(Neuf heures trois minutes)
Le
Président (M. Simard) :
Alors, bonjour à tous. Bon matin. Je constate que nous avons quorum. Je déclare
donc notre séance de travail ouverte.
Comme vous le savez, la commission est réunie
afin de poursuivre les consultations particulières et auditions publiques sur
le projet de loi n° 53, Loi sur les agents d'évaluation du crédit.
Bonjour, Mme la secrétaire, vous allez bien?
La Secrétaire : Bonjour, oui.
Le
Président (M. Simard) :
Dites-moi, y a-t-il... Tout le monde est suspendu à vos lèvres. Y a-t-il des
remplacements ce matin?
La Secrétaire : Oui, M. le
Président. Alors, M. Barrette (La Pinière) est remplacé par M. Fortin
(Pontiac) et M. Derraji (Nelligan) est remplacé par Mme Rizqy
(Saint-Laurent).
Audtions (suite)
Le
Président (M. Simard) :
Bien, bienvenue à nos nouveaux collègues. Alors, le programme pour cet avant-midi,
nous entendrons la Commission d'accès à l'information du Québec, dont les représentantes sont déjà parmi nous, et
que je salue, la Commission des droits de la personne et des droits
de la jeunesse, M. Michel
Carlos, spécialiste en lutte contre la fraude, et le Mouvement
Desjardins.
Mesdames, bonjour. Auriez-vous l'amabilité, pour
les fins de nos travaux, de vous présenter, s'il vous plaît?
Commission d'accès à
l'information (CAI)
Mme
Poitras (Diane) : Merci, M.
le Président. Diane Poitras,
présidente de la Commission d'accès à
l'information. Je suis accompagnée de Sophie Giroux-Blanchet,
Me Sophie Giroux-Blanchet, qui est secrétaire générale adjointe.
Le
Président (M. Simard) :
Mme Poitras, Mme Blanchet, bienvenue. Vous savez que vous disposez de
10 minutes.
Mme Poitras (Diane) :
Merci. Alors, d'abord, merci pour cette invitation.
Premier commentaire, la commission accueille
favorablement l'objectif du projet de loi n° 53 visant à mieux encadrer les pratiques commerciales et de gestion
des agents d'évaluation de crédit et à conférer aux citoyens de nouveaux
droits et recours concernant les renseignements personnels qui sont détenus par
ces entreprises.
Toutefois, elle est d'avis que certaines
dispositions pourraient être améliorées. C'est pourquoi elle formule dans son mémoire 13 recommandations qui
portent sur trois aspects : la portée du projet de loi, la simplification
des recours, et elle formule quelques
propositions visant à bonifier certains droits et à assurer la cohérence avec
d'autres lois, notamment la
législation prépondérante en matière de protection des renseignements
personnels. Je vais insister sur certaines de ces recommandations et je
vous réfère à notre mémoire pour l'ensemble de nos commentaires.
Avant
d'aborder ces éléments, c'est important de rappeler que la législation actuelle
en matière de protection des renseignements personnels confère déjà certains
droits au citoyen. Par exemple, il bénéficie d'un droit d'accès à ses renseignements personnels et de rectification de
ceux-ci. Il peut s'adresser à la commission en cas de mésentente sur ses
questions ou en l'absence de réponse de l'entreprise. L'exercice de ses droits
est gratuit.
Pour leur
part, les entreprises doivent déjà respecter plusieurs obligations visant à
assurer la protection des renseignements
personnels qu'elles détiennent. Vu la nature de leurs activités liées au
commerce de renseignements personnels,
la Loi sur la protection des renseignements personnels dans le secteur
privé impose aussi des obligations supplémentaires aux agents de renseignements
personnels, dont font partie les agents d'évaluation du crédit.
Entre autres,
ils doivent s'inscrire auprès de la commission, qui tient un registre public de
ces entreprises. Ils doivent aussi
établir et appliquer des modalités d'opération pour garantir l'exactitude des
renseignements qu'ils communiquent et ils
doivent informer le public pour faciliter l'exercice de leurs droits d'accès et
de rectification. La commission surveille depuis plusieurs années le respect de ces obligations. Il importe donc
de tenir compte de ce régime général dans l'analyse du projet de loi.
Voyons
maintenant quelques-unes des propositions de la commission, qui visent
justement à le bonifier. Afin de garantir
au citoyen la possibilité d'exercer ses droits auprès de tout agent
d'évaluation de crédit, la commission
recommande d'étendre la portée du projet de loi à tous ces agents, peu
importe le volume de leurs activités avec les institutions financières. Bien que celles-ci soient des clients importants des agents d'évaluation du crédit, ces derniers fournissent aussi des rapports de crédit à d'autres entreprises, comme des
fournisseurs de téléphonie mobile ou divers commerçants. Les citoyens devraient pouvoir exercer leurs droits et
bénéficier des protections prévues au projet
de loi auprès de tous les agents d'évaluation de crédit et dans tous les contextes d'utilisation des renseignements qu'ils détiennent ou produisent.
Dans
cette optique, nous recommandons également d'étendre la portée de certaines dispositions du projet de loi qui prévoient ne s'appliquer qu'à des institutions financières ou à des activités qui y sont liées. Par exemple, le gel de crédit devrait s'appliquer à toute communication de renseignements
liée au crédit, peu importe l'utilisation envisagée des renseignements. Puisque son objectif est d'ajouter une
protection pour le citoyen, notamment en cas de vol ou de fraude à l'identité,
il devrait avoir une application la plus large possible.
Toujours
sur la portée de la loi, la commission suggère de remplacer la notion de dossier, qui
est utilisée dans le projet de loi, par celle de renseignements personnels liés
au crédit. Ce changement permettrait d'éviter que des agents prétendent que certaines obligations
ou certains droits prévus par le projet
de loi ne s'appliquent pas parce qu'un
renseignement ne fait pas
partie du dossier.
En effet,
nous avons constaté, par exemple, que les agents soutiennent que le pointage de
crédit ne fait pas partie du dossier, et donc n'est pas soumis au droit d'accès
gratuit prévu par la loi actuelle. Cette approche serait cohérente aussi
avec celle retenue dans le projet de loi n° 64, qui propose de retirer la notion du dossier de
la loi sur le privé. Cette proposition donne suite à une recommandation du dernier rapport quinquennal de la commission, qui a constaté justement que la notion de dossier n'était pas adaptée au
contexte numérique et pouvait être utilisée pour tenter d'échapper à
certaines obligations de la loi.
Aussi,
bien que la commission salue la volonté de confirmer le droit d'accès à
la cote de crédit, cette expression et la définition prévue au projet de
loi risquent peut-être de ne pas atteindre cet objectif. En effet, telles que
définies à l'article 14 du projet de
loi, elles pourraient ne pas viser le pointage de crédit, ce score de trois
chiffres qui nous semble être davantage le renseignement auquel on
souhaite affirmer l'accès.
Le second thème que
la commission souhaite aborder est la simplification des recours au projet de
loi. Nous saluons la volonté de garantir des moyens d'action aux citoyens qui
doivent faire respecter leurs droits. Cependant, l'approche retenue nous semble
complexe et susceptible de créer la confusion quant à la computation des délais
et à l'application de sa loi, sans compter les possibles problèmes de
cohérence.
En effet, le projet
de loi prévoit des recours auprès de l'agent d'évaluation du crédit, de la
commission et de l'Autorité des marchés
financiers. Dans certains cas, un citoyen pourrait exercer simultanément, selon
notre compréhension, un même recours
auprès de plusieurs organismes. Le texte laisse aussi entrevoir une ambiguïté
quant à l'organisme auquel un citoyen
doit s'adresser dans certaines situations, comme par exemple en cas d'absence
de réponse de la part d'un agent ou d'un litige relatif aux frais.
Il
nous semble plus simple de prévoir qu'en cas d'échec du mécanisme de plainte
auprès de l'agent d'évaluation du
crédit la suite des démarches s'effectue uniquement auprès de la commission,
quel que soit le motif de contestation. La commission examine déjà, depuis plusieurs années, des dossiers de
mésentente impliquant des citoyens et des agents d'évaluation de crédit. Elle offre un service de médiation dans tous les
dossiers qui lui sont soumis, lequel a un très bon taux de succès. La procédure et les délais pour
exercer ces recours sont déjà prévus dans la loi qu'elle est chargée
d'appliquer.
• (9 h 10) •
Je vais aborder
maintenant quelques éléments de notre troisième catégorie de recommandations.
Alors,
le projet de loi pourrait être bonifié à d'autres égards, notamment au chapitre
des explications relatives à la cote
et au pointage de crédit. En effet, ces renseignements influencent des
décisions importantes qui affectent le quotidien des citoyens. Afin de
favoriser la compréhension de ces renseignements, la commission recommande de
préciser l'obligation d'explication qui est
prévue au projet de loi. Celle-ci devrait inclure les principaux facteurs,
paramètres et les renseignements personnels pris en compte pour le
calcul de ces renseignements. Nous considérons qu'il est possible de fournir ces éléments sans révéler de secret
commercial. Il importe de trouver un équilibre entre la compétitivité d'une
entreprise et le droit d'une personne d'avoir
accès à un renseignement qui la concerne et est utilisé pour prendre
d'importantes décisions à son sujet.
Autre
sujet de préoccupation de la commission, la gratuité des droits. Actuellement,
la loi sur le privé prévoit que l'accès
aux renseignements détenus par un agent peut se faire gratuitement, en personne
ou par téléphone. Une transcription ou
une copie du dossier peut aussi être transmise par la poste ou par messagerie,
moyennant des frais raisonnables pour la
transcription, reproduction ou communication de... transmission par la poste
des renseignements. La loi ne prévoit rien quant à d'autres moyens
d'accès à distance, par exemple par voie électronique.
Les
agents d'évaluation de crédit demandent donc généralement des frais pour un
accès à distance, notamment en l'intégrant
à un forfait de services. Selon nous, il faut prévoir la gratuité de cette
autre forme d'accès à distance. Le gel et l'alerte de sécurité devraient aussi être gratuits. Un citoyen ne
devrait pas avoir à assumer des frais associés à une situation résultant d'un vol d'identité dont il subit déjà
des conséquences importantes. La loi américaine prévoit d'ailleurs que le
gel de crédit peut être mis en place gratuitement.
Quelques mots
maintenant au sujet de la note explicative introduite par le projet de loi, c'est
le droit de demander à un agent d'évaluation
de crédit d'intégrer une note à son dossier. Bien que l'intention soit louable,
ce droit, tel que libellé au projet
de loi, nous apparaît plus limitatif que celui qui est déjà prévu par le Code
civil, qui permet à tout citoyen de faire inclure un commentaire à son
dossier.
En
effet, la note explicative est sujette au paiement de frais raisonnables. Elle
est limitée quant à sa longueur et à d'autres paramètres. Elle ne peut aussi
concerner que l'existence d'une mésentente entre un citoyen et l'agent
d'évaluation de crédit, alors que le litige quant à l'exactitude d'une
information implique souvent un tiers, comme une institution financière ou un
commerçant.
En
comparaison, l'ajout d'un commentaire,
tel que prévu actuellement par le Code civil, est gratuit, n'est pas limité
dans sa longueur ni dans sa nature. Il peut déjà faire l'objet d'un recours à
la commission. La commission s'interroge donc sur la pertinence de l'ajout du droit à la note explicative au projet de
loi. Elle craint que cet ajout diminue, dans les faits, les droits
actuels des citoyens en cette matière.
Concernant l'exactitude des renseignements, la
législation actuelle prévoit que tout agent de renseignement personnel doit établir et appliquer des modalités
d'opération propres à garantir que les renseignements qu'il communique
sont à jour et exacts. De même, un citoyen peut demander que son dossier soit
rectifié. La commission recommande qu'une sanction spécifique soit prévue en
cas de non-respect de cette obligation. Celle-ci devrait tenir compte des conséquences importantes pour le citoyen lorsque
des informations inexactes servent à prendre des décisions à son sujet.
Finalement,
la commission propose que la durée de conservation de ces renseignements par
les agents d'évaluation de crédit soit mieux encadrée par la loi.
Je vous
remercie de votre attention et il me fera plaisir de répondre à vos questions
et d'échanger avec vous au cours des prochaines minutes.
Le
Président (M. Simard) : Merci à vous, chère madame. Alors, avant
d'entreprendre nos échanges, simplement demander votre consentement, puisque nous avons commencé deux minutes en
retard, il se pourrait que nous puissions finir deux minutes plus tard
si on ne rattrape pas d'ici là notre retard. Consentement.
Maintenant,
le ministre, hier, a proposé de retrancher trois minutes du
temps imparti à la partie gouvernementale afin de le partager à parts égales
entre Québec solidaire et le Parti québécois dans nos échanges, je comprends,
avec l'approbation, bien sûr, de l'opposition officielle, et je comprends qu'il y a toujours
consentement pour que nous puissions procéder de cette manière. Alors,
voilà, merci beaucoup pour ces précisions. M. le ministre.
M. Girard
(Groulx) : Lors de l'épisode
qui nous a amenés ici, plusieurs millions de personnes ont eu leurs données
compromises. Combien avez-vous eu de
plaintes? Et comment, d'une façon qualitative... comment évaluez-vous le
service qui a été offert par les agents d'évaluation de crédit?
Mme
Poitras (Diane) : En fait,
je ne pourrais pas vous dire le nombre de plaintes qu'on a reçues. Je sais
qu'on en a reçu énormément. Comme vous le savez, il y a une enquête qui
est en cours. Donc, pour nous, à partir du moment qu'il y a une enquête en cours, on fait simplement répondre : Oui,
l'enquête est déjà en cours. Alors, malheureusement, je
n'ai pas cette information. Je pourrais vérifier si on a cette information et
vous revenir. Et effectivement notre rôle n'est pas d'évaluer la qualité du
service qui a été offert par les agences d'évaluation de crédit ou Desjardins
par la suite, si ce n'est de voir...
Il faudra voir si... Je ne veux pas entrer dans l'enquête, là, mais évidemment
l'enquête pourrait aborder certains
éléments notamment quant à comment Desjardins a traité... quelles
mesures Desjardins a prises pour minimiser l'impact de l'incident.
M. Girard
(Groulx) : Excusez-moi, mais
moi, je ne suis pas dans l'enquête, là. Il y a eu vol de données, O.K., et
il y a enquête. Après ça, Desjardins paie Equifax pour offrir un service aux citoyens
victimes de vol de données. Je vous demande si, qualitativement, vous
pouvez me donner votre appréciation du service qui a été offert aux citoyens.
Mme
Poitras (Diane) : En fait,
non, je ne suis pas... Sur la... En ce moment, non. Et est-ce que l'enquête
abordera cette question? Je ne peux pas vous... Vous comprendrez que je
ne veux pas rentrer dans les détails.
M. Girard
(Groulx) : O.K.
Vous suggérez que toutes les plaintes soient canalisées vers la CAI. Par
contre, c'est l'AMF qui sera responsable d'émettre des lignes directrices au
niveau des pratiques commerciales et des pratiques de gestion de ces agences. Alors, pourquoi
l'AMF ne serait pas en mesure de répondre aux plaintes qui concerneraient
les pratiques de gestion et commerciales?
Mme
Poitras (Diane) : En fait,
on ne remet pas en question l'expertise ou la compétence de l'AMF. Ce n'est pas
du tout l'objectif de notre propos. Ce qu'on vise, c'est à
simplifier les recours pour le citoyen. Et ce que je comprends du projet de loi, c'est que l'AMF pourrait justement enquêter et mettre des lignes
directrices sur, par exemple,
le processus de plainte qui serait mis en
place au sein de chaque agent d'évaluation de crédit, pourrait s'assurer de
saines pratiques de gestion commerciale quant à la qualité des services
offerts, par exemple.
Mais, quand
un citoyen a un litige avec un agent d'évaluation de crédit
et veut exercer un recours, nous soumettons respectueusement que, comme la
commission a déjà en place tout ce qu'il faut et qu'ultimement elle pourrait avoir
à trancher le litige... nous soumettons
qu'il serait plus simple de tout de suite permettre à la commission... envoyer
le citoyen à la commission, et
nous offrons le service de médiation, qui est proposé aussi.
Je vous donne
un exemple simple. Le citoyen qui s'adresse chez nous, quand il fait une demande
d'accès, il va dire : Je veux une demande... je veux accès à mon dossier
de crédit, pardon, je veux accès à mon dossier de crédit. Pour lui, dans
sa tête, il ne fait pas la
distinction : est-ce que c'est vrai que la cote, elle fait partie du
dossier ou non? Lui, il veut savoir tout
ce qu'il y a dans son dossier, à qui il a été communiqué, qu'est-ce qui a été
communiqué, qui a eu accès à son dossier. Quand il dit : Je veux
avoir accès à mon dossier, dans la tête du citoyen, c'est ce qu'il veut. Or, il
aurait un droit d'accès en vertu de la législation actuelle, et il a un recours
chez nous, et, si on dit, dans la loi sur... dans le projet de loi n° 53, qu'il y a... on fait un droit spécifique pour la cote de
crédit, avec d'autres recours, il pourrait se retrouver, pour une même
demande, à faire un recours à deux endroits différents. C'est ce qu'on veut
essayer d'éviter.
Le
Président (M. Simard) : M. le ministre.
M. Girard
(Groulx) : Je vais passer la parole à mon collègue de Saint-Jérôme.
Le Président (M.
Simard) : Oui, M. le député.
M. Chassin : Peut-être pour poursuivre... Bienvenue, mesdames, d'abord. Merci d'être
là. Pour poursuivre dans la même
lignée, à défaut d'avoir... parce que, dans le fond, je comprends, là, il y
aurait comme une espèce de guichet unique, qui serait la Commission d'accès
à l'information, pour les individus. À
défaut de le préciser dans la loi, est-ce que l'éventualité, par exemple, de conclure une entente avec l'AMF pourrait
être une option pour vous? Eux nous ont déjà exprimé hier qu'ils étaient
intéressés par ça.
Mme
Poitras (Diane) : Bien, en fait, pour nous, ce qui nous semble
important, c'est que ce soit clair pour le citoyen.
Si la loi prévoit qu'il peut s'adresser à deux endroits ou même d'abord à
l'agent d'évaluation de crédit, ensuite deux endroits, et on ne sait pas... Si la loi dit : Pour un recours
en particulier, c'est l'AMF, je ne pense pas qu'on pourrait conclure une
entente qui dit que, non, vous vous adresserez à la commission, là. La
commission est évidemment ouverte à essayer de...
Je
pense que, de toute façon, on va avoir à coordonner nos efforts avec l'AMF,
puisqu'ils seraient responsables de
faire enquête et d'émettre des lignes directrices, peut-être, sur des
situations concernant les pratiques commerciales et les pratiques de gestion. Ça, on ne remet pas ça en question. C'est
simplement, pour le recours au citoyen, on se dit : Il existe déjà un
recours gratuit. On a déjà plusieurs dossiers avec les agents d'évaluation de
crédit. On a tout ce qu'il faut en place.
Il me semble que ce serait... Puis, si, ultimement, c'est nous qui pouvons
rendre les décisions là-dessus, aussi bien, dès le départ, offrir un
seul recours au citoyen.
• (9 h 20) •
M. Chassin : Je comprends. Évidemment, c'est ça, il peut y avoir des dossiers plus
complexes. Peu importe où le dossier arrive, effectivement, je pense qu'il faut
que ce soit traité sans qu'on ait à référer le citoyen ou l'entreprise
ou l'organisme.
Je voudrais peut-être
quand même soulever un point, puis je ne suis pas expert, peut-être que la
députée de Saint-Laurent, là, pourra préciser des choses, mais ce que j'ai cru
comprendre, c'est qu'en matière de recyclage des produits de la criminalité puis de financement des activités terroristes
il y avait effectivement un besoin de vérifier l'identité de certaines personnes et que l'accès aux dossiers
de crédit faisait partie de ces procédures de vérification d'identité
parfois. Et donc j'imagine que voilà un cas, là, extrême où on peut tous
s'entendre que, même avec un gel sur le dossier de crédit, on ne souhaiterait pas, par exemple, qu'une institution financière ne puisse pas vérifier l'identité d'une personne dans
ce cadre particulier. Donc, quand vous parliez, là, par exemple, de ne pas communiquer dans aucun cas le dossier s'il y a
un gel, est-ce qu'on peut s'entendre qu'à tout le moins il y a
un cas sur lequel peut-être qu'il faudrait laisser la possibilité de
vérifier l'identité?
Mme
Poitras (Diane) : Oui, en fait, puis on peut peut-être penser à
deux ou trois situations. Je pense qu'à ce moment-là ce serait plus de le poser
en principe et de prévoir spécifiquement dans la loi les situations, les
exceptions à cette communication, plutôt que l'inverse, de restreindre la communication. Comme on a dit, l'objectif, c'est d'avoir la portée la plus large
possible à cette protection.
M. Chassin : O.K. Encore
une fois, en termes de précisions
dans la loi, parce que vous comprendrez que ça ne fait pas tout
à fait deux ans que je suis député,
donc j'apprends encore les différents outils, les différents véhicules pour
légiférer, mettre dans la loi des
précisions, c'est parfois assez rigide. Dans ce cas-ci, on donne à, justement,
l'Autorité des marchés financiers la possibilité d'exprimer ses attentes, d'avoir des directives
sur un certain nombre de pratiques pour
les agents d'évaluation de crédit, notamment en termes, par exemple, d'explications fournies. Au lieu de préciser quelles
explications devraient être fournies par les agents d'évaluation dans la loi, est-ce qu'on ne peut pas compter sur l'Autorité
des marchés financiers pour définir de
bonnes pratiques en la matière quand on veut communiquer une information pertinente, utile, pédagogique,
à des individus, des consommateurs?
Mme Poitras (Diane) : Sur cet aspect-là, c'est le résultat qui compte,
je vous dirais, effectivement. Je pense que ce qu'il faut retenir de notre commentaire, c'est qu'il ne faut toutefois pas laisser aux agents le soin de
déterminer quelles informations ils vont communiquer. On sait, par expérience, qu'ils sont très
jaloux, qu'ils considèrent que c'est un
secret commercial. Or, juste dans les audiences chez nous, quand les témoins
d'Equifax ou TransUnion expliquent ce
qu'est le pointage ou cote de crédit, on sait qu'il y a une certaine confusion
quant à la nomenclature. Ils vont quand
même
assez loin dans les explications. Et, pour nous, ce serait donner ces explications-là, mais sans qu'on ait à chercher ou sans qu'on ait à demander, ça suffirait, là. Alors, comme on dit, je
pense qu'on peut trouver l'équilibre, puis l'important, c'est le résultat.
M.
Chassin : C'est ça. On n'a pas besoin
d'une explication complète de l'algorithme, mais, c'est ça, les...
Mme
Poitras (Diane) : Non, non, on ne veut pas...
M. Chassin :
Juste pour être certain, combien me reste-t-il de temps?
Le
Président (M. Simard) : Trois minutes.
M. Chassin : O.K. Alors, à ce moment-là, j'ai quand même le temps d'aborder... parce
que, quand vous parlez du score de crédit versus la définition de la cote dans
le projet de loi, bien, il y a un enjeu. Il y a différentes cotes que
chaque agence calcule selon différents
paramètres et différentes pondérations. Puis là je voudrais être certain de
voir si, de votre côté, vous avez une idée précise de ce qui est le plus
pertinent pour... en termes de transmission. On a tenté une définition, dans le projet
de loi, qui me semble compréhensible.
Est-ce que, de votre côté... Compte
tenu peut-être de la complexité
de l'enjeu, est-ce que vous avez une idée plus précise? Et, dans ce cas-là, la
définition prendrait quelle forme?
Mme Poitras (Diane) : En fait, je
pense qu'on a même une définition
dans l'Office de la langue française, parce que, dans le...
M.
Chassin : Dans le mémoire?
Mme
Poitras (Diane) : Non, dans notre mémoire, on n'a pas de
définition, là, mais la difficulté qu'on voit avec l'article 14 du projet
de loi, c'est qu'on dit que la cote de crédit en est une qui est généralement
communiquée aux prêteurs d'une somme d'argent
qui en font la demande. On ne qualifie pas c'est quoi. Il existe, tu sais, les
cotes R1, 2, 3, 9, I, etc., qui peuvent
qualifier chacune des créances, mais il y a aussi l'espèce de score de trois
chiffres qui est plus global, calculé... Comme vous l'avez mentionné, je
pense que c'est ça qu'on veut rendre... qu'on vise ici quand on parle de cote de crédit. Moi, je pense qu'il faut définir ce
que c'est, genre, référer au fait que c'est un calcul ou que c'est un renseignement produit qui vise
à... Je ne sais pas, là, mais ça, ça peut être n'importe quoi. Il y a plusieurs renseignements qui sont fournis à des institutions financières. On trouvait que c'était un peu large. On croit qu'on peut
être plus précis, puis on pourrait notamment se référer, par exemple, à la définition
de l'Office de la langue française. C'est une option, mais ça peut être
d'autres.
Le Président (M.
Simard) : Merci. M. le député de Saint-Jérôme.
M.
Chassin : Est-ce que... Puis c'est une question
par rapport au commentaire versus la note explicative. Je comprends que le commentaire
est gratuit, n'est pas limité ni en termes de pourquoi il est là ni de sa
longueur, mais justement est-ce
que... Puis là, déjà, la
note explicative... On comprend qu'il
y ait présence de note explicative et
que, par exemple, un prêteur
lise la note explicative. Ce n'est pas automatique, là. Il faut qu'il en fasse
la demande. Ça fait qu'est-ce qu'on
veut s'assurer, dans le fond, que la note explicative soit particulièrement pertinente au prêteur pour qu'il en fasse la demande.
Dans
ce cas-là, on le restreint justement à une mésentente, et puis, évidemment,
s'il y a mésentente avec l'agent d'évaluation de crédit, c'est souvent, j'imagine,
parce que l'agent d'évaluation de crédit dit : Bien, nous, on a, par exemple, un créancier qui nous dit x. Le client, dans le fond, lui, il a une
autre version. S'il y a mésentente, c'est parce que l'agent d'évaluation de crédit n'a pas changé
son dossier tel qu'il le voulait. Ça fait que, peu importe, là, qu'il y ait
une tierce partie avec laquelle, finalement,
par exemple, le client a une mésentente, sa note explicative va quand même
être justifiée, je pense, par rapport à une
mésentente avec l'agent d'évaluation. Moi, ça, ça ne me trouble pas, mais, à
tout le moins, parce qu'on le restreint, puis c'est ça, mon point, c'est
que ça le rend pertinent.
Le Président
(M. Simard) : Merci, M. le député.
M. Chassin :
Ah oui, ça y est, c'est fini?
Le Président
(M. Simard) : Bien oui.
M. Chassin :
Bon, désolé, je déborde.
Le Président
(M. Simard) : Ce fut fort agréable, mais c'est terminé. M. le
député de Pontiac.
M. Fortin :
Oui, merci. Bonjour, mesdames. Merci d'être avec nous. Si vous avez une réponse
au député de Saint-Jérôme, ça va, là, vous pouvez y aller.
Mme Poitras (Diane) : En fait, je pense, c'est que... Premièrement, c'est que ça requiert qu'il y ait mésentente, donc, qu'il y ait un recours déjà intenté. Peut-être
qu'on peut avoir... on veut préciser aussi certaines informations. Il y a des
commentaires qui sont mis, qui ne sont pas juste pour souligner une mésentente
mais pour expliquer un contexte. Le
citoyen veut parfois expliquer pourquoi il a payé en retard, pendant une
certaine période, ses dettes. Donc, dans ce contexte-là, on la trouve limitative. Mais, moi, ce que je vous dirais
comme commentaire général, pour ne pas prendre trop de votre temps, si
on pense qu'il y a quelque chose à ajouter, j'inviterais le législateur à le
faire dans la loi, avec la Loi sur la
protection des renseignements personnels, qui prévoit déjà ce droit-là, pour le
bonifier plutôt que d'en faire un autre. Je craindrais que les agents
d'évaluation de crédit en profitent pour dire : Ce n'est que ça qui
s'applique.
M. Fortin : Merci. Merci,
M. le Président. Je ne sais pas si
vous avez eu la chance de suivre nos travaux hier, mais un
peu en partie, peut-être,
là, mais le ministre y a fait référence, l'AMF avait certaines
recommandations également qui vous concernaient. Si
je résume très rapidement ce qu'ils ont dit, là, c'est : On aimerait
être capables de s'entendre avec la commission pour départager qui revient...
quoi revient à qui, parce qu'essentiellement on a peur qu'il y ait des plaintes
hybrides qui tombent un peu d'un côté et de l'autre, là. Est-ce que vous avez
entamé ces pourparlers-là? Parce que ce
n'était pas clair dans notre tête, hier, comment ils voulaient le départager.
Vous, vous semblez avoir une vision un peu plus claire des choses. Donc,
est-ce que vous avez parlé à l'AMF de tout ça?
Mme Poitras (Diane) :
Oui, oui, on a déjà commencé à... On a eu une ou deux rencontres, ou une
discussion téléphonique et une rencontre, là, déjà, puis, tu sais, l'objectif
de tous est de simplifier ça pour le citoyen.
M. Fortin :
Exact.
Mme Poitras (Diane) :
C'est sûr que ça serait mieux que ce soit dans la loi, par contre.
M. Fortin : Bien, je suis d'accord avec vous, et c'est
pour ça qu'on aimerait, nous, avoir des recommandations claires tout
de suite, pour qu'on soit capables de
le mettre dans la loi au cours des prochains jours, prochaines semaines.
On espère que l'étude détaillée va se faire rapidement.
Mais donc, si vous nous dites, ce qui est devant nous aujourd'hui, que vous... qui est un peu plus précis que ce que l'AMF avait hier, est-ce que
ça convient à tout le monde, ça, ce partage-là, un peu, que vous
proposez?
Mme Poitras (Diane) :
Je ne pourrais pas parler au nom de l'AMF.
• (9 h 30) •
M. Fortin : Non? O.K., ça va. Votre première recommandation, je reviens au tout début, là, vous nous dites... vous nous demandez
d'étendre la portée du projet de loi pour qu'on vise tous les agents d'évaluation du crédit. Hier, on a parlé un peu de la définition des agents
du crédit, puis essentiellement je pense qu'il y a des gens autour de la table qui ont mentionné qu'il y en avait deux, qu'on a
connus beaucoup à travers Desjardins. Mais qui vous avez en tête?
Puis à quelle fréquence ça vous
revient, par exemple, des plaintes par rapport aux autres qui
pourraient être impliqués et qui ne sont pas nécessairement Equifax et
TransUnion?
Mme Poitras
(Diane) : Bien, en fait,
c'est les deux principaux, on s'entend, et notre... Il y a
d'autres agents... dans notre
registre, selon notre registre, il y
en a d'autres qui produisent des
rapports de crédit. Notre compréhension, c'est qu'ils s'alimentent essentiellement,
quand même, auprès d'Equifax et TransUnion. Mais, pour nous, dans un objectif de simplification de la loi, pourquoi ne pas définir quels
sont ces agents plutôt que... la nature de leurs activités plutôt que l'importance de leurs relations ou de leurs chiffres d'affaires avec les institutions financières? Ce n'est pas exclu qu'il y ait un autre joueur qui arrive. Puis, en tout cas, c'est une question
de simplification. Puis on veut s'assurer vraiment
que les droits et obligations qui sont prévus s'appliquent à tout agent d'évaluation
de crédit.
M. Fortin : O.K. Vous avez parlé des... Au-delà de certaines
institutions bancaires qu'on connaît, vous avez parlé, entre autres, des assurances et d'autres enjeux. Je suis d'accord
avec vous sur le fond, mais est-ce
que des fuites de données, par
exemple, qui viennent de ces autres entreprises là... est-ce qu'on en voit beaucoup?
Est-ce que c'est fréquent? Je comprends, sur le fond, c'est... je peux
comprendre votre préoccupation que c'est nécessaire de le faire, peu importe le
volume, mais est-ce que vous en voyez beaucoup?
Mme Poitras (Diane) : Il y a des fuites de données dans tous les secteurs, je vous
dirais. Évidemment, la commission n'a pas un portrait général de la situation...
et global de la situation, parce que les déclarations d'incident ne sont pas obligatoires, comme vous le savez peut-être. Pour le portrait partiel
qu'on a, c'est assez répandu... pas répandu, mais c'est assez varié
comme...
M. Fortin : O.K. En fait, je vais peut-être passer la parole
à la collègue de Saint-Laurent puis je reviendrai au besoin, M. le
Président.
Le Président (M. Simard) : Avec
plaisir. Mme la députée.
Mme Rizqy : Merci beaucoup.
Vous venez de dire une chose très importante : Les déclarations d'incident
ne sont pas obligatoires. L'an dernier, on
avait une consultation où est-ce qu'on entendait certains experts qui disaient
que, justement, pour avoir les ressources appropriées, il faudrait
savoir quelle est l'ampleur du problème. Pensez-vous qu'il serait à propos, à ce stade-ci, de faire les déclarations
obligatoires des incidents dans les institutions financières?
Mme Poitras
(Diane) : Oui, bien sûr,
c'est une recommandation qu'on a faite dans nos je ne sais combientièmes
rapports quinquennaux, on fait une...
Mme Rizqy : Donc, ça serait à
propos, dans le p.l. n° 53, que ça soit ajouté?
