du gouvernement du
Québec? Est-ce que c'est partagé, à ce moment-là?
M. Prud'homme (Eric) : On est de juridiction fédérale, là. Donc, nous,
on va aviser le surintendant des institutions financières, mais on va aviser
aussi les intervenants pertinents dans le secteur. Donc, je mentionnais...
Entre autres, on travaille avec les corps policiers. Donc, oui, on va
informer les corps policiers.
M. Lafrenière :
...mais pas le centre de cyberdéfense.
M. Prud'homme (Eric) : Bien, on va travailler avec... au niveau, là...
le centre d'échange de cybermenaces, au niveau fédéral, bien, tout autre
intervenant où on est en mesure de transmettre de l'information. Ça peut être
le Centre antifraude aussi. Vous me faites penser, justement, au
niveau... dans le cadre des consultations, au niveau fédéral, sur l'établissement d'une stratégie nationale au
niveau de la cybersécurité... On comprend aussi que, maintenant, au niveau de
la Gendarmerie royale du Canada, il y
a une unité spéciale dédiée à la cybersécurité. Donc, tout ça, c'est des choses
positives qui sont en place, justement, pour que, collectivement, on
puisse étudier ces questions.
M. Lafrenière :
Notre temps est super limité. Je suis désolé, je vais y aller avec des
questions rapides, comme dirait quelqu'un,
en rafale, un peu. Donc, vous le partagez du côté canadien. Tantôt, vous nous
avez dit que les caisses ne font pas partie de votre association. Est-ce
que vous partagez l'information avec les caisses Desjardins?
M. Prud'homme
(Eric) : Bon, je reviens un
peu au niveau... On va parler avec les différents secteurs, différents joueurs
clés du secteur financier. On va parler des grandes...
M. Lafrenière : ...précisément
Desjardins?
M. Prud'homme (Eric) : Oui, on
a des discussions sur les grandes tendances, sur qu'est-ce qui se passe dans
l'industrie financière, avec tous les intervenants. Desjardins est un
intervenant important au Québec.
M. Lafrenière : O.K. Puis je
comprends, quand vous nous avez parlé tantôt des sommets, tout ça, mais je parle vraiment... Il arrive une crise, il y a une
fuite de données du côté d'un de vos membres, l'association des banquiers.
Est-ce que cette information-là que vous transmettez en 72 heures est
transmise chez Desjardins et vice versa?
M. Prud'homme
(Eric) : Bien, nos
obligations sont de les transmettre au bureau, par exemple... au Commissariat
à la protection de la vie privée du Canada.
Dans certaines circonstances, ça touche les systèmes technologiques et la
cybersécurité. Ça va être au Bureau du Surintendant des institutions financières.
Après ça, dans les limites permises par la loi, on va transmettre des
informations quand on le peut, quand c'est permis par la loi.
M. Lafrenière :
Parfait. Et, si je résumais ça, entre Desjardins du côté provincial puis l'Association
des banquiers, il n'y a pas de transfert d'information. J'ai bien
compris?
M. Prud'homme (Eric) : On va
avoir des discussions, on va avoir des dialogues, on va...
M. Lafrenière : Parfait. Autre
question pour vous.
Mme Mason (Angelina) : Sorry, but can I assist? So there are
operational components of our association where we
would share information like that and we do share information like that with
Desjardins.
What we have advocated for,
under the privacy legislation, is broader powers to allow us to share for more than just fraud, but for financial crimes
generally, to include cybersecurity. We have also advocated for changes in the
law that help support more sharing in
that context, in particular what we call a safe harbor, so that when you share
information in that context, you're protected, so you don't lose privilege over
documents that would otherwise be protected legally, so you're not accused of misrepresentation because of
a potential actor that may have turned out not to be... a potential bad
actor. But you are able to share in order to protect against the cyber threats.
M.
Lafrenière : Parfait. Merci beaucoup. Tout à l'heure, vous nous avez
parlé de meilleures pratiques que vous partagez, justement, dans vos sommets,
dans les rencontres. Pour les employés du côté bancaire, on ne parlera pas de
Desjardins du tout, mais, du côté bancaire,
j'imagine qu'il y a des vérifications d'antécédents qui sont faites avant
l'embauche.
M. Prud'homme (Eric) : Oui,
tout à fait.
M. Lafrenière : Est-ce qu'il y
en a qui sont faites pendant que l'employé est en entreprise?
M. Prud'homme
(Eric) : Oui. Après ça, il
faut voir est-ce que ces personnes-là ont accès ou non, dans le cadre de
leur travail, à des informations confidentielles ou personnelles. Mais oui, ça
peut se faire, oui.
M. Lafrenière : Vous m'avez
répondu : Ça peut se faire.
M. Prud'homme
(Eric) : Non, non, mais ça
dépend. Par exemple, tous les gens qui sont en contact avec des données personnelles, c'est sûr qu'il y a des
vérifications en continu qui sont effectuées. On a des systèmes aussi de
sécurité en place, là, je ne les nommerai pas tous, là.
M. Lafrenière : ...
M. Prud'homme (Eric) : C'est
ça.
M. Lafrenière :
Comprenez-moi, la raison pour laquelle je vous pose ces questions-là, c'est
parce qu'on apprend du passé. Je
viens d'une organisation où, en 2011, on a vécu un grand bris de sécurité avec
des vols de données, puis on sait
que, par la suite, ce qui a été dit, c'est que, justement, le danger, c'est
qu'on vérifie, on enquête beaucoup les gens avant qu'ils travaillent,
mais, une fois en poste, on les oublie un peu. Là, vous m'avez dit : On
peut.
Je veux juste
vous mettre à votre attention que le danger, c'est d'avoir un employé pendant
20, 30 ans dans notre entreprise, puis c'est rarement les plus récents, les
plus jeunes qui le font... Est-ce qu'il y a de la vérification qui se fait
par la suite?
M. Prud'homme
(Eric) : Oui, tout à fait,
il y a des vérifications en place. Et, je veux dire, la protection de
l'information confidentielle, c'est majeur. Peut-être, ma collègue
voudrait compléter.
Mme Mason
(Angelina) : It's a multilayered approach. So, part
of it is the background check, part is how you train your employees, including monitoring their activities. So, it's
not simply checking of their character, but also having checks and
balances on what types of activities they're conducting. So, if you're
conducting transactions and there's something
unusual... you normally touch 10 to 15 accounts in a day, all of a sudden,
there's a hundred accounts, there's flags for that. There're also physical types of monitoring, whether it's
cameras in the branch or if you go to certain elements of our facilities, you can't even bring a device in
with you. So, if you're in some of the most sensitive areas where information
is stored, you're not even able to take a
device in with you. So, there's a range of different types of checks and
balances to ensure that, if there's any unusual activity, we detect it.
Le Président
(M. Simard) : ...cher collègue.
M.
Lafrenière : Oui, rapidement. Donc, j'ai bien compris qu'il y a de la
journalisation qui se fait des recherches qui sont faites dans vos bases
de données.
M. Prud'homme (Eric) : Oui. Comme ma collègue l'a expliqué, c'est qu'il
y a différents niveaux, et tout ça, c'est imbriqué ensemble.
M. Lafrenière :
En terminant, rapidement, il ne reste pas beaucoup de temps, on a parlé tantôt
de supposition de personne, de vol
d'identité. Vous avez entendu ce qui nous a été dit tout à l'heure, comment on
peut aider ces gens-là qui sont
victimes de vol d'identité. Ils doivent se présenter et retrouver leur crédit.
On sait que c'est très difficile, ça prend plusieurs heures. De quelle
façon les banques aident, justement, les victimes de vol d'identité?
M. Prud'homme (Eric) : Bien, tout à fait. Écoutez, moi, je vais vous
parler au nom de l'Association des banquiers canadiens. On a écrit, justement, un livre blanc sur l'identification
numérique et on supporte un système fédéré d'identification numérique à
travers le Canada. Donc, tant le gouvernement fédéral que les gouvernements
provinciaux, comme vous le savez, détiennent
des informations. Au niveau fédéral, c'est pour les passeports, par exemple,
c'est... et, au niveau provincial, c'est
les permis de conduire, le numéro... au niveau fédéral, le numéro d'assurance
sociale. Et, dans le secteur privé, on a en place des systèmes très
solides d'identification numérique. Donc, les banques, donc, par exemple...
• (16 h 20) •
M. Lafrenière :
...question très précise. Une personne
qui s'est fait voler son identité, qui se présente dans une banque, pour
retrouver son score de crédit, vous allez l'aider?
M. Prud'homme (Eric) : Bien
sûr. Bien sûr, on est dans une
relation basée sur la confiance et à long terme, et donc c'est au coeur
de...
M. Lafrenière :
Je vous ai bien entendu, mais vous savez que, dans les recherches qui ont été
faites sur le «dark Web», il y a
aussi des données de banques canadiennes qui ont été trouvées, hein? Vous
n'êtes pas à l'abri de ça, vous le savez aussi?
M. Prud'homme
(Eric) : Même le gouvernement...
Le Président
(M. Simard) : Peut-être en conclusion. Merci.
M. Prud'homme
(Eric) : ...n'est pas à l'abri des...
Le Président
(M. Simard) : Merci beaucoup. Merci. Mme la députée de Saint-Laurent,
à vous la parole.
Mme Rizqy : On va continuer sur la même lancée si vous le
permettez. Une personne qui se fait voler ses données chez Desjardins, qu'un prêt hypothécaire est
contracté chez Banque Nationale, un prêt auto à Banque de Montréal, concrètement,
qu'est-ce qu'il arrive? Comment vous l'aidez? À part le livre blanc, là,
comment vous l'aidez pour rétablir son score?
M. Prud'homme (Eric) : Alors, bien, d'abord, ce qui est important,
là... ma collègue a mentionné que, quand... il doit y avoir
de l'échange d'information, et il y en a, tant que c'est permis par la loi,
justement. Et, nous, justement, à
l'Association des banquiers canadiens, on a mis de l'avant qu'il devait y avoir
des possibilités, par exemple, pour élargir à certains niveaux la législation
pour permettre à bien lutter au
niveau de la cybercriminalité contre
les crimes financiers qui pourraient arriver.
Mme Rizqy : Ce n'est pas une question de lutter, faire de la prévention. La question du député de
Vachon, vous avez répondu que, oui, vous l'accompagnez, vous avez parlé
d'un livre blanc.
Moi, je vous pose la
question suivante avec un cas concret : Si on a une personne qui est chez
Desjardins, s'est fait voler son identité,
par la suite, deux prêts ont été contractés à son nom. Elle habite au Saguenay,
elle veut blanchir son dossier de crédit. Vous avez répondu : Oui, on
l'accompagne. Concrètement, vous l'accompagnez comment? Parce qu'en ce
moment elle se trouve pas mal seule, la dame en question.
M. Prud'homme (Eric) : Bon, bien, écoutez, d'abord, tout ce qui est fait
à l'intérieur d'une banque puis dans les limites, bien sûr, de ce qui est permis par la législation, ça va être
fait, justement, parce qu'on est dans une relation à long terme. On veut garder ces clients-là et on va les
accompagner dans la... justement, aussi, en travaillant avec des bureaux de
crédit. Tout est fait, et on a des services
de sécurité corporative. Il y a des politiques en place, dans chacune des
banques, au niveau de la protection
des données personnelles. Il y a des mesures qui sont en place, justement, pour
pouvoir accompagner ces gens-là.
Mme Rizqy :
Si je vous soumets respectueusement la solution suivante : Si on a des
gens qui sont, par exemple, identifiés chez Desjardins, que leurs
dossiers ont été volés et que, par la suite, ces gens-là vous le disent, là, à
vous, l'ABC, qui regroupe
70 différentes institutions financières : Mon dossier a été volé,
pourquoi vous n'avez pas mis en place une
mesure accélérée de traitement qui permet d'automatiquement blanchir et
d'éliminer les prêts qui ont été contractés, surtout lorsque la personne
cogne aux banques puis dit : Voici le rapport de police?
M. Prud'homme (Eric) : Alors, moi, je peux vous parler de ce qu'on fait
à l'Association des banquiers canadiens. On n'est pas directement au niveau des opérations, mais c'est une très
bonne question. Tout ce qui touche aussi à l'éducation financière, la littératie financière pourrait
aider aussi les gens à bien comprendre. Donc, deux fois par année, deux fois...
non, mais c'est important, on est...
Mme Rizqy :
Je comprends, mais, monsieur, la littératie numérique, je sais parfaitement
c'est quoi. C'est superbien, j'en
suis puis je suis moi-même professeure, j'adore la pédagogie. Mais, maintenant,
on est le après, et, dans le après, c'est vrai que, dans le vol de données, ce ne sera pas tout le monde qui aura un
vol d'identité. Là, j'arrive de façon beaucoup plus spécifique, le vol
d'identité, où est-ce que, là, la vie bascule pour ces gens. Et c'est pour ça
que...
M. Prud'homme
(Eric) : ...oui, ce n'est pas des situations faciles.
Mme Rizqy :
Là, je comprends qu'il y a un livre blanc, mais il n'y a pas véritablement un
accompagnement pour blanchir le dossier,
pour permettre rapidement, de façon accélérée, avec un rapport de police...
Puis moi, je pense que, probablement, ça pourrait être une mesure, à
l'avenir, qu'on pourrait voir avec vous, d'appliquer... parce que, sinon, les gens se retrouvent avec des délais
déraisonnables et des scores de crédit qui sont grandement affectés et qui, par
la suite, lorsqu'ils vont vouloir contracter un prêt hypothécaire, bien, soit
qu'ils ne l'auront pas, soit ils vont le payer trop cher.
M. Prud'homme (Eric) : Moi, je peux vous dire qu'il y a des mesures en
place, justement, puis les employés de banque
sont présents, sont formés, puis ils vont accompagner les personnes qui vivent
des situations difficiles. On le fait sur une base... à d'autres
niveaux, là, pas nécessairement en matière de vol d'identité, mais... Oui, oui,
mais on le fait aussi au...
Une voix :
...
M. Prud'homme (Eric) : Non, non, mais on le fait au niveau des vols
d'identité, mais on le fait aussi au niveau... lorsque les gens, dans leur situation, leur vie quotidienne, ils ont des
situations plus difficiles, on va les écouter puis on va mettre en place des solutions pour rencontrer
leurs besoins du mieux possible. Peut-être que ma collègue voudrait ajouter
quelque chose?
Mme Rizqy :
Bien, j'ai compris votre réponse. Je vais passer, puisque le temps passe très
rapidement... Ça peut arriver, auprès de vos institutions financières,
évidemment, le vol interne par des employés. C'est quelque chose que vous
faites face très souvent. Est-ce que
vous rapportez tous les crimes dans une dénonciation policière ou il arrive que
les crimes ne soient pas rapportés et, par conséquent, pas comptabilisés?
M. Prud'homme (Eric) : Bien, on travaille avec les forces policières
puis on va rapporter... Quand il y a un crime, c'est rapporté aux forces
policières. Et, d'abord, on travaille à plusieurs niveaux...
Mme Rizqy : Est-ce
que la dénonciation policière va être devant les tribunaux ou... Justement,
est-ce que vous allez dans une procédure publique ou pas?