Mme Poitras
(Diane) : Bien, je le sais,
que c'est déjà prévu au projet de loi n° 64. Peu importe dans quel projet
de loi, je...
Mme Rizqy :
Par cohérence...
Mme Poitras
(Diane) : J'aimerais bien que ce soit... je pense que ce serait
important que ce le soit.
Mme Rizqy :
Par cohérence, on pourrait tout simplement l'ajouter. Je regarde le ministre
qui, on dirait, semble dire qu'effectivement ça pourrait être une bonne
idée.
Dites-moi,
en ce moment, les sinistres, dans le domaine de l'assurance, lorsque j'ai un
accident ou un sinistre, il faut
qu'immédiatement, sans délai, je notifie mon assureur. Pour... lorsqu'il y a
des fuites de données, c'est quoi, le délai qui est prévu présentement,
au p.l. n° 53, pour notifier un sinistre au
consommateur?
Mme Poitras
(Diane) : Je n'ai pas connaissance qu'il y a une obligation de
notifier dans le projet de loi, là.
Mme Rizqy :
Ah! bien, il n'y en a pas... Premièrement, il n'y en a pas dans le projet de
loi n° 53. Puis on a vu l'an dernier, lorsqu'il y a eu la fuite de données
chez Desjardins, il y a quand même eu des jours qui ont passé avant que les clients, les membres ont finalement reçu
un avis. Pensez-vous que ça serait à propos que, vraiment, au même titre
que, lorsqu'un citoyen a un sinistre à la maison, il doit notifier sans délai
son assureur, à ce stade-ci les institutions financières, lorsqu'il y a une
fuite de données chez eux... Là, ici, je vais distinguer deux affaires, un vrai
incident où est-ce qu'il y a une fuite de
données, et je ne parle pas d'un incident interne où est-ce qu'on... par
exemple, à l'interne, on a trouvé un
employé fautif, puis qu'il n'y a pas eu de fuite de données extérieures, là.
Alors, pensez-vous qu'ici on devrait mettre un délai pour que les
consommateurs, rapidement, soient notifiés?
Mme Poitras (Diane) : Oui, c'est une recommandation qu'on a faite dans
le rapport quinquennal. Ça fait encore partie
des recommandations qu'on a faites, de préciser aussi quels sont les incidents
qui doivent être notifiés à la commission, pour ne pas qu'on soit inondé aussi. Il y a un ensemble de
recommandations qui concernent ce sujet-là qui est dans notre dernier
rapport quinquennal.
Mme
Rizqy : Parfait. Puis, dites-moi, en ce moment, vous, dans vos
enquêtes, le délai moyen pour obtenir un rapport se situe à combien de
temps?
Mme Poitras (Diane) : Je n'ai pas le chiffre avec moi sur le délai
moyen pour une enquête, malheureusement, mais je peux convenir avec vous
qu'il est beaucoup trop élevé pour ce qu'on voudrait.
Mme
Rizqy : Je sais que des fois ça peut se situer à, des fois, 18 à
24 mois. Vous hochez de la tête. Mon inquiétude, c'est la chose suivante, c'est que, si on a deux
recours potentiels, à l'Autorité des marchés financiers et par chez vous,
c'est qu'on va diviser des ressources, alors
qu'on a déjà des délais qu'on pourrait améliorer. Êtes-vous d'accord qu'on
pourrait, à ce stade-ci, envisager davantage
d'ajouter des ressources aux canaux qui existent déjà, c'est-à-dire à la CAI,
pour s'assurer que les délais soient plus convenables?
Mme Poitras (Diane) : Oui. Puis, pour donner un ordre de grandeur,
l'AMF a 700 quelques employés, on en a 70. Et je...
Mme Rizqy :
Merci de le préciser.
Mme
Poitras (Diane) : Je souligne que le projet de loi prévoit une
espèce d'autofinancement par les agents d'évaluation de crédit. Pourquoi ne pas
faire la même chose pour la CAI?
Mme
Rizqy : M. le ministre, j'imagine que, si vous faites aller votre crayon, c'est que vous
prenez des notes?
M. Girard
(Groulx) : ...parce qu'elle m'interpelle.
Le
Président (M. Simard) : Non,
non, ce n'est pas le... Oui, je
comprends qu'elle vous interpelle,
mais disons que c'est un peu limite. Je
comprends que ça fait effectivement deux fois qu'elle vous interpelle en vous... Bon, mais...
Mme Rizqy :
Avec un beau sourire.
Le Président (M.
Simard) : On va continuer nos échanges, qui s'adressent normalement à
nos invités.
Mme
Rizqy : Parfait. Tantôt, Mme la présidente, vous avez fait mention des cotes de crédit. Alors, pour que ceux
qui... Parce que vous avez parlé de R1, R2,
R3 et R9, ça peut sembler un peu compliqué à comprendre. Mais vous avez aussi mentionné... Ça tombe bien parce que, par
hasard, j'ai le tableau qui... gracieuseté Equifax. Vous avez parlé aussi des sept chiffres. Les sept chiffres, les gens,
c'est vrai qu'ils connaissent davantage cela parce que c'est qu'est-ce qui leur
est communiqué. Par contre, les R1, R2, R3 puis R9 contiennent de l'information que je considère importante, notamment
lorsqu'un consommateur pense avoir payé une
facture et que, là, par exemple, c'est un R9, puis on dit : Mauvaise
créance, mise en recouvrement. Moi personnellement, je considère que c'est une information qui devrait être communiquée aussi au
consommateur, et pas seulement son score de crédit. Êtes-vous d'accord?
Mme Poitras (Diane) : Oui, mais cette cote-là, selon notre expérience,
est déjà communiquée, là, dans les demandes...
Mme Rizqy :
Ah! mais gratuitement.
Mme
Poitras (Diane) : Oui, oui, oui, mais elle l'est déjà.
Mme
Rizqy : Non, parce qu'hier
on avait TransUnion que, par exemple, pour obtenir les rapports, il faut payer
environ, je crois... Je ne veux pas induire personne en erreur. Combien?
Une voix :
...
Mme Rizqy :
20 $ par mois, donc...
Mme
Poitras (Diane) : O.K. Je m'excuse, j'ai peut-être manqué... On
parle du calcul ou de la cote R. La RI, machin,
ça, on voit ça dans les dossiers, mais le calcul qui est fait, ça,
effectivement, leur prétention de... même devant nous...
Mme Rizqy :
Le calcul, je pense qu'il pourrait être pertinent pour que les gens
comprennent.
Mme
Poitras (Diane) : Oui, oui, tout à fait.
Mme
Rizqy : Puis, une autre
affaire, c'est qu'on peut trouver dans un manuel des HEC Montréal des données vraiment assez importantes et impressionnantes. On
sait qu'il y a vraiment deux grandes agences, TransUnion, Equifax. Les deux se partagent, juste pour le Canada,
environ 30 millions de rapports chaque jour, pour un total de
2 milliards de rapports chaque
mois. Le risque d'erreur est très élevé. Et on mentionne qu'il y a aussi
26 options, lorsqu'un consommateur appelle pour rapporter une erreur dans son dossier de crédit. Les
26 options, c'est aussi des codes A-3, A-1, A-8, et j'en passe.
Dans 72 % des cas, ça se règle avec les options, mais il reste que, dans
les 28 autres % des cas, ce n'est pas réglé.
Et
c'est là que le livre est intéressant, ils disent qu'en ce moment ça peut être
très difficile pour le consommateur de
savoir pourquoi que son dossier n'est pas réglé, parce qu'on lui envoie des
cotes. Alors, est-ce que vous pensez qu'on devrait avoir une communication beaucoup plus claire pour le
consommateur, puis aussi en français, dans la mesure du possible — on
est quand même au Québec — et
ici, c'est que ces cotes-là expliquent... qu'il y ait plus d'explications
autour des cotes pour régler un dossier lorsqu'il y a un litige?
Mme Poitras (Diane) : Bien, c'est sûr, pour nous, ça fait partie du
droit d'accès. Le droit d'accès, c'est d'avoir accès à toute l'information,
puis, si...
Le
Président (M. Simard) :
Merci. Malheureusement... Désolé, j'aurais peut-être dû vous prévenir un
peu avant, j'étais captivé par ce que
vous disiez. Le temps, donc, du Parti
libéral est terminé. Je cède maintenant
la parole au député de Rosemont.
M. Marissal :
Merci, M. le Président.
Le Président (M.
Simard) : Pour 4 min 10 s, hein, cher collègue.
M. Marissal :
Pardon?
Le Président (M.
Simard) : 4 min 10 s.
M.
Marissal : Merci. Merci, encore une fois, au ministre des Finances de son partage. Me faire donner du temps
par un ancien banquier, je me sens vraiment choyé.
Une voix :
Gratuit.
M.
Marissal : Gratuit, en plus.
Sans intérêt, je présume? Quoique nous n'avons pas discuté de ça. Mesdames,
bonjour. Merci d'être là. Toujours
un plaisir de vous entendre. Je veux revenir sur — rapidement, parce qu'évidemment j'ai, malgré tout, peu
de temps — la
recommandation n° 6 : «La commission recommande
de prévoir une disposition établissant la
liste des usages autorisés des renseignements personnels liés au crédit, en
tenant compte dans l'établissement de
cette liste...» Là, je ne vous la lierai pas parce que c'est long.
Effectivement, on a un peu l'impression, puis c'est ce qui a été dit, puis c'est le cas sur le terrain,
là, que nos données colligées par les agences de crédit circulent largement,
là. Je pense que mon dossier de
crédit circule plus qu'une Communauto et entre plus de mains chaque jour, là.
Vous, vous êtes en train de dire, et je suis totalement d'accord avec vous si
c'est ce que vous dites, mais j'aimerais vous l'entendre dire, qu'il
faut limiter l'accès à ce genre de données pour ce à quoi ça devrait servir.
C'est ce que vous dites?
Mme Poitras (Diane) : Oui, puis la commission reçoit des plaintes, là,
sur le... certaines situations, le dossier de crédit est communiqué, et
pour lesquelles le citoyen s'interroge sur la nécessité pour l'entreprise qui
le recueille.
• (9 h 40) •
M.
Marissal : Vous dites, vous recevez des plaintes de gens qui
s'étonnent... En fait, dites-moi donc, je ne veux pas vous mettre des
mots dans la bouche, là...
Mme
Poitras (Diane) : On reçoit
des plaintes de citoyens qui disent : Je ne comprends pas pourquoi... je
ne crois pas que telle entreprise pouvait recueillir un dossier de crédit à mon
sujet ou me demander mon consentement. Je ne crois pas que c'est nécessaire qu'il collige cette
information pour atteinte de l'objectif, par exemple un emploi, un logement.
C'est le genre de plainte qu'on reçoit.
M.
Marissal : Avez-vous pris des mesures, des recours? Avez-vous des
outils pour prendre des mesures et des recours quand il y a usage abusif
des renseignements personnels?
Mme
Poitras (Diane) : On a... la
commission a des pouvoirs d'enquête d'ordonnance, que nous avons faits, on a
rendu des décisions, dans certaines situations, à la lumière des faits de ces
dossiers-là, effectivement.
M.
Marissal : Mais est-ce que je me trompe en disant... Et ce n'est pas
de votre faute, là, ce n'est pas la faute de personne, c'est comme ça que ça a été fait, malheureusement, là. C'est
parce que vous n'avez pas les moyens d'enfoncer le clou, en fait, les lois ne vous permettent pas d'avoir des mesures...
Ce qu'on dit, malheureusement, souvent de la CAI, c'est que c'est un toutou pas de dents. Je
m'excuse de vous dire ça comme ça, là, puis ce n'est certainement pas de votre
faute, parce que je connais votre position
là-dessus. Mais un chien de garde pas de dents, ça ne sert pas à grand-chose.
Puis est-ce que vous avez des moyens ou vous
voyez, dans ce projet de loi, des moyens supplémentaires de vraiment taper,
là, quand il faut taper, parce qu'il y a eu abus?
Mme Poitras
(Diane) : ...
Le Président (M. Simard) :
Mme Poitras.
Mme Poitras (Diane) :
Pardon?
Le Président (M. Simard) : Je vous
en prie.
Mme Poitras (Diane) :
Pas dans ce projet de loi là. Il y a certaines pistes, dans le projet de loi n° 64, mais effectivement ça prend des pouvoirs, des
sanctions dissuasives et des budgets.
M. Marissal : Oui, j'y arrive,
justement. Option Consommateurs nous disait hier, et je les cite : «En
raison du sous-financement de la CAI, bien
des justiciables ont fait objet à des délais inouïs avant d'obtenir une
décision de ce tribunal administratif.» Vous avez un commentaire à faire
là-dessus?
Mme
Poitras (Diane) : Nous sommes
les premiers à vouloir réduire les délais. Et déjà, dans la dernière année,
grâce à une somme... un 25 % de plus,
nous avons réduit de quatre mois en un an, et je pense qu'on peut faire... pour
moi, c'est la preuve qu'avec des budgets supplémentaires on est capables
de réduire des délais. Et c'est ce que souhaite l'ensemble du personnel de la
commission, je peux vous l'affirmer.
M. Marissal : Vous avez dit tout à
l'heure que vous aviez 70 employés.
Mme Poitras (Diane) :
Oui. Environ.
M. Marissal :
Est-ce que... Vous en aviez combien au cours des dernières années? Est-ce que
ça descend ou ça monte, l'effectif, chez vous?
Le Président (M. Simard) : En
conclusion.
Mme
Poitras (Diane) : Ça monte.
Depuis les deux dernières années, les budgets supplémentaires que nous avons eus,
c'est... ça monte légèrement.
M. Marissal : Légèrement. Merci.
Le
Président (M. Simard) : Merci. M. le député de René-Lévesque, pour une
période également de 4 min 10 s.
M. Ouellet : Merci beaucoup,
mesdames. Je vais y aller avec des questions en rafale pour permettre de faire le tour avec vous. Votre mémoire est très complet.
Première question. Je comprends bien que, si on est en train de créer un nouveau droit et qu'on permet aux Québécois et
Québécoises de pouvoir mettre un verrou sur leurs dossiers de crédit, il serait pensable que ce nouveau droit là doit
être accessible et donc gratuit pour tous. Ça, je pense que vous êtes d'accord?
Mme Poitras (Diane) :
Oui.
M.
Ouellet : Parfait. Votre recommandation 4, si j'ai bien compris,
«d'interdire toute communication de renseignements personnels liés au crédit
lorsque le gel est activé», donc, on fait référence aux autres compagnies qui pourraient
utiliser le dossier de crédit. On n'a qu'à penser les compagnies de téléphones
cellulaires. Donc, pour vous, une fois que le gel de crédit est activé, toute
demande, peu importe la catégorie, c'est gelé?
Mme
Poitras (Diane) : Pour faire référence à la question qui m'a
été posée tout à l'heure, oui, sous réserve de certaines situations qu'on
devrait préciser dans la loi et où on pourrait justifier que, oui, ça peut même
contribuer à limiter le vol d'identité, là. L'exemple qui a été donné en est
un.
M. Ouellet :
Oui, parce qu'on peut se faire voler sur l'achat de téléphone cellulaire et
après ça procéder à des transactions en ligne avec le nouvel appareil qu'on a
entre les mains.
Mme
Poitras (Diane) : Tout à fait.
M. Ouellet :
Votre recommandation 10 est fort intéressante : «La commission
recommande de ne pas inclure la note explicative au projet de loi, considérant
que la législation actuelle prévoit un droit à portée plus large.» Donc, vous êtes en train de nous dire que, dans 53, on
est moins fort, donc on devrait plutôt laisser ça de côté, et la loi est déjà
assez suffisante pour avoir une portée meilleure. C'est ce que je comprends.
Mme
Poitras (Diane) : Oui. Peut-être qu'on avait l'intention avec
le projet de loi de vouloir s'assurer que toute
personne qui reçoit le dossier de crédit a cette note-là et qu'on voulait
signaler qu'il y avait une demande d'examen de mésentente. Je pense que, si on veut ajouter quelque chose au droit
actuel, on devrait le faire dans le droit actuel qui existe plutôt que
d'en créer un autre. Comme je le disais, j'aurais peur que ce soit interprété
comme limitatif.
M. Ouellet :
Et ce droit-là existe dans quelle loi?
Mme Poitras (Diane) : Il est dans le Code civil et, par référence, dans
la Loi sur la protection des renseignements personnels dans le secteur
privé. On pourrait modifier la loi sur le privé pour l'ajouter.
M. Ouellet :
Par souci de cohérence?
Mme
Poitras (Diane) : Oui.
M. Ouellet :
O.K. L'article 13 : «La commission recommande de retirer les
exceptions à la loi sur l'accès prévues aux
articles 42 et 43 du projet de loi.» J'attire votre attention à
l'article 43, donc : Malgré les articles 9 et 83 de la loi sur l'accès à l'information... l'accès aux
documents des organismes publics et sur la protection des renseignements
personnels, «l'autorité ne peut communiquer un dossier de plainte sans
autorisation de l'agent d'évaluation de crédit qui le lui a transmis». J'aimerais avoir des précisions. Pourquoi vous
nous recommandez d'enlever carrément cette disposition-là?
Mme
Poitras (Diane) : C'est une recommandation... À chaque fois
qu'il y a une disposition qui veut déroger à
la Loi sur l'accès... ou la loi sur le privé, il faut se rappeler que ce sont
des lois prépondérantes, pour nous, il faut faire une démonstration que c'est nécessaire d'écarter.
Dans ce cas-ci, c'est qu'en faisant ça on écarte aussi le droit de rectifier
du citoyen, de rectifier quelque chose qui serait dans son dossier, en
principe.
Je ne sais pas si Me
Sophie Giroux-Blanchet veut compléter?
Le Président (M.
Simard) : Me Blanchet.
Mme Giroux-Blanchet
(Sophie) : Bonjour. Donc,
finalement, c'est ça, donc, si une personne... mettons qu'il y aurait quelque
chose de pas correct dans le dossier de plainte avec l'AMF, la personne ne
pourrait pas demander la rectification à l'AMF ou voir à rectifier
des... ou quelque chose qui serait incohérent ou équivoque dans le dossier.
Donc, avec cet article-là, ça ne permet pas de le faire. Donc, on retire ce
droit-là à la personne.
M. Ouellet :
O.K. Et la même chose : «De modifier la loi sur l'accès à l'information
pour y ajouter une disposition générale
consacrant la confidentialité contenue dans le dossier de conciliation et de
médiation», ça aussi, c'est pour mieux protéger le client ou donner des
outils supplémentaires au client lorsqu'il y aurait effectivement litige et
discussion sur le litige en question?
Mme Poitras (Diane) : Et en fait, là-dessus, on n'a pas d'objection sur
le principe, mais il y a plusieurs organismes qui le demandent, puis je pense que ce serait plus simple de modifier la
loi sur l'accès pour en faire une restriction, que de déroger à la loi
sur l'accès dans un... toutes les lois qui veulent affirmer ce principe.
Le Président (M.
Simard) : Très bien...
M.
Ouellet : C'est quand même
important, le... Puis la loi, elle est importante, on crée un nouveau droit, puis
c'est l'Autorité des marchés financiers qui va être le régulateur. Mais ce que
vous me dites aujourd'hui : On a le projet de loi n° 64
qui va changer diamétralement la façon de faire pour la protection...
Le Président (M. Simard) : En
conclusion.
M.
Ouellet : Mais ce que vous
me dites : Ayez une attention particulière, vous êtes en train de rajouter
des choses, dans le 53, qui devraient
plutôt être colligées ou raffermies dans le 64. Donc, on aura cette attention
particulière. Merci, mesdames, de nous avoir indiqué la zone d'ombre.
Le Président (M. Simard) : Merci à
vous, M. le député de René-Lévesque. Alors, Me Giroux-Blanchet, Mme Poitras, de
la Commission d'accès à l'information, merci pour votre contribution à nos
travaux.
Sur ce, je suspends momentanément notre séance.
(Suspension de la séance à 9 h 47)
(Reprise à 9 h 57)
Le Président (M. Simard) : Bien.
Alors, nous allons reprendre nos travaux. Nous sommes présentement en commission de... représentants de la Commission
des droits de la personne et des droits de la jeunesse. Madame, monsieur, bonjour. Pour les fins
de nos travaux, auriez-vous l'amabilité de vous présenter?
Commission des droits de la personne et des
droits de la jeunesse (CDPDJ)
M. Tessier (Philippe-André) : Je
m'appelle Philippe-André Tessier. Je suis président de la Commission des droits de la personne et des droits de la jeunesse. Je suis accompagné de Me Marie Carpentier,
avocate à la recherche, à la commission.
Le Président (M. Simard) : Soyez les
bienvenues parmi nous. Vous disposez d'une période de 10 minutes.
M. Tessier (Philippe-André) : Merci,
M. le Président. M. le ministre, Mmes et MM. députés. Alors, je tiens à rappeler que la commission, évidemment, a pour mission d'assurer le respect et la promotion des droits et des
principes énoncés dans la Charte des
droits et libertés de la personne.
Nous veillons également à l'application de la Loi sur l'accès à l'égalité en emploi dans des
organismes publics ainsi que... on veille au respect et à la promotion des
enfants, prévus notamment à la Loi sur la protection de la jeunesse.
Évidemment,
conformément à son mandat, la commission a examiné le projet de loi pour en vérifier
la conformité à la charte et faire les recommandations appropriées.
Retenons à cet égard que certaines dispositions à cette loi quasi constitutionnelle ont explicitement préséance sur
les dispositions des autres lois du Québec, sous réserve d'une dérogation
expresse.
À notre
connaissance, les dispositions que prévoit le projet de loi n° 53
constitueraient un premier encadrement spécifique
de l'activité d'évaluation de crédit au Québec. Or, au regard des risques
d'atteinte aux droits garantis par la charte qu'elle emporte le projet
nous semble présenter certaines lacunes.
Notons tout
d'abord que l'article 4 de la charte énonce que «toute personne a
droit à la sauvegarde de sa dignité, de son honneur et de sa réputation». Ces
droits, notamment le droit à la réputation, sont étroitement liés au droit au
respect de sa vie privée, qui, lui, est
protégé à l'article 5 de la charte. La charte garantit également,
dans la section Droits économiques et sociaux, le droit à l'information,
à l'article 44.
Évidemment,
le dépôt du projet de loi n° 53 est peut-être une avancée pour la protection de ces droits, il
demeure néanmoins susceptible d'être affecté par la constitution de dossiers de
crédit, par l'établissement d'une cote de crédit et par la gestion de ce dossier et de cette cote. Par
exemple, la désignation des agents d'évaluation de crédit par l'Autorité des marchés financiers
enclencherait la mise en oeuvre de mesures de protection aménagées dans le projet de loi. Or, les critères de désignation nous apparaissent flous.
Étant donné
l'impact potentiel sur les droits de la personne d'une telle désignation, la commission
recommande ainsi que l'expression
«agent d'évaluation de crédit» fasse l'objet d'une définition plus précise de
la part du législateur. D'autres juridictions canadiennes ont d'ailleurs
légiféré en ce sens.
En outre, le projet de loi ne prévoit pas que
l'activité d'évaluation de crédit soit réservée aux agents désignés comme tels. Or, d'un point de vue général, les
droits de la personne seraient mieux sauvegardés si l'activité d'évaluation
de crédit était réservée à des agents qui
sont soumis aux obligations prévues par le projet de loi. Nous formulons
donc une recommandation à cet effet.
• (10 heures) •
Par ailleurs, le concept de cote de crédit est
utilisé à plusieurs reprises dans le projet de loi. Cette expression peut prêter confusion à l'expression «pointage de
crédit». Par conséquent, nous recommandons que le projet de loi définisse l'expression «cote de crédit».
Le projet de loi n° 53 prévoit
le droit d'obtenir la communication de cette cote de crédit accompagnée des explications nécessaires à sa compréhension. La
cote de crédit transmise serait celle qui est généralement communiquée
aux prêteurs d'argent qui en font la
demande. Il n'y aurait pas d'obligation de transmettre les autres cotes de crédit qui
peuvent être émises en fonction des différents motifs pour lesquels elles sont
demandées ni de droit de rectification.
Or, la jurisprudence
actuelle ne précise pas que ces différentes cotes de crédit constituent des
renseignements personnels, ce qui en rendrait possible la communication et la rectification. Selon nous, ce droit d'accès par la personne concernée
aux différentes cotes de crédit est essentiel à la mise en oeuvre de certains
droits garantis à la charte, dont le droit à la sauvegarde de sa
réputation, le droit au respect à la vie privée et au droit à l'information.
Nous
recommandons, de ce fait, que l'ensemble des cotes de crédit produites par un agent d'évaluation de crédit soient considérées
comme des renseignements personnels au sens de la Loi sur la protection
des renseignements personnels dans le secteur privé.
Dans
un autre ordre d'idées, plusieurs enjeux qui soulèvent notre inquiétude
ne sont pas abordés dans le projet de
loi. Certains ont pourtant été
traités dans d'autres législations provinciales adoptées en matière d'évaluation de crédit. Étant donné leur lien étroit avec le droit à la
sauvegarde de la réputation, le droit au respect à la vie privée et le droit à
l'information, ces questions devraient faire l'objet d'obligations spécifiques.
C'est
pourquoi nous recommandons que des règles concernant le type de données pouvant
être recueillies, la durée pendant laquelle les informations peuvent être
transmises et l'imputabilité pour la sécurité des données soient introduites
au projet de loi.
Précisons
que la commission se penche actuellement sur le projet de loi n° 64,
lequel n'avait pas été déposé au moment
de l'adoption de notre mémoire. Et ce projet de loi prévoit notamment le délai
de conservation des documents détenus par un agent de renseignements
personnels. Alors, j'apporte ce bémol à notre mémoire sur 53.
Plus
généralement, l'étude du projet de loi est l'occasion pour la commission de
mettre en lumière les enjeux aussi relatifs
au droit à l'égalité que soulèvent certaines pratiques entourant l'accès au
dossier de crédit détenu par les agents d'évaluation visés et l'usage
qui en est fait dans le cadre d'activités étrangères au crédit.
Dans
le cadre des différentes responsabilités que confie la charte, la commission a
dû se pencher notamment sur les pratiques discriminatoires liées à
l'accès au dossier de crédit dans les domaines tels que le logement ou
l'emploi. Nous avons d'ailleurs reçu des
plaintes et traité des demandes qui ont été faites à ce sujet. De plus, la
doctrine abonde de questions semblables en matière d'assurance.
Dans
le domaine du logement, par exemple, un recours systématique aux enquêtes de
crédit qui aurait pour effet de disqualifier des aspirants locataires sans que
ceux-ci puissent démontrer leur capacité réelle d'acquitter... leur capacité réelle de s'acquitter du loyer est
susceptible de constituer de la discrimination indirecte au sens de
l'article 10 de la charte au motif de la condition sociale.
Selon les
circonstances, le recours systématique à une enquête de crédit peut en outre
imposer un fardeau particulier à des
aspirants locataires qui, par exemple, en raison de leur origine ethnique ou
nationale ou leur âge, n'ont pu constituer un dossier de crédit.
La commission a eu
également l'occasion de constater que les préjugés reliés à l'endettement, à la
faillite ou au mauvais crédit perdurent dans le contexte de l'emploi.
Rappelons
pourtant que le recours à une enquête de crédit en matière d'embauche ou
d'emploi pourra s'avérer discriminatoire
s'il n'est pas justifié par ce qu'on appelle une exigence professionnelle liée
au poste en cause. Refuser d'embaucher une personne sur la base d'une
vérification de crédit risque d'engendrer une discrimination fondée sur la
condition sociale, ce qui est contraire aux
articles 10 et 16 de la charte, et l'article 18.1 de la charte
empêche, évidemment, et interdit les questions, en entrevue d'embauche,
liées à la condition sociale.
Les travaux de la
commission en ces matières illustrent la nécessité d'encadrer certaines
pratiques relatives à un recours non
justifié au dossier de crédit dans des sphères d'activité non liées au crédit,
notamment dans les domaines de logement
et de l'emploi. Comme je l'ai dit, le recours au dossier de crédit, ayant des
effets discriminatoires, est interdit à la charte, et, de plus, nous visons à
sensibiliser les employeurs et les locataires par le biais de différentes
initiatives d'information et d'éducation aux droits protégés par la
charte.
Il
est vrai aussi que le locateur ou l'employeur en cause n'auront accès au
dossier de crédit qu'après avoir obtenu le consentement du candidat locataire ou du candidat à l'emploi.
Soulignons toutefois que ce consentement est généralement donné dans un contexte de déséquilibre entre les
parties. Évidemment, on peut se faire refuser l'emploi ou le logement.
Ainsi, malgré les
outils et recours déjà prévus à la charte en la matière, il nous semble que
l'étude du projet de loi n° 53 doit être l'occasion pour le législateur
d'encadrer plus précisément l'accès et le recours au dossier de crédit à des fins autres que l'autorisation de crédit,
notamment afin d'agir en amont et prévenir les situations de discrimination
avant qu'elles ne se produisent. La
commission, donc, recommande que des règles soient prévues visant à encadrer
plus précisément l'accès et le recours au dossier de crédit à des fins autres
que l'autorisation de crédit, et cet encadrement devrait préciser les circonstances dans lesquelles il est permis de
recourir au dossier de crédit, les usages autorisés conformément à la charte, de même que les
sanctions encourues en cas d'infraction, notamment par les agents d'évaluation
de crédit qui communiqueraient des informations à l'encontre de ces
règles.
Finalement,
la commission soulève des enjeux relatifs aux droits judiciaires garantis par
la charte. Présentement, à titre d'agent de renseignements personnels,
un agent d'évaluation de crédit a l'obligation d'établir et d'appliquer des
modalités d'opération propres à garantir que les renseignements qu'il
communique sont à jour et exacts. Il n'y a pas d'amende associée à une
contravention de cette disposition. Ainsi, il existe une obligation d'établir
une procédure visant à garantir l'exactitude
des renseignements communiqués, mais aucune mesure ne sanctionne la
transmission de renseignements
erronés. D'autres provinces font pourtant de la transmission de fausses
informations par un agent d'évaluation de crédit une infraction.
Le
manque de vérification des informations de crédit est problématique en cas de
créance litigieuse, c'est-à-dire quand le créancier et la personne
concernée par le dossier de crédit ne s'entendent pas sur l'existence de la
créance ou l'étendue de celle-ci. En effet,
un commerçant peut inscrire une mauvaise créance au dossier de crédit sans
avoir à le prouver. Une telle
inscription a ensuite une influence sur la faculté du titulaire du dossier de
crédit de conclure des transactions avec les autres intervenants qui
consultent le dossier. Elle peut aussi être très lourde de conséquences. Le commerçant a, en quelque sorte, la capacité de
sanctionner le débiteur qu'il estime en défaut sans que celui-ci ait pu
avoir accès à une audition publique impartiale de sa cause conformément à
l'article 23 de la charte.
La commission
estime que la protection qui sera faite par projet de loi, soit l'obligation
pour l'agent d'évaluer les...
d'évaluation, de vérifier l'identité de la personne, est insuffisante. Nous
recommandons donc que le fait pour quiconque de transmettre une information fausse ou qui n'a pas fait l'objet d'un
effort suffisant de vérification soit considéré comme une infraction et
susceptible de sanction.
Par ailleurs,
étant donné les difficultés actuelles associées à la procédure pour faire
rectifier un dossier de crédit, nous recommandons que le projet de loi soit
modifié pour que les tribunaux de droit commun se voient attribuer le pouvoir d'ordonner la rectification d'un tel
dossier et que la Commission d'accès
à l'information ait le pouvoir
d'accorder des dommages et des intérêts dans le cas d'inscription
erronée découlant d'un comportement fautif.
Nous vous remercions de votre attention et nous
sommes prêts à répondre à vos questions.
Le
Président (M. Simard) :
Merci à vous, cher monsieur. Je cède maintenant la parole au ministre des Finances.
M. Girard (Groulx) : Merci pour
cette excellente présentation. Merci pour votre mémoire et également la
précision, là, que votre mémoire a été écrit avant le projet de loi... le dépôt
du projet de loi n° 64.
M. le Président, permettez-moi une simple précision pour
l'ensemble des participants à la commission. Le gouvernement a augmenté le budget de la Commission
à l'accès de l'information lors du dépôt du dernier budget
pour les aider à assumer leur mission
dans la protection des renseignements personnels. Alors, je pense que c'est un fait important qui
concerne les visiteurs précédents, mais je pense que c'est une information qui est importante parce que... On a parlé, précédemment, du
déséquilibre entre les ressources de l'AMF et la Commission de l'accès à
l'information, et nous voulons permettre à la Commission de l'accès à
l'information de remplir sa mission.
Vous avez...
Excusez-moi pour cet éditorial, mais c'était le seul moment où je pouvais faire
cette clarification. Et vous avez
parlé d'un fait qui existe et qui est extrêmement sérieux, c'est-à-dire la
discrimination au niveau du logement et
de l'emploi, ou l'existence de discrimination, et le fait que la cote de crédit
ou le dossier de crédit pourrait être utilisé pour perpétuer cette discrimination. Vous suggérez un encadrement.
Peut-être que vous pourriez nous préciser exactement ce que vous cherchez, ce que vous suggérez pour que nous
puissions en prendre connaissance, parce que je pense que c'est
important.
M. Tessier
(Philippe-André) : Oui, bien, c'est sûr. Puis je veux juste préciser
que ma collègue aussi pourra... Évidemment,
ce qu'il faut comprendre, c'est... puis avec respect pour le ministre, M. le Président,
ce n'est pas «pourrait entraîner» des
conséquences discriminatoires, mais «entraîne» des conséquences
discriminatoires. C'est ce qui se produit, c'est ce qu'on reçoit aussi
comme plaintes.
Dans le
domaine de l'emploi, il faut comprendre que, lorsqu'un employeur exige ce type
de renseignement là, s'il l'exige en
amont de l'entrevue d'embauche ou au niveau du formulaire, c'est une
infraction, c'est une interdiction qui est prévue déjà à 18.1 de la
charte, qui interdit ce type de comportement là.
Ce qui se
produit, c'est que, souvent... c'est
que le test qui est prévu, qui est un test d'exigence professionnelle à
justifier, c'est un test qui dit : Il faut que ça soit nécessaire à
l'emploi. Et là, nous, ce qu'on dit, c'est qu'on a une occasion, le législateur a une occasion de venir rappeler ces
principes-là parce que c'est important. Oui, c'est prévu dans la charte, mais, lorsqu'on crée une loi spécifique
ici, avec des obligations spécifiques pour les agences, c'est essentiel de
venir reprendre ces éléments-là pour vraiment
venir renforcer cette protection-là, par
exemple, pour les employés
potentiels, les candidats et employés potentiels, mais aussi pour les
locataires, les contrats d'assurance. Et les cotes de crédit, maintenant, sont
utilisées à tellement d'escients qu'on se retrouve à avoir une multiplication.
Pour ce qui
est des locataires, c'est un peu la même chose là-dessus. Et puis la commission...
D'ailleurs, nous, dans nos activités
de sensibilisation, on a publié, en collaboration avec la Commission
d'accès à l'information, un
fascicule, qu'on diffuse sur les... évidemment
sur les médias sociaux. Ça a été fait au mois d'avril. Ça tombe bien, les
médias sociaux sont très populaires
de ce temps-ci, en pandémie. Mais on rappelle que la cote de crédit
systématique, mur à mur par les propriétaires,
ce n'est pas un bon outil pour détecter la capacité ou non de quelqu'un
de payer. Il y a d'autres moyens beaucoup moins intrusifs puis... comme juste d'appeler les
anciens locateurs ou de faire cette vérification-là, oui, des fois, qui entraînent... qui sont un peu
plus lourds, un peu plus compliqués. Mais évidemment ce qu'on reçoit,
nous, également, de la part de
certaines associations de propriétaires, c'est de dire : Non, non, nous,
on veut pouvoir faire du mur-à-mur, avoir accès, puis c'est notre droit.
Alors, c'est
important, quand le législateur s'exprime à travers certains projets de loi comme 53, de rappeler ces limites-là
à l'utilisation de ces cotes de crédit là pour, disons, éviter des excès dans
l'autre côté. Puis je ne sais pas si ma collègue...
• (10 h 10) •
Mme
Carpentier (Marie) : Juste
un élément. En fait, le Tribunal... on le cite à la note 106 de notre
mémoire, le Tribunal des droits de la personne est venu
déterminer qu'en fait, en matière de logement, on devrait laisser au locataire
la faculté de faire la preuve qu'il est
capable de payer. Puis, en fait, le recours à une cote de crédit, à un dossier
de crédit, ça
devrait être un dernier recours, si le locataire n'a pas réussi à établir
autrement sa faculté de payer. Donc, l'idée, c'est que le dossier de
crédit ne soit pas le premier recours que les différentes instances utilisent,
là, pour transiger avec quelqu'un, en fait, là.
M. Girard (Groulx) : Mais, écoutez,
moi, je ne suis pas avocat, là. J'en côtoie quelques-uns, mais...
Des voix : ...
M. Girard
(Groulx) : ...notamment mon père, qui écoute nos commissions, là, mais
je veux juste comprendre, là. Ce
rappel-là... Parce que, dans la situation que vous décrivez, là, qui est
extrêmement sérieuse, ça ne me semble pas être l'agent d'évaluation de
crédit qui est en faute, là. Ça fait que, là, on a un projet de loi qui va réglementer
les pratiques commerciales, les pratiques de
gestion, qui va donner des exigences aux agents d'évaluation de crédit, et
vous, vous voulez qu'on fasse un rappel aux propriétaires de mieux se
comporter?
M. Tessier
(Philippe-André) : Ce qu'il faut comprendre, c'est que ce que... puis
notre compréhension de 53, on le dit, c'est la première fois qu'on vient
un peu régir ce territoire-là de l'agence d'évaluation de crédit. Et l'agent
d'évaluation de crédit, ce n'est pas un être immatériel, désincarné qui flotte
dans l'univers, c'est une compagnie qui a des
opérations et qui fait, des fois, des guides ou des choses comme nous, on fait,
qui dit à ses clients : Bien, voici ce qui peut être fait, ce qui ne peut
pas être fait, qui met des règles d'utilisation, des conditions. Le législateur
peut, dans un projet de loi qui vise à régir l'activité des évaluations
de crédit, donner des indices des bonnes pratiques, des façons de faire pour que les agences d'évaluation de crédit
participent, elles aussi, également à s'assurer que leur clientèle n'utilise
pas à mauvais escient l'information mais bel et bien que cette
information-là, qui est tout à fait légitime puis qu'on peut collecter, mais encadrée, puis... mais pour
répondre véritablement à des réels besoins et non pas à du mur-à-mur, là, par
exemple en matière de logement ou en matière d'emploi, quand il n'y a pas,
évidemment, nécessité de le déterminer.
M. Girard
(Groulx) : O.K. Parce que vous avez suggéré que, dans certains cas de
location, ultimement, la cote de
crédit pourrait être utilisée puis que vous ne recommandez pas l'élimination
complète, là. Vous dites que ça ne doit pas être comme un prérequis à
avoir un logement, que ça prend une cote de crédit, là.
M. Tessier
(Philippe-André) : Effectivement, c'est un... En termes très simples,
l'idée, c'est que ce n'est pas supposé être un prérequis. Ce n'est pas
supposé être un...
M. Girard (Groulx) : Un rappel des
responsabilités...
M. Tessier (Philippe-André) : Je ne
sais pas si tu veux ajouter quelque chose.
Mme Carpentier (Marie) : Oui. Si je
peux me permettre, dans d'autres...
Une voix : ...
Mme Carpentier (Marie) : Merci. Dans
d'autres juridictions, on a... quand on est venu encadrer l'activité d'évaluation de crédit, on est venu dire... on est
venu réglementer notamment l'information qu'une agence d'évaluation de crédit a le droit de récolter, notamment écarter
les informations de santé, par exemple. On est venu dire que les agents d'évaluation de crédit n'avaient pas le droit de
récolter des informations qui concernaient la santé des consommateurs et on est venu aussi réglementer l'usage qui
pouvait être fait, donc, du dossier de crédit. Puis c'est comme dans le cadre
général d'une législation sur l'évaluation
de crédit, là. Donc, on pense que ça pourrait être un bon endroit pour
intervenir sur ces questions-là.
Le Président (M. Simard) : Merci. M.
le ministre.
M. Girard (Groulx) : Bien, moi, ça
fait le tour. Est-ce que le député de Saint-Jérôme aurait des questions?
Le Président (M. Simard) : M. le
député de Saint-Jérôme, il vous reste 4 min 40 s.
M.
Chassin : D'accord.
Merci, M. le Président. Merci à vous deux d'être ici. Moi, j'ai peut-être
une petite question
spécifiquement sur la transmission d'information fausse, parce que, dans le
fond, vous parlez... bien, vous en avez parlé
un petit peu dans votre présentation puis dans votre mémoire à la page 26.
Puis là je veux juste essayer de comprendre peut-être un détail, là,
mais... puisque vous avez l'expérience de dire que, dans d'autres provinces,
c'est prévu.
Dans la
partie de votre mémoire qui traite de cet enjeu-là, j'essaie de comprendre, là,
si la vérification, comment dire...
si la fausseté de l'information, c'est : Je me suis, par exemple, trompé dans mon calcul, comme agent d'évaluation de crédit, je ne
transmets pas la bonne cote, le bon pointage, ce qui peut être fait d'ailleurs
de bonne foi, mais c'est quand même de la fausse information, versus un travail
d'il y a un créancier qui m'a dit quelque chose, il faut que j'ouvre une enquête
pour être sûr, sûr, sûr que ce qu'il m'a dit, c'est vrai, pour être certain que
ce n'est pas de la fausse information.
Ça fait que comment, dans les autres provinces,
c'est défini, «fausse information»?
Mme Carpentier (Marie) : C'est qu'il fait l'objet d'une vérification suffisante. Donc, c'est un critère de si, par exemple, vous recevez de l'information d'un créancier
puis que le consommateur conteste cette information-là. S'il n'y a pas
de contestation, bien, il n'y a pas de vérification à faire, mais, s'il y a une contestation de
la part du consommateur, bien là, ça
déclenche une certaine obligation, pour l'agent d'évaluation de crédit, d'au
moins vérifier, entendre les parties, puis prendre sa décision, mais au
moins de procéder à un minimum de vérifications.
M. Chassin : Je comprends. Ça fait que... mais assez intéressant, parce qu'effectivement on ne veut pas que le consommateur soit lésé, là, le titulaire
du dossier.
Là, le mécanisme que
vous décrivez... Puis j'essaie de voir, là, les parallèles puis les
différences. Mais donc, dans le projet de loi, on prévoit, par exemple, qu'avec le concours de l'AMF il y a
un processus de recours pour les plaintes qui va être établi. Donc, justement,
là, qu'on demande ce type de vérification diligente, je dirais, là, d'une information, en quoi ça
ne va pas assez loin, selon vous? Parce qu'il y a quand même quelque chose.
Puis
gardons en tête qu'il y a la possibilité de préciser des choses dans la loi, mais il y a
aussi la possibilité que l'AMF,
avec des directives et des attentes, dans
le fond, pousse, finalement, dans ce
secteur-là, des bonnes pratiques pour que les agents d'évaluation de
crédit les adoptent.
Ça fait que comment...
Je vous laisse répondre.
Mme
Carpentier (Marie) : Dans notre
compréhension du projet de loi, c'est... le recours qui est prévu à l'AMF, ça
concerne seulement la mésentente entre le consommateur et l'agent d'évaluation de crédit, mais ça ne correspond pas à une mésentente avec les
tiers. Et d'autres témoins vous l'ont dit en commission parlementaire, mais en
fait, à l'heure actuelle, vous le savez,
pour faire rectifier une information dans un dossier de crédit, c'est la croix et la
bannière, là : il faut commencer
par faire valider ou invalider la créance en cour, ensuite retourner à la Commission d'accès à l'information pour faire rectifier le dossier, puis ensuite
retourner en cour s'il y a des dommages et intérêts qui peuvent être réclamés
en cour de droit commun.
Donc,
pour l'instant, le recours, dans notre compréhension du projet de loi, ça permet simplement de dire à l'AMF... aux consommateurs de dire à l'AMF : Je ne suis pas d'accord avec l'information qui est dans mon dossier. L'AMF a une obligation de vérifier avec le créancier, mais, à partir du moment où le
créancier dit : Non, non, c'est vrai, il n'y a plus d'autre obligation de la part de l'AMF puis de la
part de... en fait, de la part de l'agent d'évaluation de crédit. Nous, on
pense...
M.
Chassin : Oui, parce que c'est l'explication qu'on vous a
donnée hier aussi, justement, sur les délais et la complexité. Puis, en même
temps, il faut être bien clair, là, juste par rapport à s'il y a mésentente
entre l'agent d'évaluation de crédit puis le
consommateur, bien oui. Mais, si l'agent d'évaluation de crédit, finalement,
conserve la note du créancier parce
qu'il est d'accord, bien, alors, il y a mésentente. Donc, s'il y a mésentente, premièrement, entre, par exemple,
moi puis mon fournisseur de téléphonie mobile puis que l'agent conserve la
note, bien, il y a mésentente aussi avec l'agent d'évaluation.
Ça
fait qu'autrement dit, moi, je ne vois pas ça comme un empêcheur de tourner en
rond, là. Au contraire, ça va tomber dans la même catégorie.
M.
Tessier (Philippe-André) : On comprend bien la logique, là, puis je
pense que l'idée... puis c'est un peu le but de cette section-là de notre mémoire, là, c'est de sensibiliser le
législateur à, aussi, surtout, l'importance de la simplification des recours et de s'assurer, effectivement, que ce
mécanisme-là, il est le plus simple possible, parce qu'il est déjà complexe,
et on a une petite crainte de le voir se complexifier.
Le
Président (M. Simard) : Merci, cher maître. Merci beaucoup. Je cède
maintenant la parole à la députée de Saint-Laurent.
• (10 h 20) •
Mme
Rizqy : Merci beaucoup. Bonjour et rebienvenue. Je crois qu'on va se
revoir aussi dans le p.l. n° 64, alors on est vraiment dus pour toujours
se rencontrer. Je vais continuer sur ce que vous expliquez, parce qu'en fait,
pour le citoyen, c'est vraiment David contre
Goliath face à ces deux grosses multinationales qui se partagent, en fait,
les... ce marché de cotes de crédit. La recommandation n° 4,
vous mentionnez l'ensemble des cotes de crédit produites. Pour fins de précision, vous l'avez dit dans votre discours,
cote de crédit, vous vous référez à R1, R2, R3, et est-ce que, pour vous,
cote de crédit réfère aussi au pointage?
Mme
Carpentier (Marie) : Nous,
on réfère... dans le mémoire, puis on l'explique, il y a une confusion dans les
termes, puis on demande qu'il y ait une meilleure définition des termes. Mais
nous, on réfère, quand on parle de cote de crédit, au pointage de
crédit. Parce que, dans ma compréhension, ces cotes-là, là, R1, sont déjà
accessibles.
Mme
Rizqy : Pas pour tous.
TransUnion, hier, mentionnait que, pour avoir accès, il fallait payer 20 $ par mois de frais.
Mme Carpentier
(Marie) : Mais je pense que ça, c'était pour le pointage.
Mme Rizqy :
O.K. Donc, dans ce cas... Et puis...
M. Tessier (Philippe-André) : D'où
le...
Mme Rizqy :
D'où le... la conclusion.
M. Tessier (Philippe-André) : D'où
notre désir de préciser le libellé, cote...
Mme Carpentier (Marie) : Dans ma
compréhension, les cotes...
Mme Rizqy : Mais, dans tous les cas,
que les deux...
Mme
Carpentier (Marie) : ...les R sont accessibles. Donc, la cote qui est
associée avec une créance en particulier est toujours accessible. C'est
le pointeur.
Mme Rizqy : Pour éliminer toute
confusion.
Mme Carpentier (Marie) : C'est ça.
Mme
Rizqy : Pointage, le numéro à sept chiffres, là, codes, les cotes de
crédit, dans les deux cas, ça devrait toujours être accessible.
Mme Carpentier (Marie) : Oui.
Mme Rizqy : Puis, dans la mesure
du... et effectivement, aussi, gratuit.
Mme Carpentier (Marie) : Oui.
Mme
Rizqy : Parfait, Il y a aussi ce qu'on appelle les codes d'erreur, les
A1, A2, A3, lorsqu'un client appelle pour faire rectifier son dossier.
Ça aussi, j'imagine que vous serez enclins à dire que ça devrait être public?
Mme Carpentier (Marie) : On ne s'est
pas penchés sur cette question-là spécifique.
Mme Rizqy : D'accord. On s'en
reparlera au p.l. n° 64, si vous permettez.
Vous avez
aussi parlé de... brièvement, mais beaucoup plus dans votre mémoire, Saskatchewan, Ontario, je ne veux pas en oublier, il y a deux
autres provinces, le Nouveau-Brunswick et la Nouvelle-Écosse qui, eux,
encadrent davantage les agents d'évaluation. Il y a aussi des amendes, des
pénalités et des sanctions. Quel est le montant des sanctions dissuasives? Est-ce
que vous avez fait un tableau comparable?
Mme Carpentier (Marie) : Non. On ne
sait pas.
Mme Rizqy : D'accord. Juste avant
vous, il y avait la Commission d'accès à l'information qui disait : Il
faut vraiment lutter contre ce fléau. Ça
prenait vraiment un cadre juridique, mais aussi des sanctions dissuasives, puis
évidemment le budget qui vient
avec pour faire suivre. Est-ce que vous avez des recommandations au niveau des
amendes?
M. Tessier
(Philippe-André) : Bien, au niveau des montants, non, là, comme on n'a pas fait cette... Nous, dans notre exercice, notre regard, c'est les droits. Et
donc ce qu'on dit, c'est que, par
rapport à ça, ce qu'il faut, c'est
s'assurer qu'il y ait une sanction. Après ça, le montant de la
sanction, effectivement, il faut qu'il ait un impact. Mais nous ne sommes
pas les spécialistes des mesures pénales ou d'établissement de c'est quoi,
un...
Mme Rizqy : ...il y a quand même des
dommages qui peuvent être rendus, là, des fois, là.
M. Tessier (Philippe-André) : Oui,
mais il n'y a pas de montant spécifié, là. Je...
Mme
Carpentier (Marie) : Si je peux me permettre, je pense que l'AMF...
les représentations de l'AMF, hier, étaient
à l'effet qu'on devrait essayer de rattraper ce qui est proposé dans le projet
de loi n° 64. Puis c'est sûr que nous, on cherche effectivement... ou on estime que ce
serait une bonne idée que les pénalités soient effectivement dissuasives.
Mme
Rizqy : J'aimerais revenir... ce que vous avez mentionné dans votre
rapport, vous parlez des assurances. Pouvez-vous en parler davantage, de
ce nouveau phénomène?
Mme Carpentier (Marie) : Bien, ce
qui est...
M. Tessier (Philippe-André) : Oui.
C'est qu'on n'a pas vraiment beaucoup exploré cette question-là. On le mentionne parce que c'est mentionné en doctrine,
c'est mentionné un petit peu dans les traités là-dessus, mais on n'a pas fait
porter le coeur de notre mémoire là-dessus parce que notre... ce dont nous, on
a une expérience dont on peut témoigner, c'est logement et emploi. Donc,
quand on vient éclairer les commissions
parlementaires, on essaie de quand même
se limiter le plus possible à ce...
Mme
Rizqy : ...dans la doctrine
récente, c'est que, malheureusement, on a certaines compagnies d'assurance qui
demandent maintenant le dossier de cote de crédit, et ça peut exposer davantage
les communautés plus vulnérables. Est-ce que je me trompe?
M. Tessier (Philippe-André) : Non,
non, vous avez raison. C'est ce que la doctrine affirme, effectivement.
Mme
Rizqy : Parfait. Merci.
L'autre affaire que vous mentionnez dans votre mémoire, qui est toujours pertinent, vous avez souvent un mémoire très étoffé, les nouvelles façons de faire
du marketing, et plus précisément du marketing croisé, vous mentionnez l'article de Tristan Péloquin, qui date de
décembre 2019. Pour remettre en situation, M. le Président, c'est un article qui fait suite à la fuite de données chez Desjardins.
Desjardins a référé ses membres à la firme Equifax. On apprend par M. Hamel, qui est un
spécialiste... au niveau de tout ce qui est des pisteurs, ce qu'on appelle
en anglais des «trackers», des
identifiants, ce qu'on appelle en anglais des «cookies», il se rend compte
qu'il y a une brèche et que, par
conséquent, Equifax est en mesure de suivre le client et d'étudier, entre
guillemets, son comportement et pouvait faire ce qu'on appelle en
anglais aussi des «bundles», c'est-à-dire de l'information agrégée, et revendre
ça aux institutions financières. Donc, par exemple, une institution financière pourrait recouper de l'information avec les
codes postaux puis dire : Ah!
Ha! dans ce quartier, j'ai environ 20 %
de gens qui peuvent être, dans les trois prochains mois, à échéance sur
des marges de crédit. Alors, ça, c'est ce qu'on apprend dans l'article, un peu,
de M. Péloquin.
Est-ce que
ça, cette information... Premièrement... Je vais reformuler ma question.
Premièrement, qu'est-ce que vous pensez de cette pratique marketing?
M. Tessier (Philippe-André) :
Écoutez, c'est sûr et certain que... puis c'est ce qu'on mentionne dans notre mémoire, hein, donc... puis c'est un peu ce sur
quoi on veut interpeler le législateur, c'est de rappeler à quel point... puis
je pense que c'est rendu maintenant... il y
a une tautologie... tout le monde sait ça, l'information, c'est le nouvel
eldorado de la... c'est la monétisation de l'information. Et ça nous interpelle,
là.
Il y a deux
semaines... vous faites référence au fait qu'on s'est vus sur l'application...
une potentielle application de surveillance de COVID-19. Donc, c'est sûr
et certain que, dès qu'on collecte, qu'on commence à collecter de la donnée, on a beau vouloir mettre des protections
et des garanties, il y a toujours une donnée qui est collectée, et cette
donnée-là, elle est monnayable, elle a une valeur intrinsèque. Et c'est
un peu l'inquiétude qui est manifestée par rapport à cette histoire-là. Et c'est pour ça que, d'ailleurs, ce
qu'on rappelait, la notion du consentement, la notion de la durée de rétention,
la notion de faire en sorte qu'il y ait des
limites... Puis je comprends qu'on pourra reparler de ça également dans 64, là.
Mais je ne sais pas si ma collègue veut ajouter...
Mme Carpentier (Marie) : Bien, c'est
sûr qu'en termes de protection de la vie privée, du droit au respect de sa vie privée qui est inscrit à la charte, qui est
un droit fondamental, le droit au respect de la vie privée implique que, quand
on consent à la communication, il faut qu'on
consente à toutes les fins prévues à la communication. Puis ces usages-là de
marketing, ce ne sont pas, à notre connaissance, des fins qui avaient été prévues, qui avaient été soumises aux consommateurs.
Donc, ça constituerait une violation du droit au respect de sa vie privée.
Mme Rizqy : Une autre
question, toujours en lien avec cet article. Il y a, ici, un certain délai...
parce qu'au fond M. Hamel a publié ça sur son blogue, mais c'est
quand que c'est devenu davantage au niveau national par l'article de M. Péloquin dans La Presse
en décembre, alors qu'à ce moment-là Desjardins était au courant en novembre,
Equifax aussi était au courant en
novembre. Il y a un délai quand même assez important avant que la
population se rende compte de cette brèche, et donc une atteinte à la
vie privée potentielle.
Dites-moi,
dans le projet de loi n° 53, je ne vois nulle part une obligation de
divulgation. Parce que, oui, on a un droit,
mais encore faut-il savoir quand que notre droit est violé pour savoir qu'on a
un recours. Est-ce que ça ne serait pas approprié d'avoir... un peu comme, par
exemple, quand que j'ai un sinistre, je dois notifier rapidement sans délai mon
assureur. Ici, comment qu'un citoyen peut savoir qu'il y a une brèche si
personne ne l'informe?
Mme
Carpentier (Marie) : Bien,
je vous dirais que ça fait largement partie... ou indirectement partie de notre recommandation n° 5,
où on a recommandé que... puis je vous rappelle que le mémoire a été adopté
avant le dépôt du projet de loi n° 64, mais où on recommandait de prévoir que les
règles, dans le contexte du projet de
loi n° 53, prévoient l'imputabilité pour la sécurité des données. Donc, ça implique des obligations
de déclaration, ça implique éventuellement des sanctions pour des failles dans la sécurité
des données.
Mme Rizqy : Déclaration de brèche, c'est une chose. Et il y a souvent,
dans les institutions financières, des sinistres internes qui sont gérés à l'interne
mais qui ne sont pas communiqués. Puis on peut comprendre. Souvent,
c'est parce que c'est... on ne veut pas attirer la mauvaise presse.
Par contre,
si on veut outiller comme il faut nos corps policiers... L'an dernier, lorsqu'on
a tenu nos consultations, il y
en a qui ont dit : Oui, mais il
faudrait quand même qu'il y
ait un registre des sinistres
internes pour savoir si, oui ou non, on a assez de ressources pour
lutter contre les fraudes à l'interne.
M. Tessier
(Philippe-André) : Écoutez,
moi, je... juste pour revenir sur votre question aussi, évidemment,
puis c'est ce que... la partie de
notre mémoire sur notre recommandation 5, à
laquelle faisait référence ma collègue, le projet
de loi prévoit doter l'AMF
d'énormément d'outils pour assurer les saines pratiques commerciales. Donc, ce
à quoi vous faites référence, il y a des dispositions, là-dedans, qui finalement placent
sur, un peu, les épaules de l'AMF la responsabilité de venir encadrer
ces éléments-là.
Mme Rizqy :
O.K. Juste avant vous, on avait la Commission d'accès à l'information. Mon
collègue de René-Lévesque pointait justement les articles 42 et 43,
qui est une recommandation de retirer ces articles parce que ça viendrait restreindre la portée de la loi qui
est prépondérante, la loi sur l'accès aux renseignements privés. Êtes-vous
du même avis?
• (10 h 30) •
M. Tessier
(Philippe-André) : On n'a pas pris position sur cette question-là par
rapport au retrait. Ce qu'on peut vous
dire, c'est que c'est sûr et certain que... puis c'est une préoccupation que la
commission a exprimée dans d'autres cadres, d'autres projets de loi, c'est
sûr et certain, puis je le répète, lorsqu'il y a différentes lois ou différents
recours mis en place, évidemment,
là... Puis je vous... On écoutait ce qui se passait, là, on comprend qu'il y a
aussi l'AMF qui est impliquée, la CAI, ça nécessite une collaboration. De notre côté, nous aussi, on l'a vécu dans le p.l. n° 176, où, rétroactivement, la commission, on a à travailler avec
la CNESST dans les cas de harcèlement psychologique. Et, quand le législateur, dans sa grande sagesse, adopte différents
recours et qu'il y a différentes portes accessibles, c'est sûr et certain que, pour le citoyen,
bien, ça nécessite un choix, des fois, qui a des conséquences ou non, puis,
d'un autre côté, ça nécessite, pour
les organisations comme les nôtres, ou la CAI, ou l'AMF, de vraiment
travailler ensemble pour trouver les façons d'arrimer ça. C'est sûr que
ça ajoute de la complexité, oui.
Mme Rizqy :
Et je me permets peut-être une...
Le Président (M.
Simard) : ...
Mme Rizqy :
Ah! Bien, je vais vous dire merci, je n'ai plus de temps. Merci beaucoup.
Le Président (M.
Simard) : Merci à vous, Mme la députée de Saint-Laurent. M. le député
de Rosemont.
M.
Marissal : Merci, M. le Président. Soyez les bienvenus. Merci pour... merci pour le... le mémoire, je
vais finir par le dire, c'est vraiment
étoffé. Puis je ne dis pas ça juste parce que ça confirme beaucoup
de choses que nous disions ici, dans
l'opposition, ou qu'on pensait, mais parce que ça vient d'une
autorité et c'est vraiment très
bien expliqué, très bien explicité.
Je veux d'abord
revenir sur quelque chose que vous avez dit tout à l'heure. Un commerçant, puis
ça, c'est un problème connu, là, on le sait,
un commerçant peut inscrire une fausse créance sans avoir à le prouver, puis évidemment avec tous les impacts télescopiques que ça peut avoir, puisqu'on le sait
maintenant, la cote de crédit est utilisée à toutes
sortes de choses et en particulier ce pour quoi ça ne devrait pas être utilisé.
Pourquoi est-ce qu'on ne renverserait pas la
preuve, tout simplement, de dire : C'est au commerçant ou à Bell Canada,
parce que c'est un cas qui revient souvent, ou un câblo qui pense qu'il a été mal payé puis qui a une
contestation... que ça soit à cette entreprise de faire la preuve puisque, de toute
évidence, les répercussions de ça sont pas mal plus lourdes pour le petit que
pour le gros?
M. Tessier
(Philippe-André) : Oui, bien, c'est sûr... Je ne sais pas si ma collègue
veut commencer.
Mme
Carpentier (Marie) : Oui,
bien, moi, je vous dirais que notre recommandation de créer une obligation, puis je dirais une obligation de moyens, pour les
agents d'évaluation de crédit de vérifier minimalement la véracité de la dette,
ça va un peu dans ce sens-là, dans le fond. C'est de prévoir que, si le consommateur conteste la dette, l'agent
d'évaluation de crédit a une
obligation minimale, puis là on n'est pas rentrés dans les détails de la façon
dont s'opérationnalise cette obligation-là,
mais que ça... d'une certaine façon, ça permettrait, jusqu'à un certain point,
de renverser un peu le fardeau de la...
M. Marissal :
O.K.
M. Tessier
(Philippe-André) : L'idée, c'est de trouver une façon de rééquilibrer
un peu la situation.
M. Marissal :
Oui, parce que, par ailleurs, vous nous dites que les démarches pour faire
rectifier tout ça sont extrêmement lourdes, encore une fois, sur les épaules du
consommateur.
Mme
Carpentier (Marie) :
Exactement, puis, durant ce temps-là, bien, le dossier de crédit est entaché,
donc la faculté de conclure des transactions est amoindrie.
M.
Marissal : Exact. Avez-vous
une idée, étant donné le volume de plaintes que vous pouvez recevoir, du degré
d'exactitude ou du pourcentage d'exactitude... d'inexactitude, pardon, dans les
dossiers de crédit?
M. Tessier
(Philippe-André) : Non, on n'a pas cette information-là.
M. Marissal :
Mais vous disiez recevoir quand même un certain volume de plaintes liées à ça,
chaque année.
M. Tessier (Philippe-André) : Par
rapport à l'inexactitude du dossier de crédit, non.
M. Marissal :
...ou aux effets.
M. Tessier (Philippe-André) : Ça
serait plus les effets discriminatoires, pervers, oui.
M. Marissal : Les effets. Parfait.
Je comprends bien.
M. Tessier
(Philippe-André) :
L'inexactitude du dossier de crédit, là, ça va être... je vous dirigerais plus
du côté de ma collègue qui m'a précédé.
M.
Marissal : Je vous ramène un
peu en arrière, sur ce qu'on a beaucoup discuté hier, parce que je ne l'ai pas
vu dans votre mémoire puis je viens de repasser à travers les recommandations,
la gratuité du service pour les consommateurs.
M. Tessier (Philippe-André) : Bien,
pour ce qui est de la gratuité, écoutez, nous, ce qu'on fait dans notre mémoire, on fait référence notamment, là, encore
une fois, à un article de doctrine de Mme De Bellefeuille, et on mentionne
le fait que le droit à l'information
personnelle, il se matérialise par le droit d'être informé de l'existence d'un
fichier, puis évidemment d'y accéder
gratuitement, c'est un des éléments. Mais on parle d'information personnelle,
donc, évidemment, c'est qu'est-ce qu'on veut venir inclure, et là il y a un questionnement,
à savoir, puis c'est un peu un des éléments sur lequel on a soulevé, que le pointage de crédit, ça ne constitue pas un
renseignement personnel au sens de la loi sur le privé présentement. Alors, c'est sûr et certain que nous,
le sens de notre recommandation, quand vous regardez la recommandation 4 qui est en lien avec ça,
bien, c'est sûr et certain que... c'est pour ça que, nous, ce qu'on recommande,
c'est que l'ensemble, hein, des
renseignements, l'ensemble des cotes de crédit produites soit considéré comme
des renseignements personnels.
M. Marissal : Mais ça, ça se fait
dans 53 et non dans 64, selon vous?
M. Tessier (Philippe-André) : Bien,
ça, c'est une recommandation qu'on fait à la recommandation n° 4,
là, dans le mémoire actuel, c'est ça, tout à
fait, mais on ne prend pas l'angle de la gratuité, nous, ce n'est pas... c'est
l'angle du droit à l'accès à l'information.
M. Marissal : Merci.
Le Président (M. Simard) : Merci à
vous trois. M. le député de René-Lévesque.
M.
Ouellet : On va creuser un
petit peu. Droit à l'accès. Le droit de refuser l'accès ne devrait pas, lui,
être, je vous dirais, accessible à
tous? Parce que le verrou permet de verrouiller l'accès, et... Parce que je
comprends votre raisonnement, puis le
but, ce n'est pas pour vous piéger, mais vous nous dites : Si on changeait
la loi et on mettait les scores de crédit comme étant des scores... comme étant des renseignements personnels, à
ce moment-là, votre plaidoyer serait : Bien, si ce sont des renseignements personnels, on doit y
avoir accès de façon gratuite. Mais moi, je veux fonctionner à l'inverse.
Le fait de verrouiller ces accès-là, ça ne devrait pas être un droit qui
devrait être offert à tous?
M. Tessier
(Philippe-André) : C'est ça,
on ne s'est pas prononcés sur cette question-là dans notre mémoire et on n'a
pas creusé ce sujet-là, donc je ne voudrais pas vous... me prononcer sur
quelque chose qui n'y est pas, mais...
Mme
Carpentier (Marie) : Ce qui
est sûr, c'est que le droit au respect de sa vie privée, ça commande d'obtenir
l'autorisation du consommateur, en l'espèce, pour communiquer son information à des tiers. Donc, à chaque fois qu'on nous demande, dans ma compréhension, chaque fois qu'on nous demande de
communiquer notre dossier de crédit, on nous demande l'autorisation. Ce
qu'on soumet, c'est que, pardon, cette demande-là se fait souvent dans un
rapport déséquilibré où le consommateur se
ramasse à ne pas avoir le choix de dire : Oui, tu peux aller me chercher
la cote de crédit. Donc, ça, c'est
problématique au niveau, effectivement, de l'autorisation de communiquer à des tiers
quand il s'agit d'un employeur
ou quand il s'agit d'un locateur potentiel. Le consommateur est un peu, sous
peine de se voir refuser l'emploi ou de se
voir refuser le logement, coincé dans sa faculté de consentir ou non à la
communication de ses dossiers de crédit.