M. Prud'homme (Eric) : Peut-être, ma collègue voudrait compléter...
juste pour la traduction, le temps que ça se rende.
Mme Mason
(Angelina) :
...will engage the authorities where appropriate, if you're talking about a
theft. And we also... obviously, if there's any real risk of significant harm
to individuals, we will notify them directly. When we're talking about assisting individuals who have suffered because of...
Mme Rizqy : This is not my question. ...my question back then but now my current question is : When you identify an employee who commit a
wrongful action, when you go to the police, do you go after that public, do you
go and press charges or sometimes you don't do it?
Mme Mason (Angelina) : I believe, in most cases, it would be... you involve the police.
Whether or not it's followed through on is another question, but we definitely take measures.
Mme Rizqy : ...without
follow through on, with that respect, is that not your responsibility
to make sure there's going to be a follow-up
with that? Because if we don't press charges, what's going to happen, is that
the track that we have, the records
that are going to show up is maybe that we don't have current numbers for the
task force to see if we have enough people working against all the
identity theft inside of the bank.
Mme Mason (Angelina) : I can say that we have shared volumes
of information with the authorities. We do... as part of our association, we share information
about fraud and about varied ranges of crimes and we share with the appropriate
authorities, RCMP and others. We have been
involved in multiple task forces, identifying when there has been identify
theft fraud by organised crime. We have worked collaboratively with the RCMP on
these initiatives. We definitely take measures to endeavor, to have
these people prosecuted.
M. Prud'homme (Eric) : Tout est fait, justement, pour ne pas que ces situations comme ça se
produisent, et, quand ça se produit, on travaille avec différents intervenants,
tant les corps policiers et, justement, on trouve la meilleure approche, la meilleure solution pour que ces
choses-là ne se reproduisent pas. Nos systèmes de sécurité sont en constante
évolution, et ça comprend aussi ce dont vous parlez.
Mme Rizqy :
Oui, parfait, mais c'est juste qu'on a certains experts qui mentionnent que ce
n'est pas tous les crimes à
l'intérieur des banques qui sont commis par certains employés, qu'on retrouve
par la suite sur la place publique. Et là ça fait en sorte que c'est un peu ce qu'on appelle un «catch-22». C'est
que, si on n'est pas devant un tribunal, on ne sait pas nécessairement combien de fois une banque
s'est fait frauder à l'intérieur, qui s'est fait voler à l'intérieur, peu
importe le montant, peu importe le
nombre de dossiers. Ça fait en sorte que, par la suite, on ne peut pas prendre
des mesures adéquates pour savoir si, oui ou non, on a assez de
policiers qui travaillent en matière de fraude.
Puis
je vais continuer sur une autre affaire, j'aimerais maintenant parler du ratio
assurance. Vos banques, quel est le ratio d'assurance en termes... par exemple,
Banque de Montréal, Banque Nationale, est-ce que vous savez si elles sont proprement
assurées pour tous les vols de données, conformément à ce qu'il arrive
maintenant aux États-Unis?
M. Prud'homme
(Eric) : Moi, je peux répondre du point de vue d'un consommateur. Un
consommateur qui serait victime d'un vol,
qui aurait... disons, à l'intérieur d'une banque, s'il y avait, justement, une
fuite de données, et un consommateur serait impacté, cette personne-là
serait indemnisée.
Mme Rizqy : ...je ne vous demande pas si, par exemple, jusqu'à 100 000 $, un compte bancaire... Ça, c'est correct. Je vous demande en matière de
poursuite. Habituellement, il y a des gestions de risque qui doivent être
faites, les banques doivent
contracter des assurances pour la gestion de risque. Quel est le ratio
d'assurance en ce moment? Est-ce qu'on parle de 200 millions,
300 millions?
Puis je vous donne un
ordre d'idée de grandeur. Dans le cas de Marriott, ils ont payé 162 millions
d'amendes; dans le cas de Facebook,
500 millions; Equifax, 700 millions de dollars US. Alors, moi, je me
pose la question, lorsque vous vous
réunissez une fois par année, est-ce que vous parlez de la gestion de risque?
Parce que c'est... Présentement, le plus gros risque, c'est ça, c'est les risques de poursuite. Aujourd'hui,
Desjardins fait face à 4,8 milliards de recours collectifs. Moi, je me demande si nos banques sont assez
assurées.
• (16 h 30) •
M. Prud'homme (Eric) : Bien, moi, je vous dirais... Vous parlez de
gestion de risque. Bien sûr, j'ai parlé de certaines lignes directrices du
Bureau du Surintendant des institutions financières. Il y en a plusieurs,
lignes directrices, et la gestion du risque,
c'est au coeur aussi des opérations bancaires. Bien sûr, c'est un enjeu, la
gestion du risque. Il y a des discussions qui ont lieu entre la haute direction, les conseils d'administration, les hauts dirigeants. Donc, c'est au coeur, la
gestion du risque. Il y a même, vous le savez sûrement, une ligne
directrice sur la bonne gouverneure de l'entreprise.
Mme Rizqy :
Et quel est le montant que vous suggérez à vos banques pour être assurées?
Mme Mason (Angelina) : ...into
the particular insurance profiles of any particular member. I can tell you that
cybersecurity is a significant risk that our
banks manage in consultation with the Superintendent of financial institutions.
They deal with everything from the resiliency of the bank, how they would
manage if there was to be an incident, tabletops,
you name it. They go... they apply significant efforts in this area to ensure
that this risk is properly managed. And I would come to the fact that
this is not a risk that is isolated to the banking industry, this is a risk to
society, both governments, you're dealing with it across
sectors, which is why I just want to take a moment to say, we have been in this
area, ahead of... leaders in this space...
Le Président (M. Simard) :
Très bien.
Mme Mason (Angelina) : ...and we've
been advocating for cybersecurity standards.
Le Président
(M. Simard) : Merci, madame.
Mme Mason (Angelina) : Yes.
Thank you.
Le Président (M. Simard) :
Merci, beaucoup. M. le député de Gouin.
M. Nadeau-Dubois : Merci, M.
le Président. Bonjour, M. Prud'homme et Mme Mason. J'ai peu de temps,
ça fait que je vais vous demander de faire des réponses brèves dans la
mesure du possible.
Vous avez
répondu, tout à l'heure, à une question d'un collègue en confirmant que
Capital One est membre chez vous.
Vous n'êtes pas sans savoir que cette institution-là a fait face assez
récemment à une fuite de données importantes, 6 millions de
Canadiens touchés. On parle de noms, d'adresses, de numéros de téléphone,
courriels, revenus, dates de naissance,
cotes de crédit, soldes bancaires, et, dans 1 million de cas, les numéros
d'assurance sociale. Qu'est-ce que votre... qu'est-ce que
Capital One a fait ou a pris comme mesures pour protéger ces gens-là par
la suite?
M. Prud'homme (Eric) : D'abord,
moi, je vais vous parler au nom de l'industrie en ce qui concerne... dans l'ensemble de l'industrie, qu'est-ce qu'il se fait
à partir du moment où il y aurait une fuite d'information qui est détectée.
D'abord, c'est sûr, comme je l'ai mentionné
tantôt, ce n'est vraiment pas facile quand une situation
arrive sur le plan personnel, ce type de situation là, puis on en est
très conscient. Encore une fois, il faut comprendre que ces choses-là, c'est
hyper malheureux quand ça arrive, mais ça
arrive dans différents secteurs aussi. Alors, nous, comme association, on a participé aux consultations au
niveau du gouvernement fédéral, et on échange aussi de l'information avec le
Centre canadien de cybersécurité, justement,
qui réunit plusieurs experts dans le domaine de la cybersécurité, justement,
pour qu'on développe au niveau
pancanadien d'un solide système d'écosystèmes pour tout protéger.
M. Nadeau-Dubois :
Que font vos membres concrètement pour aider concrètement leurs clients qui,
concrètement, font face... sont victimes d'une fuite de données comme
celle-là?
M. Prud'homme
(Eric) : Bon, à partir du
moment où y a une fuite de données qui serait détectée, il y a un suivi,
un monitoring, excusez-moi, là, qui est fait
des comptes qui pourraient être affectés. Donc, on a toujours des équipes de
spécialistes qui travaillent sept jours sur sept, 24 heures sur 24 à faire
des suivis. Ma collègue a mentionné, justement, si jamais on détecte des
activités qui sortent de l'ordinaire, il y a des drapeaux rouges qui sont levés
à ce moment-là, il y a des actions précises
qui sont prises, et on va accompagner et on va indemniser les gens qui
pourraient être touchés dans ces situations-là.
Le Président (M. Simard) : En
conclusion.
M. Nadeau-Dubois :
Vous redonnez l'argent, mais les données, elles, quelle responsabilité est-ce
que vos membres assument en ce qui a trait à la portion des données qui,
elles, sont en circulation?
M. Prud'homme
(Eric) : Bien, s'il faut, on
va travailler avec des bureaux de crédit pour, justement, faire un suivi
sur une... si jamais il y avait une utilisation de ces données-là.
Le Président (M. Simard) : Très
bien. Merci, monsieur. M. le député de Jonquière.
M. Gaudreault : Merci. Merci beaucoup de votre présence. La
fuite concernant Capital One, qui est un nouveau membre, concerne 106 millions de clients aux États-Unis...
bien, la source, c'est-à-dire, de la fuite viendrait aux États-Unis,
mais, sur ces 106 millions, il y a en 6 millions qui seraient des Canadiens. Comment on gère ça
entre deux législations, là, complètement différentes, la législation américaine, la législation
canadienne? On a des gens qui vivent au Québec aussi. Je vois que, dans vos membres, vous avez la Banque
de Chine, il y a des institutions internationales, alors là, les règles ne
sont pas les mêmes, là. Et la source de la fuite vient des États-Unis, mais
pourtant il y a des clients canadiens.
M. Prud'homme (Eric) : Bien,
dans... Oui?
Une voix : ...
M. Prud'homme (Eric) : Ah!
vas-y. Je vais laisser ma collègue répondre.
Mme Mason (Angelina) : Regardless of where the information is
housed, the fact that it is Canadian... that these are consumers in Canada, the legislation of PIPEDA applies. So, our banks are
accountable, so they're responsible for ensuring for the security of that information and ensuring our laws are followed with respect
to notifying individuals and ensuring that they have
the appropriate information if there
is any real risk of harm. And that's what happens in these cases. So, even though the breach happened in the
U.S., notification procedures in all laws of Canada applied in that circumstance.
M. Gaudreault : C'est vrai. Mais, si on veut être capable de
mieux protéger les données personnelles des clients, on a des institutions maintenant qui sont internationales... je
comprends qu'il peut y avoir des
procédures après, une fois que la
fuite est arrivée, mais, si on veut agir en amont, est-ce qu'il y a des solutions
qui se posent ou des instances internationales qui peuvent être interpelées?
M. Prud'homme
(Eric) : Bien, l'Association
des banquiers canadiens, on est membres de différentes organisations au niveau international où il y
a des forums de discussion
sur différents sujets qui touchent l'industrie bancaire, justement, pour rester à l'affût tant au niveau international que canadien, bien sûr, de qu'est-ce
qu'il se fait en termes de meilleures pratiques.
M. Gaudreault :
Merci.
Le
Président (M. Simard) : Merci. Merci à vous, M. le député de
Jonquière. Alors, sur ce, nous vous remercions beaucoup pour votre
présence parmi nous.
Nous allons
suspendre temporairement nos travaux afin de faire place à l'Office de la
protection du consommateur.
(Suspension de la séance à 16 h 37)
(Reprise à 16 h 39)
Le
Président (M. Simard) :
À l'ordre, s'il vous plaît! Nous allons reprendre nos travaux. Alors,
mesdames, monsieur, bienvenue.
Auriez-vous d'abord l'amabilité de vous présenter? Et vous savez que
vous disposez d'une période de 10 minutes pour votre exposé.
Office de la protection du consommateur (OPC)
Mme Champoux (Marie-Claude) :
Alors, bonjour. Mon nom est Marie-Claude Champoux. Je suis présidente de l'Office
de la protection du consommateur.
Laissez-moi vous présenter ceux qui m'accompagnent : d'abord,
Mme Marjorie Théberge, la vice-présidente à l'office, de même que
Me André Allard, directeur des affaires juridiques à l'office également.
En fait, j'aurais dû dire Me Marjorie Théberge.
Alors, je vous remercie de l'invitation qui nous a été lancée. En tant que présidente de l'Office de la protection des consommateurs, je ne peux demeurer insensible à la situation des millions de Québécois
touchés par la fuite de renseignements personnels chez Desjardins.
La protection
des renseignements personnels est, de toute évidence, un sujet qui préoccupe
l'office, bien qu'il ne fasse pas
partie de sa mission première. C'est en
effet la Commission d'accès à l'information qui assume cette responsabilité. Malgré tout,
au bénéfice des consommateurs, l'office agit de manière préventive en matière de protection des renseignements personnels, et je peux vous
dire qu'on intensifiera nos efforts. On envisage d'insister sur le message de
vigilance qui suit, très général mais tout de même essentiel : Il
faut éviter de donner des renseignements personnels quand ce n'est pas nécessaire.
D'ailleurs, ce matin, l'office a modifié son site Internet
afin que la section Protection des renseignements personnels soit visible sur sa page
d'accueil afin d'en faciliter l'accès.
L'office
profite d'une excellente notoriété auprès de la population québécoise.
Les consommateurs se tournent vers l'organisme pour des sujets qu'il ne
couvre pas, dont, parmi tant d'autres, la protection des renseignements personnels.
L'office se sert ainsi des tribunes dont il
dispose pour véhiculer des messages préventifs dans les médias ou dans son site
Web,
entre autres. D'ailleurs,
dans son site, l'office invite déjà les consommateurs à protéger leur numéro
d'identification personnelle, le NIP, de leur carte de crédit. On les
incite à vérifier si leur dossier de crédit contient des renseignements exacts
et à jour. On les prévient aussi de se méfier des courriels provenant supposément
d'une institution financière dans lesquels l'expéditeur demande des
renseignements bancaires ou personnels. Ce ne sont ici que quelques exemples.
• (16 h 40) •
Je signale au passage que la Loi sur la protection du consommateur prévoit, selon les circonstances, une exonération
ou une limite de responsabilité pour le consommateur en cas d'utilisation non autorisée de sa carte de crédit par un tiers.
On peut ici penser à une fraude, au vol ou à la perte d'une carte. Cette protection
a très certainement sauvé bien des gens de malheurs. En revanche, elle ne s'applique pas lorsqu'il
est question d'une nouvelle carte de crédit qui aurait été
obtenue par un tiers malveillant au nom du consommateur avec des
renseignements personnels obtenus illégalement.
Je poursuis en vous parlant de la Loi sur la
protection du consommateur, l'une des quatre lois dont l'office est responsable. Elle régit les relations entre les
consommateurs et les commerçants,
entre autres, en matière de crédit. Une importante partie
de cette loi touche en effet les contrats de carte de crédit, de marge de
crédit, de prêt d'argent, de vente à tempérament, etc.
Une fuite de
données, quelle qu'elle soit, peut ultimement, dans les situations les plus
critiques, se traduire par un vol d'identité. Je ne vous apprends rien ici. Et
le vol d'identité a des conséquences majeures dans la vie du consommateur, car il peut entraîner des inscriptions à son dossier de crédit qui lui
sont défavorables, des transactions faites en son nom par une autre personne;
c'est assez catastrophique, vous en conviendrez.
On peut se
demander quelles sont les conséquences d'un vol d'identité. On en connaît plusieurs.
Elles sont nombreuses. Ce qui nous
préoccupe particulièrement à l'office, ce sont les traces qui se répercutent
dans le dossier de crédit du consommateur. Pourquoi? Parce que le
dossier de crédit, c'est un élément central dans la vie d'un consommateur. Concrètement,
une note défavorable peut grandement lui nuire s'il demande une carte de
crédit, s'il veut emprunter de l'argent ou s'il souhaite profiter d'un plan de financement. Mais ce n'est pas tout. Une note défavorable au dossier de crédit
d'une personne peut aussi lui nuire
dans plusieurs sphères de sa vie citoyenne : souscrire une
assurance, louer un véhicule ou même obtenir un emploi.
Présentement, il n'est pas si simple pour le consommateur d'accéder à son
dossier de crédit, d'autant plus que des frais peuvent lui être exigés.
Une inscription peut être faite, une nouvelle transaction peut y figurer, une modification
peut y être apportée sans que le consommateur en soit informé. Une autre personne pourrait aussi accéder à son dossier, le tout à son insu. Ces faits sont troublants,
surtout quand on considère que tous les renseignements que contient le dossier
de crédit d'une personne
sont des renseignements qui la concernent. Un peu plus de transparence ne
pourrait qu'être positif.
Peut-être le savez-vous, tout consommateur a la possibilité de contester une note à son dossier de crédit,
notamment s'il est victime d'un vol d'identité. Au moment où je vous parle, une
note, bien que contestée, influence la cote de crédit d'un consommateur, et ce, jusqu'à ce qu'il fournisse des preuves. Entre-temps,
c'est le consommateur qui en paie le prix. Par exemple, s'il souhaite conclure un contrat de crédit, peut-être
aura-t-il accès à un montant moindre, peut-être
ne pourra-t-il obtenir de crédit, acheter la
voiture dont il a besoin pour se rendre au travail. C'est le consommateur qui porte le fardeau de la
preuve, un fardeau lourd et stressant. Encore ici, peut-être
faudrait-il réfléchir à changer les règles du jeu pour mieux servir les consommateurs.
J'ouvrirai
maintenant une courte parenthèse. À l'office, il arrive
qu'un consommateur communique avec nous parce qu'un créancier, disons un commerçant, lui exige une
somme d'argent qui n'est pas due. Ça peut arriver, et je vous
donne un exemple.
Si le consommateur annule un contrat avec un commerçant itinérant
dans les 10 jours de sa conclusion, dans un tel cas, l'annulation est faite en tout respect de la Loi sur la protection du consommateur et le commerçant ne peut plus exiger cette somme
du consommateur. Mais, dans une situation comme celle-là, nous
sommes bien au fait que certains commerçants menaceraient le consommateur
de porter une inscription à son dossier de crédit s'il ne paie pas, et c'est regrettable, mais plusieurs vont payer pour ne
pas voir leur dossier entaché. Avec tout ça, je veux seulement démontrer que
les solutions qui pourraient être amenées relativement au dossier de crédit et au vol d'identité seraient aussi à même de
venir en aide aux consommateurs dans un
autre contexte, soit quand le consommateur ne doit pas la créance qui lui est
exigée.
Pour en revenir au
sujet qui nous intéresse plus précisément, je souhaite mettre aussi en lumière
les faits qui suivent. Actuellement, le commerçant, par exemple, une institution financière qui consulte un dossier de crédit
pourrait très bien n'avoir
aucune indication quant au fait que le consommateur s'est possiblement fait
voler son identité. Comme je l'ai rapidement expliqué plus tôt, le contenu du
dossier pourrait faire en sorte que l'institution financière n'accorde pas de prêt à cette personne ou accorde le prêt mais à
des conditions moins favorables, exemple, un taux de crédit plus élevé, sur la
base d'un dossier de crédit comprenant des transactions faites par un être mal
intentionné. Les heurts du vol d'identité
se répercutent dans la cote de crédit du consommateur sans que cette institution financière le sache, mais surtout sans que le consommateur le sache. Il ne saura donc pas que le prêt lui
a été accordé à des conditions moins favorables que ce qu'il aurait pu obtenir.
Je
ne vous apprendrai rien, la notion de protection des renseignements personnels est plus que complexe. Elle touche la
cueillette de renseignements, leur conservation, leur utilisation, leur
communication, leur destruction. À l'office, la question qu'on se pose, c'est : Comment pouvons-nous faire
pour réduire les conséquences d'un vol d'identité sur les consommateurs québécois? Nous devons y
répondre tous ensemble et continuer à explorer toutes les avenues possibles.
Bien entendu, nous nous réjouirons si
des mesures sont proposées pour mieux outiller les consommateurs en matière de protection des renseignements personnels et pour mieux les
protéger en cas de vol d'identité. Les pistes d'amélioration sont nombreuses,
on le sait, on l'a vu dans les derniers mois, plusieurs ont déjà été avancées.
Je
termine en vous rassurant qu'à l'Office de la protection du consommateur nous
accueillerons avec enthousiasme toute
solution, dont toutes celles qui, particulièrement, viendront soutenir le
consommateur québécois victime d'un vol d'identité de la part d'un
individu malveillant. Alors, je vous remercie toutes et tous de votre
attention.
Le
Président (M. Simard) : Merci à vous, Mme Champoux. Donc,
avant de poursuivre nos travaux, je vous indique qu'afin d'entrer dans nos temps le gouvernement dispose d'une période de
14 min 45 s, l'opposition officielle, d'une période de 9 min 50 s, et les deuxième et
troisième groupes d'opposition, d'une période de 2 min 27 s. Je
cède maintenant la parole au député de Vachon.
M. Lafrenière : Merci beaucoup. Merci, mesdames, monsieur. Merci
d'être là avec nous. En passant, avec votre présentation, vous avez changé complètement les questions que j'avais pour vous. Je suis persuadé que ma
collègue de Saint-Laurent a entendu de la musique à ses oreilles. On a
parlé beaucoup aujourd'hui des questions pour retrouver la cote de crédit
pour les citoyens qui vivent ça. Parce que je vais me permettre de
dire que c'est un calvaire, ces gens-là se retrouvent tout seuls, c'est très difficile, puis j'aurais le
goût de vous entendre là-dessus, puis je vais vous parler vraiment
juste de ça parce que je trouve ça hyperimportant.
Aujourd'hui, on a
entendu des gens d'Equifax, et ce qu'on s'est fait dire par plusieurs citoyens
qui l'ont vécu, lorsqu'il arrive un vol d'identité, donc des transactions
frauduleuses, problèmes avec leur crédit, ils se présentent devant l'entreprise puis ils se font dire : Bien, écoutez,
vous ne pouvez pas changer votre cote, puis ça ne fonctionne pas, ils se retrouvent à aller devant la Commission d'accès à l'information. Pouvez-vous nous en parler un peu? Est-ce que
c'est quelque chose que vous connaissez?
Mme Champoux
(Marie-Claude) : Oui, c'est quelque chose dont on entend parler beaucoup, effectivement, le fardeau
de la preuve est toujours sur le dos du consommateur. Alors, effectivement, oui, c'est difficile pour un consommateur de changer son
dossier de crédit.
M. Lafrenière : Puis, selon vous, à l'OPC, quelle serait l'obligation de... puis je parle d'une firme, on aurait pu convoquer une autre agence, je pense
qu'on aurait eu le même résultat. Quelle serait la responsabilité de cette agence-là? Parce
que, de ce que je comprends, c'est que le citoyen est laissé à lui-même,
il n'y a pas personne qui remet un guide en disant : Bien, regardez, vous avez été
victime de vol d'identité, votre crédit, votre score de crédit a été affecté,
voici ce que vous devez faire. Moi, ce que les gens m'ont rapporté,
c'est qu'ils doivent se dépêtrer eux-mêmes, puis aller devant la Commission
d'accès à l'information, puis ce qu'on se fait dire, c'est près de
80 heures de travail acharné pour réussir à s'en sortir. Est-ce qu'il y a une obligation qui demande à ces
agences-là de remettre, justement, des indications, quoi faire?
• (16 h 50) •
M. Allard (André) : Oui, si vous permettez. D'abord,
la réponse à cette question-là supposerait qu'on formule des recommandations, puis on n'est pas ici pour formuler des recommandations, on est plutôt ici pour faire l'état des lieux dans la perspective d'un consommateur. Il faut aller en
amont, en amont de tout le processus d'inscription, même des
annotations dans les dossiers de
crédit. Ce sont des annotations qui sont inscrites par les entreprises
sans qu'elles vérifient. Par exemple, lorsque
le consommateur voit que son inscription lui est défavorable, il s'aperçoit effectivement qu'il y en a une, inscription, c'est le premier défi qu'il doit relever. Et il se peut qu'il conteste
l'exactitude de cette inscription ou même la légitimité de cette inscription. La
présidente, tout à l'heure, a mentionné un exemple où, dans certains cas, les
entreprises inscrivent des annotations défavorables, alors que le consommateur
a exercé un droit qui lui était conféré par la loi. Donc, elle est litigieuse, il s'agit d'une dette litigieuse qui a
été inscrite au dossier de crédit. Donc, il s'agit donc d'une inscription dont
l'entreprise décide elle-même de son bien-fondé. Donc, ça, c'est un premier
problème, parce que contester une telle annotation est très difficile. À la limite, on souhaiterait être
poursuivi pour qu'on puisse faire la preuve qu'on n'a pas contracté cette dette-là. Mais les entreprises ne nous
poursuivent pas, elles inscrivent au dossier une annotation défavorable avec
les...
M. Lafrenière :
Je m'excuse, c'est parce que le temps est très compté ici.
M. Allard
(André) : Je suis désolé.
M. Lafrenière :
Non, non, vous n'avez pas à être désolé, voyons. Et c'est quoi, le recours,
pour le consommateur, à ce moment-là?
M. Allard
(André) : Dans le pire cas, il devra saisir lui-même les tribunaux
pour poursuivre à la fois l'agence et l'entreprise, pour pouvoir
contester... l'inexistence d'une dette, ce qui représente un défi colossal.
M. Lafrenière :
Question pour vous. Des agences de crédit, on en a entendu une, tout à l'heure,
Equifax, dans le dossier de
Desjardins : Est-ce que vous avez eu beaucoup de plaintes, à l'OPC, pour
l'accès aux services ou l'accès dans la
langue de leur choix, c'est-à-dire en français? Est-ce que c'est le genre de
plaintes que vous avez reçues? Sans tomber dans des chiffres, est-ce que
vous avez reçu des plaintes?
Mme Champoux
(Marie-Claude) : Très peu de plaintes chez nous. Bien, pour la langue,
pas du tout, c'est probablement plus à
l'Office québécois de la langue française, s'il y en a eues, mais, chez nous,
il n'y a pas eu de plainte concernant la langue. Puis on a eu quelques
appels suite à la fuite, en fait, suite aux nombreuses fuites des derniers mois, on a eu quelques appels, mais quelques
dizaines à peine à l'office, qu'on a référés soit à l'Autorité des marchés
financiers ou, justement, la
Commision d'accès à l'information, là, parce que, comme ce n'est pas une loi
qui est sous notre gouverne, là, on
n'y répondait pas, mais c'est... Nous, on reçoit 150 000 appels par
année, à l'office, sur des sujets divers, alors quelques dizaines, c'est
vraiment très, très peu.
M. Lafrenière :
Dans la minute qui me reste... Tout à l'heure, on parlait du dossier de crédit.
On sait que les commerçants ont accès au dossier de crédit, ils peuvent aller
le consulter. Selon vous, les mesures de sécurité qui sont appliquées pour savoir, justement, qui l'a consulté, le dossier de crédit puis qu'est-ce qu'il en a fait,
est-ce que vous êtes... Est-ce que c'est une connaissance que vous avez,
à l'OPC? Je prends une chance.
M. Allard
(André) : En fait, la situation
que vous évoquez, c'est que, lors d'une transaction entre un commerçant et un consommateur, la personne qui connaît mieux la situation
financière du consommateur, c'est l'entreprise. Le consommateur n'a pas accès, en temps réel, de façon continue,
à son dossier de crédit, alors que son information personnelle, relativement à sa situation financière, qu'il ignore puisqu'elle est mesurée
avec une cote qu'on ne lui communique jamais... c'est
l'entreprise qui connaît le mieux la situation
financière du consommateur. Le consommateur est donc,
encore une fois, dans une situation
défavorisée, ne sachant pas pourquoi ou sur quelle base la négociation ou la discussion du contrat va se tenir.
M. Lafrenière :
Merci beaucoup. Merci, je vais laisser la parole.
Le Président
(M. Simard) : Merci à vous, M. le député de Vachon. M. le député
de Vanier.
M. Asselin : Merci
beaucoup, M. le Président. Mme Champoux, Mme Théberge, Me Allard. J'ai bien
compris que vous n'avez pas reçu beaucoup de plaintes suite aux incidents
de chez Desjardins.
Mme Champoux
(Marie-Claude) : Oui, vous
avez effectivement bien compris, on a... en fait, on n'a pas eu de
plainte, on a eu quelques appels qui sont entrés dans notre système
téléphonique, mais des appels que nous avons redirigés.
M. Asselin :
Si un membre de chez Desjardins appelait chez vous, qu'est-ce que vous lui
conseillerez?
Mme Champoux
(Marie-Claude) : Ça
dépendait probablement de la nature du sujet, mais on le référait soit à
l'Autorité des marchés financiers, soit à la Commision d'accès à l'information, soit
à la police, dans le fond, On n'est pas... À l'office, on gère quatre
lois.
M. Asselin : La fuite de
données vous concerne quand même, non?
Mme Champoux
(Marie-Claude) : On gère
quatre lois, à l'Office de la
protection du consommateur, et la loi
sur la protection des renseignements personnels n'en est pas une. Alors, oui,
on a une préoccupation parce que les consommateurs sont affectés par ça, mais
on ne gère pas cette loi-là, donc.
M. Asselin : Est-ce que, dans vos outils de communication, vous avez modifié l'information qui vous concerne sur vos sites?
Mme Champoux
(Marie-Claude) : Oui. Bien, comme je le disais en introduction, on a quand
même un onglet Protection des renseignements personnels sur notre site Web, onglet qui était un petit peu plus difficile à trouver jusqu'à ce matin mais qu'on a effectivement ramené en page d'accueil pour que l'information soit plus accessible. Dans nos activités de communication, dans nos ateliers, oui, on fait des activités de
prévention pour la protection des
renseignements personnels auprès des consommateurs, mais je réitère que
ce n'est pas une loi qui est sous notre responsabilité.
M. Asselin :
Actuellement, quelles sont les activités de sensibilisation que vous conseillez
aux gens concernant ce qu'il est arrivé?