Mais, théoriquement, en ce moment, à chaque fois qu'il
y a communication du dossier de
crédit, l'autorisation, sous réserve
du marketing dont on a parlé tout à
l'heure, où là l'autorisation n'est
pas demandée, donc c'est clairement
une violation du droit au respect de la vie
privée. Dans les autres circonstances, normalement l'autorisation est demandée,
mais on ne peut pas considérer ça nécessairement
comme un consentement libre et éclairé dans la mesure où il y a
une forme de pression, de pression, par ailleurs, économique,
éventuellement.
M. Ouellet : O.K. M. et Mme
Tout-le-monde va se poser la question, suite à nos auditions, la Commission des droits de la personne et des droits de la
jeunesse est une commission extrêmement importante qui permet aux citoyens et citoyennes du Québec d'avoir des recours lorsque ses droits ont été
brimés. Et donc, si je pousse le raisonnement un petit peu plus long, j'ai été victime de piratage, mes données ont été
volées, j'aurai des préjudices potentiels, on pourrait cloner mon identité, demander du crédit. Bref,
j'en aurai encore peut-être pour quelques années à me dépêtrer dans tout ça. Le verrou de crédit est un outil que le
législateur met en place pour limiter les dommages. À ce moment-là, est-ce que la Commission des droits de la
personne ne devrait pas dire : Bien, écoutez, si ce verrou-là est
accessible et voulu par le législateur, il ne devrait pas être accessible pour
tous et donc gratuit? Tu sais, j'essaie de pousser le raisonnement, là. M. et Mme Tout-le-monde, là, veut entendre la Commission
des droits de la personne, on inclut un nouveau droit, est-ce que ce
droit-là devrait être accessible à tous et donc gratuit?
M. Tessier
(Philippe-André) : Écoutez,
M. le député, je vous entends bien, là, j'entends bien... M. le Président, j'entends bien le député,
le but de notre mémoire, et le propos de notre mémoire, n'est pas... et
l'angle, ce n'est pas sur la question de la gratuité, ce n'est pas là le champ d'action
de la commission. Ce que je vous répète, c'est ce qui est prévu à
notre recommandation n° 4 et c'est ce que ma collègue vous a expliqué. Maintenant,
si le corollaire de ça, si la résultante de ça, c'est, effectivement,
plus de gratuité pour le consommateur, vous ne nous entendrez pas pousser des
hauts cris.
M.
Ouellet : O.K.
C'est un pas par en avant, mais je veux juste que vous soyez bien conscient
que, pour les gens, là, la commission,
c'est important, la Commission des
droits de la personne, c'est... Puis,
vous l'avez dit tout à l'heure, vous avez eu à interférer dans
différents dossiers où est-ce qu'il y a un usage, entre parenthèses, abusif.
Le Président (M. Simard) : Alors, en
conclusion.
M. Tessier
(Philippe-André) : Mais pas
dans le cas dont on parle là, je veux juste dire... Puis le recours prévu
à la commission, c'est un recours
en discrimination. Donc là, ce dont on parle, c'est vraiment plus de la
prérogative de l'AMF puis de la CAI, mais...
Le Président (M. Simard) : Merci.
M. Ouellet : Merci.
Le
Président (M. Simard) :
Merci. Merci à vous deux. Alors, Mme Carpentier, M. Tessier, de la Commission des droits de la personne et des
droits de la jeunesse, merci pour votre précieuse contribution à nos travaux.
Sur ce, je suspends momentanément notre séance.
(Suspension de la séance à 10 h 40)
(Reprise à 10 h 49)
Le Président (M. Simard) : Merci à
vous, chers collègues. Merci à nouveau pour votre ponctualité, et votre assiduité, et votre discipline. Je n'aurais pas
assez de mots pour vous dire merci. Nous recevons maintenant
M. Michel Carlos, spécialiste en lutte contre la fraude.
M. Carlos bienvenue parmi nous.
M. Michel Carlos
M. Carlos (Michel) : Merci.
Le Président (M. Simard) : Vous
disposez d'une période de 10 minutes.
M. Carlos
(Michel) : Bon, bonjour,
tout le monde. Merci de me recevoir à cette commission. Ça me fait plaisir d'être
invité. Je vais faire un petit portrait de moi. Disons que j'ai été 20 ans
aux enquêtes criminelles au niveau de la Sûreté
du Québec, spécialisé en fraude au
niveau des crimes économiques. Après ça, pendant 13 ans, j'ai été dans une
grande institution financière comme enquêteur puis après ça comme directeur des
enquêtes au niveau de l'institution financière.
Par la suite, quatre années... depuis quatre années, je suis dans le secteur
privé, et on s'occupe des enquêtes de fraude, aussi, et d'assistance de
«due diligence».
• (10 h 50) •
Évidemment,
le... comment je dirais, dans le... j'ai regardé le projet de loi. Très intéressant. C'est sûr, c'est des termes, je dirais, plus techniques, tandis que, dans le quotidien...
moi, je travaille dans le quotidien, je suis quelqu'un de terrain.
Donc, dans le quotidien, c'est un bureau de crédit, c'est un Beacon score, tu
sais, c'est une fiche de crédit, on s'entend. C'est comme ça dans le jargon du
monde financier, là, on parle de ces choses-là.
Par mes diverses fonctions, j'ai eu à analyser,
je dirais, des milliers de dossiers de crédit, pas des centaines, des milliers de dossiers de crédit que j'ai eu à
examiner au niveau des fiches techniques. C'est sûr que les fiches de crédit,
c'est des... c'est une source importante d'information de renseignement dans le domaine des enquêtes. Vous comprendrez,
c'est important dans le domaine des crédits,
mais dans le domaine des enquêtes aussi. Rappelons que... Vous devez savoir que les organismes
d'application de la loi... des consommateurs, excusez, à part les organismes
d'application de la loi, des consommateurs doivent donner leur
consentement pour que les gens consultent leur bureau de crédit. Ça, c'est bien
important.
Mais c'est
quoi, l'objectif d'un dossier de crédit? Auprès d'un agent d'évaluation
de crédit, c'est de permettre au
consommateur d'obtenir un prêt ou un autre type de crédit, tel des cartes de
crédit, des hypothèques, des marges de crédit, un prêt auto, des ventes à tempérament,
etc., auprès des institutions financières, évidemment, qui sont les
principaux... ou les commerçants. Qui
est-ce qui alimente les bureaux de crédit, principalement? C'est les
banques, dont ils se nourrissent et alimentent aussi les bureaux de
crédit et les agences.
Dans les
faits, probablement que la majorité des citoyens, là, quand on parle, ils ne savent pas c'est
quoi, un bureau de crédit. On leur
demande, ils vont dire : Bien, ça touche mon crédit. J'ai... Depuis quelque
temps, je réfléchis évidemment à... En venant à la commission,
je me suis dit : Qu'est-ce qui
est à la mode de ce temps-là? Le terme «empreinte numérique», c'est à la mode. On se demande : Est-ce qu'on
va vers une empreinte numérique, identification numérique? Moi, j'ai dit :
Le bureau de crédit, c'est comme une
empreinte financière. Dans le fond, c'est le portrait de vos finances... d'un
individu.
Aujourd'hui,
il y a-tu quelqu'un qui n'a pas un cellulaire, une carte de crédit, un prêt
personnel, hypothécaire, des biens achetés à crédit? Ça veut dire
qu'aujourd'hui, en 2020, la majorité des citoyens ont une empreinte financière.
Dans ce
bulletin, ce que j'appelle l'empreinte financière, vous retrouvez la majorité
des informations qui vous concernent, et elles sont en possession des
agences de crédit, évidemment, Equifax puis TransUnion, pour ne pas les nommer,
les principaux au Québec.
Le bureau de
crédit comprend plusieurs informations. Des noms, des dates de naissance, hein,
des informations nominatives, les
noms, date de naissance, emploi, adresse actuelle, adresse antérieure,
téléphone et souvent le numéro d'assurance sociale, en plus de plusieurs
informations financières. Quand un client d'une agence de crédit s'informe
de votre dossier de crédit, il obtient l'ensemble de ces informations-là. Donc,
c'est sensible.
Le client fait une demande de prêt hypothécaire,
une marge de crédit, il donne son consentement. Un client achète une carte de crédit, achète un véhicule
automobile, des meubles, un appareil électronique, il donne son consentement.
Le consommateur, lui, il a un contrat
cellulaire, il donne son consentement. Le citoyen désire louer un nouveau
logement, il donne son consentement. Aujourd'hui... dans le monde
d'aujourd'hui, les propriétaires vont demander le consentement des gens avant de louer puis ils vont faire
l'enquête de crédit. Vous appliquez
pour un emploi ou une promotion? Vous allez donner votre consentement
aussi à ce qu'on consulte votre bureau de crédit. Donc, ce que j'appelle
l'empreinte numérique... l'empreinte financière est très importante et est mise
à la disposition de beaucoup de gens aujourd'hui.
Comme j'ai mentionné, par mon travail, par mes
différents travaux au fil de ma carrière, j'ai eu à analyser des milliers de dossiers de crédit et j'en examine
encore régulièrement. Fort de cette expérience, en examinant une fiche de crédit, je peux rapidement établir le niveau de
risque financier qui lui est associé de façon à faire des recommandations en ce sens. Ça veut dire, quand je regarde un bureau de crédit,
je regarde, je l'analyse, je ne fais pas juste regarder le Beacon score, je regarde l'ensemble, ça donne un
portrait d'individu. Je vais pouvoir analyser, les clients nous le demandent,
je vais dire le niveau de risque associé à
ce client-là. Un emploi, une promotion, une location de logement peut vous être
refusé, vous ne savez pas pourquoi? Votre dossier de crédit peut être en cause.
Au niveau
bancaire, votre dossier de crédit déterminera si un prêt est accordé, si le
taux d'intérêt qui vous sera attribué
pour un prêt, une marge de crédit, une hypothèque... à quel taux, là? Il peut
avoir une différence de 1 % à
3 % dépendamment de votre cote de crédit, mais le consommateur ne le sait
pas. Il fait application, l'institution va donner son prêt, mais lui, il va avoir une marge qui va être
de 1 %, 2 % plus élevée à cause d'un dossier de crédit qui est
plus... disons, plus mauvais.
Même la SCHL tient compte du dossier... de la
cote de crédit avant d'accorder des assurances au niveau des acheteurs de
maison.
Donc, comme j'ai mentionné, la majorité des gens
se fient à la cote Beacon score, mais il faut aller plus loin que ça quand on analyse un bureau de crédit. Selon
moi, la société a évolué, puis aujourd'hui il faut aller plus loin dans la...
regarder l'ensemble de la fiche de crédit d'un citoyen ou d'un consommateur.
On va venir
un petit peu plus dans le cadre du... ce qui m'intéresse, on pourrait dire,
davantage : le vol d'identité, bureau de crédit. Le dossier de
crédit est très important. Pourquoi? Parce que l'objectif d'un criminel qui
usurpe l'identité, c'est de faire de
l'argent, c'est de commettre une fraude. Quand il y a une usurpation
d'identité, qu'est-ce qu'on retrouve? Le fraudeur, il va faire une
demande, une application de carte de crédit, une marge de crédit, il va faire
une demande à une institution financière à
votre nom. À ce moment-là, il y a un «hit» qui va arriver, qui va apparaître au
bureau de crédit. Si le client bénéficie d'une l'alerte de fraude,
évidemment, il va pouvoir contrecarrer le fraudeur.
On a des
centaines sinon des milliers de vols d'identité, puis chaque vol d'identité, ça
fait que les fraudeurs vont s'adresser
pour avoir un prêt, il va y avoir des victimes en conséquence. Donc, c'est pour
ça que l'alerte de crédit est très importante à ce niveau-là.
Vous savez au niveau du... Si le crime ne paie
pas, bien, le criminel va arrêter de commettre les crimes. Si les fraudeurs... Parce que les réseaux criminels au niveau
du vol d'identité, ce n'est pas juste un individu, c'est un groupe d'individus. S'ils n'ont plus accès, dans le fond, au bureau de crédit, dans le sens pour aller chercher des informations,
la fraude va diminuer beaucoup.
Donc, c'est très important de mettre des balises et, dans le fond, des verrous au niveau
du dossier de crédit pour empêcher les fraudeurs de commettre ces fraudes-là.
Je me posais
d'autres questions, des réflexions que je me suis faites avant de venir ici. Il y a beaucoup d'informations sensibles au niveau
du bureau de crédit, et on laisse ça à des entreprises privées. Donc, c'est
sûr, ce n'est pas pour demain, ce n'est peut-être pas pour rapidement,
mais pourquoi qu'on laisse nos informations sensibles aux mains de compagnies
privées? Alors, est-ce que ça pourrait être l'AMF ou le Bureau du Surintendant
des institutions financières qui
pourrait, dans le fond, c'est une idée que je lance comme ça, être
responsable de gérer les dossiers de crédit? On aurait, à ce moment-là, moins de risques aussi au
niveau des bris de sécurité au niveau
des agences, puis ça serait contrôlé par une agence, je pourrais dire,
plus centralisée.
Le Président (M. Simard) : En
conclusion.
M.
Carlos (Michel) : Donc, si vous avez des questions, gênez-vous pas,
j'ai une vaste expérience dans le domaine.
Aussi, qu'est-ce que je voulais dire pour finir, c'est que je
rencontre encore régulièrement des victimes de vol d'identité, et le vol d'identité a des grandes
répercussions au niveau des citoyens. Et c'est ça qui vient me toucher.
Puis ces gens-là, ils ont beaucoup de difficultés...
Le Président (M.
Simard) : Merci.
M. Carlos
(Michel) : ...dans le fond, je prends l'exemple, pour ne pas le
nommer...
Le Président (M.
Simard) : Merci, M. Carlos.
M. Carlos
(Michel) : O.K., c'est beau.
Le
Président (M. Simard) : Vous
pourrez poursuivre sans doute un peu plus tard à travers des questions
qui vous seront adressées. M. le ministre.
M. Girard
(Groulx) : Bien, vous pouvez prendre 30 secondes pour terminer
votre idée. Allez-y.
• (11 heures) •
M. Carlos (Michel) : O.K. Ce que je disais, c'est que les vols d'identité,
c'est des réseaux, des fraudeurs. Si on prend l'exemple de Capital One
ou de Desjardins, ils ont volé des centaines, des millions, on le sait,
d'informations nominatives sur des citoyens.
Mais ces fraudeurs-là ne vont pas aller... S'ils ont pris votre identité, à
vous ou la mienne, ils vont... puis
chez Desjardins, qu'est-ce
qu'ils vont faire? Ils ne vont pas
aller ouvrir un compte chez Desjardins. Ils vont aller dans une autre institution
financière. Donc, les fraudeurs font ça. Donc, Desjardins, ils sont... À ce
moment-là, il arrive quoi? Le consommateur, il s'adresse à moi, il dit : J'ai été victime d'un vol
d'identité, voici, moi, j'étais client de Desjardins, et je... une autre
institution... je ne suis pas client de l'autre institution où ils ont ouvert un compte bancaire, et j'ai été victime d'une fraude. Là, il s'adresse à Desjardins,
ils ont certains systèmes, il dit : Ah! la fraude n'est pas chez
nous. Là, il s'adresse à l'autre institution, il dit : Oui, mais la fraude, elle est chez nous, mais on pense,
ça peut venir du vol d'identité de Desjardins. Donc, le pauvre... Moi, je suis un expert là-dedans,
là, mais, le pauvre citoyen qui arrive, qui s'adresse à moi pour avoir
de l'aide, je peux dire qu'il est vraiment perdu.
L'autre point que je
veux souligner, c'est au niveau du financement. J'ai entendu des gens qui en
ont parlé. Je pense, c'est important, au niveau du financement, c'est que, si on réduit le vol d'identité, qui compte pour des
millions de fraudes au niveau du Québec, entre autres, cet argent-là, c'est des banques qui vont les sauver, cet argent-là
pourrait être mis au niveau des bureaux de crédit pour rendre la gratuité pour le
consommateur. C'est ce que je voulais dire pour finir.
M.
Girard (Groulx) : Merci.
Puis c'est une nuance intéressante, parce
qu'on a beaucoup
parlé de gratuité, puis je pense que la gratuité pour le consommateur puis la gratuité totale, ce n'est pas la même chose. Si l'institution financière paie et que le client a un bon service gratuit
mais payé par l'institution
financière, c'est beaucoup
mieux qu'un service minime gratuit. Ce n'est pas une question, c'est un
éditorial. J'arrive avec ma question.
M. Carlos
(Michel) : O.K. Excusez.
Des voix :
...
M. Girard
(Groulx) : Ce n'est pas une question. Vous aviez l'air déstabilisé. C'est-à-dire
il y avait un point. Pouvez-vous... Puisque
vous êtes sur le terrain, pouvez-vous nous expliquer la différence entre
l'alerte, qui est gratuite, et le service de surveillance, qui est
payant? Desjardins, ils ont payé pour quoi au nom des citoyens?
M. Carlos
(Michel) : Oui, c'est-à-dire, ils ont payé les citoyens, ça veut dire,
s'il y a un changement...
M. Girard
(Groulx) : Ils ont payé Equifax au nom de leurs clients.
M. Carlos
(Michel) : Equifax pour les citoyens, excusez, oui, c'est ça, c'est-à-dire...
Et ce qui est important, et c'est sûr, c'est
que, si quelqu'un s'informe... Donc, c'est comme un verrou, dans le
fond. Si quelqu'un s'informe, vous allez être informé qu'il y a quelqu'un qui a fait une demande de crédit, une demande de
crédit, donc vous pouvez voir si c'est vraiment vous ou ce n'est pas
vous. C'est ça, l'important, à ce moment-là, d'avoir l'alerte de sécurité.
M.
Girard (Groulx) : Non, mais je veux juste être clair, là, l'alerte,
c'est une note au dossier qui peut être demandée par le client ou qui peut être mise par l'institution financière au nom
du client. On a vu que c'était assez chaotique, là, parce que, l'institution financière, en théorie,
on aurait voulu qu'elle fasse des inscriptions en batch, qu'elle inscrive des
millions de personnes au service d'alerte,
mais, en pratique, chaque individu a dû s'inscrire à l'alerte. Mais l'alerte,
c'est une note au dossier de crédit,
que vous appelez le bureau de crédit, qui pourra être consulté par les
institutions financières. Mais, le client, lui, l'alerte, c'est une
protection, mais, le service de surveillance, c'est le client qui devra être
informé qu'il y a eu une demande de crédit à son nom?
M. Carlos (Michel) : Oui, c'est ça.
M. Girard
(Groulx) : O.K. Puis ça, ça coûte combien, en pratique?
M. Carlos (Michel) : Bien, c'est
entre 7 $ puis 20 $ par mois.
M. Girard
(Groulx) : O.K. Entre 7 $ et 20 $ par mois pour savoir,
comme citoyen, ce qui se passe, l'activité dans votre dossier de crédit.
M. Carlos
(Michel) : Oui, puis être
informé... Parce que moi, là, je n'en fais plus, des demandes de crédit et des
demandes de prêt, on s'entend, je n'en fais
plus tellement, là. Mais, si tu t'inscris, là, pour faire un... Je me suis
inscrit avant, aussitôt que la fraude
est sortie, je me suis inscrit moi-même pour ne pas prendre de chance. Donc, si
quelqu'un, si une banque ou n'importe
quel commerce fait une demande à mon crédit, pour mon dossier, moi, je vais
être alerté, je vais le savoir. Puis c'est sûr que ce n'est pas moi.
M. Girard (Groulx) : Est-ce que vous
le savez avant que le crédit soit octroyé ou après?
M. Carlos (Michel) : Non, c'est ça
qui est le problème actuellement, on ne le sait pas avant.
M. Girard (Groulx) : O.K. Ça fait
que, là, je suis client de la banque X, on vole mes données, on va à la banque Y, petite banque, fait une demande de
carte de crédit, là, je vais recevoir un avis, parce que j'ai payé mon 7 $
à 20 $ par mois, je vais recevoir un avis que petite banque y
a octroyé du crédit à mon nom?
M. Carlos (Michel) : Oui, c'est ça,
vous allez être informé.
M. Girard (Groulx) : Puis là je fais
quoi?
M. Carlos
(Michel) : Bien là, vous
prenez des dispositions pour... dans le fond, vous prenez certaines
dispositions pour informer le bureau de crédit que ce n'est pas vous,
dans le fond.
M. Girard (Groulx) : O.K., mais
après la transaction.
M. Carlos
(Michel) : C'est ça qui est
le problème, et j'en viens... c'est que, dans le fond, ce qui serait idéal,
puis ce qui serait idéal pour prévenir la fraude et aussi empêcher, dans
le fond, les fraudeurs...
M. Girard (Groulx) : C'est dans les
lignes directrices...
M. Carlos (Michel) : ...d'usurper
l'identité... oui.
M. Girard
(Groulx) : ...demander à ce que quelqu'un qui a payé pour le service
de surveillance soit avisé avant
l'octroi de crédit.
M. Carlos
(Michel) : C'est ce que ça
prendrait et ça prendrait un genre... dans le fond, un genre de verrou. Avant
même qu'ils autorisent...
M. Girard
(Groulx) : Ça fait que ça, ce serait comme un verrou effectif avant développement informatique puis... On
n'aurait même pas besoin de verrou si, dans les lignes directrices, on
obligeait le client à donner son consentement
pour octroi de crédit si... et a le service de surveillance.
M. Carlos
(Michel) : C'est la clé. Ça,
c'est la clé, parce que, pour... À ce
moment-là, c'est sûr, vous l'avez
dit, si vous êtes informé après coup,
il y a une partie de la... vous allez limiter la balance de la fraude, mais
vous allez déjà être fraudé, dans un certain sens. Mais, si vous devez
donner votre autorisation avant tout nouveau crédit, c'est ça qui serait idéal.
C'est sûr, c'est beaucoup de travail pour les agences.
M. Girard (Groulx) : O.K., mais normalement
ça, c'est combiné, votre service de surveillance est combiné avec l'alerte.
Alors, normalement, petite banque Y ne devrait pas octroyer du crédit à un
dossier qui a une alerte.
M. Carlos (Michel) : Ça prend un
verrou, ça prend un verrou, pas juste une alerte.
M. Girard (Groulx) : Mais l'alerte
incite l'institution financière à faire des vérifications supplémentaires.
M. Carlos (Michel) : C'est ça.
M. Girard
(Groulx) : O.K.,
bon, puis... O.K., puis notamment, là, normalement, une institution financière, sachant qu'il y a eu un vol de données chez une grande
institution financière québécoise, quand tu vas voir un dossier de cette
institution-là, tu n'auras pas besoin de l'alerte pour être alerté.
M.
Carlos (Michel) : Non, parce
qu'eux, ils vont prendre les dispositions. Mais moi, je parle... même si ce
n'est pas un vol... vous n'avez pas été victime d'un vol d'identité.
Idéalement, je parle idéalement, c'est que tout citoyen, s'il y a une demande qui est faite à votre nom pour
un nouveau crédit, à ce moment-là, si vous devez donner votre autorisation, à
ce moment-là, c'est là qu'on va prévenir les fraudes. Parce que, si vous ne
savez pas que vous avez été victime d'un vol
d'identité et que vous n'avez pas mis une alerte, à ce moment-là, il peut... vous avez été victime, puis les fraudeurs vont
l'utiliser. C'est dans un monde idéal.
M. Girard
(Groulx) : O.K. Là,
vous, vous êtes maintenant consultant après une longue carrière, là, vous
n'avez pas de lien avec les parties prenantes du dossier qui nous amène
ici, là.
M. Carlos (Michel) : Aucunement.
M. Girard
(Groulx) : Aucun, bon, c'est
bon. Comment vous qualifieriez le service que les citoyens
ont reçu? Il y a eu la fraude, c'est un événement déplorable, difficile, très difficile
pour les citoyens, O.K.? Après ça, on se retrousse les manches, on demande à l'institution financière
d'améliorer sa gouvernance, ses services informatiques, puis on offre aux citoyens des services pour se protéger,
notamment l'alerte et la surveillance. Comment ça s'est passé pour les citoyens?
M. Carlos
(Michel) : Je vous dirais,
moi, ce que je vis, c'est que les citoyens sont... continuent d'être dépourvus,
dans le fond, parce que, la fraude, ils la
constatent après qu'elle est arrivée. Si vous avez une carte de crédit qui est
ouverte à votre nom en Alberta, à Calgary, à ce moment-là, 30 jours...
il va y avoir une alerte qui va être... il va y avoir une information, mais dans les 30 jours, ça ne
sera pas immédiat. C'est ce qui arrive que... les citoyens sont pris avec des
fraudes, puis là ils ne savent pas
comment... à qui s'adresser, comment refaire leur bureau de crédit puis comment
courir, dans le fond, après les institutions pour donner l'information. Ils
sont vraiment dépourvus.
M. Girard (Groulx) : O.K. Mais vous,
vous êtes après la fraude, O.K.?
M. Carlos (Michel) : Oui.
M. Girard
(Groulx) : Oui, puis là
l'institution financière, puis on aura l'occasion de leur demander qu'est-ce
qu'ils ont fait, ils ont amené le service
que j'appellerais après fraude, l'assistance, puis etc., et je vais les laisser
expliquer. Mais, le service de
bénéficier de l'alerte et de surveillance, là, on a des millions de personnes
qui se sont inscrites à ce service, est-ce qu'ils ont eu un bon service
payé par Desjardins?
• (11 h 10) •
M. Carlos
(Michel) : Oui, oui, mais
ça, je vous dirais, c'était, entre guillemets, le minimum à faire. Ça, c'est
une prévention qui est réelle, quand même.
M. Girard (Groulx) : Le minimum?
M. Carlos
(Michel) : Bien, il fallait
mettre un avis au bureau de crédit. Quand quelqu'un est victime... quand une
institution est victime d'un bris de sécurité, il faut que le bureau de crédit
soit avisé pour que les... s'il y a une autre demande, s'il y a une
enquête, bien, ils vont savoir qu'il y a une alerte de sécurité.
M. Girard
(Groulx) : O.K. Ça fait que,
là, ils ont eu... selon vous, ils ont eu un niveau de service minimum, ils ont
eu la surveillance et l'alerte.
M. Carlos (Michel) : Oui, parce que
le service que moi, idéalement... il n'existe pas, dans le fond.
M. Girard (Groulx) : Non, le verrou,
on va y arriver, on va faire ça tous ensemble.
M. Carlos
(Michel) : Il n'existe pas.
Mais là ils ont eu quand même le service... un service, je pourrais dire, au
niveau prévention de base.
M. Girard (Groulx) : O.K.
M. Carlos
(Michel) : C'est ce que je qualifierais.
M. Girard
(Groulx) : Mais ce n'est pas
de base parce que le minimum, c'est l'alerte, c'est gratuit. Là, ils ont
eu un service bonifié de surveillance payé par l'institution financière qui a
été victime du vol.
M. Carlos
(Michel) : Non, mais, quand
je dis «minimum», c'est le minimum de prévention qu'une institution
qui est victime d'un bris de sécurité devrait accorder à ses clients.
M. Girard
(Groulx) : O.K., oui,
devrait accorder. Mais, dans les faits, il y a du service moindre qui est
accordé dans certaines situations.
M. Carlos
(Michel) : C'est ça, dans certaines situations, oui.
M. Girard (Groulx) : O.K. Est-ce que
vous avez des questions?
Le Président (M. Simard) : Il reste
une minute, cher collègue. M. le député de Saint-Jérôme.
M.
Chassin : Oui, moi, j'en ai
une. Bonjour, d'abord. J'en ai une rapide, juste pour me confirmer un élément,
je voudrais le valider avec vous. Ce que je
comprends, c'est que, pour le règlement fédéral, je crois, du recyclage des
produits de la criminalité puis du financement des activités terroristes, il y
a un processus de vérification d'identité qui, pour des institutions financières, peut comporter, par exemple, la consultation du dossier de crédit. Puis, comme beaucoup de
gens nous disaient : Bien, il ne faut pas du tout... quand il y a un gel,
dans le projet de loi, on prévoit ce gel-là, il ne faut du tout que ça soit communiqué. Mais je
voulais être certain que là on a un cas où on voudra sans doute continuer
de pouvoir avoir accès quand même au dossier de crédit pour certaines
circonstances. Est-ce que vous pouvez nous confirmer que ça existe puis que
c'est bien le cas?
M. Carlos (Michel) : Non, mais,
c'est parce que le dossier de crédit, ça prend un consentement du client. C'est
indéniable, ça prend un consentement du client. Ce qui arrive, c'est que, dans
une institution, le consentement est donné...
Le Président (M. Simard) : Merci
beaucoup.
M. Carlos
(Michel) : ...dans le fond, d'une manière générale, quand vous ouvrez un compte. C'est dans ce
sens-là.
Le Président (M. Simard) : Très bien.
Merci, M. Carlos.
M. Carlos (Michel) : Donc, c'est une
extension. Je ne sais pas si ça répond à votre question.
M. Chassin :
Oui.
Le
Président (M. Simard) : Merci beaucoup, M. Carlos. Merci. Malheureusement, on a des enveloppes de temps très
serrées, comme vous le savez. Mme la députée de Saint-Laurent... M. le député
de Pontiac.
M.
Fortin : Merci. Merci, M. le Président. Merci, M. Carlos, d'être avec nous. J'en arrive
à vous dans deux petites secondes,
mais le ministre s'est permis un éditorial, puis il n'y a pas
grand avantage d'être dans l'opposition, ici, mais un des avantages, c'est qu'on peut éditorialiser l'éditorial du ministre.
Le ministre s'est permis de revenir et d'ancrer un peu, là... de s'ancrer sur sa position qu'il a
présentée hier par rapport aux méfaits potentiels de la gratuité ou aux
risques potentiels de la gratuité.
Je trouve ça malheureux, M. le Président. Parce
que, depuis hier, on entend, à cette table-ci, des groupes de consommateurs. On a entendu TransUnion, même, dire
qu'il n'y avait pas d'enjeu avec la gratuité, qu'eux se conformeraient comme ils le devaient. On a entendu des experts en
la matière dire qu'il n'y avait aucun risque à la gratuité, mais le ministre
semble s'ancrer dans sa position. C'est
comme s'il était à une table d'environnementalistes, M. le Président, puis il
reprenait l'éditorial du Calgary Sun.
Il y a quelque chose qui ne marche pas dans l'argumentaire du ministre. Puis
j'espère qu'à la fin de la journée, aujourd'hui, il va avoir compris un
peu plus que ce qu'il a entendu hier.
Une voix : ...
M. Fortin :
Non, malheureusement, ce n'est pas comme ça que ça marche. M. Carlos,
j'apprécie votre présentation, puis ce que
j'aime de la façon que vous l'avez exposée, c'est que vous l'avez présentée à
partir du point de vue citoyen,
à partir du quotidien du monde qui ont vécu des fraudes ou qui ont eu des
fuites par rapport à leurs données personnelles.
Est-ce que...
Et nous, on part de ce moment-là, hein, cette commission-là est née un peu,
là, de la... ou le projet de
loi, et toute la discussion qu'on a, est né un peu de la fuite de données qu'il
y a eu chez Desjardins. Est-ce que les institutions financières, de façon
générale, en font assez pour protéger les données qu'ils ont sur les citoyens?
M. Carlos
(Michel) : Bien, par
expérience, je vais vous dire que les institutions dépensent des millions et des millions de dollars pour, dans le fond, protéger les données. Ça fait 10, 15 ans que les grandes institutions ont dépensé des millions,
parce que c'est très sensible, puis ils sont conscients de ça, ils dépensent beaucoup
d'argent. Mais il faut comprendre que
ça va vite, et les fraudeurs aussi, la technologie avance. Mais je
peux vous dire que c'est un des points où ils dépensent beaucoup
d'argent, parce que le risque premier d'une institution, c'est le risque de
réputation.
Si vous êtes
victime, au-delà du risque monétaire, si vous êtes victime d'un bris de
sécurité, votre réputation... c'est
pour ça que les institutions n'hésitent pas à mettre beaucoup d'argent et de
mettre beaucoup de technologies pour empêcher le vol... les bris de sécurité.
Mais on regardera dans... En général, malheureusement, il y a beaucoup de vols
de données qui viennent de l'intérieur.
Donc, peu importe ce que vous mettez comme système pour empêcher les intrusions
externes, il va y avoir... Parce que les réseaux criminels, ils ont soif de ces
données-là aussi.
M. Fortin : Vous avez eu une discussion
intéressante avec le ministre à propos de gel versus alerte, un peu plus tôt, des concepts, là, qui sont introduits
dans le projet de loi n° 53. Quand vous parlez à des citoyens, qu'est-ce
qu'ils veulent, eux, par rapport à leurs dossiers? Parce que vous avez parlé
des avantages du gel ou du verrou, là, disons, versus une alerte, qui souvent... qui vient après un
incident. Mais le citoyen, là, comment il veut se protéger, lui? Qu'est-ce qui
lui est plus utile?