Mme Champoux
(Marie-Claude) : On ne fait pas d'activité de sensibilisation sur ce
qu'il est arrivé, on fait des activités générales de sensibilisation dans
une... Pour que le consommateur soit bien protégé dans l'ensemble de son
dossier, on lui procure certains
conseils sur la protection des
renseignements personnels, mais ce n'est pas en lien avec les fuites qui
ont eu lieu.
M. Asselin :
O.K. Merci.
Le Président
(M. Simard) : Merci beaucoup. Mme la députée de Charlevoix—Côte-de-Beaupré.
Mme Foster : Bonjour. Merci d'être ici aujourd'hui. À l'Office de la protection
du consommateur, est-ce que
vous avez des spécialistes de la protection des données personnelles
parmi vos employés?
Mme Champoux
(Marie-Claude) : En fait, on
a une personne qui est responsable de la protection des renseignements
personnels de l'office, mais on n'a pas de conseiller pour les consommateurs,
par exemple,
Mme Foster : Est-ce
que vous croyez, suite aux
événements, que ça pourrait être une bonne idée? Parce que ce qu'on entend depuis ce matin, c'est que c'est un
problème qui va aller en augmentant, et ce, dans toutes les sphères de la société.
Mme Champoux
(Marie-Claude) : Je ne sais
pas. Est-ce que vous demandez s'il devrait y avoir plus de conseillers? À ce moment-là, ça serait peut-être
plus à la Commission d'accès à
l'information, qui est responsable de
la loi sur la protection des
renseignements personnels, ou je ne sais pas si vous voulez que l'office
devienne responsable de la loi sur la...
Mme Foster : Non. Ce n'est pas ce que j'ai dit, ce n'est pas
ce que j'ai dit. Dans votre rapport annuel de gestion, vous mentionnez accorder une importance
primordiale au fait d'informer les consommateurs sur leurs droits, leurs
recours, leurs responsabilités. Qu'est-ce que vous avez fait pour informer les
membres de Desjardins? Tantôt, on parlait un peu de... tu sais, vous dites que vous n'êtes pas allé dans la
sensibilisation, c'est plus en allant sur le site Web ou en vous contactant
que, là, on peut avoir des renseignements, mais est-ce qu'il y a autre chose
qui a été fait de façon proactive?
Mme Champoux
(Marie-Claude) : De façon proactive pour les membres Desjardins en
particulier, non, mais, auprès de la population, oui, on fait des
activités de sensibilisation et de prévention.
Mme Foster :
Oui, O.K. Puis également, dans votre rapport annuel, vous mentionnez que vous
exercez des actions de sensibilisation pour rappeler aux commerçants
leurs obligations.
Mme Champoux
(Marie-Claude) : Oui.
Mme Foster :
Est-ce qu'il y a des actions de sensibilisation qui ont été faites auprès des
entreprises bancaires pour leur rappeler leurs obligations, par exemple?
Mme Champoux
(Marie-Claude) : Bien, on a des rencontres assez régulières avec les
entreprises, effectivement, entre autres, parce que nous sommes responsables
des dossiers de crédit. Comme vous savez peut-être, on a lancé un document de
consultation, le printemps dernier, sur une modernisation de la loi sur le
crédit. Alors, oui, on a des rencontres, mais pas au niveau de la protection des renseignements personnels, parce
que, au risque de me répéter, ce n'est pas une loi qui est sous notre
responsabilité.
Mme Foster :
Qui est sous votre responsabilité. À votre avis, ce serait quoi, le meilleur
moyen pour que les Québécois se protègent?
Parce que, tout à l'heure, vous avez parlé de renverser le fardeau de la
preuve — parce
que, on le sait, c'est un processus qui est lourd quand on est victime, on en a parlé un peu
tantôt, vous avez parlé de renverser le fardeau de la preuve — mais quel changement, là, nous, on pourrait
faire ici, comme législateurs, qui pourraient en arriver à ce résultat-là?
Mme Champoux
(Marie-Claude) : Comme j'ai dit, nous, on... je pense que
Me Allard le disait tout à l'heure, on
n'est pas là pour vous faire des propositions, on fait tout simplement état de
ce qui est présentement les faits. On va accueillir, évidemment, les recommandations et les propositions des
membres de l'Assemblée nationale, puis on se conformera avec plaisir,
mais effectivement nous, on est là pour vous présenter la situation des
consommateurs telle quelle.
Mme Foster :
État de la situation et non pas mode recommandation. Parfait. Merci.
Le Président
(M. Simard) : Merci à vous, Mme la députée. M. le député de
Vachon, il vous reste 4 min 9 s.
M. Lafrenière :
Je m'excuse, je vous ai menti tout à l'heure. Je vous ai dit que j'avais des
questions juste là-dessus, mais vous
m'avez guidé sur d'autres choses. Vous avez parlé des commerçants, et je
voulais savoir si vous aviez reçu des plaintes à l'OPC concernant
l'utilisation de bases de données, c'est-à-dire les fameux dossiers de crédit,
de la part de commerçants. Je ne veux pas
parler de côté criminel, ce n'est pas votre cour, je comprends bien ça, mais
est-ce que vous avez reçu des plaintes à l'OPC quant à l'utilisation par
des commerçants? On va mettre ça clair, là, un commerçant qui utiliserait la base de données à d'autres fins,
comme du marketing, comme des ventes différentes, est-ce que vous avez déjà
reçu des plaintes comme ça chez vous?
Mme Champoux
(Marie-Claude) : Je peux vous le garantir, que ce n'est pas dans les
tops de nos plaintes, mais je ne peux
pas vous garantir qu'on n'a jamais eu aucune. Moi, je n'en ai pas entendu
parler, qu'il y ait eu des plaintes, mais évidemment je n'ai pas nécessairement chacune des plaintes, là. C'est
une information, toutefois, que je pourrais fournir à la commission plus
tard, là, quand on aura fait le décompte, mais c'est certain que ce n'est pas
une plainte qui arrive souvent. Ça, ça serait allé sous mon radar.
M. Lafrenière :
Sans aller dans les recommandations, on va rester loin de ça, cependant, est-ce
qu'il y a de la sensibilisation qui peut
être faite de votre part auprès des commerçants quant à leurs rôles et responsabilités
en utilisant cette base de données? Puis là je vais mettre ça clair, là, pas de
cachette, sans présumer que certains commerçants pourraient le faire, c'est arrivé récemment, on a vu des cas
dans les médias tout, tout, tout récemment, de leur rappeler que l'utilisation
de cette base de données, quand on parle de
la base de crédit, doit être faite dans le cadre d'une transaction initiée par
un consommateur, et non pas pour
faire du marketing ou d'autre chose. Est-ce que c'est le genre de communication,
de prévention, ça, que vous pourriez faire à votre niveau?
• (17 heures) •
Mme Champoux
(Marie-Claude) : Certainement. C'est certainement des communications
qu'on pourrait faire. Évidemment,
l'office a un petit budget, a de petits moyens. Alors, des fois, il faut faire
des choix sur quels sont les campagnes puis
les moyens de communication qu'on utilise, mais c'est effectivement quelque
chose qui pourrait être dans notre palette.
Le Président
(M. Simard) : Merci beaucoup. Il vous reste deux minutes, cher
collègue.
M. Lafrenière :
Sur la même lancée, est-ce que les agences de crédit pourraient se retrouver à
avoir les mêmes recommandations de votre
part sur comment aider, comment guider les consommateurs qui se retrouvent dans
le trouble?
Mme Champoux
(Marie-Claude) : Je ne sais pas si nous sommes des spécialistes de
consommateurs sur le... pour les guider dans
un processus législatif ou un processus... juridique, pardon, mais d'adopter
des bonnes pratiques, oui, ça pourrait être effectivement des conseils
qu'on peut donner.
M. Lafrenière :
Parce que, bien honnêtement, les gens qu'on a entendus aujourd'hui, il n'y a
pas personne qui semblait vraiment
les diriger à la bonne place, sans méchanceté, là. Puis, pour le citoyen, le
consommateur, je me dis : Écoute, on
se retrouve dans un cul-de-sac, on se fait dire : Ce n'est pas chez nous.
Ta cote de crédit est affectée? «Too bad», en bon français. Attends, ça
va revenir, un jour, correct.
Alors,
je me dis, il y a sûrement quelqu'un qui peut les aider. Puis je ne demande pas
de le prendre par la main puis d'aller
lui faire faire les démarches, mais, au moins, d'aviser. Parce que, de ce que
j'ai compris tout à l'heure, même de la part d'Equifax, on leur dit : Nous, on ne peut pas rien faire. On
ne les guide même pas vers la Commission d'accès, qui est quand même
assez lourde.
Mme Champoux
(Marie-Claude) : On pourrait probablement le regarder, là. Je ne sais
pas, est-ce que ça prendrait la forme
d'un guide? Est-ce que ça... des bonnes pratiques qu'on pourrait partager avec
les agences de crédit? Ce n'est pas quelque chose sur lequel l'office
s'est penché, mais on pourrait certainement le regarder, là.
M. Lafrenière :
Sans tomber dans les recommandations, seulement une idée, comme ça.
Mme Champoux
(Marie-Claude) : On vous écoute et on vous répond.
M. Lafrenière : Merci beaucoup.
Bien gentille, merci.
Le Président
(M. Simard) : Merci, M. le député de Vachon. M. le député de
Robert-Baldwin.
M. Leitão :
Très bien. Merci beaucoup, M. le Président. Alors, bonjour. Merci d'être là. On
va rester dans les enjeux soulevés par le collègue de Vachon. Moi, ce qui
m'intéresse beaucoup, c'est la question de l'accès au dossier de crédit.
Donc, de la façon dont le système fonctionne
présentement, un commerçant, banque ou autre, un commerçant a un accès direct au dossier de crédit d'un
consommateur. Il n'a qu'à entrer un code et il a accès directement à ça. Il
peut non seulement aller retirer des
informations, mais il peut aussi inscrire des informations. Est-ce qu'un
consommateur, lui aussi, a le droit d'accéder à son propre dossier de
crédit?
Mme Champoux
(Marie-Claude) : En fait, le consommateur a accès à un dossier de
crédit résumé, si je peux me permettre l'expression. Ce n'est pas un dossier
complet. La plupart du temps, pour avoir le dossier complet, il y a des frais.
M. Leitão :
Très bien. Est-ce que vous pensez... Est-ce que l'office pense que, justement,
cette information-là, en fin de
compte, appartient au consommateur? C'est mon information. Ça résume les
emprunts et les choses que moi, j'ai faites,
comme consommateur. Vous ne pensez pas que ça devrait être l'inverse? Donc, le
consommateur, lui, il peut et il devrait
avoir accès en tout temps à son dossier de crédit, et ça serait aux autres, aux
commerçants, d'obtenir une autorisation pour avoir accès au dossier de
crédit.
Mme Champoux
(Marie-Claude) : Disons, sans commenter sur la façon, il est évident
que l'Office de la protection du consommateur souhaite plus de
transparence pour les consommateurs versus leur dossier de crédit.
M. Leitão :
Merci. Parce que c'est une question de transparence, mais c'est aussi une
question d'accès, parce que ça... S'il y a des choses à corriger, comme Me
Allard a dit, c'est extrêmement complexe de corriger, et on renverse
complètement le fardeau de la preuve,
ce qui n'est pas du tout la situation normale dans notre système juridique. Et
puis, en plus, si on veut faire ça, évidemment, ça implique toutes
sortes de frais additionnels.
Alors, ma
question est : Pour vous, en tant qu'Office de protection du consommateur,
est-ce que vous pensez que ça serait
dans votre mission, d'émettre des recommandations ou des «guidelines», enfin,
quelque chose pour sensibiliser les autorités réglementaires à faire ce
renversement de situation où le dossier de crédit appartient au consommateur, et
c'est à lui et lui seul à donner accès à cette information à des commerçants ou
autres?
Mme Champoux
(Marie-Claude) : Comme je vous dis, sur la façon, lui seul... Je ne
commenterai pas sur la façon que ça doit être fait, mais effectivement l'Office
de la protection du consommateur souhaite que le consommateur ait un meilleur
accès à son dossier puis, en fait, dans un souci de transparence et
d'accessibilité pour son dossier, tout à fait.
M. Leitão :
O.K. Merci. Aussi, en termes de protection du consommateur, on a entendu ce
matin d'Equifax, et je suis
sûr que c'est la même chose avec d'autres agences de crédit, qu'ils offrent
toute une série de services additionnels, des
services de protection. Et ces services-là, bien sûr,
ne sont pas gratuits. Ça implique des frais, donc quelqu'un
doit payer pour ça. Encore une fois, est-ce que ces frais-là... est-ce qu'ils sont... Bien,
ils sont dans le droit de charger, oui, mais est-ce que vous pensez que ces frais-là ne devraient pas
exister, qu'en fin de compte ça devrait faire partie du service de base ou
du service courant de l'agence de crédit,
non seulement de gérer la banque de données, mais aussi de
fournir des services de protection? Ça devrait faire partie du package?
Mme Champoux
(Marie-Claude) : Je ne sais
pas quels sont les services supplémentaires dont Equifax parlait, alors c'est
difficile pour moi de dire... Est-ce
que tous les services devraient être
gratuits? Je l'ignore, je ne suis pas une spécialiste. Alors, c'est sûr que moi, je pense que l'accès pour le consommateur, certainement, devrait être plus facile. Mais, pour ce
qui est des services de protection, je ne les connais pas, ça fait que je suis
incapable de vous répondre.
M. Leitão : D'accord. Parce
que la façon dont le système
fonctionne présentement, Equifax se fait... enfin, va chercher ses
revenus, pour la plupart, chez les commerçants. Donc, le commerçant, quand il
consulte le dossier d'Equifax — je mentionne Equifax, ça peut être un
autre — donc
c'est là qu'ils font leurs revenus. Très bien.
Mais aussi,
en offrant des services directement aux consommateurs, des services de
notification, des services de «credit
monitoring», etc., ils chargent aussi des frais et là directement aux
consommateurs. Là, je pense que l'office a un rôle à jouer, d'indiquer, de
lever un drapeau. On disait : Mais non, ces services-là que vous chargez
aux consommateurs, en fin de compte, devraient faire partie de votre
offre de services standard pour tout le monde.
M. Allard
(André) : En fait, le seul commentaire que j'aurais le goût de
formuler, c'est que les dossiers de crédit, ce sont des outils que se sont donnés les entreprises pour évaluer la
solvabilité et mesurer le risque lorsqu'ils font affaire avec un
consommateur. C'est un outil qu'ils se sont donné, à eux, pour pouvoir faire
leur travail correctement, de façon responsable.
M. Leitão : O.K. Bon, c'est un
peu particulier, mais bon...
Sur un autre ordre d'idées, mais on reste
toujours dans ce domaine-là, est-ce que vous pensez que c'est toujours pertinent qu'un consommateur, d'une façon pas...
excusez-moi, qu'un commerçant, d'une façon presque routinière, pour la
moindre des transactions, ait accès à une enquête de crédit? Est-ce que c'est
toujours pertinent de procéder avec une enquête de crédit? Sachant très bien que le plus
qu'on a d'enquêtes de crédit, évidemment, ça va avoir un effet sur le score
de crédit.
Mme Champoux
(Marie-Claude) : Mais on demande au commerçant d'évaluer la capacité
de crédit avant de faire un prêt à un
consommateur. Puis ça, c'est la Loi sur la protection du consommateur qui
prévoit ça. On leur donne... Oui,
bien, quand on parle de crédit, c'est nécessairement soit un achat à crédit ou
un prêt d'argent. Alors, on donne cette obligation au commerçant de
vérifier le crédit. Alors, c'est sûr que...
M. Leitão : D'accord. Je n'ai
pas de problème avec ça. La question que je me pose et que, donc, je vous
pose : Est-ce que cet outil-là est
utilisé par des commerçants dans des cas où il n'y a pas vraiment nécessité de
procéder à une enquête de crédit?
M. Allard (André) : Bien, on a
assisté, depuis quelques années, à cette propension des entreprises à vérifier le dossier de crédit, même si ce n'est pas en vue
de consentir du crédit. Alors, les assureurs, pour se louer un logement, par
exemple, ou... enfin, d'autres transactions qui sont étrangères à un contrat de
crédit. Oui, c'est de plus en plus utilisé.
M. Leitão :
Et ça serait peut-être intéressant et utile que l'office dise quelque chose
là-dessus, parce qu'il me semble que
ce n'est pas pertinent, donc ce n'est pas dans l'intérêt public. Et je passe la
parole à ma collègue parce que, sinon, je vais...
Le Président (M.
Asselin) : Mme la députée de Saint-Laurent, il vous reste
encore deux minutes.
• (17 h 10) •
Mme Rizqy : Parfait. Mais je
reste là-dessus, parce que je comprends que tout le monde parle d'éduquer les citoyens, mais les citoyens ne savent pas qu'à
chaque fois qu'il y a une demande de crédit leur score est affecté. Est-ce que ça, vous ne pensez pas que ça devrait être
divulgué de façon claire à chaque fois qu'il y a une demande qui est faite,
que ce soit pour le logement, le prêt auto
ou les achats crédit-bail, là? Est-ce que vous ne pensez pas qu'on devrait le
dire clairement aux citoyens puis avoir leur consentement, à ce
moment-là, un consentement éclairé?
Me Allard, je
sais que vous ne voulez pas faire de recommandation, mais l'article 292 de la loi est quand même assez clair. Vous
avez aussi, dans votre mission, un devoir d'éduquer la population.
Alors, je vous demande, à titre d'avocat, pouvez-vous, s'il vous plaît, nous faire un éclairage, en ayant en tête qu'il y a
des gens qui nous écoutent à la maison, puis on doit faire aussi de l'éducation
citoyenne?
M. Allard
(André) : Bien, ça nous
ferait plaisir de faire des recommandations dans un contexte où on va travailler sur une proposition qui pourrait être formulée. En fait, notre présence ici, encore une fois, puisqu'on parlait initialement, là, de la fuite de Desjardins et donc des
conséquences, nous, on est là pour éclairer peut-être les parlementaires sur les conséquences que
peut avoir une fuite lorsque les données sont utilisées par des personnes
malveillantes pour des fins autres ou des fins illégitimes. Alors,
voilà, simplement un état des lieux.
Mme Rizqy : Vous comprendrez qu'on ne vous reçoit pas juste
pour nous faire un état des lieux. On essaie de... À la fin, nous,
on a un travail à faire de parlementaire. Puis je pense qu'on n'est pas mal
assez éclairés autour de la table. Dites-moi... Tantôt, vous avez dit : Il
faut changer les règles du jeu. Quelles règles voulez-vous changer?
M. Allard
(André) : En fait, les
règles, on l'a mentionné, on se retrouve dans une situation
où le consommateur ignore sa
cote de crédit. S'il veut le faire, il doit payer, et là j'ai vérifié ce matin,
entre 12 $ et 30 $ par mois pour avoir la même information que
l'entreprise avec laquelle il transige possède à son égard. Donc, c'est une
situation qui peut effectivement être susceptible ou être préoccupante. Et je
terminerais simplement en disant que, s'il y avait un seul élément positif dans cette controverse avec
Desjardins, c'est qu'il y a 4,2 millions de personnes qui ont soudainement
accès...
Le Président (M. Simard) : Très
bien. Merci, monsieur.
M. Allard (André) : ...à son
dossier de crédit avec tout ce que les...
Le Président (M. Simard) :
Merci. M. le député de Gouin.
M. Nadeau-Dubois : Merci
beaucoup d'être ici cet après-midi. Pas que je n'aime pas les banquiers, mais
je dois... Je suis capable de leur trouver
des qualités, mais c'est bien d'avoir des gens qui, avant tout, se préoccupent
de la protection des consommateurs. Vous dites être ici pour faire un
état des lieux.
Est-ce que je
comprends bien si je dis qu'on a actuellement, d'une part, des entreprises qui
veulent offrir du crédit, d'autre part,
des institutions financières qui sont aussi des entreprises... souvent, des
très grandes entreprises, qui veulent connaître
les scores de crédit des individus? Et, au milieu, on a les agences de crédit
qui sont, elles aussi, on l'a vu tantôt, de très grandes entreprises, des
grandes multinationales. On a tous des grands joueurs très puissants
économiquement, qui ont, tous, des
intérêts. Les agences de crédit donnent des services non pas aux individus,
mais aux entreprises. C'est surtout un intermédiaire entre différentes
entreprises.
Qui est là,
dans le système actuel, pour protéger les consommateurs, les consommatrices?
J'ai l'impression qu'on a plein de grandes entreprises qui se donnent
des services entre elles. Qui est là pour protéger les gens ordinaires?
Mme Champoux
(Marie-Claude) : Je pense qu'il y a nous, en partie, l'Office de la
protection du consommateur. Je pense
qu'effectivement la Commission d'accès à l'information peut être là aussi pour
la protection des renseignements personnels.
Je connais moins l'état des lieux chez eux, mais c'est sûr que nous, c'est
notre mission première, la protection des consommateurs, puis on tente
de le faire au meilleur de nos ressources et de nos capacités.
M. Nadeau-Dubois :
Est-ce que vous jugez que les consommateurs... puis ce n'est pas un critique de
votre rôle, là, comprenez-moi bien.
Est-ce que vous jugez que les consommateurs, les consommatrices au Québec,
actuellement, sont suffisamment protégés?
Mme Champoux
(Marie-Claude) : Je dirais qu'à l'Office de la protection du
consommateur on souhaite toujours une meilleure protection des
consommateurs.
M. Nadeau-Dubois :
Est-ce que vous jugez qu'actuellement l'office a tous les outils pour faire son
travail?
Mme Champoux
(Marie-Claude) : Vous me mettez dans une drôle de position. Je pense
qu'à l'office on fait des miracles avec la petite équipe et le petit
budget que nous avons.
Le Président
(M. Simard) : Merci beaucoup, Mme Champoux. M. le député de
Jonquière.
M. Gaudreault :
Oui. Merci beaucoup de votre présence. Desjardins, ce matin, a plaidé à
plusieurs reprises pour développer ou
construire une identité numérique des Québécois et des Québécoises. Comment
vous voyez ça? Est-ce que vous avez
réfléchi là-dessus? Avez-vous des idées à nous proposer? Et comment cette
identité numérique pourrait garantir une plus grande protection des
consommateurs?
Mme Champoux
(Marie-Claude) : Je dois vous avouer que je n'ai pas l'expertise et je
ne pense pas qu'à l'office nous avons l'expertise pour juger de la pertinence
ou de l'efficacité d'une identité numérique. On n'a pas cette expertise-là
à l'office.
M. Gaudreault :
O.K. Mais seriez-vous ouverts à recevoir
le mandat, par exemple, du gouvernement, au moins,
pour aller chercher les bonnes pratiques à cet égard à l'étranger, toujours
dans un souci de protection du consommateur, là?
Mme Champoux
(Marie-Claude) : C'est
certain que, si le gouvernement ou l'Assemblée
nationale nous donnait le mandat, ça
nous ferait plaisir de le prendre puis de collaborer avec les experts puis ceux
qui connaissent ça définitivement
mieux que nous.
M. Gaudreault :
Oui, parce qu'il y différentes manières de prendre le problème, mais moi, je
pense qu'une des bonnes manières de prendre le problème qu'on a devant
nous, c'est vraiment sous l'angle du consommateur, donc sous l'angle de la personne, sous l'angle du citoyen un
peu perdu à travers l'ensemble des données et des institutions avec qui il
fait affaire et qui sont parfois gigantesques, là, à côté de lui.
En
tout cas, on retient ça pour l'instant. Avec le temps qu'il me reste, d'autres
collègues l'ont abordé un peu tantôt, mais,
si vous aviez une suggestion à nous faire immédiatement... je sais que vous ne
voulez pas trop embarquer dans les recommandations,
mais je vous demande de le faire pareil. Vous avez parlé de renverser le
fardeau de la preuve, d'autres ont
parlé de modifier la loi, là, pour s'assurer d'une divulgation obligatoire des incidents,
là, de vol de données. Vous iriez où, là, dans tout ça?
Mme Champoux
(Marie-Claude) : Je vais réponde ce que nous avons répondu depuis le
début. Je suis désolée, mais effectivement on ne fera pas de
recommandation ou suggestion, mais ça va nous faire plaisir de travailler
avec...
M. Gaudreault :
Je vais formuler ma question différemment.
Le Président
(M. Simard) : Très succinctement, cher collègue.
M. Gaudreault :
Oui. Une divulgation obligatoire des incidents, est-ce que ça permettrait de
protéger davantage les consommateurs?
Mme Champoux
(Marie-Claude) : Certainement que la transparence, c'est toujours bon
pour les consommateurs.
Le Président
(M. Simard) : Très bien. Merci beaucoup pour votre participation
à cette commission.
Sur ce, nous allons
momentanément suspendre nos travaux pour faire place au professeur José
Fernandez.
(Suspension de la séance à
17 h 17)
(Reprise à 17 h 20)
Le Président (M. Simard) : À
l'ordre, s'il vous plaît! Nous allons reprendre nos travaux.
Nous recevons M. Fernandez, qui est
professeur titulaire au département de génie informatique et génie logiciel à Polytechnique Montréal. Cher monsieur,
bienvenue parmi nous. Vous savez que vous disposez d'une période de présentation
de 10 minutes. Alors, à vous la parole.
M. José Fernandez
M. Fernandez (José) : Merci. Je
me présente, donc, José Fernandez. Merci de m'avoir présenté.
Je suis ici
en représentation du réseau de
chercheurs pancanadiens en cybersécurité, le SERENE-RISC, qui est dirigé par
mon collègue le professeur Benoît Dupont, qui s'excuse de ne
pas pouvoir être venu présenter les propos de ce réseau.
Comme vous
savez, je suis professeur à l'école polytechnique, chercheur en cybersécurité
depuis 15 ans, membre de l'Ordre
des ingénieurs, et, en tant que professeurs et en tant que chercheurs, nous
maintenons plusieurs liens de collaboration
avec les agences du gouvernement, l'industrie et, bien sûr, comme vous l'avez sûrement
entendu parler, avec le groupe Desjardins, avec lequel nous maintenons des liens de collaboration en termes de recherche et
développement en cybersécurité,
et ce, depuis 2017.
Donc, vous comprendrez que je ne prendrai pas
position sur qu'est-ce qu'il s'est passé à Desjardins en concret, pour la simple raison que je n'ai pas les
informations nécessaires, en tant qu'expert, pour analyser le dossier. En temps
et... Je crois comprendre aussi que c'est encore sous enquête. En temps et lieu, ces faits ou les résultats de cette enquête pourront être interprétés
par des experts dans le domaine, et ce ne sera certainement pas moi.
Ce sur quoi
je veux vous parler aujourd'hui, c'est le phénomène généralisé. En tant
qu'experts, nous nous sommes tous mis
d'accord sur qu'est-ce qu'une fuite de données. Il est important de, en tant
que bon professeur d'université, bien clarifier
les choses. Quand on parle d'une fuite de données dans un contexte
informatique, il y en a deux types. Il y a ce qu'on appelle un incident, et, lorsque
l'incident... lorsqu'on a une preuve ou lorsqu'on a un indice qu'il y a
eu une pénétration des systèmes
informatiques, après ça, il y a une brèche lorsqu'on a vraiment
preuve que les informations se sont retrouvées dans les mains d'une
personne non autorisée.
Alors, on a
deux types d'incidents ici: un dans lequel l'incident se doit à la pénétration
des systèmes par quelqu'un de l'extérieur, un accès non autorisé à travers une faille informatique,
dans les systèmes ou autre, et l'autre type d'incident,
dans lequel on a une menace interne, quelqu'un à l'intérieur, en bon anglais,
un «inside job» ou un «inside threat». Un employé
ou quelqu'un de proche de l'organisation, à qui on avait donné accès à ces informations-là,
va prendre ces informations pour des
fins non autorisées.
Alors, les
deux cas se retrouvent. Alors, je vais vous citer, par exemple, trois études publiées récemment : un rapport de la compagnie
Verizon en 2019, qui fait l'analyse de 40 000 incidents, dont 2 000 sont des brèches confirmées,
et on va trouver que, dans ces
2 000 brèches là, dans différentes... trois quarts de ces
incidents-là sont dans le secteur bancaire. À peu près entre 20 % à 40 %, selon l'année,
sont des «inside threats», des menaces internes, des gens qui sont partis avec
des données, qui avaient accès à ces données-là de façon légitime.
Le rapport
récent du commissionnaire à la vie privée du gouvernement fédéral... fait
possible... justement, par la nouvelle
loi qui oblige les compagnies à dévoiler ces informations-là, fait état de
statistiques similaires. À peu près 30 %, à peu près un tiers des
incidents sont des menaces internes. Également, un rapport publié par nos
collègues à l'Université Carnegie Mellon fait état aussi de ce
constat-là.
Alors, ce
qu'il faut dire ici, c'est qu'en termes de technologie et en termes de
procédés, d'arrêter ou de... Quand on parle
d'une brèche informatique de quelqu'un de l'externe, on parle surtout de
contre-mesures technologiques, des contre-mesures
procédurales qui sont là pour surtout prévenir l'entrée non autorisée, alors
que, lorsqu'on parle de détecter que
quelqu'un va vouloir prendre les informations et les vendre à l'extérieur, là,
on est dans les intentions, et c'est très difficile, parce que, là, il faut, à
quelque part, l'intention de la personne, et là on est surtout dans les
méthodes de détection. Il y a quand même
certaines méthodes de détection, mais elles sont très primitives. C'est
beaucoup moins mature dans l'industrie, autant en termes de
technologies, que de procédés, que la prévention d'attaques externes.
Alors, cette
distinction-là est à faire, et lorsque vous serez plus avancés dans vos
travaux, et lorsque les faits seront sortis,
il faut considérer qu'il y a deux poids, deux mesures, parce que c'est deux
choses très différentes, avec des technologies et des procédés très
différents.