M. Carlos
(Michel) : Malheureusement, le citoyen, souvent, ça va être de se
faire rembourser, c'est d'ordre pécuniaire. Parce que ce n'est pas toujours
évident, des fois le fardeau de la preuve est au citoyen, pour prouver qu'il
n'a pas été négligent et il a vraiment été victime. Puis, s'il a été victime
d'un vol d'identité, il va être remboursé, mais
ce n'est pas toujours évident. Des fois, ça vient par des textos, des e-mails,
des PayPal qui ont été compromis, puis le
citoyen, il arrive là-dedans puis il est vraiment perdu, là. Il vient nous
voir, puis on essaie de démystifier ça puis l'aider à monter le dossier pour
dire : Écoutez, moi, je suis client, et j'ai été victime, quelque part,
d'un vol d'identité, et j'ai perdu de l'argent. Il y a-tu quelqu'un...
Qui va me rembourser?
M. Fortin : Ça, c'est un point intéressant. Est-ce que le support ou l'appui qu'on
donne aux citoyens est assez? Parce
que le point que vous faites, essentiellement, là, c'est qu'il y a un paquet
d'outils différents que le citoyen peut utiliser, mais, lui, ce qu'il veut à la
fin de la journée, c'est de se faire rembourser, puis probablement, en même
temps, de s'assurer que ça n'arrivera
plus. Alors, est-ce que... Quand vous dites : Ils viennent nous voir, puis
nous, on les aide, bien, est-ce qu'on
en fait assez? Est-ce que les institutions financières en font assez pour
appuyer les gens dans cette démarche-là? Est-ce qu'Equifax, TransUnion, est-ce que l'AMF, la commission... est-ce
qu'ils en font assez, eux, pour aider le citoyen dans cette démarche-là?
M. Carlos (Michel) : Je dirais, tout le monde est plein de bonne volonté, mais c'est ardu,
c'est difficile. Ils se heurtent à,
comment je dirais ça... à des
machines anonymes, dans le fond, dans un certain sens. Puis, de toute manière,
un vol d'identité, normalement, là, avec le
temps perdu, des pertes, tout ça, c'est évalué à 10 000 $ et 20 000 $ par vol
d'identité d'un citoyen. Multipliez ça par
le nombre de fraudes de vol d'identité, on rentre dans les millions de dollars.
Cet argent-là pourrait être mieux placé ailleurs.
Le Président (M.
Simard) : Mme la députée de Saint-Laurent.
Mme Rizqy :
Bonjour, M. Carlos.
M. Carlos
(Michel) : Bonjour.
Mme
Rizqy : L'an dernier, l'été dernier, il y avait cette dame, qui est
une cliente de l'institution Desjardins, qui, malheureusement, a été fraudée. Lorsqu'elle est partie en vacances, à
son retour de vacances, elle a appris qu'effectivement non seulement
elle a été victime de la fuite de données, mais vraiment de fraude, puisqu'un
prêt a été contracté mais en Ontario. Dans
le projet de loi n° 53, qu'est-ce qui va faire en sorte qu'on va protéger
ce type de fraude, lorsque le vol se fait au Québec, mais la fraude se fait
dans une autre province ou aux États-Unis?
M. Carlos (Michel) : Bien, disons qu'au niveau du... le bureau de crédit, bien, c'est
centralisé, ça fait que, si... l'alerte va rentrer quand même, s'il y a
une alerte, peu importe...
Mme Rizqy :
Mais ça n'a pas empêché que le prêt a été contracté.
M. Carlos (Michel) : Ça n'a pas empêché, mais, les fraudeurs, c'est ça qu'ils font, c'est
qu'ils vont aller dans d'autres provinces, ils vont passer par une carte
de crédit.
Mme
Rizqy : Alors, si je comprends bien, tantôt, votre échange avec le
ministre, pour que les gens qui suivent, là, puissent bien comprendre et imager
votre propos, c'est que, vous, en fait, ce que vous essayiez d'expliquer
au ministre, c'est que ça ne sert à rien
d'être notifié après que la personne a réussi à contracter un prêt frauduleux.
Il faut qu'elle soit notifiée avant que le prêt soit accordé.
• (11 h 20) •
M. Carlos (Michel) : Bien, c'est-à-dire que ça sert quand même, après, de limiter le nombre
de fraudes, mais idéalement... idéalement, je ne rentre pas dans les coûts des
agences, tout ça, là, ça ne me concerne pas, là, c'est leur problème, mais, ce que je veux dire, moi, comme
consommateur, je regarde le crime organisé, des réseaux de fraudeurs, ils s'enrichissent de millions avec les vols
d'identité. Si à... Quelque institution ou commerce fait une demande de crédit
à votre nom, une nouvelle demande, il ne devrait pas être accordé sans que vous
donniez votre autorisation. Si on fait ça, les fraudeurs, ils ne pourront plus usurper l'identité, et frauder, et avoir
des millions pour s'enrichir, le crime organisé. Ces millions-là
économisés pourraient être repris par les banques et servir à financer, dans le
fond, la prévention. C'est comme ça que je le vois, globalement, là.
Mme Rizqy :
Parfait. Merci. C'est beaucoup...
M. Carlos (Michel) : Je ne sais pas
si c'est assez clair, là.
Mme Rizqy :
Oui, moi... pour moi, oui, c'est très clair. Merci. J'aimerais souligner que
vous avez dit que, pendant 20 ans, vous
avez été à la Sûreté du Québec et, maintenant, que vous êtes aussi...
institutions financières. Sans révéler
quoi que ce soit auprès de votre employeur, avez-vous une idée de combien qu'il
y a d'incidents non rapportés dans les institutions financières?
M. Carlos
(Michel) : Non. Ce que je
peux dire, c'est qu'il y a... le chiffre noir, en général, en matière de
fraude, il est très élevé. Ça veut
dire qu'on rapporte très peu. Si vous dites qu'il y a eu, je ne sais pas, moi,
2 000 vols d'identité rapportés au centre anticrime du Canada,
multiplié par 10, c'est le nombre réel.
Dans des institutions, il y a beaucoup
de petites fraudes, et, celles-là, on ne
peut pas... les institutions ne peuvent pas rapporter ça à la police, ils
seraient inondés. Donc, on rapporte les réseaux ou les gros dossiers seulement.
Mme
Rizqy : C'est quand même
pertinent, ce que vous venez de dire : Les institutions, si elles devaient
rapporter les incidents, elles... ce
serait inondé d'incidents. Et pourquoi je tiens à le mentionner, c'est parce que
les budgets qui sont accordés à la police, c'est en
fonction des incidents. Alors, si on
ne rapporte pas les incidents, on ne peut pas accorder les ressources nécessaires à la lumière des
informations qu'on ne détient pas. Alors, est-ce que... Pensez-vous qu'on
pourrait avoir un registre, à tout le
moins, des incidents, pour être en mesure d'avoir une meilleure adéquation au niveau
des vols de données, et surtout que, depuis les dernières années, ça
s'est accéléré, le vol de données?
M. Carlos
(Michel) : Bien, disons,
c'est le nerf de la guerre. Puis il y
a quelques années, il y avait un
projet, là, pour avoir une
nouvelle... un groupe mixte, là, au
niveau de la fraude, au niveau
des policiers et des banques. Et c'est sûr, vous avez raison, dans le sens que c'est la poule et l'oeuf, si les gens
ne rapportent pas les fraudes, les corps policiers, quand ils font... ils regardent les budgets, puis
le politique va dire : On vous donne de l'argent. Ah! les fraudes ont
diminué, à ce moment-là, on va baisser votre budget. Si... Les citoyens,
eux autres mêmes, ils ne rapportent pas la... ils sont remboursés par
l'institution, souvent ils ne vont pas aller à la police. Donc, plus vous
rapportez d'événements, on va avoir un portrait réel du chiffre puis de la
fraude et des montants.
Mme Rizqy : Dites-moi, sur le
«dark Web», une carte de crédit, ça vaut combien?
M. Carlos (Michel) : Ça ne vaut pas
grand-chose, là.
Mme Rizqy : Non?
M. Carlos (Michel) : Non.
Mme Rizqy : Qu'est-ce qui vaut
grand-chose sur le «dark Web»?
M.
Carlos (Michel) : Bien,
disons, au niveau... c'est parce que c'est dilué au niveau du «dark Web»,
à ce moment-là, c'est des... Il faut
que ce soit... Il y a des milliers, des centaines de milliers de numéros de
cartes puis de... sur le «dark Web»,
là. Ça veut dire, une carte, ça ne vaut pas grand-chose, là.
Mme Rizqy : Vous ne me rassurez pas,
là.
M. Carlos
(Michel) : Il faut... Ce qui
vaut cher, c'est, exemple,
malheureusement, un employé d'une institution qui a de l'information, qui est
prêt à la voler... ou à la vendre plutôt, puis rapidement. Plus que c'est fait
rapidement, plus ça vaut cher, dans
le fond. Puis malheureusement il y en a régulièrement. Le crime organisé
infiltre les institutions, c'est sûr.
Le Président (M. Simard) : En
conclusion.
Mme Rizqy : Bien, merci beaucoup,
M. Carlos.
Le Président (M. Simard) : Merci. M.
le député de Rosemont.
M. Marissal : Merci, M. le
Président. Alors, pour poursuivre dans notre série d'éditoriaux
unidirectionnels, j'ai noté tout à l'heure que le ministre des Finances a dit
qu'un service payé par les institutions, c'est mieux qu'un service minimum offert par les agences de crédit.
J'espère que je le cite bien parce que j'aime beaucoup ce que je viens
de lire, et ça va être utile pour la suite des choses.
Vous avez dit
tout à l'heure, M. Carlos, qu'il faut toujours donner son consentement
quand quelqu'un utilise... va fouiller dans notre dossier de crédit.
Vous avez même dit : C'est vrai pour le logement, pour l'emploi. Mais vous
êtes au courant que ce n'est pas toujours
le cas, qu'il y a des gens qui se servent comme dans un buffet
chinois là-dedans, puis on ne le sait pas, là.
M. Carlos (Michel) : Ça ne devrait
pas exister.
M. Marissal : Mais ça existe.
M. Carlos (Michel) : Bien, c'est... Je vous... Selon moi, ça existe,
mais c'est l'exception, c'est de l'infiltration, des choses comme ça. Ou c'est déjà arrivé, à
un moment donné, que, si... par
expérience, un commerce s'abonne pour avoir
de l'information à un bureau de crédit, mais ce commerce-là est
relié au crime organisé. Donc, il va demander de l'information, mais, à
ce moment-là, sous des formes
frauduleuses, pour avoir de l'information sur des citoyens, ou des policiers, ou des hommes politiques,
pour avoir leurs adresses. Ça, on a déjà vu ça dans le passé.
M.
Marissal : Là, vous me dites
que quelqu'un qui va louer un logement ou qui veut un emploi, systématiquement, va se faire dire :
Tu sais que je vais aller fouiller dans ta cote de crédit, donc est-ce que tu
acceptes?
M. Carlos
(Michel) : Ce n'est pas explicite comme ça, je veux dire, c'est...
vous signez un consentement. Le consentement
dit que vous autorisez à aller fouiller votre dossier de crédit, c'est écrit
comme ça, et toute autre vérification, dépendamment des formulaires.
M.
Marissal : Je vous soumets
que, dans la vraie vie, c'est plus slaque que ça, qu'il y a
pas mal de gens qui vont fouiller sans aller chercher l'autorisation.
M. Carlos
(Michel) : Mais les agences de crédit ne devraient pas...
M. Marissal :
Ah! bien oui, ça, c'est autre chose.
M. Carlos
(Michel) : ...sans... il faut qu'il y ait un système de reddition de
comptes. Quand je mentionnais l'AMF ou le BSIF pour avoir un contrôle de reddition
de comptes rigoureux... Évidemment, si quelqu'un forge votre signature sur un formulaire de consentement puis
il l'envoie à une agence de crédit, la personne qui a forgé votre signature, votre
consentement, peut avoir toutes vos informations aux niveaux nominatif et
financier.
M.
Marissal : Bien, je suis
heureux de vous l'entendre dire. Je n'ai malheureusement pas beaucoup
de temps pour fouiller, là, votre
idée, là, de confier à l'AMF ou au Bureau du Surintendant... mais on aura
l'occasion d'y revenir dans l'étude
plus approfondie du projet de loi. Mais il
y a quelque chose là, effectivement, puisque pourquoi confier absolument
au privé ce que l'État
devrait protéger, c'est-à-dire l'identité et la sécurité, la probité de
l'identité de ses citoyens? Je n'ai pas le temps malheureusement
d'aller là-dedans.
Si
on avisait systématiquement les consommateurs à chaque fois qu'il y a
un mouvement dans leurs comptes, dans leurs dossiers... ça se fait, ça?
M. Carlos (Michel) : C'est ça. Ce que je dis, c'est que, s'il y a
une demande de crédit, il faut qu'il
y ait quelque chose de substantiel, là, une carte, une hypothèque,
une marge de crédit, une auto. À ce
moment-là, idéalement, il faudrait
que le consommateur donne son autorisation, à ce moment-là, le bureau de crédit, avant de... C'est là
qu'on prévient la fraude. Mais
surtout c'est les fraudeurs... Le vol d'identité est payant parce que les
fraudeurs peuvent ouvrir des comptes de
banque, peuvent aller chercher des marges de crédit, peuvent aller chercher des
cartes de crédit puis frauder. S'ils ne peuvent plus avoir... s'ils ne peuvent plus ouvrir de compte de banque,
de marge, puis tout ça, parce qu'il y
a un verrou qui est significatif au niveau
de l'agence de crédit, ils vont... le vol d'identité va baisser parce que le
crime ne sera plus payant.
M.
Marissal : Je vous arrête
là. Une dernière question. Vous avez dit tout à l'heure que les
banques, les institutions financières
mettent beaucoup d'argent dans la prévention. Mais, dans le fond, est-ce que les grandes banques n'acceptent pas qu'ils vont en échapper
une partie, puis que c'est comme un prix à payer pour faire de la business,
puis qu'ils vont en perdre un petit peu?
M. Carlos (Michel) : Bien, c'est une balance... j'appelle ça une balance des inconvénients.
Vous savez, malgré les millions de fraudes... Moi, je suis un ancien
enquêteur.
Le Président (M.
Simard) : Merci.
M. Carlos
(Michel) : Je suis un ancien enquêteur, ça fait qu'au niveau de la
fraude...
Le Président (M.
Simard) : Merci, M. Carlos.
M. Carlos
(Michel) : ...c'est les montants qui est important, là.
Le Président (M.
Simard) : Merci, M. Carlos. Je cède maintenant la parole au député
de René-Lévesque.
M. Ouellet : Merci. On a parlé tout à
l'heure que, l'alerte de sécurité ou
la vigie qu'on peut avoir sur notre dossier de crédit, on arrive après coup, la fraude a eu lieu, puis là on est
alerté d'activité suspecte sur notre identité. Si, à la base, le verrou
avait été installé, on s'entend qu'on n'aurait pas eu besoin de l'avis de
sécurité.
M. Carlos
(Michel) : C'est sûr. Si le
verrou est installé avant, à ce
moment-là, ça va empêcher le fraudeur
d'aller chercher un compte de banque, une carte de crédit à votre nom.
M. Ouellet : O.K. Donc, on fait un cas d'espèce, je suis un
citoyen et j'apprends par mon institution financière ou par une relation d'affaires quelconque que j'ai
été victime d'un vol d'identité. Il y a quelqu'un qui détient mon identité qui
n'aurait pas dû la détenir. Rapidement, je m'en vais en ligne et j'applique le
verrou sur mon crédit. Techniquement, je n'ai pas été fraudé encore, je
viens d'apprendre, là, mais... puis vous dites que ça circule quand même assez
vite, les informations, mais je viens
d'apprendre, l'entreprise déclare : 40 000 personnes ont été
victimes du vol d'identité, nous allons
communiquer avec eux dans les 24, 48 prochaines heures. Je reçois un
courriel me disant que mon identité circule, je vais mettre mon verrou.
C'est quand même la chose à faire minimalement, je pense, au départ.
M. Carlos
(Michel) : Effectivement, parce qu'à ce moment-là, si quelqu'un a
usurpé votre identité, il s'en va en «B.C.»
chercher une carte locale là-bas, à ce moment-là, ça va rentrer au bureau de
crédit, ça va être verrouillé, ça prend votre autorisation pour
déverrouiller, vous ne serez pas victime de la fraude.
M. Ouellet : Donc, si les institutions déclarent rapidement, tel qu'il est prévu de
le déclarer dans les nouvelles lois
qu'on va adopter, à savoir que j'ai été victime d'une attaque, on a volé
l'identité, donc, si rapidement ils le déclarent, rapidement ils rentrent en
communication avec leurs clients, rapidement je peux appliquer le verrou de
sécurité pour la première partie, c'est-à-dire d'éviter qu'il y ait fraude,
parce que là je suis au départ, là.
• (11 h 30) •
M. Carlos
(Michel) : ...question de temps. Puis même il peut y avoir des
ententes que l'institution va les... mettre
le verrou au nom de ses clients qui sont victimes du vol d'identité.
C'est encore plus rapide, ça se fait... parce que, là, au lieu que ça soit le client qui appelle, à
ce moment-là, l'institution envoie ça en vrac au bureau de crédit, et toutes
les victimes vont... ils vont avoir des
alertes mises dans leurs dossiers. C'est encore plus rapide, parce que, vous
avez raison, le temps est important, la réaction est importante.
M. Ouellet :
Et donc, si le citoyen a ces outils-là mais ne les prend ou décide de ne pas
appliquer le verrou, lui-même s'expose à des
dangers, et là, par la suite, s'il se fait cloner ses informations puis se fait
demander du crédit en son nom, bien là, l'alerte de sécurité, par la
suite, pourrait l'informer d'une activité suspecte sur son compte, mais...
M. Carlos
(Michel) : Va l'informer, mais elle ne sera pas en prévention.
M. Ouellet :
Donc, il serait pertinent d'avoir ce verrou le plus rapidement possible,
lorsqu'il est indiqué, et, je présume, accès gratuitement et en ligne en
quelques clics. Ça serait un genre de choses qu'on devrait avoir.
M. Carlos
(Michel) : Mais le plus rapidement possible, et, comme je le
mentionnais, c'est une question de si vous
prévenez la fraude et vous sauvez des millions... c'est les banques qui
remboursent les clients, finalement. Donc, si les banques économisent des millions par des mesures de sécurité
concrètes au niveau des bureaux de crédit, ces millions-là pourront servir pour
compenser pour le... dans le fond, les coûts pour la gratuité du consommateur.
Je le vois comme ça, là. Parce que la banque... une banque, ça calcule,
hein?
M. Ouellet :
Oui, oui.
M. Carlos
(Michel) : J'ai été dans une institution, ça fait que je peux vous
dire que, quand j'arrivais avec un projet, ce n'était pas comment ça coûte,
c'est comment ça rapporte. Il fallait que j'arrive puis...
Le Président
(M. Simard) : En conclusion.
M. Carlos
(Michel) : ...que le rapport soit plus important que le coût. Ils vont
faire ce calcul-là.
M. Ouellet : Est-ce que le p.l. n° 53 pose des obstacles
au travail des policiers si on applique un verrou sur le dossier de
crédit?
M. Carlos (Michel) : Non. Ils sont à part. Ils ont un privilège
spécial, les corps policiers. Selon moi, ça ne pose pas de problème,
pour les agences, l'application de la loi.
Le Président
(M. Simard) : Très bien.
M. Ouellet : Merci.
Le
Président (M. Simard) : Alors, M. Carlos, merci beaucoup
pour votre précieuse contribution à nos travaux.
Sur ce, je suspends
notre séance pour une période de 10 minutes.
Une voix :
Merci.
Le Président
(M. Simard) : Au plaisir.
(Suspension de la séance à 11 h 32)
(Reprise
à 11 h 42)
Le
Président (M. Simard) : À l'ordre, s'il vous plaît! Alors, chers collègues, il y a
consentement afin de reprendre plus rapidement
que prévu nos travaux. Merci à nouveau pour votre collaboration. Nous sommes en présence de représentants du Mouvement Desjardins. Bonjour, messieurs.
Auriez-vous l'amabilité, s'il vous
plaît, pour les fins de nos
travaux, de vous présenter?
Mouvement Desjardins
M.
Grimard (Yvan-Pierre) : Avec plaisir. Alors, je suis
Yvan-Pierre Grimard, vice-président Relations gouvernementales et institutionnelles
au Mouvement Desjardins.
M. Jodoin (Yann) : Bonjour, je suis Yann Jodoin. Je suis vice-président des solutions
de paiement, de financement et de la gestion financière au quotidien
pour le Mouvement.
Le Président (M.
Simard) : Bienvenue à vous deux. Vous disposez d'une période de
10 minutes.
M. Grimard (Yvan-Pierre) : M. le Président, M. le ministre, mesdames et messieurs, membres de la commission,
le Mouvement Desjardins apprécie avoir
l'occasion de contribuer aux travaux de la commission sur un projet de loi qui, il faut le dire, devrait positionner le Québec comme chef
de file en matière d'encadrement des agents d'évaluation du crédit et de protection des renseignements personnels qu'ils détiennent. Cependant, permettez-moi d'exprimer notre surprise par l'absence d'autres institutions financières aux travaux de la commission. Puisqu'elles font partie de l'écosystème,
elles auraient certainement pu contribuer à vos réflexions.
Cela
dit, revenons au projet de loi qui, à juste titre, propose un encadrement des
agents de crédit inspiré de celui imposé aux institutions financières.
Pensons, par exemple, aux obligations relatives aux saines pratiques commerciales,
au traitement équitable des consommateurs et
à l'obligation d'offrir un mécanisme de gestion des
plaintes et de règlement des différends, le tout sous la supervision de l'Autorité des marchés financiers. Sauf erreur, je pense qu'il est inédit de
confier l'encadrement des agents de crédit à un régulateur des marchés
financiers, ce qui nous apparaît comme étant judicieux, et nous tenions
à le souligner.
Le
projet de loi introduit également des mesures qui
permettront aux Québécoises et aux Québécois de contrôler l'accessibilité à leur
dossier de crédit, d'exiger une vérification additionnelle de leur identité par
un tiers s'apprêtant à consentir un crédit,
d'en connaître le contenu et de le corriger le cas échéant. Dans les
faits, les agents de crédit occupent un
rôle central dans l'écosystème de crédit de plusieurs juridictions puisqu'elles détiennent le portrait global des emprunteurs à l'égard
de leurs obligations financières et de leurs comportements de crédit,
ce sont auprès d'elles que les institutions financières s'alimentent pour
gérer leur risque. Il est donc pertinent d'imposer un cadre aux joueurs clés
que représentent les agents d'évaluation du crédit.
Aussi,
nous pensons qu'avec cet encadrement, il sera plus difficile pour les fraudeurs
de déjouer les institutions financières et qu'il réduira le nombre de
crédits consentis à des personnes qui ne sont pas celles qu'elles prétendent être. Il y a même lieu de croire à une réduction
de l'appétit des fraudeurs pour les renseignements personnels des Québécois.
Maintenant,
puisque vous nous avez invités à donner notre point de vue, nous vous
proposerons deux types de recommandations.
Certaines visent à simplifier la gestion des protections choisies par les
consommateurs, alors que d'autres
visent à atténuer les effets de la loi sur la fluidité des rapports qu'ils
entretiennent avec les prêteurs mais aussi auprès des commerçants avec
lesquels ils souhaitent transiger.
Ainsi,
le Mouvement Desjardins, comme première recommandation, propose que le
gel de sécurité ne s'applique pas à l'augmentation d'une limite de crédit. Nous
sommes d'avis que le gel de sécurité ne devrait pas s'appliquer lorsque le dossier de crédit est requis, dans la mesure où
il y a déjà une relation en cours, les vérifications ont été faites au moment
d'offrir le crédit, et, ensuite de ça, il y
a un suivi de fait à partir de nos systèmes sur le comportement. Alors, on voit
peu de valeur ajoutée à inclure l'augmentation de limite de crédit dans
ce contexte-là.
De
plus, pour maintenir une certaine fluidité dans le système, nous recommandons
d'obliger les agences de crédit à informer l'institution financière lorsqu'un
gel de crédit est appliqué au dossier. Nous ne voyons pas d'avantage à ce que l'institution financière soit privée de
cette information. Au contraire, cela risque de semer la confusion,
d'occasionner des délais de traitement des demandes et de
l'insatisfaction de la part des emprunteurs. En permettant à l'agence
d'informer l'institution financière, celle-ci pourra expliquer à son client
pourquoi sa demande n'a pu être traitée, et ce dernier pourra poser les gestes
requis pour suspendre le gel et finaliser son dossier avec le prêteur.
Aussi, pour protéger
les consommateurs contre les oublis et lui permettre une gestion plus simple de
ses protections, le Mouvement Desjardins
recommande que la durée du gel de crédit et de l'alerte de sécurité soit
illimitée au lieu d'être fixée par règlement. Le but est d'éviter qu'un
individu pense que le gel de crédit ou l'alerte de sécurité est toujours
en vigueur alors que le délai imparti par règlement est dépassé. Pour
nous, les consommateurs ne devraient pas avoir à se demander si leurs
protections sont en vigueur ou à renouveler.
Le Mouvement
Desjardins recommande également d'obliger les agences de crédit à fournir aux
institutions financières les outils
technologiques pour permettre à leurs membres ou clients de se prévaloir du gel
de crédit et de l'alerte de sécurité
par le biais de leurs applications bancaires, par exemple dans AccèsD pour les
membres Desjardins. Selon nous, le moyen d'appliquer le gel de sécurité et de
le suspendre doit être le plus simple possible pour les utilisateurs.
Cela éviterait les désagréments liés à la gestion d'identifiants et de mots de
passe et permettrait une gestion plus optimale de leurs dossiers, en plus de
réduire les délais relatifs à l'ajout ou au retrait des protections.
Nous recommandons aussi d'obliger les
agences de crédit à se communiquer les demandes visant un gel ou une alerte de sécurité. L'objectif est de permettre
aux prêteurs d'éviter des erreurs et de simplifier la tâche aux consommateurs.
Dans les faits, une personne qui formulera une demande de crédit ne saura pas
nécessairement à quelle agence elle doit
s'adresser pour autoriser à nouveau l'accès à son dossier, compliquant ainsi sa
gestion et allongeant les délais pour l'obtention d'un crédit. Enfin, si les
mesures de sécurité ne sont pas communiquées entre les agences, des personnes
risquent d'être sous l'impression d'être
pleinement protégées alors que, dans les faits, leur dossier serait accessible
auprès d'un autre agent d'évaluation du crédit.
Le Mouvement
Desjardins recommande aussi d'obliger les agents de crédit à se partager entre
eux leurs données d'alerte afin qu'elles
fournissent un service d'alerte consolidé aux consommateurs qui y consentent ou
qui en formulent la demande.
L'objectif est d'éviter que le consommateur reçoive plusieurs alertes pour les
mêmes événements et à divers moments, créant ainsi de la confusion et un
stress inutile.
• (11 h 50) •
Enfin,
le Mouvement Desjardins recommande que les mesures de protection soient sans
frais pour les consommateurs, et ce,
tant pour un ajout que pour un retrait. Puisque les renseignements détenus
permettent aux institutions financières
et aux prêteurs d'en tirer des revenus et des profits, il nous semble être dans
l'ordre des choses que les consommateurs
n'aient pas à payer pour gérer leur protection. La gratuité est, selon nous, le
meilleur gage d'accessibilité qui soit.
Pour
conclure, le Mouvement Desjardins recommande de ne pas sous-estimer l'ampleur
des changements qui... qui
découleront, pardon, du nouvel encadrement, que ce soit en matière de développement
informatique, de révision des processus
ou de fluidité des interactions entre tous les prêteurs et leurs clients, mais
aussi entre ses clients et les commerçants avec lesquels ils veulent transiger. Les attentes des consommateurs sont
élevées lorsqu'il s'agit des crédits, et, même si l'objectif est de leur offrir une protection
accrue, nous anticipons devoir gérer
de l'insatisfaction en raison des probables délais additionnels avec
lesquels nous devrons composer, du moins, pour un certain temps.
En
conclusion, le Mouvement Desjardins estime qu'il s'agit d'un bon projet de loi et recommande son adoption,
tout en soulignant que la destination
finale, en matière de protection des renseignements personnels, devrait être l'offre d'une identité numérique à tous les Québécois.
Voilà. Il s'agissait des mesures qui
nous semblaient les plus pertinentes à
mettre de l'avant avec vous aujourd'hui. Je vous remercie de votre attention.
Nous sommes disponibles pour répondre à vos questions.
Le Président (M. Simard) :
Merci, M. Grimard, pour votre présentation. M. le ministre.
M.
Girard (Groulx) : Merci pour
vos suggestions, elles seront considérées sérieusement. Dans les faits, combien de clients de Desjardins se sont
inscrits chez Equifax suite au vol de données?
M. Grimard (Yvan-Pierre) : Si vous êtes d'accord, M. le Président, je demanderais à mon collègue de répondre à la question.
M.
Girard (Groulx) : Je vais
faire une déclaration, M. Jodoin et moi avons déjà
travaillé pour une institution
financière d'une couleur différente à une autre époque.
M. Jodoin
(Yann) : À une autre époque. Merci. Alors...
M. Girard
(Groulx) : On jouait pour une autre équipe. Voilà.
M. Jodoin (Yann) : Oui. M. le ministre, je n'ai pas les données à jour, les dernières
données, mais il y a plus de 1 million de nos membres qui
se sont inscrits à la protection de l'alertage notamment chez Equifax.
M. Girard (Groulx) :
O.K. Ils se sont inscrits à quoi?
M. Jodoin (Yann) : Bien, ils se sont inscrits à la protection Desjardins, et notamment dans
le package de protection Desjardins,
il y a un service avec Equifax qui permet de faire l'alertage quand il y a une
consultation sur le bureau de crédit ou des changements d'information
sur leur bureau de crédit.
M. Girard
(Groulx) : L'alertage à l'institution financière qui octroie le
crédit.
M. Jodoin
(Yann) : Non, aux consommateurs.
M. Girard (Groulx) :
Aux consommateurs.
M. Jodoin (Yann) : Exactement. Donc, nous, on n'a pas la visibilité de cet
alertage-là qu'Equifax, par exemple,
va envoyer. Donc, s'il y a une demande de crédit faites, un «hit», si vous
voulez, une inquisition sur votre dossier de crédit
ou un changement d'information sur votre dossier de crédit, le consommateur va
recevoir, généralement par courriel, une information que le dossier a
été consulté ou a été changé.
M. Girard (Groulx) : O.K. Et donc plus de 1 million de personnes se sont inscrites au service de ce que nous,
on a appelé, jusqu'ici, au service de surveillance, et c'est vous qui avez payé
pour ça, vous, au sens de l'institution.
M. Jodoin
(Yann) : Oui. Exact.
M. Girard
(Groulx) : O.K. O.K. Et vous avez payé pour le service minimal,
«premium, de grande qualité? Quel service?
M. Jodoin (Yann) : En fait, il y a des pratiques qu'Equifax a dans le monde, dans ce
genre de situation là. Et nous, Desjardins, on a été, là, à votre
expression... allé dans le «premium». En fait, il n'y a personne,
à la connaissance, selon le feed-back
que nous avons reçu, là, de l'agence de crédit qui offre le même service. Généralement, lorsque des protections
d'alertage sont payées par une institution
financière, c'est sur... pour un an.
Nous, on est allé jusqu'à cinq ans.
M.
Girard (Groulx) : O.K.
Donc, le service... je ne suis pas convaincu qu'«alertage», c'est un mot
français, là. Le service de... Le
service d'alerte qui, lui, est gratuit. On s'inscrit, on a ce service-là, mais
ça, ça informe les institutions qui
octroient le crédit. Donc, vous avez facilité l'inscription, payé pour
l'inscription au service de surveillance, qui a permis aux citoyens de
savoir l'activité sur leurs dossiers.
M. Jodoin
(Yann) : Exact.
M.
Girard (Groulx) : Et vous
avez choisi le meilleur service. Est-ce
que le service a fonctionné? Est-ce que,
selon vous, les gens qui se sont
inscrits... Par exemple, combien il
y a eu de fraudes sur ces comptes-là
ou il y a eu... Est-ce
que le service a fonctionné puis on
peut dire que c'est... selon vos statistiques, il n'y a eu aucune fraude sur ces comptes-là?
M. Jodoin (Yann) : Je n'irais pas à dire qu'il n'y a eu aucune fraude, mais effectivement le service fonctionne, je
l'utilise, personnellement. Et effectivement, lorsqu'il
y a de l'information ou des changements sur le bureau de crédit, on est informés. La
conséquence, c'est que c'est nouveau pour les consommateurs d'avoir ce type
d'alerte là, et donc beaucoup se sont questionnés sur le type d'alerte qui est
généré : changement d'adresse, une information, une réquisition,
une requête sur le score de crédit, par
exemple, ou l'ajout d'une nouvelle
facilité de crédit sur le bureau de crédit. Alors, ça a généré beaucoup d'appels chez
Desjardins, parce que nos membres voient ces alertes-là, ne sont pas encore
assez éduqués sur le type d'alerte que ça génère, parce qu'il n'y a pas nécessairement
un grand contrôle sur le type d'alerte qu'on
veut recevoir, là, c'est... Il y a un changement, il y a un impact, on reçoit
l'alerte, donc... Mais avec le temps, puis on en a... Les gens ne réalisent pas
qu'il y a beaucoup de changements sur leurs bureaux... sur leurs
dossiers de crédit, là. Alors, avec le temps, les gens s'habituent, et
donc on a vu une réduction, là, de volumétrie d'appels chez nous, chez Desjardins, parce que les gens appellent l'institution financière avec qui ils font affaire pour comprendre pourquoi
il y a eu des changements.