La raison
pour laquelle j'ai accepté de remplacer M. Dupont et venir vous témoigner
ici, malgré le fait que je travaille avec Desjardins, c'est parce que je
trouvais très important, à ce stade-ci, de souligner quelque chose sur lequel
j'ai déjà sorti dans les médias peu
après l'incident... enfin, peu après l'incident, j'ai attendu quand même
quelques semaines. C'est le vrai problème,
ce que je considère être le vrai problème. Je ne suis pas seul, puis beaucoup
d'autres experts, entre autres, mes collègues
dans le DIACC, le conseil canadien de l'identité et des accès digitaux... C'est
le fait qu'en ce moment, au Canada, on n'a pas... ni au Québec, on n'a
pas de mécanisme de ce qu'on appelle identité numérique.
Alors, quand
on parle d'identité numérique, il
faut faire attention. Identité numérique, c'est une chose, c'est de savoir
qui est cette personne, mais de savoir à
tout coup que cette personne-là n'est pas un imposteur. On parle bien
d'authentification, de méthode d'authentification.
Alors, aujourd'hui, sur les pages Web, sur l'Internet, ce serait
l'usager, mot de passe. Cependant,
cette méthode d'authentification n'est bonne que pour les pages Web. Elle ne me
permet pas de m'authentifier en personne,
elle n'est aussi pas très sécuritaire. Alors, c'est pourquoi
il y a maintenant, dans d'autres pays, tel qu'en Europe, surtout, en Estonie, en Belgique, en Espagne, même
en Afrique maintenant, le Sierra
Leone, la Tunisie... commencent à se doter de moyens pour avoir cette
identité numérique ou plutôt des moyens d'authentification. On parle
surtout de cartes d'identité,
et ces cartes d'identité permettent maintenant de s'authentifier autant en
personne qu'à travers l'Internet, le Web, potentiellement par téléphone
aussi pour des transactions avec le gouvernement, mais aussi des transactions
dans le secteur privé.
Ce qu'il est
important de comprendre, c'est que la technologie derrière ces méthodes
d'authentification numérique est la même, essentiellement, que celle des cartes
de crédit aujourd'hui. Au Canada, nous avons été innovateurs, en tout cas plus
que les Américains, dans la transition vers des cartes à puce dans le secteur
bancaire et les cartes de crédit. C'est ce
qui fait qu'il y a eu une réduction des fraudes avec les cartes assez
importante. Et ce que la plupart des
experts se pointent à dire, c'est que, si on pouvait étendre cette même
technologie, ce même savoir dans les transactions
avec le gouvernement et les autres transactions non bancaires, non financières,
on aurait probablement une réduction
de ces incidents de vol d'identité. Parce que le problème aujourd'hui, c'est
qu'en 2019, excusez-moi, mais c'est tout
à fait ridicule que, lorsque j'appelle un fournisseur de services, on me pose
comme question de sécurité : Quel est le nom de jeune fille de votre mère? Le nom de jeune fille de votre mère,
c'est Tardieu — bonjour,
maman — parce
que c'est dans ma carte d'assurance maladie. Mon baptistère, ici, en bas
de la côte, là, à la paroisse Notre-Dame-de-Foy, ça dit «José Manuel Fernandez Tardieu». Tous mes documents officiels le
contiennent. C'est ridicule qu'en 2019 j'aie à cacher ma date d'anniversaire et j'aie à cacher mon
adresse, alors qu'elle est sur le CIDREQ, sur le registre des entreprises. Et
c'est ça, le problème, on est littéralement
encore à l'âge de pierre, et c'est d'autant plus dommage que la technologie
derrière ça, en grande partie, a été inventée et développée au Canada.
Alors,
c'est sur ça que je vous laisse. Ce désir d'aller vers une meilleure
infrastructure d'authentification numérique, ce n'est pas nouveau. Ça fait une trentaine d'années que la technologie
existe. On était à la veille de faire ce changement-là au Canada au début des années 2000. Je pense
qu'une des raisons pour lesquelles j'ai accepté de venir témoigner ici devant
vous, MM. les parlementaires, c'est pour souligner le message que c'est le
temps qu'on fasse ce changement-là.
Ce
n'est pas seulement une question de sécurité — je veux finir avec ça — c'est aussi une question de développement
économique. À partir du moment qu'on a une
infrastructure de confiance sur l'identité des personnes, on peut se permettre
de faire beaucoup plus en ligne, on peut se
permettre de faire beaucoup plus de transactions bancaires, de commerce de
façon beaucoup plus efficace, et ça, c'est
un accélérateur économique. Il ne faut pas négliger cet effet-là positif de
cette transition. Alors, je termine là-dessus, M. le Président.
Le
Président (M. Simard) : Merci à vous, M. Fernandez. Je cède
maintenant la parole au groupe gouvernemental en vous annonçant une
bonne nouvelle, on a majoré légèrement le temps. Vous disposez de
15 min 30 s, tandis...
Une voix :
Vous êtes généreux, M. le Président.
Le
Président (M. Simard) : Que voulez-vous, ça m'arrive parfois, mais aussi pour l'opposition officielle, qui... étant
donné votre grande gentillesse, vous disposez de 10 min 20 s, les
deuxième et troisième groupes d'opposition disposent de
2 min 35 s.
Je cède maintenant la
parole au député de Charlevoix—Côte-de-Beaupré...
Mme Foster :
...
Le Président
(M. Simard) : ...Île d'Orléans. À vous, chère collègue.
Mme Foster : Merci. Merci
beaucoup. Merci d'être ici. Puisque
vous êtes ici, nous allons profiter de votre expertise. Je comprends que vous ne voulez pas parler de
Desjardins. Maintenant, je ferais appel à votre expertise universitaire
vaste et large dans le domaine.
On
a entendu parler d'un phénomène qui revient tout le temps. On entend parler
souvent de ce fameux «dark Web».
Est-ce que vous pouvez nous démystifier ça un peu? Comment
les données qui proviennent de vols et de fuites circulent sur le «dark
Web» après un vol? Quelles sont les possibilités de fraude? Est-ce que ce sont
les fraudes... Les fraudes les plus probables sont-elles d'être capables
d'ouvrir un compte bancaire ailleurs ou encore d'ouvrir un compte Vidéotron?
Vous comprenez un peu, là. Ça mène à quel type de fraude?
M. Fernandez
(José) : Oui, vous avez posé plusieurs questions.
Mme Foster :
Oui, il y en a deux en une, là, oui, oui, oui.
• (17 h 30) •
M. Fernandez (José) : Je vais les prendre une à une. En ce qui concerne le «dark Web», c'est quoi? Le «dark Web», c'est un Internet
parallèle qui n'est pas recensé par les moteurs de recherche, par Google. Donc,
il est là, ça utilise une technologie très similaire à l'Internet normal, des
fureteurs, mais il n'est pas recensé. Donc, à moins que vous sachiez où trouver l'information, ce n'est pas nécessairement très évident de
la trouver. Alors, une des conséquences, c'est que c'est difficile pour les
corps policiers de retrouver qu'est-ce qui se passe. Et donc c'est un moyen qui
est utilisé à des fins tout à fait louables,
par exemple, pour éviter la censure
dans des pays où c'est moins démocratique,
pour pouvoir protéger la vie privée
des personnes. Mais aussi des criminels, effectivement, l'utilisent pour
pouvoir transiger toutes sortes de choses, de la drogue en ligne, mais pourquoi pas aussi des informations volées en
ligne, que ce soient des informations personnelles ou autres.
Le deuxième volet de votre question, et ça
revient un peu à mon propos, ce n'est pas seulement les institutions financières qui utilisent les informations personnelles
comme mode d'identification. Je vous dirais aujourd'hui que, si je veux ouvrir un compte dans la plupart des institutions
financières, il faut que je me présente, que je présente des pièces d'identité. Mais c'est souvent ce que je... la
partie plus «soft», peut-être moins bien protégée, mais qui est aussi
dérangeante, c'est effectivement les
fournisseurs de services, les Vidéotron, les Hydro-Québec, qui...
M. Fernandez, pour des fins de sécurité, pouvez-vous répondre à quelques
questions? Et alors est-ce que, là... Bon, bien sûr, dans certains cas,
l'impact sera moindre parce qu'il n'y
a pas nécessairement de transaction financière, mais ça peut être dérangeant de
se faire couper son compte Hydro ou se faire couper son compte téléphone
ou autre.
Et, je vous
dirais, ça, le point téléphone, c'est important, ça, parce qu'il y a... Une des
façons qui a été utilisée pour défrauder, pour faire des attaques ciblées sur
des personnes, c'est, justement, d'utiliser ces informations personnelles
pour se faire passer par la personne ciblée
auprès des compagnies de téléphone, et, à partir de ce moment-là, on peut
prendre le contrôle du téléphone et envoyer tous les codes de sécurité.
Et ça, c'est quelque chose qui doit changer.
Mme Foster : Equifax donne une protection qui se limite à cinq
ans pour ce qui est... l'espèce de surveillance du crédit. Selon votre expertise, est-ce que c'est
suffisant ou est-ce que des données peuvent être utilisées largement... parce
que ce sont des données intemporelles... que
sont le numéro d'assurance sociale, le nom de famille de la... le nom de jeune
fille de la mère, bon. Est-ce que, selon vous, cinq ans, c'est suffisant pour
ce qui est de la surveillance du crédit?
M. Fernandez
(José) : Écoutez,
en ce moment, la plupart des informations qui sont
utilisées pour l'authentification, donc
les données personnelles, presque toutes sont des données permanentes, O.K. :
votre nom, votre numéro d'assurance
sociale, votre date de naissance. Après ça, il y a l'adresse, etc. Donc,
je ne veux pas me prononcer sur — parce
que je ne suis pas un expert en fraude bancaire, je comprends bien, mais
je ne suis pas un expert — est-ce
que cinq ans est suffisant.
Mais ce que je
peux commenter, c'est qu'un des problèmes d'utiliser une information
personnelle pour l'authentification,
c'est qu'on ne peut pas la changer. Et c'est là que, justement, il faut aller à des technologies... au minimum, usager, mot de passe, parce que le mot de passe, on peut le changer. Une
carte d'identification, ce n'est pas basé sur la biométrie, on peut la changer.
Je la perds, je me la fais voler... C'est ce qu'il arrive en Espagne ou en
Belgique, vous perdez votre carte...
la faire voler, vous allez voir les corps policiers, ils vous en donnent une
autre. Il n'y en a pas, de problème, parce qu'on peut la changer. Et un des
problèmes d'utiliser ça, c'est le fait que ce sont des informations pérennes. C'est ça qui fait que... Il y a des gens qui l'ont
demandé, mais on ne peut pas vraiment changer son numéro d'assurance sociale.
Mme Foster : O.K. Est-ce qu'on a des moyens de mesurer quelle
proportion des victimes de vol, d'incidents, là, de vol de données... qui
subissent, effectivement, par la suite, des vraies fraudes ou des vrais
vols d'identité? Est-ce qu'on a un moyen?
M. Fernandez
(José) : Je suis très
content que vous posiez cette question-là. C'est une question qui nous a troublés,
moi et mes collaborateurs au Département de criminologie à l'Université de
Montréal. M. Dupont... C'est une question qu'on s'est posée puis qu'on essaie d'établir depuis
plusieurs années. Et puis on a même essayé de faire des modèles économétriques
là-dessus. C'est difficile, O.K., parce
qu'on n'a pas une vision globale des marchés noirs de vente. Mais ce qui était
le cas et ce qu'on peut voir... ce
qu'on a vu, dans les études qu'on a faites il y a quelques années, c'est que le
pourcentage reste relativement bas,
O.K.? On parle d'entre... les meilleures estimations, entre... peut-être
1 %, mais, au maximum, dans le 5 %. Les taux de... le nombre de mots de passe, de NIP de
cartes qui ont été volés, on parle, potentiellement, aux États-Unis, de 10 % à 20 % de tous les numéros de
cartes bancaires. Maintenant, quel pourcentage de ceux-là se font frauder?
C'est peut-être moins de 1 %, oui. Mais, encore une fois, c'est une
science très inexacte.
Mme Foster : O.K.
Le Président (M. Simard) :
Merci beaucoup. M. le député de Richelieu.
M. Émond :
Merci beaucoup, M. le Président. M. Fernandez, bonjour. Bienvenue parmi
nous. Vous l'avez dit d'entrée de jeu, vous êtes ici en remplacement de votre
collègue M. Dupont. Et je me
dois de préciser que votre présence a été
acceptée, consentie par tous les partis qui sont présents ici, à cette
commission. Je m'excuse pour cette façon très maladroite, mais très
parlementaire, de vous souhaiter la bienvenue parmi nous.
Et puis je comprends que vous ne souhaitez pas parler de Desjardins, puis c'est
correct, mais on va plutôt parler de votre
expertise. Vous avez parlé d'identité numérique tantôt — très
intéressant — de méthodes d'authentification. Vous avez parlé des meilleures pratiques en Belgique,
en Espagne, avec un système de cartes d'identité. J'aimerais vous entendre
davantage sur cette méthode
d'authentification parce que croyez-vous que... On a entendu les gens d'Equifax
tantôt qui nous parlaient... Trouvez-vous que les méthodes
d'identification pour se connecter à leur service... est-ce que vous les jugez, présentement, suffisamment sécuritaires? Je
l'ai fait moi-même tantôt pendant la pause pour accéder à mon propre compte
puisque j'ai été parmi les victimes de la fuite de données chez Desjardins puis
je vais vous dire que c'est quand même... bien, moi, ça ne me rassure
pas vraiment, mais c'est ce qui nous est offert.
Mais
j'aimerais vous entendre sur l'identité numérique, comment on pourrait
l'améliorer. Parlez-moi davantage de
votre carte, ce qu'on retrouve en Belgique, en Espagne, de quelles méthodes...
Qu'est-ce qu'on pourrait faire au Québec pour se tourner vers de type
d'identité numérique?
M. Fernandez
(José) : Alors, moi aussi,
je suis un client d'Equifax, étrangement depuis avant la brèche, et moi
aussi, je suis un client de Desjardins, et je suis dans la liste fameuse. Donc,
effectivement, Equifax utilise une méthode d'authentification par usager, mot de passe. Je
vous dirais que c'est dans les bonnes pratiques, là. Ça, en termes d'un
professeur d'université, c'est un C+, là, c'est la moyenne de classe.
Mais
je pense qu'au Québec, étant donné qu'on se veut être un leader en termes de
hautes technologies, on se veut être
un leader aussi en termes de cybersécurité, étant donné le savoir qu'on a, il y
a plusieurs universités qui oeuvrent dans le domaine, un écosystème vibrant de
start-up et de fournisseurs de services dans ce domaine-là. Je pense qu'étant
donné qu'on est aussi dans un
contexte canadien, je pense qu'on doit oser avoir meilleur que juste un C+, les
moyennes de classe. Et c'est dans ce contexte-là que je pense
qu'effectivement on devrait aller vers une authentification numérique.
Alors,
l'authentification numérique, c'est quoi? C'est une information secrète qui est
sur votre carte numérique, une carte d'identification. Ça peut être un
permis de conduire avec une puce. C'est comme une carte de crédit, mais il y a votre photo dessus. Et l'information secrète qui
est à l'intérieur de cette puce-là est inviolable. On ne peut pas la sortir. Et
il y a un processeur sur cette carte à puce
qui fait une opération mathématique, et le résultat de cette opération
mathématique là prouve à quiconque le
veut que vous êtes vraiment José Fernandez. Et, de plus est, le résultat de ce
calcul-là ne peut être utilisé qu'une seule fois.
Donc,
si j'ai prouvé à la SAAQ que j'étais José Fernandez pour vendre une auto, cette
information-là que la SAAQ aurait temporairement pour vérifier que c'est
moi, elle n'est plus valable plus tard pour faire une autre transaction. Donc, si j'avais un «insider», justement, à la
SAAQ qui aurait eu accès à ce code mathématique et voudrait faire une
transaction frauduleuse plus tard, il ne pourrait pas. Alors, la
sécurité de cela se base sur la technologie des cartes à puce.
L'autre
possibilité, c'est de mettre ses identifiants sur des téléphones cellulaires,
ce qui, dans certains cas, peut être acceptable,
mais il y a des risques importants de les mettre sur les téléphones cellulaires
étant donné qu'il y a plein d'autres logiciels
qu'on installe sur nos portables qui feraient en sorte que ça puisse être
dangereux. Mais, dans certains contextes, pour certains types de transactions, ça pourrait être acceptable, comme
on le fait aujourd'hui, d'ailleurs, déjà avec nos cartes de crédit puis
nos cartes de débit qu'on peut mettre sur nos téléphones.
M. Émond :
O.K., merci, tout à fait. Puis, pour information, le gouvernement a mandaté le
Centre québécois de l'excellence numérique pour travailler déjà sur l'identité
numérique. Ça, c'est ce qui s'en vient, c'est l'après. Mais, dans le maintenant, il y a quand même plusieurs
préoccupations qui demeurent. Les gens d'Equifax tantôt... Les personnes qui
se sont fait dérober leur identité, dans le cas qui nous occupe aujourd'hui, se
sont fait offrir de s'inscrire sur Equifax.
Puis là je me
rapporte à des cas très personnels dans ma circonscription, mais que je suis
certain qui ont touché l'ensemble des collègues, entre autres, avec les
personnes âgées qui ont eu beaucoup de difficultés... Et je ne vais pas revenir
sur le fait que le français n'était pas toujours... ou complètement absent du
processus, là, mais bien dans le processus
lui-même, où c'est la personne qui doit absolument, lui-même, s'inscrire et
passer au travers du processus, qui est,
pour certaines personnes, pas si simple. Moi, des personnes âgées dans mon
comté qui ont eu beaucoup de difficultés puis qui ont effectué un va-et-vient entre le téléphone, la caisse
populaire elle-même... puis, dans ce processus-là, personne ne pouvait intervenir à leur place pour les aider
dans le processus. Personne, au Mouvement Desjardins, ne pouvait pas, par exemple, procéder à l'inscription avec eux
pour les accompagner. Probablement pour des notions de sécurité, là, la
personne devait le faire elle-même.
Mais
quelles seraient les bonnes pratiques pour être en mesure d'accompagner les
Québécois et les Québécoises plus
vulnérables ou moins performants pour être capables de faire eux-mêmes
l'inscription auprès d'Equifax? Est-ce qu'il existe des méthodes qui
permettent d'aider les gens sans entrer dans de nouvelles brèches de sécurité?
• (17 h 40) •
M. Fernandez (José) : C'est une excellente question. Et, d'ailleurs,
ça, c'est un sujet de recherche qui nous touche beaucoup. Dans le réseau SERENE-RISC,
c'est ce qu'on appelle l'utilisabilité de la sécurité. Il y a des chercheurs,
comme Sonia Chiasson, à l'Université
Carleton, et qui sont des spécialistes dans ce domaine-là, qui disent : Il
ne faut pas juste créer des solutions de sécurité qui ne seront pas
utilisables, mais il faut aussi regarder le côté psychologique, humain.
Et
je vous rejoins là-dessus, sans commenter directement sur la question Equifax,
moi aussi, j'ai des parents âgés, et
eux, ils sont chanceux, à chaque...ils ont quelqu'un pas loin qui connaît bien
ça, qui peut les aider. Mais je suis tout à fait sensible à cette question-là. Et c'est un défi pour nous, les
chercheurs, mais, je pense, aussi pour vous, les parlementaires, de s'assurer que les décisions et les programmes
qui sont mis de l'avant seront inclusifs de ce type... de cette population-là
qui est peut-être moins confortable avec la technologie, effectivement.
M. Émond :
Parfait. Merci beaucoup. Je vais passer la parole à un collègue, M. le
Président.
Le Président
(M. Simard) : M. le député de Saint-Jérôme, à vous la parole. Il
vous reste 3 min 20 s.
M. Chassin : Alors, je ne vous demanderai pas votre téléphone pour le passer à ma
mère, M. Fernandez. Vous êtes certainement mieux équipé que moi.
Ceci étant dit, je
veux revenir... Dans votre présentation, vous avez parlé d'un certain nombre de
données que je n'ai pas prises en note, mais
où des institutions financières représentaient le trois quarts des cas. Et là,
donc, j'essaie de réfléchir à des
hypothèses. Pourquoi est-ce que le secteur bancaire semble plus touché par des
fuites de données? Est-ce que c'est
parce qu'ils sont plus négligents? Est-ce que c'est parce que la valeur des
données est plus élevée, et donc peut-être que ce secteur est plus attaqué, ou peut-être parce qu'il détecte
davantage les attaques, alors que d'autres entreprises, par exemple,
peuvent se faire voler et dérober des données sans nécessairement le réaliser?
C'est des hypothèses
que je lance. Dites-nous, selon vous, quelles seraient les hypothèses
intéressantes.
M. Fernandez
(José) : ...répondre. Alors,
je ferai suivre à Mme la secrétaire les références des rapports que j'ai
mentionnés, si ça vous est utile.
Alors, le
rapport de Verizon a concrètement fait état du fait que la raison principale,
hein, ils ont bien regardé en détail ces fraudes-là, c'est parce que ces
fraudes-là sont... derrière ces vols d'information, il y a des fraudes
bancaires. C'est dans le but de faire de la
fraude bancaire. Et, surtout aux États-Unis, c'est commun. Le type de fraude le
plus commun, c'est de, tôt dans la
saison des impôts, faire des faux retours d'impôt où est-ce qu'on demande un
retour d'impôt et on envoie le chèque
à une autre adresse, ou on va voler le chèque, ou on fait directement un dépôt
direct. Alors, c'est parce qu'on fait de l'argent avec.
Une voix : ...
M. Fernandez
(José) : O.K., oui.
Maintenant, je veux me permettre un commentaire pas par rapport à Desjardins,
mais à l'ensemble des institutions
financières au Canada, parce qu'effectivement, dans ses liens industriels, on
en a eu d'autres avec d'autres
institutions financières au Canada, pas juste Desjardins, mais d'autres, des
banques à charte et autres. Et je pense qu'il y a quelqu'un autour de la salle
qui pourrait peut-être faire écho là-dessus sans le nommer, mais les budgets
de cybersécurité des institutions
financières sont en haut, très en haut de la moyenne. Le niveau de maturité de
leurs experts et les moyens déployés sont très en haut de la moyenne des
autres secteurs de l'industrie. Ça, je suis prêt à l'affirmer, certainement.
M. Chassin :
Est-ce que, donc, vous avez essayé de faire de l'économétrie, là, sur combien
de fois, quand on est touchés par une fuite
de données, on est victimes de fraude? J'aurais tendance à vous poser la
question inverse aussi. Combien de fois une entreprise, par exemple, victime
d'un vol de données s'en rend compte? Est-ce qu'on a une idée de la
proportion?
M. Fernandez
(José) : Oui, c'est une
bonne question. Comme je vous disais, de détecter qu'il y a eu une fraude
ou une pénétration de l'externe est pas mal plus facile que de détecter que
quelqu'un est parti avec les données sur une clé
USB à l'interne. Il y a des méthodes de détection pour les deux, mais les
méthodes de détection de quelqu'un qui avait droit à accéder à ces
données-là part avec l'information, c'est beaucoup plus difficile et c'est une
technologie et un savoir-faire qui est beaucoup moins mature.
M. Chassin : L'Association des banquiers canadiens nous a
parlé, dans le fond, qu'ils militaient — là, je traduis un peu leurs propos — pour que les lois fédérales leur permettent
d'échanger davantage d'information entre institutions financières sur
les crimes financiers. Est-ce que vous pensez que ça peut être une piste
intéressante?
Le Président (M. Simard) : Très
rapidement, s'il vous plaît.
M. Fernandez
(José) : Écoutez, pas
seulement entre eux, mais avec nous, les chercheurs, parce que ça nous permettrait d'arriver à des conclusions peut-être
plus intéressantes pour vous, des vrais faits, du «event-based decision-making».
Le
Président (M. Simard) : Merci beaucoup. Je cède maintenant la
parole à une professeure en service public et chercheure aussi, voilà,
Mme la députée de Saint-Laurent.
Mme Rizqy :
Merci beaucoup. Juste pour être très claire, le Pr Dupont, lui, il est
titulaire de la Chaire de recherche du
Canada en sécurité, identité et technologie de l'Université de Montréal. Et
vous, Pr Fernandez, vous êtes à la Polytechnique et vous êtes le titulaire de
la chaire de recherche industrielle en cybersécurité et intelligence
artificielle à la Polytechnique de Montréal. C'est bien ça?
M. Fernandez
(José) : Juste pour
clarifier, il y a un programme de recherche avec Desjardins, et ce programme de recherche là...
Mme Rizqy : Non, mais je voulais distinguer les deux chaires
de recherche. Il y a deux différentes... Il y en a une avec l'Université
de Montréal. Donc, c'est juste...
M. Fernandez (José) : Oui, oui,
effectivement, il y a une chaire de...
Mme Rizqy : Inquiétez-vous pas,
je pose mes questions de façon très précise et chirurgicale habituellement.
M. Fernandez
(José) : Oui, d'accord, O.K., d'accord. Oui, M. Dupont a sa
chaire de recherche, et moi, j'ai la mienne. Ce sont deux chaires bien
différentes.
Mme Rizqy :
Parfait. Maintenant qu'on a dit ça, je regarde... Vous savez, quand on est
chercheur, souvent, les noms sont importants.
Donc, si, par exemple, vous êtes le premier chercheur, votre nom va apparaître,
le deuxième et le troisième. Quand je
m'en vais sur celui de M. Dupont, je ne vois pas votre nom dans sa chaire
de recherche. Je vois d'autres noms de chercheurs
associés. Quand, par contre, je vais sur votre site Web, le premier nom que je
vois après Polytechnique, donc, dans vos partenaires, c'est d'abord Desjardins
en premier, suivi de Polytechnique. Je vais vous parler...
D'emblée,
parce qu'il faut crever l'abcès, il y a des gens qui nous regardent, et
aujourd'hui c'est la question à 1 million de dollars, vous ne voulez pas parler de Desjardins, mais la
consultation s'appelle Desjardins. Et, en ce moment, c'est que, sincèrement, j'ai un profond malaise parce que le
conflit n'a pas été divulgué à nous, les parlementaires. Alors, je vous pose
la question. Est-ce que vous, vous avez
divulgué votre conflit d'intérêts ici à la secrétaire ou au président de la
commission avant de venir ici?
M. Fernandez (José) : Non, parce
que j'ai été invité en tant que représentant du groupe SERENE-RISC.
Mme Rizqy :
D'accord. En tout respect, je vois votre bac d'ingénieur, et vous êtes au
courant que, dans votre code de
déontologie, articles 3.05 et 3.03, vous avez aussi un devoir de dénoncer
un conflit d'intérêts. Et, parmi la politique, même de la Polytechnique, de laquelle vous êtes
professeur, l'article 7.4, Politique relative à l'intégrité ou conflit
d'intérêts en recherche... Pour nous,
c'était important de le savoir. Puis j'espère que la prochaine fois, si jamais
vous êtes invité, vous aurez le réflexe juste de dénoncer votre conflit
d'intérêts.
Mais
maintenant on va apprécier vos réponses. Et vous avez parlé beaucoup de
l'identité numérique. Est-ce que vous
avez relaté le nombre de pays qui ont désormais l'identité numérique? Et, si
oui, ces pays-là, est-ce qu'ils ont eu des fuites?
M. Fernandez (José) : Je veux
juste te faire un commentaire par... Si vous me permettez...
Mme Rizqy : Ah! pour moi, ce
sera «vous», ce ne sera pas «tu».
M. Fernandez
(José) : Mais l'invitation a
eu lieu ce lundi, O.K.? Et la première chose que j'ai faite en arrivant ici,
c'est de présenter mon conflit d'intérêts.
Mme Rizqy :
L'invitation a eu lieu lundi, on est jeudi. Je pense que... Nous, on l'a appris
ce matin dans le journal.
M. Fernandez
(José) : Donc, par rapport à
votre question, vous m'avez posé la question : Quels sont les pays qui
ont déployé une identité numérique? C'est ça?
Mme Rizqy : Quels sont les pays
qui ont eu des failles par la suite malgré qu'ils ont l'identité numérique?
M. Fernandez
(José) : Écoutez, les trois
pays que j'ai mentionnés, qui sont les plus connus, dont les projets d'identité
numériques sont le plus avancé ou le plus...
sont l'Estonie, l'Espagne et la Belgique. Que je sache, il n'y a pas eu de...
Je ne connais pas d'incident par rapport à l'identité numérique déployée
par l'État dans ces pays-là.
Mme Rizqy : ...que l'Estonie, malgré qu'elle ait utilisé
l'identité numérique, en 2014, il semblerait qu'il y a eu quand même une
faille de données assez importante.
M. Fernandez (José) : Je ne
suis pas au courant de cette faille de données là.
Mme Rizqy : D'accord. Et est-ce que vous êtes au courant de
comment fonctionne la journalisation dans le secteur bancaire?
M. Fernandez
(José) : La journalisation,
bien sûr, il s'agit de... Bon, que ce soit dans le secteur bancaire ou dans les
systèmes informatiques, la journalisation, c'est tout simplement la pratique
d'enregistrer les transactions de façon informatique, si on parle au niveau du système informatique, de les
enregistrer sur des serveurs dans ce qu'on appelle un journal, oui.
Mme Rizqy : Moi, il n'y a
pas... Quand j'étais un peu plus jeune — eh oui, j'ai déjà été un peu
plus jeune — je
travaillais dans une banque, et, dès lors qu'un membre de mon équipe rentrait
dans un dossier qu'il n'avait pas le droit de
rentrer, on avait quand même une alerte. On pouvait savoir qu'effectivement telle personne, malgré qu'il n'y a pas eu d'appel, qu'il n'y a pas eu de courriel, aucune
demande du client... la personne était entrée dans le dossier et, rapidement,
on pouvait le savoir et rencontrer
l'employé en question, lui poser certaines questions, et probablement le mettre sous enquête, et
même, des fois, conduire à un congédiement. Croyez-vous que la journalisation
est quand même assez importante dans les institutions
financières, notamment après avoir entendu l'ABC, qui disait que c'est quand
même une pratique très courante dans le secteur des banques canadiennes qui
sont régies par l'ABC?