M. Girard
(Groulx) : O.K. Là,
je vais faire un contre-éditorial. Parce
que vous, vous n'êtes pas habitué à
la joute parlementaire, mais, lorsque je parle, mes collègues font des éditoriaux sur
ce que j'ai dit. Alors là, je vais dire quelque chose, puis mes
collègues pourront faire un éditorial là-dessus. Donc, les clients ont eu accès à un service
gratuit, payé par Desjardins.
M. Jodoin
(Yann) : Oui, c'est Desjardins qui a payé pour le service.
M. Girard
(Groulx) : Bon, voilà. Merci. Pourquoi on n'a pas pu faire une
inscription en batch? Pourquoi, s'il y a eu x millions de personnes qui ont eu... qui ont été victimes, pourquoi,
en 48 heures, Desjardins n'a pas été capable de s'entendre avec Equifax sur les personnes qui
avaient été victimes du vol et faire une inscription en batch, je ne sais
pas c'est quoi, le...
Une voix :
...
M. Girard
(Groulx) : Non, pas en rafale...
M. Jodoin (Yann) :
...de masse.
M. Girard
(Groulx) : Pourquoi
on n'a pas pu faire... Pourquoi Desjardins n'a pas pu faire l'inscription de masse
pour toutes les victimes?
M. Jodoin (Yann) : Il y a deux choses. Un, il y a un indicateur qui est
mis qui est... une inscription qui est mise au dossier de crédit qu'il y a potentiellement... O.K. Puis ça, c'est fait en masse. Donc, on inscrit,
on informe le bureau de crédit qu'il peut y avoir eu une vulnérabilité,
là, sur l'information du bureau de crédit ou sur la personne.
M. Girard
(Groulx) : Ça, c'est l'alerte.
M. Jodoin (Yann) : Non.
M. Girard
(Groulx) : Non, O.K.
M. Jodoin
(Yann) : ...ça, c'est un
indicateur de masse. Après ça, pour que le consommateur reçoive des
alertes sur des changements ou des
activités sur son bureau de crédit, il
faut que ça soit le consommateur qui fasse l'action, qui fournisse,
qui donne le consentement à Equifax, au bureau de crédit, là, de s'inscrire
à cette... à recevoir l'information, de donner ses... un, de
l'authentification.
Donc, nous,
ce qu'on a fait, c'est qu'on a envoyé, si vous voulez, un code d'inscription
gratuite à nos membres. Et là, après ça, ils devaient s'identifier,
s'authentifier, faire le match avec leurs fiches de crédit et, après ça, dire à
quel endroit, donc leur adresse courriel,
pour lequel ils voudraient recevoir l'information, ou l'adresse postale. Alors, ça, c'est une activité que Desjardins ne pouvait pas prendre en charge, là, de forcer
l'inscription de l'alertage. Est-ce
que vous comprenez, il y a deux aspects, là.
• (12 heures) •
M. Girard
(Groulx) : J'ai bien compris. Comment ça s'est passé pour les
citoyens, là, ce processus d'inscription, là? C'était agréable, fonctionnel, fluide? Comment vous décririez
l'expérience du citoyen pour qui vous
avez payé le service? Il doit faire le geste de s'inscrire puisqu'il
devra recevoir des alertes à l'endroit que lui désigne avec son code, etc.
Comment ça s'est passé?
M. Jodoin
(Yann) : Bon, c'est une
excellente question. Je dirais qu'il y a deux aspects, parce que je pense
que vous allez demander sur la question
de la qualité de service, M. le
ministre. Alors, dans un premier
temps, il faut comprendre que c'était
une situation exceptionnelle. On a touché des millions de membres. Equifax est
«staffé»... était... excusez-moi, là, l'expression,
là, pour gérer 400 dossiers par jour dans leur centre d'appel, c'est leur
volumétrie normale avant un événement. Et donc, du jour au lendemain, on
a envoyé des millions de codes et donc les... Et c'est sûr que la situation a
créé énormément, tu sais, d'insécurité, donc les membres ont appelé de façon...
en masse pour pouvoir contacter... Donc, est-ce
que la situation... est-ce que l'expérience dans un stress de savoir :
Est-ce que mon information a été violée, est-ce que j'ai été... j'ai
potentiellement été fraudé... Alors, les gens, là, ils avaient ces
inquiétudes-là, voulaient s'inscrire rapidement. Alors, oui, il y a eu des temps d'attente
importants. Il y a peut-être eu aussi... Je sais que notre partenaire, Equifax, a rajouté de façon importante des gens,
mais, tu sais, la qualité de l'entraînement puis du français n'a peut-être pas toujours été à... haut
requis.
Mais c'était
une situation que j'appelle exceptionnelle, là. Du jour au lendemain, n'importe
quelle organisation, là, qui a une volumétrie de 400 puis qui passe à 50 000,
70 000... parce que c'était ce qui se passait, là, c'était le nombre
d'appels par jour, ce n'était pas une expérience qui était agréable, là, pour
les membres, et aussi, je vous dirais, pour Desjardins,
parce qu'on a mis beaucoup de pression sur notre partenaire pour inscrire... tu
sais, pour que nos membres s'inscrivent rapidement.
M. Girard
(Groulx) : O.K. Je vais revenir à M. Grimard. Vous avez parlé des
développements technologiques nécessaires au développement d'un nouveau
produit, le verrou. Est-ce que j'ai compris que vous considérez que
c'est les agents de crédit qui devront payer pour vos développements?
M.
Grimard (Yvan-Pierre) : Ce n'était pas le point, M. le Président. En fait, ça va être une
aventure commune. Alors, nous, ce qu'on souhaite, quand on regarde la trame de
fond de notre message, c'est de s'assurer que les utilisateurs, donc nous, les institutions financières et les
agents de crédit, on puisse être capables
de tirer le maximum de bénéfices du
numérique et des technologies, donc de pouvoir faire en sorte que nos systèmes
puissent être liés ou se parler puis être en mesure d'offrir une prestation
de services qui va être agréable, je
dirais, même, pour les Québécois qui vont vouloir soit ajouter une protection, l'enlever. Donc, c'est ça,
l'idée que nous avons. Donc, ça va se faire en équipe, cette affaire-là,
c'est certain.
M. Girard (Groulx) : O.K. Puis est-ce
que vous avez une idée des coûts associés à ça?
M. Jodoin
(Yann) : M. le Président, on a définitivement fait des
présomptions d'investissement. Ça va être quand même assez important pour les institutions financières, parce que ce
sont des canaux de communication qui n'existent pas, qui doivent être extrêmement sécurisés. Donc, ce
n'est pas juste d'avoir un «flag» ouvert, fermé, mais c'est également s'assurer que, tu sais, on matche la bonne fiche
de crédit avec le bon membre. L'authentification est importante là-dessus. Alors...
C'est pour ça
d'ailleurs qu'on recommande fortement... La connexion, aujourd'hui, entre les
institutions financières et puis les
bureaux de crédit est extrêmement automatisée, alors c'est très robuste, c'est
très sécure dans un contexte, tu sais,
des opérations quotidiennes qu'on fait avec eux. Mais, quand... Puis vous allez
avoir notre partenaire, Equifax, là, un
peu plus tard, aujourd'hui, vous pourrez leur poser la question, c'est des
entreprises qui fonctionnent en B2B, ce n'est pas des entreprises qui
historiquement fonctionnent bien en B2C, tu sais, en...
Le Président (M. Simard) : En
conclusion.
M. Jodoin (Yann) : ...d'une
entreprise vers un consommateur. Pardon?
Le Président (M. Simard) : En
conclusion.
M. Jodoin (Yann) : En conclusion. Alors donc, d'avoir... de, nous,
gérer la relation avec le consommateur pour le gel et le dégel, c'est
notre business, c'est ce qu'on croit être...
Le Président (M.
Simard) : Merci, M. Jodoin. Je cède la parole au député de
Pontiac.
M. Fortin : Merci. Merci, M. le Président. Bonjour, messieurs. Je ne ferai pas
d'éditorial sur votre éditorial, sur votre... qui était plus une publicité
qu'un éditorial, mais bon. En avez-vous fait assez, chez Desjardins, depuis
l'incident?
Le Président (M. Simard) :
M. Grimard.
M. Grimard (Yvan-Pierre) : On a la prétention, la conviction d'avoir fait
tout ce qui était possible pour être en mesure d'assurer, là, la
protection de nos membres. On pense avoir été bienveillants et l'être toujours
autant.
M.
Fortin : O.K.
Donc, qu'est-ce que ça veut dire? Depuis la fuite de données, à
l'interne, qu'est-ce que vous faites
de plus pour protéger les données des Québécois, de vos membres, là? Parce qu'il y en a des millions et des millions, de Québécois qui ont des données, puis vous en avez probablement plus de données que n'importe qui, sauf l'État québécois,
sur ces gens-là. Alors, qu'est-ce que vous avez fait pour protéger les données des gens
qui s'inscrivent chez vous, qui vous confient leurs données personnelles?
M. Grimard
(Yvan-Pierre) : Écoutez, évidemment, il y a toute une
série de mesures qui ont été prises. Mais aujourd'hui,
M. le Président, on est venus discuter avec la commission du projet de loi n° 53 et on souhaiterait s'en tenir au contenu, là, du projet de
loi, si c'était possible.
M. Fortin : Mais on vient d'avoir une discussion de 15 minutes qui n'était pas
nécessairement sur le contenu du projet de loi. Alors, ce qu'on vous demande,
c'est de savoir ce que vous avez fait pour protéger... Le but du projet de
loi n° 53, là, c'est de
protéger les Québécois et les Québécoises. Puis la raison du projet de loi
n° 53, c'est parce qu'il y a eu une fuite de données massives à
partir de chez vous.
Alors,
on aimerait savoir... Nous, on peut en faire un bout, mais il faut savoir que
vous allez en faire un bout, que vous en avez fait un bout. Alors, je
veux savoir qu'est-ce qui a été fait chez Desjardins.
M. Grimard
(Yvan-Pierre) : M. le Président, le but du projet de loi
n° 53 était de faire en sorte que les Québécois puissent avoir un meilleur
contrôle de leurs données personnelles se trouvant chez les agents d'évaluation
du crédit. Alors, pour faire ça, le ministre
des Finances, le gouvernement propose d'octroyer aux Québécois la possibilité
de geler l'accès à leur crédit, la
possibilité d'émettre une alerte de sécurité qui fait qu'un tiers qui veut
accéder au bureau de crédit doit être
plus vigilant dans la vérification de l'identité de la personne qui veut
obtenir un nouveau crédit, et aussi le recours à une note explicative
qui permet d'inscrire une mésentente avec un agent de crédit.
Alors, le projet de
loi, c'est ce qu'il fait. C'est un projet de loi qui va dans la bonne direction
et qui va positionner le Québec, je le
réitère, comme leader, au moins au Canada puis certainement en Amérique du
Nord, au niveau de la protection des renseignements personnels des
Québécois qui se trouvent dans les bureaux de crédit.
M. Fortin : C'est... Effectivement, vous avez décrit le projet de loi n° 53
avec justesse. Ce n'était pas ma question. Ce qu'on cherchait à comprendre, c'est ce qui s'est passé chez vous. Et
j'ai des questions plus précises, hein? Pour les... Vous avez combien de membres chez Desjardins?
C'est facile, là, il n'y a pas de raison de ne pas répondre à cette question.
M. Grimard
(Yvan-Pierre) : 4,2 millions de membres.
M. Fortin : O.K. Combien de... Dans la fuite de données personnelles, il y en avait
combien, de ces membres-là qui ont été affectés?
M. Grimard
(Yvan-Pierre) : Qui ont...
M. Fortin : Qui ont eu leurs données personnelles partagées, échangées, qu'il y a
eu une fuite par rapport à leurs données personnelles.
M. Grimard
(Yvan-Pierre) : Notre président a indiqué que c'était l'ensemble
des données...
M. Fortin :
O.K., parfait.
M. Grimard
(Yvan-Pierre) : ...que ça concernait l'ensemble de nos
membres, effectivement.
M. Fortin : Alors, il y a 1 million des 4,2 millions de membres que vous avez qui se sont inscrits chez Equifax. C'est ce que j'ai compris tantôt, 1 million
environ. Donc, il y en a 3,2 millions
qui ne se sont pas inscrits. Qu'est-ce que vous avez fait pour que ces
gens s'inscrivent... outre leur écrire, là, outre leur envoyer une lettre par
la poste, là, qu'est-ce que vous avez fait pour qu'ils s'inscrivent?
• (12 h 10) •
M. Jodoin (Yann) :
M. le Président.
Le Président (M. Simard) :
M. Jodoin.
M. Jodoin
(Yann) : Selon Equifax, on a
eu environ 40 % de taux
d'adhésion au service d'alerte. Généralement, leur taux est dans moins
que... pour tous les autres services qu'ils ont faits, par exemple, avec
d'autres institutions financières, là, dans
le monde, le service similaire, c'est moins de 5 %. Alors, on est
largement, là, le «poster child», là, au
niveau d'Equifax, en termes d'adhésion de nos membres, de la façon aussi qu'on
a engagé nos membres à s'inscrire aux alertes, là, pas l'alertage mais
au service d'alerte.
Alors, donc
c'est... Puis on vous dit : L'ensemble des membres, là, on est allés par
différentes vagues, là, de lettres également.
Alors, quand je vous ai dit plus de 1 million, là, présentement, les
données que j'ai, c'est à peu près 1,7, mais je ne voudrais pas induire
la commission en erreur sur un chiffre, là, alors c'est pour ça...
M.
Fortin : O.K., mais... Ça va, mais, même si vous êtes à
1,7 million, là, je le prends juste pour partir la discussion, là, ça veut dire qu'il y a 2,5 millions de
personnes qui, elles, ne se sont pas inscrites. Tu sais, je vous soumets bien
respectueusement, là, que votre travail... ça fait partie de votre travail de
donner aux Québécois, à vos membres tous les
outils possibles, toutes les opportunités pour qu'ils se protègent, parce que
la fuite, veux veux pas, bien c'est une fuite qui vient de chez vous.
Alors, c'est
des membres de chez vous, c'est des gens qui vous ont confié ce qu'ils ont de
plus précieux, leurs données personnelles, entre autres. Alors, pour ces
gens-là qui ne sont toujours pas inscrits, là, est-ce que c'est fini? Est-ce
que vous tentez encore de les rejoindre? Est-ce que vous relancez encore? Ou
est-ce que vous avez dit : Bien, pour les 2,5 millions qui restent,
nous autres, on a fait ce qu'on avait à faire? J'essaie de comprendre.
M. Jodoin
(Yann) : En fait, on est
encore en vague de relancer les membres. On n'a pas encore établi la stratégie de relance. Je vous avoue qu'on a eu la pandémie,
alors on a mis un arrêt à un moment donné sur les lettres, là, pour ne pas
créer plus de confusion auprès de nos
membres. C'est certainement quelque chose qu'on va reconsidérer à un moment
donné, de relancer nos membres. Il n'y a pas de limite, là, dans le temps, là,
sur l'inscription.
M. Fortin : À
ce moment-là, le jour où vous le ferez, là, est-ce que vous allez vous assurer
qu'Equifax a les ressources pour répondre aux Québécois en français?
Le Président (M. Simard) :
M. Grimard.
M.
Grimard (Yvan-Pierre) : Pour peut-être répondre plus précisément à votre question,
M. le Président — désolé,
désolé, Yann — je
tiens à souligner que les membres qui ne se sont pas prévalus des services
d'Equifax sont quand même protégés par l'entremise de ce qu'on appelle la
protection membre Desjardins. Alors, cette protection-là est accessible
à tous. Alors, un membre qui est victime
d'un vol d'identité va être accompagné, va pouvoir... va être accompagné s'il
encourt des pertes financières. S'il
se fait voler de l'argent, il va être remboursé, il va être accompagné s'il a
besoin de services d'un professionnel
pour rétablir son dossier de crédit, et on va l'accompagner aussi dans les
démarches qu'il va devoir faire pour,
justement, rétablir son dossier au grand complet. Puis,
quand on parle d'accompagnement, ce n'est pas de lui envoyer un courriel avec la
liste de numéros de téléphone puis la liste de courriels, c'est un accompagnement qui est réel. Alors, tout ça
pour vous dire qu'il n'y a pas de membre et de client de Desjardins qui sont
laissés en plan suivant la fuite de renseignements personnels de 2019.
Le Président (M. Simard) : Merci. M.
le député.
M. Fortin : O.K. Mais je reviens à
ma dernière question, là. Est-ce qu'au moment où vous allez relancer vos
clients... est-ce qu'Equifax va avoir les ressources nécessaires en français
pour leur répondre?
Le Président (M. Simard) :
M. Grimard.
M.
Grimard (Yvan-Pierre) : Bien, écoutez, la... Je pense que oui. Pourquoi? Parce que la première
vague est passée, et, selon nos
études, selon les discussions qu'on a avec Equifax... M. Jodoin vous donnait,
là, les statistiques, tantôt, le taux
d'inscription à ces protections-là est extrêmement élevé, et c'est inégalé dans
le monde. Alors, on n'anticipe pas de pression, là, semblable à celle
qu'Equifax a subie l'année dernière.
M.
Fortin : Quand vous
dites : Tous les clients Desjardins ont eu les protections ou ont pu se
prévaloir des protections nécessaires, là, vous incluez là-dedans ou
vous comptez là-dedans les clients de Desjardins Assurances?
M.
Grimard (Yvan-Pierre) : Tout client de Desjardins qui a été victime, dont les données
personnelles ont sorti peut s'inscrire à la protection d'Equifax. Et, si le
client ne prend pas ce service-là et qu'il a des problèmes de vol d'identité, alors il a recours à la protection
Desjardins, qu'on appelle. Mais plus précisément, M. le Président, les données
personnelles contenues chez nos filiales,
donc... Vous parliez de... le député parlait d'assurances, alors, non, il n'y a
pas eu de problématique de ce côté-là.
M. Fortin : Il n'y a pas eu de problématique, mais, si cette personne-là se réveille avec un enjeu
demain matin, est-ce qu'elle peut bénéficier de la protection Desjardins
à laquelle vous faites référence?
M.
Grimard (Yvan-Pierre) : Oui, la personne peut bénéficier
de la protection Desjardins.
M.
Fortin : O.K. Je veux juste,
pendant qu'on parle d'assurance, là... je vais revenir à mes questions sur ce
qui s'est passé et votre réaction à
ça, mais, pendant qu'on parle d'assurance, votre recommandation que l'alerte de
sécurité ne s'applique pas lors de la police d'assurance, je comprends
que vous êtes une compagnie d'assurance, que le bureau de l'assurance ne veut pas nécessairement non plus, mais il va falloir
que vous nous l'expliquiez celle-là. Pourquoi est-ce que vous ne pensez pas que c'est nécessaire que
l'alerte de sécurité, la note explicative, s'applique quand on achète une
police d'assurance?
M. Grimard (Yvan-Pierre) : Écoutez, en
fait, M. le Président, c'est qu'il existe un lien entre la cote de crédit et la sinistralité et les risques que
pose, là, la personne qui veut assurer une voiture ou une habitation. Alors,
l'objectif de ça, c'est de maintenir une certaine fluidité dans les
relations. Et la cote ne sert qu'à offrir le meilleur tarif.
Le
Président (M. Simard) : Très vite, pour une dernière question, M. le
député. Très vite.
M. Fortin : Très vite, là, avez-vous mesuré, en
termes de dollars, la fraude dont ont été victimes vos clients, au total? Avez-vous une idée générale ?
Le
Président (M. Simard) : Très bien. Oui.
M.
Grimard (Yvan-Pierre) : Malheureusement, M. le Président, je
n'ai pas cette information-là.
Le
Président (M. Simard) : Merci. La parole est au député de Rosemont.
M. Marissal : Merci, M. le Président. Messieurs,
bonjour. Rebonjour, je devrais dire. Je comprends que ça ne vous tente pas trop de retourner 14 mois en arrière puis de reparler
de ce qui s'est passé. Je préférerais ne pas en parler non plus, mais malheureusement on est ici en grande partie parce
que ça, c'est arrivé, et on n'a peut-être pas eu toutes les réponses. Alors, ici, on peut rédiger, bichonner le plus beau
projet de loi du monde, si les institutions bancaires n'y accordent pas toute l'importance voulue ou que
parfois — ça a été dit tout à l'heure à ma collègue de Saint-Laurent par un expert
qui était ici — on protège, ou on cache des informations, ou on retient, ou on ne la
divulgue pas parce qu'il y a des risques réputationnels,
ça ne nous aidera pas beaucoup. On peut adopter des lois ici qui seront vaines.
Est-il vrai que votre employé qui a été congédié, qui a volé
des renseignements l'a fait pendant quatre ans chez
Desjardins ?
Le
Président (M. Simard) : M. Grimard.
M. Grimard (Yvan-Pierre) : M. le
Président, ce n'est pas une information que je détiens, donc je ne suis pas en mesure de répondre à la question du député de Rosemont.
M.
Marissal : Vous ne la détenez pas.
M.
Grimard (Yvan-Pierre) : Je ne connais pas l'information.
M.
Marissal : O.K. Est-il vrai, par ailleurs, que cet employé
s'était acoquiné avec un courtier hypothécaire du domaine privé à qui il a refilé pendant quatre ans des données, ce
courtier hypothécaire devenant soudainement
très, très, très productif et très,
très riche, puisqu'en fait ce qu'il faisait, c'est qu'il prenait les
informations de votre employé et les transférait tout bonnement dans
d'autres institutions, puisqu'il avait toutes les données, notamment
hypothécaires? Est-ce que ça, c'est juste?
M. Grimard (Yvan-Pierre) : Ce sont des choses qui ont circulé dans les
médias, mais je n'ai aucune idée, là, de la justesse de ce que j'ai lu
dans les médias en question.
M.
Marissal : Donc, vous ne
confirmez ni n'infirmez. D'accord. Vous pouvez répondre pour qu'on l'entende
sur le transcript.
M. Grimard (Yvan-Pierre) : J'indique que je ne sais pas si ce qu'on a pu lire
dans les médias... concernant, là, l'exemple que le député de Rosemont a
donné, je ne sais pas si c'est exact.
M.
Marissal : D'accord. Quant à
la divulgation, vous dites qu'elle a été faite rapidement, dans l'ordre.
N'avez-vous jamais considéré que le risque réputationnel était immense en
raison de l'ampleur des fuites?
M. Grimard (Yvan-Pierre) : M. le Président, le risque réputationnel était immense, c'est pourquoi Desjardins
a fait preuve d'une bienveillance
inimitable, qui n'a jamais été vue ailleurs. Alors, effectivement, il y avait des risques réputationnels,
c'est pourquoi on a pris toutes nos responsabilités. On les prend encore, puis
on va continuer de prendre nos responsabilités.
M.
Marissal : Vous avez donc
recouru au service d'Equifax. Pas bien, bien le choix, c'était Equifax ou
l'autre, là. Je comprends qu'il y en a juste deux. Est-il vrai que ça a
coûté 30 millions à Desjardins, à ce jour, avec Equifax?
• (12 h 20) •
M. Jodoin
(Yann) : Ça a coûté très
cher, M. le Président, mais le... Ce que je vais dire, c'est que la
notion du coût n'était pas une... n'a
jamais été, je dirais, un facteur décisionnel de vouloir faire ce qui était le
mieux pour protéger nos membres.
M. Marissal : O.K. Et, très rapidement,
pourquoi ne pas avoir émis une alerte de masse avant sur tous les dossiers, ce
qui aurait finalement fait à peu près la même chose?
Le Président (M. Simard) : En
conclusion.
M. Jodoin
(Yann) : Comme j'ai indiqué,
M. le Président, au départ, il y a une information qui a été
inscrite, sur les bureaux de crédit,
en masse, il faut séparer ça avec l'inscription à l'alertage reçu par les
consommateurs ou les membres de Desjardins.
Le Président (M. Simard) : Merci,
M. Jodoin. Je cède maintenant la parole au député de René-Lévesque.
M.
Ouellet : Merci. Bonjour,
messieurs. J'ai eu l'opportunité de parcourir votre mémoire. Vous avez souligné
tout à l'heure votre... pas votre
indignation, mais vous avez quand même souligné que d'autres joueurs des
institutions financières ne sont pas présentés, mais ils nous ont quand
même transmis un mémoire.
Je vais quand même me permettre d'obtenir un
commentaire sur le mémoire de l'Association des banquiers canadiens parce que
j'aimerais avoir votre avis. Je ne les ai pas devant moi pour les questionner,
mais je les aurais questionnés sur ce point
en question. Ils disent, dans leur mémoire, qu'il serait «extrêmement difficile
de maintenir la relation de crédit
avec les personnes qui demandent un gel de sécurité. Ainsi, les clients en
question subiront des retombées négatives, par exemple fermeture de
compte ou interruption de service, et les protocoles de gestion des risques
seront compromis.»
Partagez-vous
ces craintes? Partagez-vous cette catastrophe, dans les relations entre le
client et les institutions, quant au manque de fluidité possible à
travers les différentes relations par le fait qu'on va ajouter un verrou de
crédit et que, si on se fie à la volonté de
la commission, c'est peut-être même d'y aller avec un verrou qu'on soit capable
d'enlever et de remettre rapidement, et même par le Web? Est-ce que vous
partagez ces craintes?
M.
Grimard (Yvan-Pierre) :
M. le Président, je n'ai pas pu prendre connaissance du mémoire de
l'association. J'ai regardé sur le
site avant de venir. Ceci étant dit, je crois comprendre ce que l'Association
des banquiers canadiens indique. C'est un peu dans cet esprit-là qu'on
fait plusieurs recommandations. Effectivement, ça va être important de maintenir une fluidité, s'assurer de la
satisfaction de nos membres, s'assurer aussi que ces membres-là puissent
transiger avec les commerçants qu'ils auront choisis.
Ceci étant dit, dans notre mémoire, on ne l'a
pas écrit de la même façon, là, que ça a été...
Le
Président (M. Simard) : Et, ceci étant dit, M. Grimard, c'est
normal que vous ne l'ayez pas vu puisque nous allons officiellement le
déposer en fin de séance.
M.
Ouellet : Vous recommandez
la gratuité des mesures pour la protection du consommateur. Au final, c'est
vous qui allez payer — quand je dis «vous», c'est les
institutions — pour sa
mise en application. Si on dit que le consommateur n'aura rien à payer pour obtenir les services de
protection, le verrou ou les alertes de sécurité, vous comprendrez que le
coût d'installation va être imputé à quelque
part, et ce quelque part là risque d'être les institutions, puisque vous êtes
les premiers tributaires ou les premiers demandeurs de ce genre
d'information. Est-ce que je me trompe?
M. Grimard (Yvan-Pierre) : M. le Président, le député de René-Lévesque ne se trompe pas.
On a été clairs à l'effet que, pour nous, la
gratuité, c'est important, ça va favoriser l'accessibilité. Oui, il va y avoir
des coûts, nous allons en assumer une
partie, les banques vont en assumer une partie et probablement qu'Equifax, TransUnion, les gros joueurs vont en assumer une
partie, eux aussi.
L'objectif,
c'est de faire en sorte qu'il n'y ait pas de distinction entre les mieux
nantis, les moins nantis, il faut que les services soient accessibles, puis on
pense que tout le monde va en bénéficier. Et puis on a confiance qu'avec
ce que le ministre a prévu comme outils à l'Autorité des marchés financiers la
qualité du service va être au rendez-vous. L'Autorité va imposer... va proposer
des lignes directrices qui vont porter spécifiquement sur les saines pratiques commerciales. Et, si les agents d'évaluation du
crédit ne se conforment pas, l'Autorité a le pouvoir de réglementer ces choses-là. Donc, on a bien espoir, nous, que les
agents vont être au rendez-vous pour être capables d'offrir aux Québécois ce qu'ils méritent.
M.
Ouellet : Et je présume aussi que, par votre expérience passée, vous
allez être en mesure de contribuer à améliorer
la qualité du service ou du moins de proposer des améliorations quant à la
façon dont le consommateur a eu à avoir affaire ou avoir accès à ce
genre d'information là. Certaines personnes nous disaient que c'était effectivement
difficile d'avoir... de s'y retrouver dans
la masse d'informations. Vous en faisiez référence tout à l'heure, le genre d'alerte que ça a sollicité. Donc, je crois comprendre
que votre expérience pourrait servir à TransUnion et à Equifax...
Le Président (M.
Simard) : En conclusion.
M. Ouellet :
...pour la mise en place de mesures tout à fait adéquates, qui répondraient aux
aspirations et aux demandes des consommateurs : accessibilité, mais
surtout protection.
M.
Grimard (Yvan-Pierre) : Exactement, M. le Président.
C'est exactement l'objectif qu'on poursuit.
Le Président (M.
Simard) : Merci. Alors, merci à vous deux pour votre présence parmi
nous aujourd'hui.
Sur
ce, nous allons suspendre nos travaux pour la période du repas. Nous serons de
retour à 14 heures dans la même salle. Merci.
(Suspension de la séance à
12 h 25)
(Reprise à 14 h 02)
Le
Président (M. Simard) :
Alors, bonjour à tous. Merci à nouveau pour votre grande ponctualité. Nous
avons la chance cet après-midi
de débuter nos travaux en recevant un expert en sécurité informatique,
M. Steve Waterhouse. Monsieur,
soyez le bienvenu parmi nous, merci d'avoir répondu à notre invitation. Comme
vous le savez, vous disposez d'une période de 10 minutes.
M. Steve
Waterhouse
M. Waterhouse (Steve) : Merci, M. le Président. Messieurs,
dames, le projet de loi n° 53 a comme objectif, comme vous le savez, de baliser les actions que doit
prendre un agent d'évaluation du crédit envers les informations qu'il détient,
manipule ou gère, qui sont le gel de sécurité, l'alerte de sécurité et la note
explicative, comme plusieurs vous ont expliqué déjà. Dans mon exposé,
j'apporte un point de vue plus technique que de la gouvernance. Malgré les meilleures intentions,
si ces dernières ne peuvent être mises en place et contre-vérifiées, ce n'est
qu'un exercice de bien paraître.
Selon
une étude de PricewaterhouseCoopers de 2018, 44 % des cyberattaques de fuites d'information aux États-Unis sont attribuables à des agents de
menace interne à l'organisation. Seulement 10 % des malfaisants ont exhibé
des signes, des changements de comportement
avant le méfait, ce qui rend encore plus difficile la détection de tels méfaits,
ou même de telles personnes.
De l'Enquête
canadienne sur la cybersécurité et le cybercrime de 2017, de la Sécurité
publique du Canada, il n'est pas surprenant
de constater que seulement 20,8 % des entreprises ont été victimes
d'un cyberincident et moins de 10 % le rapportent aux services policiers.
De ces incidents rapportés, 26,5 % sont des demandes de rançon, qui sont
à la hausse, suivies de vol de renseignements personnels ou financiers, à 17,4 %, et des accès non autorisés à
des systèmes, à 15,6 %. Il est fréquemment
constaté que plus que la moitié des compagnies sondées règlent à l'interne les
incidents, ce qui veut dire aussi qu'ils ne
rapportent pas aussi souvent ces incidents de sécurité aux autorités, ce qui
fait en sorte que les statistiques ne sont souvent pas le reflet de la
réalité.
Pour
y voir clair, il faut tout d'abord connaître les protagonistes qui sauront
influencer l'évaluation des menaces et des risques, l'EMR, outil
qui guide les décideurs des organisations quant au choix des moyens de
détection et de défense envers les fuites de
données, tels que présentés dans l'étude du rapport Insider Threat Report 2018
de Verizon et qui sont à décrire ces
acteurs de menace comme étant soit le travailleur insouciant, l'agent interne, l'employé mécontent,
l'employé interne malveillant et un tiers incapable, qui est souvent les
partenaires d'affaires malveillants.
Pour mitiger ces risques de compromission, les dirigeants
des entreprises de toutes grandeurs doivent reconnaître que, premièrement, ce risque existe, et prendre les moyens de vérifier à l'interne si l'organisation est vulnérable, intégrer des
contre-mesures soit techniques ou humaines contre toute menace, et revoir
fréquemment, ce qui fait souvent défaut, si ces mesures sont appropriées, et
recommencer le processus. Ce sont, là, des principes fondamentaux de la cybersécurité dans n'importe quelle sphère d'activité ou
même d'organisation.
Alors,
que ces cas de fuite d'information, comme c'est arrivé chez AOL aux États-Unis
il y a quand même plusieurs
années... mais c'est quand même un fait historique de le voir, et on pourrait
en rediscuter, comme Equifax, que vous allez
avoir une présentation après la mienne, mais que c'est un fait historique
aussi de la façon qu'Equifax s'est compromis, c'est quand même assez incroyable, Desjardins comme on le sait,
et même dans l'armée américaine, où est-ce
qu'on peut s'attendre que l'armée des États-Unis
soit ultrasécuritaire, bien, déjà là, il
y a eu une exfiltration de données quand même importante en 2010.