• (17 h 50) •
M. Fernandez
(José) : Oui. Je ne vais pas
faire de commentaire... Enfin, comment dire? De façon générale, quel que
soit le secteur industriel, que ce soit le secteur bancaire ou un autre, la
journalisation est une bonne idée. Ça fait partie
des bonnes pratiques de la sécurité informatique. Et je vous dirais plus, que,
justement... La loi Sarbanes-Oxley, aux États-Unis, qui était sur la protection
de l'intégrité des états financiers de compagnies cotées en bourse, faisait
était que, justement, il fallait déployer des mesures, y compris la
journalisation, pour s'assurer qu'il
n'y ait pas manipulation de ces
données-là. Donc, oui, la journalisation est une bonne pratique, est une
pratique standard en sécurité informatique.
Mme Rizqy :
O.K. Alors, une institution financière qui collecte quand même beaucoup d'informations
et de données... Lorsqu'un
employé est mis sur un programme, par
exemple, de fidélisation de clients
et qu'il a accès à presque tous les
clients, mais qu'il n'a pas été mis sous un effet de journalisation, est-ce que
ça, ça peut conduire à une plus grande brèche informatique?
M. Fernandez
(José) : Répétez la question. Je veux juste... que je comprends bien.
Mme Rizqy : Si vous mettez un employé en charge d'un programme
assez important puis qu'il a accès à tous les clients, tout le monde, peu importent les comptes, cette personne-là, tout à coup, se
retrouve, là, avec les clés de la maison, est-ce que cette personne-là,
le premier réflexe, ça ne serait pas de la mettre dans un programme de
journalisation?
M. Fernandez (José) : Ouf! Les programmes de journalisation sont faits
au niveau des applications informatiques. On ne fait pas de programme de
journalisation pour une personne, O.K., différentes applications. Et, en fait,
je ne le sais pas, si vous avez une application Web, par exemple, pour faire une demande de crédit ou autre chose,
on va programmer, au niveau de
cette application-là, les transactions pour cette application-là.
Mme Rizqy :
...souvent travailler avec un ordinateur de l'employeur, non?
M. Fernandez (José) : Mais ce que je suis en train de vous dire, c'est
qu'il est extrêmement difficile de faire un journal de toutes les activités de tous les
ordinateurs, de toutes les applications, surtout dans une très, très
grande organisation. Alors, c'est très difficile de faire un journal
pour toutes les activités. En général, les journaux sont un par application, un pour telle base de données, un pour telle page Web. Et, justement, un des problèmes technologiques
importants, qui est, en fait, un problème de recherche aussi,
d'innovation, c'est comment centraliser tous ces journaux-là.
Mme Rizqy :
Si vous me permettez, puisque le temps file et que je dois aller dans un débat
de fin de séance, je vais y aller
rapidement. Je ne vous parle pas de tout le monde. Je vous parle de quelqu'un
qui confie la clé de la maison puis
qu'on lui dit : Vous avez accès à tout le monde, à tous nos clients. Cette
personne-là, habituellement, on va s'assurer de faire un suivi très
étroit, non?
M. Fernandez (José) : Écoutez, il y a ici deux aspects. Là, si vous me
posez une question sur quelles devraient être les pratiques en termes de
sécurité du personnel et de vigilance des personnes, ça, ce n'est pas mon
domaine, demandez à un ex-policier.
Mais, si vous me demandez quelles sont les mesures qui sont mises en place
pour surveiller des systèmes informatiques, je vais vous donner la même
réponse. En général, cette surveillance-là, elle est faite par application.
Alors, si le monsieur théorique que vous
disez avait accès à une application critique, et cette application critique là,
parce qu'elle est critique, n'est pas journalisée, ça, ce n'est pas très
bon. Si cette application-là est critique et journalisée, oui, mais est-ce que ça veut dire que toutes les
applications sont enregistrées ou journalisées? Ça, ce n'est pas nécessairement
le cas.
Le Président
(M. Simard) : M. le député de Robert-Baldwin.
M. Leitão :
Très bien. Merci beaucoup.
Le Président
(M. Simard) : Il vous reste deux minutes, cher collègue.
M. Leitão :
Eh bien, merci, M. le Président. Votre générosité s'est arrêtée là.
Écoutez,
on va y aller rapidement. Vous avez mentionné qu'en ce qui concerne les fuites
de données il y a essentiellement deux sources, la source extérieure,
externe, et la source intérieure. Moi, j'ai une théorie, mais je n'ai pas les moyens de la prouver ou pas, mais j'ai
l'impression... Pas une théorie. J'ai l'impression que les institutions
financières en général ont mis et mettent beaucoup de ressources sur la
détection des menaces extérieures. Donc, tout ce qui est cybersécurité, ils
mettent de plus en plus de systèmes et de mécanismes de détection, et on met
beaucoup de ressources financières pour contrer ces menaces externes, et que
peut-être les menaces internes, les moyens de détection de ces menaces internes n'ont pas nécessairement... ne se
sont pas améliorées au même rythme que les mesures de détection des
menaces externes. Pensez-vous que c'est une impression qui peut se tenir?
M. Fernandez (José) : Oui, et une des raisons pour ça, c'est que, pour
pouvoir détecter l'intention de quelqu'un de faire quelque chose, il faut regarder des données autres que juste
les transactions de journal dont parlait votre collègue Mme la députée. Il faut regarder potentiellement
d'autres informations pour que ce soit efficace. Il faut regarder les e-mails,
il faut regarder sur quels sites Web ils sont allés, O.K.? Et c'est là
qu'effectivement il y a des techniques d'intelligence artificielle qui peuvent dire : Ah! cette personne-là, peut-être
qu'elle n'est pas contente avec son travail et peut-être qu'elle va
faire quelque chose de mauvais. Et la problématique avec ça, c'est une
problématique éthique très importante.
Donc,
théoriquement, c'est possible. Est-ce qu'on veut vraiment le faire? Et, si on
veut le faire, il faudrait que ce soit encadré, parce qu'il y a un
revers très important en termes de protection de la vie privée.
M. Leitão :
Très rapidement... M. le Président, vous êtes distrait.
Le Président (M. Simard) : Cher
collègue...
M. Leitão :
Vous êtes distrait. Donc, vous êtes... Je me permets d'y aller rapidement.
Le Président (M. Simard) : ...
M. Leitão : Hein, pardon?
Le Président (M. Simard) : Je
suis distrait pour 10 secondes.
M. Leitão : Juste pour
mentionner peut-être quelque chose qui pourrait être intéressant, c'est que
les...
Le Président (M. Simard) : Très
bien. Merci beaucoup, M. le député. M. le député de Gouin, à vous la parole.
M. Nadeau-Dubois :
Moi, je suis plus habitué que mon collègue à faire avec peu de temps. Ce n'est
pas une qualité, hein, c'est de la nécessité.
D'abord, un
bref retour sur cette fameuse question, là, d'apparence de conflit d'intérêts.
Je veux prendre le temps de dire ici,
au micro, à quel point c'est regrettable, cette situation-là. Et je veux dire
que c'est surtout regrettable que vous en
soyez l'objet personnellement puis qu'il y ait une controverse médiatique
autour de ça, alors que, dans les faits, vous êtes surtout une victime
collatérale de la manière que le gouvernement a décidé de travailler,
c'est-à-dire extrêmement rapidement et de
manière cavalière, avec les oppositions. Si on avait eu le temps de travailler
ce mandat d'initiative de manière transpartisane,
en prenant le temps de faire les choses, on aurait pu se constituer un bassin
d'experts beaucoup plus large, et la
situation fâcheuse dans laquelle vous vous trouvez aujourd'hui ne se serait pas
produite. Je pense que c'est important de le mentionner d'emblée.
Maintenant,
sur le fond, qu'est-ce que les institutions financières au Québec, au Canada
devraient faire de mieux pour éviter les situations comme on a vécu chez
Desjardins?
M. Fernandez
(José) : En ce qui concerne
la prévention de cet incident, et je vais faire l'hypothèse non vérifiée
que c'est vraiment un «insider threat»,
écoutez, effectivement, il y a l'analyse à faire, O.K.? Il y a des options
technologiques qui sont
potentiellement intrusives. Il y a peut-être des... Je pense que tous sont
conscients, toutes les banques sont conscientes que ça aurait pu leur arriver. Donc, elles sont toutes préoccupées puis
elles sont en train de regarder leurs procédures internes pour voir si
on peut faire mieux.
Ce que je trouve... Et ça, c'est important, mais
je pense qu'ultimement la façon plus efficace et peut-être plus intéressante
pour la société de minimiser les risques... Oui, on peut regarder les banques
et les tenir responsables si elles ont fait
des erreurs graves. Mais je pense que c'est à nous aussi de nous organiser et
dire : Bien, comment est-ce qu'on peut faire pour que, si ça arrive, les
conséquences soient minimales, là? Et je reviens encore sur mon discours d'une
société où est-ce qu'on a une identification numérique, où le vol de données de
la banque ne serait pas si grave que ça.
M. Nadeau-Dubois :
Vous avez parlé des bénéfices économiques d'une telle mesure, j'imagine, pour
les entreprises elles-mêmes. Pourquoi c'est bon pour les consommateurs,
cette mesure-là?
M. Fernandez
(José) : Bien, je reviens à
ma mère, à mon père. Mon père, qui est mourant, qui a le cancer, il a besoin
de faire des transactions pour pouvoir
renouveler sa carte de la RAMQ. Bien, il pourrait le faire de chez lui, sur son
lit de mort, pour pouvoir avoir ses médicaments, O.K.? Il n'aurait pas
besoin de se déplacer.
Le
Président (M. Simard) : Très bien. Merci beaucoup, M. le député
de Gouin. Je cède maintenant la parole au député de Jonquière.
M. Gaudreault : Oui. Je pense
que votre témoignage est un éloquent exemple des conséquences de l'identité numérique. Je veux vous entendre là-dessus,
spécifiquement sur la question de l'identité numérique. Est-ce que le Québec
est capable d'agir seul pour construire une identité numérique?
M. Fernandez
(José) : Oui, oui, parce
qu'essentiellement, au Canada, la question de l'identité étant seulement une
question provinciale, comment est-ce qu'on
prouve notre identité aujourd'hui? On n'a pas de carte d'identité canadienne.
On a soit un permis de conduire soit une carte de la RAMQ.
M. Gaudreault : C'est un
passeport.
M. Fernandez
(José) : Au niveau
international, mais le passeport est surtout utilisé pour les transactions internationales. Donc, je pense que, dans un
contexte canadien... En Europe, c'est surtout à un niveau national, ce sont...
parce qu'il y a un ministère de l'Intérieur, un corps policier national qui
émet des cartes d'identité. Dans un contexte canadien,
ce que je crois qui est plus raisonnable, c'est que ce soit vraiment à un
niveau provincial que ce soit pris étant donné qu'on a déjà l'infrastructure, on a déjà les procédés pour émettre
un permis de conduire ou une carte de la SAAQ.
M.
Gaudreault : Donc, vous pensez qu'on a tout ce qu'il faut en termes de
droit civil, de compétence... parce que cette identité numérique pourrait-elle être applicable sur les banques,
considérant que les banques sont de compétence fédérale?
M. Fernandez
(José) : C'est une très
bonne question. Je ne suis pas un expert en droit, mais je pense qu'en termes
d'infrastructures, en termes de procédés, 90 % du travail est déjà fait
parce qu'on a des fonctionnaires, on a déjà des procédés pour... Si j'ai besoin d'une nouvelle carte de la RAMQ, un
nouveau... cette partie-là, administrative, qui est une grande partie du
coût, elle est déjà mise en place.
• (18 heures) •
M. Gaudreault :
O.K. Moi, je veux aussi quand même faire une référence, là, à votre présence et
à votre chaire, qui est supportée par
Desjardins, et je voudrais juste préciser quand même... parce que le député de
Richelieu, tout à l'heure, faisait référence au fait qu'on avait
consenti à votre présence. C'est vrai. Mais, en ce qui nous concerne, on en avait
demandé quatre, autres experts, pas parce
qu'on n'a pas confiance en vous et pas parce qu'on n'aime pas ce que vous
dites, mais, comme dans plein de situations,
plein de mandats d'initiative ou de commissions
parlementaires de ce type, on peut
avoir plusieurs experts comme vous. Mais d'autres institutions, par exemple, le
Centre d'études en droit économique, l'UQAM,
Michel Carlos, spécialiste dans la lutte contre la fraude, M. Waterhouse,
expert en sécurité informatique, ça aurait permis d'aller encore plus
loin à partir de vos interventions. Mais le gouvernement a refusé. Donc, on
est...
M. Fernandez (José) : Mais, si
je me permets...
Le Président (M. Simard) : En
conclusion.
M. Fernandez
(José) : Si vous permettez,
je pense qu'aucun de ces collègues-là, et j'en connais plusieurs,
même n'étant pas associé à un programme de recherche de Desjardins, ne se serait prononcé
aujourd'hui pour la simple raison qu'on ne connaît pas
les faits. Donc, je suis désolé de la situation qui a été causée. Mais, honnêtement,
vous auriez fait venir Steve Waterhouse, Éric Parent, Claude Vigeant, ils n'ont
pas les faits.
Le
Président (M. Simard) :
Merci beaucoup. Merci. Alors, Pr Fernandez, merci, pour votre contribution à nos travaux.
Sur ce, j'ajourne...
M. Leitão : ...
Le Président (M. Simard) : Oui?
Oui, monsieur... Un instant, s'il vous plaît, cher collègue.
M. Leitão : Avant l'ajournement,
j'aimerais...
Le Président (M. Simard) : Bon,
s'il vous plaît, collègue, attendez-moi une seconde.
Des voix : ...
Le
Président (M. Simard) : À l'ordre, s'il vous plaît! À
l'ordre, s'il vous plaît! Je vous
demanderais de reprendre vos places. Le député de Robert-Baldwin a
demandé la parole.
M. Leitão : M. le député de
Jonquière...
Le
Président (M. Simard) : Nous avons des questions d'intendance à
finaliser ensemble. Ce ne sera pas tellement long.
M. Leitão : Attendez,
M. Fernandez, attendez un peu.
Le
Président (M. Simard) :
D'accord. Alors, voilà, merci pour votre collaboration. M. le député de Robert-Baldwin.
M. Leitão : Merci. Alors, M. le Président, conformément à l'article 176 de notre règlement, je vous demande de
nous réunir en séance de travail mardi
prochain sur les heures réglementaires de nos travaux afin que notre commission
puisse déterminer les conclusions et les recommandations que nous
entendons formuler.
Le
Président (M. Simard) :
Très bien. Alors, j'entends votre demande de respecter l'article 176.
Nous allons faire les démarches
diligentes et requises pour que nous puissions trouver une date qui nous soit
commune à tous. Ça pourrait être celle-là
ou une autre. Mais il nous faudra, bien entendu, répondre aux exigences
formulées par l'article 176. Et, soit dit en passant, j'en profiterai... pour ceux qui le peuvent,
après l'ajournement de nos travaux, si vous pouviez rester pour qu'on
puisse voir les plages de disponibles à votre agenda.
Alors, sur
ce, merci pour votre excellente collaboration durant cette journée de travail. Et on se
retrouve le mardi 26 novembre, à 10 heures, où nous
poursuivrons un nouveau mandat. Bonne fin de soirée.
(Fin de la séance à 18 h 03)