Les
vieilles façons de faire, autrement
dit, dans tous ces cas-là, c'est de
travailler avec de la sécurité par-dessus de la sécurité, ce qui est un non-sens au XXIe siècle que de
vouloir... de travailler de cette façon-là. Tout finit par se savoir, surtout dans le domaine des fuites d'information, comme on l'a appris des entreprises où il
y a eu brèche. Ce sont toujours les citoyens, clients, utilisateurs
ou même membres qui en paient le prix dans le futur. Ce ne sont pas les institutions.
Dans le rapport de février
de 2020 d'Ernst & Young, d'un sondage global de la sécurité de
l'information, qui est de plus en plus
adoptée par les compagnies proactives en matière de protection des
renseignements personnels et de la vie privée, l'approche «security by
design» est préconisée, autrement dit, sécurité dans la conception de
logiciels, systèmes et autres, est préconisée et mise de l'avant pour favoriser
un environnement de travail axé sur la culture de l'information et... pardon,
de la sécurité de l'information et qui est clé à éviter et à anticiper les
fuites de données des différents acteurs de menace envers ces données, dont la
menace à l'interne.
Et même au gouvernement fédéral, où cette
culture de la gestion de l'information est présente depuis plus de 50 ans, il y a quand même des manquements et
incidents de sécurité. Il faut constamment entretenir ces notions de protection
de l'information et non imposer ou adopter une solution unique dans une organisation
et consigner au dossier qu'une solution a été mise en place et satisfait le...
ou la norme, ou les normes, ou les actionnaires et oublier le tout jusqu'au prochain incident, autrement dit faire un «check
mark» que c'est fait. Bon. Car les moyens de techniques de prévention et de perte de données, «data loss prevention»,
existent et sont disponibles depuis plus de 10 ans, ayant moi-même
installé par le passé ces types de
moyens de défense dans les organisations de moyenne et grande taille, dans le but de
réduire les fuites de données telles que soutenues par leurs évaluations
de menaces et de risques.
Je suis
d'avis que les organisations se doivent d'user surtout de gros bon sens dans
l'application de la sécurité de l'information. L'université Carnegie Mellon a
d'ailleurs publié en 2016 un excellent papier à cet effet, qui peut
servir de ligne directrice aux organisations
qui veulent bien développer leurs règles à l'interne et sensibiliser ou former
leur personnel. Sans une formation,
sensibilisation adéquate des agents, d'une transparence des actions
d'intervention et une direction claire
des dirigeants envers la sécurité des données détenues ou manipulées sur une
base d'une meilleure connaissance des menaces et des vulnérabilités, les
incidents de fuites de données ne feront que se répéter et s'amplifier dans
un futur rapproché. Je suis disponible d'en discuter avec vous.
Le
Président (M. Simard) :
Merci, M. Waterhouse. Je cède donc maintenant la parole au ministre des Finances.
M. Girard (Groulx) : Vous pensez
quoi du projet de loi n° 53?
M. Waterhouse (Steve) : Le projet de
loi est en soi... j'en ai fait, des recommandations, à la fin du mémoire. C'est un très bon guide, une orientation pour que,
justement, les organisations en prennent connaissance, qu'est-ce qu'ils
en sont de leurs responsabilités à l'intérieur de leur manipulation, gestion, entreposage de données,
sans quoi le projet de loi n° 64 à lui seul ne fera pas tout.
M. Girard
(Groulx) : O.K.
Donc, c'est par les lignes directrices de gestion et de pratiques commerciales
qui seront émises par l'AMF qu'on va
faire des avancements, mais vous comprenez que ces lignes directrices là vont
s'appliquer aux agences de crédit, là. Tu sais, on parle de deux
institutions, essentiellement, là.
M.
Waterhouse (Steve) :
Principalement, oui. Malheureusement, si on ne touche pas aux autres
organisations qui viennent
influencer, pour ne pas dire manipuler et traiter de l'information en référence à ces deux compagnies-là, ils peuvent être aussi...
devenir le maillon faible dans une fuite potentielle d'information.
• (14 h 10) •
M. Girard (Groulx) : O.K. Mais
juste... O.K. pour préciser, là, parce que la protection des renseignements personnels,
c'est l'objet du projet de loi n° 64. Ici, on veut s'assurer, dans le projet de loi n° 53,
que les agences d'évaluation de
crédit, qui sont un intermédiaire extrêmement important dans les marchés
financiers... puis c'est pour ça que c'est le ministre des Finances qui pilote ça et que c'est l'AMF qui va les
superviser, puisque l'AMF est habituée à superviser des grandes
institutions.
Est-ce que les services offerts par ces agents
d'évaluation de crédit, l'alerte et la surveillance, là... On nous a donné des
définitions, là. L'alerte, c'est une simple note qui est émise au... C'est
gratuit, offert par les... et qui est sur le
dossier et qui permet aux entités et aux institutions financières qui font de
l'octroi de crédit d'être informées que... de faire des vérifications
supplémentaires.
Les produits de surveillance, tels que ceux qui
ont été payés par Desjardins pour les clients, est-ce qu'ils sont efficaces une
fois que vos données ont été compromises, là? Parce que là c'est ce dont on
parle. Je comprends que c'est encore mieux,
la prévention de la perte de données. Ça, c'est indéniable, là, puis on en
convient tous, là, mais, comme il y a
eu des vols de données, et il y aura des vols de données, pour s'assurer que
les citoyens puissent avoir des lignes de défense, est-ce que les
services qui sont offerts par Equifax sont efficaces?
M. Waterhouse (Steve) : Ils sont
efficaces dans la mesure que c'est ça qu'on veut en retirer. Parce que, dès le jour 1, même le jour 0, j'étais le
premier qui recommandait que ce soit une surveillance de dossier de crédit de
cinq ans, et non pas un an, comme le proposait Desjardins initialement, parce
qu'il y a eu des conséquences dans d'autres fuites d'information, qu'après la cinquième année les
malfaisants commençaient à utiliser les données compromises, parce que
la poussière était retombée, puis les gens ne se souvenaient pas qu'il y avait
des données qui avaient fui.
Ça fait que, le programme qui est offert par
Equifax, on ne peut que le qualifier, parce qu'on l'utilise mais à l'interne, je n'ai aucune idée comment ça
fonctionne de ce côté-là, et de se faire aviser, bien un, j'en suis un
consommateur du service et je ne suis
vraiment pas impressionné quant à la rapidité d'avertir le consommateur quand
il y a manipulation ou quelque chose qui ne va pas avec le dossier de
crédit. C'est bien aussi de faire la distinction que ce n'est pas un outil de
protection du dossier de crédit mais bien un outil de surveillance.
M. Girard
(Groulx) : O.K. Le gel de crédit, est-ce que ce sera un outil
efficace?
M. Waterhouse (Steve) : Dans la
mesure qui... J'entendais les intervenants précédents. Dans la mesure que ça peut être un outil efficace lorsque c'est bien
géré, moi, j'y voyais aussi la possibilité que ça soit l'individu qui puisse
à ce moment-là activer de lui-même. Mais ça,
c'est avec une éducation, et, en l'absence d'une éducation, une compréhension
technologique, ça risque d'embourber beaucoup plus le système et, à ce
moment-là, d'amener les gens à appeler pour avoir
plus d'aide à comprendre le système pour être capables de geler leurs dossiers
de crédit. Alors, d'amener ça dans un automatisme,
est-ce que ça serait, à ce moment-là, la responsabilité des institutions
financières que ça soit un autre service offert? Possiblement.
Considérant que ça doit rester gratuit, oui, je suis d'accord.
M. Girard (Groulx) : O.K. Ça, c'est
une discussion qu'on va avoir, là, parce que je sais que tout le monde envisage, là, de pouvoir aller sur son téléphone
puis mettre son verrou ouvert, fermé trois fois par jour. Mais ça risque
d'être un peu plus compliqué que ça, parce qu'une fois que tu mets le verrou,
ça enclenche des conséquences, là.
O.K. Ça fait
que la protection en amont, beaucoup mieux que la gestion des fuites. La
gestion des fuites : alerte, surveillance, verrou, la note. Est-ce
que c'est utile, la note, selon vous?
M.
Waterhouse (Steve) : J'ai
mal compris, tout au long des présents travaux, à quoi et comment se manifeste
la note — je suis un gars visuel — puis je ne vois pas non plus comment ça va
se situer dans le dossier de crédit, honnêtement.
M. Girard (Groulx) : O.K. Bon. Donc,
jusqu'à ce que vous l'ayez compris, vous n'y voyez pas l'utilité, là.
M. Waterhouse (Steve) : Je ne peux
pas qualifier l'utilité ou pas, je ne la comprends pas, la... que ça soit là.
M. Girard
(Groulx) : Non, non, c'est clair. O.K. Bien, la note vise à documenter
que vous êtes en désaccord avec ce qui est inscrit... ce qui affecte
votre crédit, là.
M.
Waterhouse (Steve) : Donc,
une... Bien, c'est là que ça va devenir, à ce moment-là, une gestion supplémentaire.
Puis ça va être quoi, le recours pour être
capable de challenger s'il y a une erreur qui est mise dans la note? Parce que,
présentement, lorsqu'il y a des gens qui doivent faire faire des révisions de
dossier de crédit, c'est un capharnaüm, pour ne pas dire une maison des
fous, pour être capable d'adresser le sujet auprès d'Equifax ou TransUnion.
J'en ai, des clients, à qui j'ai travaillé
avec récemment qui en ont subi, des conséquences de vol d'identité, puis
là-dessus, bien, il y a très peu de
support de la part de Desjardins, malgré qu'est-ce qui est publicisé, parce que
ça prend vraiment une longue liste de préalables pour être capable
d'accéder au service de soutien, puis après coup, bien, lorsqu'on s'en va puis
on fait affaire avec des Equifax puis des
TransUnion, bien, ça aussi, là, c'est un autre... il faut prendre son numéro
puis être très patient pour être capable d'y accéder. Ça fait que, la
note au dossier, si on dit qu'elle est consignée pour aider le client, le citoyen ou le membre, bien, je ne crois
pas que ça soit... L'idée est très bonne, mais je ne crois pas que ça soit
actualisable et même disponible.
M. Girard (Groulx) : Est-ce que vous
avez déjà fait affaire avec la Commission d'accès à l'information?
M.
Waterhouse (Steve) : La Commission d'accès à l'information aussi, parfois, j'ai souvent fait valoir qu'elle
est difficile d'accès, mais aussi, souvent, le traitement de l'information, comme il a été rapporté aujourd'hui, il est long aussi de leur côté.
M. Girard (Groulx) : O.K., mais vous
l'avez déjà utilisée.
M. Waterhouse (Steve) : Les clients
avec qui j'ai fait affaire ont... En fait, je les ai orientés vers la CAI.
M. Girard
(Groulx) : O.K., ça
complète mes questions. Peut-être, le député de Rousseau ou de Saint-Jérôme ont des questions?
Le Président (M. Simard) : Je vous
en prie, cher collègue. M. le député de Rousseau.
M.
Thouin : Alors, merci.
Content de vous rencontrer aujourd'hui. Question : ce matin, les gens de
Desjardins, je pense, ont dit que...
comme ils sont habitués à faire du service directement à la clientèle, ce
qui est moins les cas avec les entreprises qui font la gestion du
crédit, comme Equifax ou TransUnion, ils disaient que c'est eux qui devraient normalement... c'est eux qui devraient modifier, là, le gel ou le dégel, là, d'un
compte, c'est eux qui devraient gérer ça. Est-ce que vous êtes de cet
avis-là?
Si on avait à
mettre le gel, là, est-ce que le citoyen devrait passer directement avec Equifax pour geler ou dégeler son compte ou... ou, en fait, son bureau de crédit, ou il devrait passer
plutôt... ça devrait être géré plutôt par les institutions financières qui sont en lien direct avec les
citoyens, qui ont les plateformes peut-être pour ça?
M.
Waterhouse (Steve) : Bien,
je ne sais pas, moi, je ne suis pas dans le domaine des finances, ça, c'est
clair. Cependant, la raison comment je verrais d'un bon oeil que ça
passe par les institutions financières, c'est parce qu'ils sont en mesure d'authentifier la personne qui va venir faire... mettre, déposer
une note ou amener un commentaire, sans quoi,
s'il y a compromission de l'identité et l'identité
frauduleuse rentre directement chez Equifax, bien là, ça commence à
quadrupler un peu la surface de problèmes.
Ça fait que,
de cette façon-là, encore là, toujours considérant que la personne qui se présente en
succursale et que les banques aussi
emboîtent le pas dans cette direction-là, je crois que ça serait une bonne
façon. Sinon, avec l'identité numérique,
qui vient dans un avenir rapproché, ça pourrait être fait de façon autonome,
direct à la source et évitant un troisième parti, qui serait les institutions
financières.
M. Thouin : Parce qu'on s'entend
qu'à partir du moment où j'ai vos données confidentielles, bien, même s'il y a un verrou sur mon noyau de crédit, je
peux probablement le faire déverrouiller, dépendamment c'est quoi, le chemin
à prendre, mais je pourrais le faire
déverrouiller. Donc, je suis mal intentionné, tu as pris le soin de mettre un
verrou sur ton bureau de crédit, mais moi, j'ai tes infos, ça fait que
je suis capable de le faire déverrouiller.
M. Waterhouse (Steve) : Voilà.
M. Thouin : On n'a rien gagné.
M.
Waterhouse (Steve) : Pareil
comme présentement, qu'il
y en a qui se font copier, pour ne
pas dire cloner leur carte d'identité
cellulaire, et, de cette façon-là, le cellulaire ne devient plus la propriété
de la vraie personne mais bien du
fraudeur. Ça fait que c'est un peu dans la même essence que j'apporte le point
que plus les gens vont être encore là, pris
de pouvoir faire des modifications directement, avec les moyens aussi fiables, bien, ça va
sauver du temps, je crois.
M. Thouin : O.K., puis j'aurais
juste une dernière question ou...
Le Président (M. Simard) : Il reste
4 min 25 s.
M.
Thouin : Quatre minutes.
Bon, rapidement, bon, les mesures de sécurité qui sont envisagées
ici, là, par le projet de loi n° 53, s'inspirent directement de la législation fédérale américaine. Vous en pensez quoi de
cette législation-là? C'est quoi, la force ou la faiblesse
de cette législation américaine actuellement, sur le sujet?
M. Waterhouse (Steve) : Bien, aux États-Unis,
ils ont une approche beaucoup plus drastique, pour ne pas dire un
peu plus autoritaire quant à l'aspect
de la sécurité des finances. La Securities and Exchange Commission,
je veux dire, ils ont mis en place
des programmes de sensibilisation en place et, en même temps, quand ils se
présentent dans des cas de fraude où est-ce qu'il y a, justement,
utilisation des moyens informatiques pour commettre de la fraude... on
peut penser facilement, donc, à la situation d'Equifax, où est-ce
qu'il y a eu... en même temps qu'une situation
technique qui a mené à la fuite d'information, bien, qu'il y a eu un
délit d'initiés à l'intérieur de cette histoire-là.
Ça fait que
là-dessus, ça a été une combinaison vraiment des équipes qui ont travaillé pour
être capables d'arrimer, évidemment,
les deux cas, mais j'y vois surtout un travail beaucoup plus harmonieux dans
des cas qu'on lit, qui se passent aux
États-Unis, alors qu'ici, bien, ces souvent des chasses gardées. Les gens
travaillent beaucoup plus en silo. Alors, moi, j'y vois d'un bon oeil
que les Américains l'approchent.
Le Président (M. Simard) : Très bien.
M. le député de Saint-Jérôme.
M. Chassin : Merci. Bonjour.
M. Waterhouse (Steve) : Bonjour.
M. Chassin : Je voudrais profiter peut-être
de votre expertise en matière de sécurité, dans une perspective où pour, dans le fond, des
fraudeurs ou une organisation qui fraude des données personnelles... le fait
qu'au Québec il y ait la possibilité que des
gens qui soient fraudés recourent, par exemple, au gel, recourent aussi à
l'alerte. Est-ce que ça rend moins intéressant, pour une organisation
qui fait de la fraude, de cibler des organisations québécoises?
• (14 h 20) •
M. Waterhouse (Steve) : Que ce
soient des organisations québécoises ou ailleurs dans le monde, la méthode est
toujours la même. Ça va toujours, un, s'en prendre au maillon faible d'une
chaîne de sécurité et, dans les maillons faibles,
ça va toujours être l'être humain. Ça fait que, peu importe le moyen technique
qui est mis en place, s'il n'y a pas une
éducation avec les gens qui vont être, à ce moment-là, pris de comprendre dans
quoi qu'ils s'embarquent et avec quoi qu'ils
travaillent, comme c'est présentement le cas avec bien des moyens techniques à
notre disposition, qu'on se fait dire : Bien mettez ça en place, ça
va être sécuritaire, mais qu'on n'en a jamais été informé, bien, ça ne sert à
rien parce qu'on va toujours trouver le moyen le plus facile, comme être
humain, de pouvoir aller au plus simple, point.
M. Chassin : Je
comprends, mais, pour commettre la fraude, pour commettre, finalement, le vol
de données personnelles...
M. Waterhouse (Steve) : Oui.
M. Chassin : ...mais par
ailleurs... puis permettez-moi une
expression mal appropriée un petit
peu, mais le retour sur investissement
en temps et en énergie pour le fraudeur...
M. Waterhouse
(Steve) : D'accord.
M. Chassin : ...est peut-être moins intéressant s'il y a des mécanismes qui, finalement, l'empêchent de prendre du crédit, de monétiser, en quelque
sorte, ces données personnelles.
M. Waterhouse (Steve) : Ça y va... Bien, ça, c'est le modus operandi,
puis M. Carlos aurait pu en témoigner, de ça, c'est toujours le fruit le plus bas d'un arbre que les voleurs
vont aller saisir. Et, oui, un système d'alarme dans une maison, ou peu importe où, est là pour ralentir l'intention de commettre un vol, mais ça n'empêchera pas la personne de voler. Donc, même
affaire avec...
M.
Chassin : Non, c'est ça. Quelqu'un de bien décidé, là.
M. Waterhouse
(Steve) : Même affaire avec du matériel qu'on va appliquer du
chiffrement pour protéger sa confidentialité.
Éventuellement, ce chiffrement-là peut être compromis lui-même
parce qu'il va devenir faible, il y a une vulnérabilité dedans, peu
importe. Mais, à ce moment-là, ça va prendre juste... c'est une question de
temps avant que ça soit accessible. Donc,
dans la solution que vous proposez, oui, c'est certain que ça va aller...ça va
amener les fraudeurs à aller vers
d'autres possibilités, mais ça va faire en sorte qu'éventuellement il va
peut-être y avoir une faille puis... si ce n'est pas l'humain, le
détenteur des données qui en fait une, gaffe, ça fait que ça peut fuir.
M. Chassin : On a parlé de la Commission d'accès à l'information. L'Autorité des
marchés financiers, qui a une approche de gestion des risques, a une certaine
expertise. Est-ce qu'à votre avis... Est-ce que vous les connaissez un petit peu? Est-ce qu'à votre avis il pourrait y
avoir des outils que l'Autorité des marchés financiers pourrait utiliser pour
diminuer ou, en tout cas, pour avoir des
bons principes directeurs à communiquer, par exemple avec les agents
d'évaluation de crédit, en diminution de risque?
M. Waterhouse (Steve) : Absolument. Parce que le «a» dit «l'autorité».
Puis ce que je trouve dommage, c'est qu'ils n'affirment pas assez leur
autorité, pareil comme la CAI, ils ne sont pas assez présents sur le marché.
Récemment, ils ont commencé à faire
des campagnes publicitaires et de la documentation pour sensibiliser les gens,
pour ne pas dire éduquer. L'AMF, je le vois très bien avec ce rôle-là...
Le Président (M.
Simard) : En conclusion.
M. Waterhouse (Steve) : ...encore là, envers les entreprises, pour être
capable justement de rehausser, mais surtout, avec... comme une des recommandations que j'ai faites, d'amener des
programmes de certification qui amèneraient toutes les entreprises à
respecter des normes.
M.
Chassin : Programmes certifiés. Je retiens ça.
Le Président (M.
Simard) : Merci.
M.
Chassin : Merci.
Le
Président (M. Simard) :
Alors, comme M. Waterhouse avait pris un peu moins que 10 minutes,
nous avons bonifié chacun des temps de parole. M. le député de
Pontiac, vous disposez donc de 11 min 20 s.
M. Fortin : Merci. Merci, M. le Président. Bonjour, M. Waterhouse, merci d'être avec nous.
J'aime le terme que vous avez utilisé, la «culture de la sécurité de l'information», et le fait que souvent, là, on sous-estime, disons... les entreprises
sous-estiment la menace à l'interne. Vous faites référence à Desjardins. Dans
le passé, ils ont sous-estimé la menace d'une fuite potentielle de
données à l'interne. Est-ce que vous pensez que, depuis la fuite, ils
continuent de sous-estimer la menace?
M. Waterhouse (Steve) : Je ne sais pas, à ce moment-ci, s'ils
continuent à sous-estimer. Je peux dire, par contre, avant l'incident qui... clairement,
c'était sous-estimé, par des ressources qui étaient absentes, par la façon de travailler
des gens à l'intérieur puis qui a mené justement à cette fuite d'information
là. C'est certain que c'est dans leur intérêt
d'améliorer les processus,
de mettre les restrictions en place et de monitorer davantage,
donc surveiller qui qui a accès aux données, pour ne pas qu'un deuxième
incident survienne comme ça. Je l'espère, qu'ils le font, et ça serait un bon exemple
à donner, justement, aux autres entreprises de la province.
M. Fortin : Mais vous l'espérez, mais vous n'avez pas... depuis la fuite, là, vous
n'avez pas d'indication qu'ils ont vraiment pris les mesures nécessaires? Tu
sais, je sais que vous avez suivi les travaux ce matin, on n'a pas vraiment
eu d'indication à ce niveau-là. On nous dit
que ça a été fait, mais vous n'avez pas eu, de votre côté, là, plus
d'informations à ce sujet-là?
M.
Waterhouse (Steve) : Je n'ai
pas eu l'occasion de vérifier certaines sources qui m'auraient confirmé que
c'est en place, fonctionnel et contraire à qu'est-ce qui était voilà deux
ans.
M. Fortin :
O.K. Vous avez parlé de votre propre expérience comme utilisateur, là, du
système qui a été mis en place entre
Desjardins et Equifax, entre autres, là. Et vous avez dit que vous avez été peu
impressionné par la rapidité, disons, d'intervention ou d'alerte au
moment où il se passerait quelque chose sur votre dossier. Pouvez-vous en dire davantage là-dessus? Je pense que vous êtes passé
un peu vite, là. J'aimerais ça savoir le niveau de temps, peut-être, qui
est insatisfaisant pour vous et ce que vous aimeriez voir en place.
M.
Waterhouse (Steve) : Bien,
dans un système de surveillance de dossier de crédit, on s'attend qu'au moment
où ce qu'il y a une compagnie qui en fait une vérification de demande d'accès,
bien, on en soit informé. Peut-être pas dans la seconde près, on
s'entend, mais pareil... 24 heures après, il me semble que ce serait
raisonnable, pas un mois.
De deux, il y a plusieurs personnes qui ne se
sont pas inscrites, mais parce qu'ils ne savent pas que, toujours, le service est disponible, mais surtout ils
anticipent que le service... ils ne savent pas comment ça va les aider dans le
futur. Je l'ai dit sur plusieurs
tribunes depuis un an : Inscrivez-vous, ça ne vous fera pas de mal, ça va
vous aider. Mais, encore là, l'aide n'est pas expliquée. Ça fait que ce
monitoring-là, dans le fond, parce qu'on baigne dans l'information, on peut...
on est capable de deviner à quoi ça sert, mais, fondamentalement, les gens ne
sont pas renseignés par rapport à ça.
Et, non,
Desjardins ne fait pas de campagne d'aller rejoindre le monde pour être capable
de lui dire : Va t'inscrire, ça va faire ceci. Et à la place ils
ramènent le membre à l'appeler constamment, Desjardins, puis ils tombent dans
une lourde attente. Ça fait que les gens,
ils ont dit : Assez, c'est assez, on passe à d'autres choses. Ça fait que
c'est pour ça qu'il n'y en a pas beaucoup qui se sont inscrits.
M. Fortin :
Est-ce que ça se fait, cette fameuse campagne là, de la part de Desjardins, par
exemple? C'est ce que vous suggérez,
c'est... O.K., ils n'en font pas assez. Ils ont envoyé des lettres à leurs
membres, puis c'est à peu près resté lettre morte après ça, là. Mais
est-ce que ça se ferait, des gens qui se présentent dans leurs succursales, des
gens qui les appellent pour, je ne sais pas,
moi, un autre enjeu? Est-ce que ça se ferait d'être un peu plus proactifs
là-dedans pour simplement leur
dire : Bien, vous avez potentiellement été victime de fuite de données ou
vous l'avez été, on vous le confirme, suivez le protocole?
M. Waterhouse (Steve) : Bien, je ne
veux pas être cynique, mais en réduction du nombre de caisses pop qui existent à cette heure, ça va être difficile en
personne, premièrement. Puis, deuxièmement, de les rejoindre, les membres,
bien, oui, ils l'ont, le portail d'AccèsD.
C'est comme ça qu'on a eu, les gens, l'accès pour s'enregistrer. Parfait, c'est
la façon de le faire. Mais, d'une
façon publicitaire, d'une façon postale, bien, je crois qu'il y aurait lieu
d'en faire davantage pour rejoindre
le membre et d'avoir un retour positif aussi, que le membre a pris connaissance
de l'information, ce qui n'est jamais
fait. Ça fait qu'il y a une différence à faire du «push and forget»...
Autrement dit, donc, on envoie l'information puis on espère que ça soit
capté. Et, de l'autre côté, de faire un retour avec un code donnant accès à un
je ne sais pas quoi de concours, mais ça
serait une façon de garder le membre actif et d'à ce moment-là s'assurer que,
oui, ils ont pris connaissance.
M.
Fortin : Hier, on a entendu
de la part d'un expert : Le niveau des amendes pour les agences, entre
autres, là, lorsqu'il y a fuite de
données personnelles, il nous a dit, aux États-Unis, il y a des amendes quand
même substantielles qui ont
été mises de l'avant, des dizaines, sinon des centaines de millions au cours
des dernières années. En Europe, c'est un
peu la même chose. Ici, il
n'y en a pas. Mais est-ce que
vous considérez que ça pourrait être quelque
chose qui pourrait forcer un
peu ces entreprises-là à en faire davantage pour s'assurer qu'il n'y en a pas,
de fuites de données personnelles?
M. Waterhouse (Steve) : Bien, c'est
bien certain parce qu'au Canada, présentement, c'est le nirvana pour les organisations qui veulent manipuler et faire
de la fraude avec des données parce que le système judiciaire ne suit pas
la parade. La parade est en avance de
plusieurs années. Ça fait que, oui, dans le projet de loi n° 64, c'est un
bel... un bon et bel investissement
de temps et d'énergie pour être capable d'améliorer ce système-là et d'éviter
justement... d'encourager les
compagnies à continuer. Parce que, quand que la mesure de répression est
faible, bien, ils vont... Ils sont quasiment masochistes, ils vont le faire juste pour voir comment ça fait mal.
Puis, quand ça ne fait pas mal, bien, ils vont continuer à le faire. C'est ça qu'on observe sur le marché,
malheureusement. Et c'est pour ça qu'il y en a plein, de fuites d'information.
M. Fortin : Et dernière question de ma part, je pense que ma
collègue en a peut-être quelques-unes aussi, là, mais vous faites les
recommandations, justement, que les organisations se préparent mieux, avec des
gens qui sont formés, des gens qui
sont affectés... les gens qui sont affectés à la manipulation de données soient
mieux formés. Vous faites référence à un cours du cégep, mais est-ce qu'on peut
aller plus loin que ça là-dedans? Est-ce que ce cours-là, d'abord, c'est
assez pour ces agents-là? Et est-ce qu'il
devrait y avoir une formation offerte peut-être par l'AMF ou par d'autres, là,
pour tous ces agents-là?
M. Waterhouse (Steve) : Bien, tout à
fait. Ça, c'est la recommandation que j'ai faite. C'est dans ce sens qu'il y a moyen d'avoir des gens qui travaillent
avec la gestion et manipulation de données qui soient complètement baignés,
imprégnés de la façon de gérer la donnée. C'est une suggestion que j'ai faite,
là, d'un cours qui existe sur le marché, donc, pour former immédiatement des gens. À
développer avec l'AMF? Absolument, ça serait une excellente idée, ou peu
importe l'organisation. Comme je l'enseigne
au microprogramme en maîtrise à l'Université de Sherbrooke, je veux dire,
c'est un autre plus que le professionnel
peut venir chercher pour être capable d'améliorer ses compétences et, après ça,
l'offrir à l'organisation. Définitivement.
M. Fortin :
Parfait. Je vous remercie, M. le Président.
Le Président (M. Simard) : Mme
la députée de Saint-Laurent.
Mme Rizqy : Merci beaucoup.
Bonjour.
M. Waterhouse (Steve) : Bonjour.
Mme Rizqy :
Et bienvenue parmi nous. Tantôt, vous avez mentionné qu'il y a des incidents à
l'interne et qui ne sont pas rapportés. Quel serait le bénéfice de
rapporter tous ces incidents internes?
M.
Waterhouse (Steve) : Bien, de
corriger la faille, de corriger les situations, que ça ne se répète pas ad vitam aeternam. Parce que, c'est certain, on ne
veut pas... Je ne crois pas qu'aucune personne ou organisation ne veut créer un
climat de dénonciation constant, que ce soit de la Stasi du bloc de l'Est, que
ça soit présent dans l'organisation. Et c'est ça, je trouve, qui est
souvent difficile à faire comprendre à des PME, alors, que c'est toujours des
gens de connaissance, même résidant dans le
même endroit que... Bien, tout le monde se fait confiance. Mais cette
confiance-là, souvent, elle est
érodée parce que les gens connaissent mal... pas assez bien, même, connaissent
mal leur prochain, ce qui fait en sorte qu'ils ont une déviance un peu
dans leur comportement social. Puis au travail tout paraît bien, mais, de l'autre côté, ils se doivent la tête puis
d'autres parties du corps. Ça fait que, de cette façon-là, ils veulent aller
chercher l'argent nécessaire pour
être capables de se repayer, de repayer leurs prêteurs. Puis c'est là que ça...
Ça y va avec les fuites.
• (14 h 30) •
Mme Rizqy :
Ça nous permet aussi d'avoir le portrait beaucoup plus juste afin d'allouer les
ressources requises pour faire face au fléau qu'est le vol de données.
M.
Waterhouse (Steve) : Bien,
ça, ça va dans le sens aussi que les services policiers, je le mettais en
cinquième recommandation, n'ont toujours
pas assez de ressources pour être capables de répondre souvent à qu'est-ce qui
arrive au citoyen typique. Donc, j'en ai aidé plusieurs, dans les deux
dernières années, à rencontrer ces objectifs-là de retrouver leurs identités parce que ça été volé. Puis là ils vont aux
services policiers, ils n'ont pas les effectifs, ils n'ont pas les
compétences pour être capables de les desservir, ils vont se concentrer sur le
crime physique conventionnel parce que c'est plus facile puis il y en a autant.
Ça fait que là il y a un manque aussi.
De rapporter ça au centre antifraude? Oui,
parfait. Mais c'est une... ça fait juste une collecte d'information pour
générer des statistiques et aider potentiellement les corps policiers. Mais on
ne voit pas de relation, à date, que rapporter...
très peu, en tout cas, d'incidents... rapporter l'incident va faire en sorte
qu'il y a des enquêtes qui vont être menées.
Il y en a eu dans le cas de centres d'appels qui ont été, à ce moment-là,
démantelés en Inde et en Ontario par rapport à ce que la population a laissé
savoir que c'étaient des appels importuns, et qu'ils ont pris action.
Mme Rizqy : On parle beaucoup des
particuliers dans cette commission, mais vous venez aussi de souligner les PME. Il y a aussi des conséquences du vol de
données pour les petites entreprises. Pouvez-vous nous en parler davantage,
c'est quoi, l'impact pour les petits
entrepreneurs et les petites entreprises, justement, lorsque leurs vols de
données sont... lorsqu'il y a un vol de données dans leur cas?
M.
Waterhouse (Steve) : Bien,
c'est souvent un double effet qui va arriver parce que l'entrepreneur est
souvent... ils sont très peu,
premièrement, d'employés, et ça va être la personne elle-même qui va être
directement impactée côté personnel puis, après ça, côté professionnel,
entrepreneurial. Et parce qu'ils n'ont pas les ressources, les reins solides
pour tout avoir les ressources à l'intérieur
de l'organisation, et voir et palier à ce manque, bien, le président, qui est
en même temps le designer ou peu
importe, qui fait un double chapeau dans son organisation, bien là, il faut
qu'il se consacre à voir à la gestion de données à l'intérieur de
l'entreprise. Donc, il faut qu'il fasse appel à des ressources extérieures. C'est des coûts supplémentaires qu'ils n'ont pas
dans leur budget, ce qui les amène, à ce moment-là, à être très, très, très
précaires, après ça, financièrement.
Mme
Rizqy : Je sais que je vais sortir un petit peu du cadre du projet de
loi n° 53. Justement, la semaine... il y a deux semaines, on vous
avait aussi dans une autre consultation, sur le traçage de personne, pour
parler de la littératie numérique. Mais,
pour les petites entreprises, là, à toutes fins pratiques, pour protéger leurs
banques de données, leurs banques de clients, protéger leur crédit, il
n'y a pas beaucoup de ressources pour eux, n'est-ce pas?
M.
Waterhouse (Steve) : C'est
le bon vouloir des gros conglomérats que, s'ils appliquent une bonne... on
parle des GAFAM ici, là, et s'ils appliquent une bonne sécurité, bien,
ces PME là sont contentes parce qu'ils se sentent en sécurité. Mais il n'y a aucun moyen technique de vérifier si eux-mêmes
sont protégés, si leurs données des clients sont protégées, parce qu'ils n'ont pas cette compétence. Souvent, ça va être
le fils de l'autre ou le cousin de chose qui va venir, à ce moment-là, parce que
lui, il clique c'est quoi, la technologie, puis il va faire en sorte, au
meilleur de sa connaissance, de vérifier que tout est place et tout est
sécuritaire. Mais ils n'ont pas le temps, non plus, les efforts et les
ressources à mettre, financières, pour être capables d'aller chercher une
certification professionnelle du travail.
Mme Rizqy : C'est quoi,
l'accompagnement... Parce qu'on a vu que le nombre d'hameçonnages a augmenté.
C'est quoi, l'accompagnement qui est offert aux PME au Québec?
M. Waterhouse (Steve) : En
accompagnement de quoi?
Mme Rizqy : En cas d'hameçonnage. Est-ce
qu'il y en a?
M. Waterhouse (Steve) : En cas
d'hameçonnage, bien, c'est : tout le monde est laissé à tout le monde... à
eux-mêmes, c'est-à-dire. Ça fait
que l'accompagnement... Et, encore là, c'est des... c'est un accompagnement
passif, parce qu'autant au gouvernement fédéral que, mettons, la
CAI, ils ont publié de l'information, et c'est statique sur leur site Web.
Il n'y a pas de campagne active qui va rejoindre le citoyen par une publicité
active pour être en mesure... à part les médias sociaux. Mais, quand quelqu'un
n'est pas branché média social, qu'il y va par les journaux traditionnels, la
télévision ou la radio, bien, il y a très peu de publicité qui est diffusée par
ces moyens-là, parce que c'est coûtant.
Le Président (M. Simard) :
30 secondes.
Mme
Rizqy : Ah! parfait. Bien, il y a deux semaines, lorsqu'on vous avait,
il y avait aussi le ministre délégué à la Transformation numérique qui
parlait que c'est important de faire l'éducation des citoyens en matière de
littératie numérique, mais je pense que ça
pourrait être aussi important d'avoir des vrais outils, parce que, dans le cas
des PME, si elles sont laissées à
elles-mêmes dans le cas d'hameçonnage ou d'autres fraudes de données, bien, ça
peut toutes les mettre en péril.
Est-ce que vous pensez qu'on devrait aller plus loin en matière de gouvernance
pour l'accompagnement, mais aussi les ressources pour elles?
M.
Waterhouse (Steve) : Si mon
souvenir est bon, le ministre de la Transition numérique a déjà débuté un
programme avec l'Université Laval...
Le Président (M. Simard) : Très
bien.
M. Waterhouse (Steve) : ...en ce sens,
mais il faudrait que ça se multiplie pour que ça puisse porter fruit.
Mme Rizqy : Merci.
Le
Président (M. Simard) : Merci. Merci, M. Waterhouse. Je cède la
parole au député de Rosemont pour une période de
4 min 20 s.
M. Marissal :
Merci, M. le Président. Merci d'être là, M. Waterhouse. Heureusement, j'ai
fait les présentations avant que ça
commence, ça me laisse plus de temps pour les questions. J'en ai quatre,
essentiellement, là, en quatre minutes.
Selon vous, qui doit payer pour la protection
offerte aux contribuables? Consommateurs, je devrais dire.
M. Waterhouse (Steve) : On parle de
quelle protection?
M. Marissal : La protection, là, qui
est dans 53.
M.
Waterhouse (Steve) : Ça
serait, à ce moment-là, les institutions... bien, plutôt, même la source qui a été à la
base d'une fuite d'information. Donc, si c'est une institution
financière, c'est à l'institution financière à payer, si c'est...
M. Marissal : Mais pas nécessairement
s'il y a de fuite, là. La protection, c'est essentiellement pour ne pas qu'il y ait de fuite ou pour se protéger de fuites. Je comprends que, s'il y a
fuite, ça, c'est 64 qui va régler ça, là. Mais la protection qu'on veut,
là, le verrou, l'alerte, qui doit payer ça, puisqu'on l'offre?
M. Waterhouse (Steve) : Ça va être, à
ce moment-là, les deux agences de notation de crédit, TransUnion et Equifax, quant
à moi.
M.
Marissal : Les agences. Très bien,
c'est très clair. Et, si on avisait le consommateur, à chaque mouvement dans son dossier, en amont plutôt qu'en aval, de
dire : Il s'est... en aval, c'est-à-dire,
qu'«il s'est passé quelque chose dans ton dossier, vérifie donc tout de suite»?
M. Waterhouse (Steve) : Le risque
qui arrive aussi, ça va être une surdose d'information au consommateur, pour ne
pas dire au client, parce que les gens se font déjà bombarder de beaucoup d'informations,
quelles qu'elles soient, que ce soit juste de façon...
sur les médias sociaux, et, quand ça vient des... des informations comme ça, j'appelle ça opérationnelles, les gens vont peut-être
y porter moins attention, si ce n'est pas que, s'ils l'ont, s'il y a
plusieurs effets, il y en a beaucoup qui vont
développer de l'anxiété, probablement, avec ça.
M.
Marissal : Moi, j'en développe
quand je n'ai pas d'information, d'habitude, mais on n'est peut-être
pas tous faits pareils.
M. Waterhouse
(Steve) : On est deux.
M.
Marissal : On a beaucoup
parlé depuis deux jours de la multiplication des usages du dossier de crédit,
qui sert à peu près à toutes les sauces. Vous pensez quoi de ça, vous?
M. Waterhouse (Steve) : Bien, c'est à réviser, parce que
c'est comme le numéro d'assurance sociale, une fois qu'il est compromis, là, on est fait. L'identité
numérique promet d'amener ces éléments-là, d'être capable de resserrer un peu la diffusion d'information qui est unique et ne pas être redirigée, ou refaite, ou transformée
pour que ça soit plus accessible. Alors, le conseil canadien de
l'identité et de l'authentification numérique, qui planche là-dessus depuis maintenant
trois ans et demi, va faire en sorte que, j'espère, dans un avenir très
rapproché, alors qu'ils sont 20 ans en retard, d'amener l'identité numérique pour que ça soit le
moyen, le véhicule pour être capable de s'authentifier et d'en même
temps être sécuritaire dans l'utilisation d'information et l'accessibilité de
services.
M. Marissal :
O.K., intéressant. La sixième recommandation, là, la F, donner plus de pouvoir
aux policiers, aux corps de police, en
particulier, municipaux et régionaux,
pour vrai, là, pour vrai, vu que ça fait longtemps que vous êtes
là-dedans, là, les corps policiers sont-tu vraiment intéressés par ce qu'on appelle
les «white-collar crimes»? Ils sont-tu vraiment intéressés d'aller là-dedans?
M. Waterhouse (Steve) : Bien, s'ils ne le sont pas, il faut qu'ils
développent l'intérêt. Parce que, le citoyen, c'est toujours vers les
ressources policières qu'ils sont envoyés quand ils sont dans le problème. Ça
fait qu'aujourd'hui, de plus en plus, il y a des crimes informatiques,
il y a des fuites de données, et les gens, ils en sont déboutés. Ils vont à leur boutique informatique du coin pour voir
s'ils peuvent être aidés. Quand ça a une apparence de vol d'information,
bien, ils se font rapporter aux services policiers.
J'ai
eu un cas récemment, qui m'a approché, que la personne avait des contacts avec
des personnes très importantes dans
son carnet de téléphone, que là le téléphone a juste besoin de changer la
vitre, mais ils ont réussi à gagner l'accès au téléphone et avoir accès
à tout ce carnet d'adresses là avec des informations très sensibles à
l'intérieur. Réaction des services
policiers : ce n'est pas si grave que ça. Ça fait qu'un moment donné il
faut voir l'incidence que, s'il y a un vol
de données, bien, il y des incidences... des impacts plus tard, pas non plus à
l'organisation, mais à plusieurs personnes...
M.
Marissal : Très bien. Merci de la concision. Je vous pose des
questions parce que, vous savez, on peut adopter toutes les lois qu'on veut
ici, là, puis 53 a des mérites, assurément, mais, s'il n'y a pas de suivi,
comme ça a été le cas de Desjardins,
un an plus tard, il ne se passe rien, puis on n'est pas capable de coincer les
bandits, 53 ou autre va devenir le proverbial parapluie du coyote dans
Road Runner, là.
M. Waterhouse
(Steve) : Tout à fait.
M. Marissal :
Puis ça ne servira pas à grand-chose comme protection.
Alors,
je termine là-dessus : Comment on fait pour convaincre les policiers, les
corps de police d'aller là-dedans, là, même si c'est peut-être moins «glamour»
que coffrer un Hell's Angels?
Le Président (M.
Simard) : Très rapidement.
M. Waterhouse (Steve) : Il faut qu'à ce moment-là les dirigeants soient
convaincus eux-mêmes que ça devient, à ce moment-là, très important.
Parce qu'il ne faut pas oublier une affaire, notre économie, ici, présentement,
elle est menée par la donnée. Ça fait que combien d'exemples qui ont été
manifestés...
Le Président (M.
Simard) : Merci.
M. Waterhouse (Steve) : ...que c'est la donnée, présentement, qui fait foi
de beaucoup de choses dans les transactions.
Le Président (M.
Simard) : Merci. Merci, M. Waterhouse. Je cède la parole au
député de René-Lévesque.
M. Ouellet :
Merci beaucoup, M. le Président. Donc, à mon tour de vous saluer, deux en deux,
à date.
M. Waterhouse (Steve) : Bien sûr.
M. Ouellet : J'aimerais savoir...
parce que vous faites référence, dans votre mémoire, de l'importance ou de
l'opportunité de bien former les gens qui auraient à travailler à la sécurité
ou à la manipulation des données. Avec votre expérience, pouvez-vous nous dire si, dans
les institutions financières, les gens qui ont à travailler sur la sécurité des
systèmes ont ce genre de formation là ou ce genre de certification qui les
qualifie comme étant des gens chevronnés, qui sont à la dernière, dernière mise à jour de ce qui se fait en termes de
cybercrime et qu'ils sont effectivement bien outillés? Est-ce qu'on voit
ça dans les institutions financières au Québec et au Canada?
• (14 h 40) •
M.
Waterhouse (Steve) : Bien,
lorsque c'est un poste de pointe, oui, ils sont encouragés, les gens, à aller
chercher toutes les nécessités de
certification. Quand c'est un commis qui est au comptoir, je veux dire, il a la
notion de base, la formation de base pour être capable de faire le
traitement d'échange entre le client puis l'institution.
Mais, lorsque je précisais les formations à
aller chercher, c'est vraiment pour, lorsqu'il y a des gens qui sont dans des centres de données qui sont consacrés
vraiment à la rétention et à la manipulation des données, bien, qu'ils soient davantage certifiés, pour ne pas dire éduqués sur
le sujet. Et après ça, bien, que l'ensemble des travaillants... pas juste
informatique, mais, encore là, c'est un travail de... global, bien, que tout le
monde soit, à ce moment-là, à un niveau tel que ça va être, à ce moment-là,
plus facile de faire le travail de prévention, et pas dans l'échange
d'information.
M. Ouellet : Ça fait que ça se
fait un peu à la pièce, je veux dire, les entreprises ont de bonnes vertus,
mais est-ce qu'elles offrent le bon contenu pour s'assurer que les gens qui ont
à manipuler ou à être en contact avec ces informations-là
ont les bons réflexes? Ce que vous nous dites, c'est qu'on pourrait faire une
mise à jour de ces formations-là ou, du moins, regarder si les gens qui
sont à surveiller ou à s'assurer de la surveillance...
M.
Waterhouse (Steve) : Bien,
les institutions financières répondent souvent à des obligations légales. Si ça
serait légiféré que ce serait le cas, bien, à ce moment-là, ils s'y
conformeraient sans problème.
Parce que, souvent, les grandes organisations,
sans nommer les institutions financières, ils voient surtout une dépense
inutile que de former si ce n'est pas obligatoire, parce que, là, à ce
moment-là, ils vont rationaliser le tout. Ça
fait que, si ça devient une obligation, ils vont le faire. J'ai très vu... Très
peu souvent, j'ai vu des organisations qui vont prendre une initiative comme on parle pour être capables d'améliorer en
amont des éventualités de fuites d'information ou d'incidents comme ça.
M. Ouellet : Parfait. Tantôt, on faisait référence à... Tu
sais, le gel de sécurité, on peut le mettre en mode préventif,
c'est-à-dire qu'avant qu'il y ait une fuite de données, moi, comme citoyen, je
pourrais dire : Moi, je ne prends pas de chance,
moi, mon crédit, j'aime mieux le verrouiller. Puis, si j'en ai besoin, puis ça
gosse, bien, je ferai les démarches. Mais, au moins, si je me fais
frauder, je serai déjà protégé. Ça, c'est la première chose qu'on pourrait
faire.
Mais,
lorsqu'on regarde le cas de Desjardins, ce n'est pas un verrou de crédit qui a
été offert, ça a été une alerte de sécurité. Et vous faites mention...
tu sais, ça arrive après coup.
Est-ce que,
dans votre formation... parce que vous avez dit tout à l'heure que vous avez
commenté à plusieurs reprises sans les médias. Quand on offre des programmes,
pourquoi que les gens n'embarquent pas? Parce qu'on a eu le débat ici, on... ça devrait être gratuit. On pense
que, si c'est gratuit, ce serait accessible à tous. Desjardins l'a offert à ses
clients totalement gratuitement, ce
suivi-là. Et ce n'est pas tout le monde, Desjardins l'a confirmé, à peu près
1 million, sur les 4,2, qui
l'ont demandé. Pourquoi les gens, au-delà du manque de littératie en termes de connaissances informatiques
par rapport au cyberrisque... qu'est-ce
qui fait que les gens ne font pas le pas supplémentaire? Et, tant que ça ne
leur est pas arrivé, ils vont
dire : Écoute, je suis intouchable. Si ça m'arrive, bien, je vais le
gérer. Qu'est-ce qui fait que les citoyens du Québec, et moi le premier, on ne
franchit pas le pas supplémentaire pour dire : Protégeons-nous un peu plus
avec les outils qui nous seraient disponibles?
M.
Waterhouse (Steve) : Bien,
parce qu'il y a une mécompréhension à l'outil sert à quoi, premièrement. Puis,
deuxièmement, bien, tant qu'il n'y a pas de conséquence, ce n'est pas grave, on
verra rendu là. Donc, un peu... Faire de la
vitesse sur la route, tout le monde le sait, que ce n'est pas correct puis tout
le monde le sait, qu'on devrait ralentir, ça va sauver de l'énergie, ça va être plus environnementalement «friendly»,
puis, après ça, bien, on va se rendre pareil. Mais il reste... tout le
monde ont cet «incentive» d'aller plus vite pour aller sauver une minute.
Mais, dans le cas d'un programme comme ça, bien,
ça va faire en sorte que...
Le Président (M. Simard) : Très
bien.
M.
Waterhouse (Steve) : ...les
gens, autant qu'on les encourage à le faire, ils ne voient pas la pertinence,
ils ne voient pas le retour, il n'y a pas de retour, il n'y a pas
d'argent de plus qui va rester dans son compte.
Le Président (M. Simard) : Très
bien.
M.
Waterhouse (Steve) : Sauf
ceux qui se font avoir et qui se font vider leurs comptes. Là, eux, ils ont
compris et ils vont adhérer, ils vont avertir leur environnement
immédiat.
Le Président (M. Simard) : Très
bien.
M.
Waterhouse (Steve) : Mais
ceux et celles que ça ne leur est jamais arrivé, des situations comme ça dans
leur vie, ils ne voient pas l'importance.
Le
Président (M. Simard) : Merci beaucoup. Merci, M. Waterhouse,
pour la qualité de votre présentation et votre contribution à nos
travaux.
Sur ce, je suspends quelques instants notre
séance afin de faire place à nos prochains invités.
(Suspension de la séance à 14 h 43)
(Reprise à 14 h 55)
Le Président (M. Simard) : À
l'ordre, s'il vous plaît! Chers amis, nous allons reprendre nos travaux. Nous sommes en compagnie de représentants d'Equifax. Madame, monsieur,
bienvenue. Pour les fins de nos travaux, auriez-vous l'amabilité de vous
présenter, s'il vous plaît?
Equifax Canada inc.
M. Weiser
(Jess) : Oui, merci. Alors,
bonjour, M. le ministre des Finances, M. le Président de la Commission
des finances publiques, Mmes et MM. les
députés. Je vous remercie pour l'invitation à participer à cette consultation
publique sur le projet de loi n° 53.
Je m'appelle
Jess Weiser. Je suis vice-président Relations gouvernementales chez Equifax
Canada et je suis basé à Toronto. Je suis accompagné d'Antonietta Di
Napoli, qui est directrice des opérations chez Equifax et qui est basée à notre
bureau de Montréal.
Permettez-moi
de commencer en disant qu'Equifax est en faveur de réglementations
intelligentes pour l'industrie des
bureaux de crédit, des réglementations intelligentes dans non seulement les
droits et les obligations aux consommateurs, aux bureaux de crédit et aux utilisateurs des renseignements sur le
crédit, mais elles apportent également une certitude pour l'industrie et
l'économie.
Le Québec est
la seule province à ne pas avoir de loi spécifique pour encadrer l'industrie
des bureaux de crédit et les utilisateurs des renseignements de crédit,
mais Equifax adopte une approche uniforme en matière de dossiers de crédit partout à travers le pays, ce qui signifie
que les Québécois bénéficient des mêmes services et protections que les
Canadiens dans les autres provinces.
Nous saluons
néanmoins l'initiative de présenter une nouvelle loi. Les éléments inclus dans
le projet de loi n° 53 témoignent des meilleures intentions, et
nous soutenons le projet de loi, en principe. Cependant, afin de minimiser le potentiel pour des conséquences inattendues, nous
proposons des amendements clés, dont
je serais heureux de discuter.
Tout d'abord, permettez-moi de donner un survol
de notre entreprise et de nos activités. Equifax a été fondée il y a plus de 120 ans. Nous sommes
aujourd'hui une entreprise mondiale de données, d'analyses et de technologies
qui contribue à alimenter l'économie
dans 27 pays. Au Canada, nos racines remontent à 1919 à Montréal, où nous
disposons toujours d'un bureau de premier plan à Anjou. Nous employons
actuellement plus de 500 Canadiens, dont environ 160 sont basés au Québec.
En tant que
bureau de crédit, nous élaborons des dossiers de crédit. Ces dossiers
contiennent des données publiques comme
les faillites, les jugements, les recouvrements ainsi que l'historique des
remboursements et des demandes de crédit des particuliers qui sont
fournies à Equifax par les institutions financières avec le consentement des
consommateurs. Ces informations sont à leur tour utilisées par les institutions
financières, encore une fois avec le consentement des consommateurs, afin de
prendre des décisions éclairées sur l'offre de nouveaux crédits.
Les rapports
de crédit aident les Québécois à acheter des maisons et des voitures, à
financer leurs études, à obtenir des cartes de crédit et même à acheter
des électroménagers. Les rapports de crédit sont souvent fournis avec une cote de crédit aux institutions financières. Ces cotes
ont été créées pour aider les gestionnaires de risque financier à prendre
des décisions justes et objectives en matière de prêts et à prédire la
probabilité que les personnes paieront leurs factures à temps.
Les cotes de crédit sont le résultat
d'informations contenues dans un dossier de crédit, qui sont soumises à un algorithme spécifique de cotes de crédit. La
plupart des algorithmes reposent sur des variables similaires, dont les antécédents de paiement, le pourcentage
d'utilisation du crédit, la durée de l'historique de crédit, les nouvelles
demandes de crédit et les types de crédit obtenus.
Je me dois de
soulever la question de la COVID-19. Nous nous soucions profondément des
consommateurs et des clients ainsi
que de nos collègues et de nos communautés. C'est pourquoi nous avons pris des
mesures immédiates pour soutenir les
consommateurs, les clients et les économies locales depuis le début de la
pandémie. Je vais vous faire part de quatre mesures clés.
• (15 heures) •
Premièrement,
nous avons travaillé en collaboration
avec l'industrie afin de fournir des conseils aux prêteurs pour qu'ils puissent
s'assurer que les reports de paiements n'aient pas d'impacts négatifs sur la
cote de crédit de leurs clients.
Deuxièmement, nous avons rendu gratuit l'accès
en ligne aux rapports de crédit des particuliers à equifax.ca. Nous pensons que les consommateurs devaient disposer de tous les outils
nécessaires pour prendre des décisions éclairées en matière de crédit et
de finance. Cela inclut un accès facile et pratique à leurs rapports de crédit.
Troisièmement,
nous sommes conscients que la pandémie a créé une grande incertitude financière
pour des millions de Canadiens et de
Québécois. Nous avons donc créé le centre de
ressources COVID-19 + Crédit pour aider les consommateurs
à mieux comprendre les impacts de la pandémie sur leurs finances et leur
crédit.
Quatrièmement et
dernièrement, nous reconnaissons, comme l'ont fait les gouvernements du Québec
et de l'Ontario, que nous sommes un service
essentiel et nécessaire au bon fonctionnement du secteur financier ainsi qu'à
la stabilité économique. Les
économies locales et en particulier les consommateurs dans le besoin comptent
sur l'extension efficace des prêts et d'aide financière.
Equifax a
assuré une continuité opérationnelle complète et responsable pour soutenir nos
clients et consommateurs tout au long
de la pandémie. Nous suivons de près les répercussions de la pandémie et
continuerons à élaborer des solutions pour aider les consommateurs et
les entreprises à faire face à la situation économique engendrée par la
COVID-19 et à planifier leur avenir.
J'aimerais
maintenant parler du projet de loi n° 53. Nous vous avons soumis des
recommandations d'amendements détaillées,
lesquelles je serai heureux de discuter. Durant le reste de mon exposé
d'ouverture, je vous présenterai les thèmes de ces amendements.
Comme le
Québec sera la dernière province à adopter une loi spécifique pour encadrer
l'industrie, les utilisateurs des
dossiers de crédit, un grand nombre de dispositions du projet de loi sont
similaires à celles dans d'autres provinces. Lorsque ces dispositions peuvent être harmonisées sans effet
indésirable, nous recommandons l'harmonisation. C'est le cas, par exemple, de la proposition d'une note explicative qui pourrait être modifiée pour
assurer une plus grande harmonisation.
En ce qui concerne la proposition de gels de
crédit, il est nécessaire de souligner que les gels n'existent pas actuellement
au Canada. Un vaste effort tant en termes de ressources humaines que d'investissement
financier sera nécessaire pour créer la
nouvelle fonctionnalité. Le secteur financier au sens large et la communauté qui a recours aux renseignements sur le crédit devront également
faire des investissements et des changements technologiques significatifs.
Vu l'effort considérable nécessaire pour créer un gel au Canada, il est
impératif que la loi qui encadre cette pratique soit conçue de manière efficace pour atteindre l'objectif visé,
c'est-à-dire protéger les consommateurs contre le vol d'identité.
En ce qui
concerne les mesures proposées en matière de cote de crédit, nous recommandons
une définition modifiée de la cote afin de garantir que les
consommateurs soient bien servis et outillés lorsqu'ils accèdent à une cote de
crédit personnelle.
En
conclusion, les bureaux de crédit sont essentiels à l'octroi de crédit de
manière saine, efficace et équitable au sein de notre économie. Nous devons élaborer un cadre réglementaire
approprié. Je me réjouis d'en discuter plus en détail avec vous. Je vous remercie à nouveau de nous
donner l'occasion d'offrir ce témoignage et de votre dévouement pour
accomplir ce travail important, particulièrement en personne durant la
pandémie. Merci.
Le
Président (M. Simard) : Merci à vous, M. Weiser. Je cède maintenant
la parole au ministre des Finances.
M. Girard
(Groulx) : Merci beaucoup pour votre présentation et bienvenue dans la
plus belle ville d'Amérique du Nord. Alors... en personne, en personne.
La définition
modifiée à la cote, est-ce que vous pourriez nous donner l'esprit de ce que
vous recommandez comme modification?
M. Weiser
(Jess) : Assurément. Merci
pour la question, M. le Président. En effet, la définition qui existe
maintenant dans le projet de loi...
puis je paraphrase, mais les mots, c'est une cote qui est la cote communiquée
généralement au prêteur. Mais le problème avec ça, il n'y a pas une cote
généralement communiquée au prêteur. Alors, si on suit la lettre de la loi, d'après nous, jour 1, après qu'une
loi soit adoptée, on ne peut pas se conformer exactement avec ça parce qu'on
n'a pas de cote qui est la cote généralement
donnée au prêteur. Alors, on avait un but pour objectif, mais élargir la
définition pour faire que c'est une définition avec laquelle on peut se
conformer. Objectif numéro un.
Objectif numéro deux, c'est sûr, on avait aussi l'objectif, puis je crois que vous aussi
aviez l'objectif, on veut une cote
qui est utile, qui est bonne pour un consommateur. On ne veut pas donner :
Voici un B+ plus à un consommateur. Ça
doit être une cote qui sert à quelque chose. Alors, la définition qui est là, qui est proposée, c'est une
définition plus générale, une
définition qu'on peut se conformer avec puis une définition qui résultera dans
une cote qui est utile pour un consommateur, qui va être similaire, ou
même d'une cote qu'une institution financière peut acheter de nous sur un
consommateur.
Le Président (M. Simard) : Merci. M.
le ministre.
M. Girard
(Groulx) : O.K. Là, j'essaie
de comprendre, là. Vous, vous vendez la cote aux institutions financières.
Là, la cote va être disponible gratuitement
aux individus. Est-ce que vous suggérez qu'on modifie la définition de la
cote, par exemple, pour utiliser la cote de référence de l'industrie,
là, le Beacon Score?
M. Weiser
(Jess) : Merci pour la
question. D'après nous, ce ne serait pas bien de spécifier une cote spécifique
ou pas de spécifier une version de cote spécifique, parce que nous, on a plein
de cotes, notre concurrent a plein de cotes.
Ce qui est important, nous croyons, c'est que c'est une cote qui est elle-même
ou similaire que les cotes qui sont d'habitude
utilisées dans le marché, c'est sûr. Mais de dire : Bien, tu vas utiliser
celle-là, bien, l'année après, peut-être,
ça change, l'année après, ça change, on a
des différents clients qui utilisent des différentes cotes, même client, il
utilise des différentes versions du
score. Je crois que ce qui est important, c'est : le consommateur a
l'accès à une cote qui peut donner pour le consommateur des informations
bons pour voir : O.K. ça, c'est la cote, ça veut dire que je suis un bon
risque ou je ne suis pas un bon risque, je suis très bon. Ça, c'est, grosso
modo, comment une institution financière va regarder s'il cherche une cote de
chez un bureau de crédit.
M. Girard (Groulx) : O.K. Pour le gel, là, est-ce que
vous êtes en faveur que, lorsqu'un consommateur active le gel avec une
agence de crédit, il soit automatiquement enregistré aux deux agences de crédit.
M. Weiser (Jess) : Merci pour la question. Puis c'est une excellente question puis un
excellent sujet. Le sujet, l'action
puis le concept, en effet, d'un gel automatique aux deux bureaux de crédit,
nous croyons, en principe, que c'est une très bonne idée. Son objectif
est très bon. C'est quelque chose qui serait très difficile à implémenter puis
qui lève des questions complexes non
seulement pour nous, l'industrie, mais pour les législateurs. Comment est-ce qu'on enquête ça, comment
est-ce que ça fonctionne? Ça veut dire que nous, on doit
créer des nouveaux systèmes avec notre concurrent, qu'on se parle,
qu'on crée des logiciels, en fait, avec eux. Puis ce n'est pas impossible, ça
peut être fait. Mais c'est une chose.
Une
autre chose, là, un gel double ou un gel automatique pour les deux bureaux de
crédit, c'est quoi, l'implication? Bien, l'implication qu'il va y avoir aussi
un dégel double. Alors, ça veut dire que, pour nous ou pour notre
concurrent, vous devez prendre... en fait, prendre le mot du concurrent. Et
eux, ils vont dire à nous : Aïe! Le consommateur a dit qu'il voulait son dossier dégelé. Puis, pour nous,
bien : Est-ce que tu as fait une bonne authentification? Tu es sûr
qu'il veut ça? Puis là nous, on
devrait prendre le mot. Puis, si on dégèle, puis ce n'était pas vrai, puis le consommateur, il est fraudé, bien, c'est nous, cette responsabilité. Ça,
c'est un enjeu. Il y a plusieurs... Mais le...
Bref, c'est un intéressant
concept. C'est une bonne idée. Notre suggestion... Il n'y a pas de gel maintenant
au Canada. Notre suggestion est de continuer avec le gel qui est proposé, de
base. On peut travailler dessus quelque
chose d'autre. Mais c'est sûr que, de compliquer le gel, un des résultats
de ça va être que ça va être plus long de créer cette fonctionnalité. Alors,
notre suggestion, c'est de créer une base du gel, comme celui qui existe autre
part, exemple les États-Unis, et pas des choses vraiment complexes comme ce
double gel, qui n'existe pas aux lois, par
exemple, américaines.
• (15 h 10) •
M. Girard
(Groulx) : O.K.
Alors, allons-y sur le gel de base. Est-ce
que vous pouvez nous expliquer
comment ça va fonctionner? Combien de temps, vous estimez, sera nécessaire
au développement informatique nécessaire à son implantation? Et combien vous estimez que ce service devrait être
tarifé, ou s'il devrait être gratuit pour les citoyens, ou s'il devrait
être gratuit pour les citoyens mais tarifé pour les... gratuit pour les citoyens
mais payé par les institutions financières?
M. Weiser (Jess) : Oui, merci pour la question. Alors, bien, trois
questions, comme je comprends, le processus,
la durée de temps puis un coût, un tarif.
Numéro
un, M. le Président, le processus, comment ça va fonctionner, bien, je ne peux pas
dire sûrement maintenant
parce que, bien, la loi n'est pas adoptée, on n'a pas créé le processus,
mais, je parle généralement, le concept d'un gel, c'est quoi? C'est le
concept qu'un consommateur peut communiquer avec un bureau de crédit pour
dire : S'il te plaît, gèle mon
dossier. Puis c'est quoi, le résultat d'un gel? Le résultat, c'est que, même si
un prêteur vient chez nous, puis... le prêteur qui vient chez nous, pour une
raison de faire une décision de risque sur un prêt, puis dit : Hé! j'ai le
consentement, j'ai l'autorisation
d'un consommateur de chercher son dossier parce qu'il a fait une demande pour
une carte de crédit, nous, on ne peut
pas donner le dossier parce que c'est gelé. En principe, ça, c'est le concept.
Aussi, dans le concept, un consommateur peut dégeler, parce que, si un
consommateur veut, bien, faire une demande pour une hypothèque, ça devrait être
dégelé. Alors, c'est comme ça le concept puis généralement le processus.
Je peux parler un peu
plus du processus américain, mais peut-être je vais continuer au temps. D'après
nos estimations, ce n'est pas précis, mais, d'après nos estimations, on pense
que ça va prendre deux années pour créer ce processus.
Les raisons pour ça : aujourd'hui, la fonctionnalité n'existe pas. Ça
existe aux États-Unis. L'infrastructure, la technologie, les logiciels, enfin, l'architecture
de toutes nos applications devrait être changée, créée, et non seulement
de nous, ça va prendre des investissements
dans tout le secteur financier. Enfin, c'est plus que le secteur financier,
c'est tout secteur qui utilise les
dossiers de crédit et les renseignements de crédit. C'est un grand effort en
fonction de matière humaine, mais
aussi d'investissement puis ça va prendre du temps. Notre suggestion, c'est de
prendre le temps qui est approprié pour que ça fonctionne bien, et ce
n'est pas fait de... mal, puis c'est fait d'une façon qui a comme résultat
l'objectif de protéger le consommateur.
Dernièrement,
le coût. On est vraiment au début de ce processus, on fait l'examen comment ça
va continuer et créer la
fonctionnalité. Alors, des décisions commerciales n'ont pas été prises, bien,
c'est quoi, le coût exact? S'il y a un coût,
est-ce que c'est 20 $? Est-ce que c'est 3 $? Est-ce que
c'est 4 $? Il n'y a pas de décision au niveau du prix. D'habitude,
c'est fait à la fin de processus, et on est au début maintenant.
M.
Girard (Groulx) : Bon, bien,
je vais vous donner un ordre de grandeur, puis on ne parlera pas de qui paie,
on va parler de la valeur, O.K.? Parce qu'il y aura un débat à savoir... une fois
que le nouveau produit aura été créé puis qu'il y aura une valeur, on
pourra discuter si c'est les clients qui paient, si c'est Equifax qui fait un
geste humanitaire puis le donne gratuitement ou si c'est les institutions financières qui
paient. Est-ce que la valeur de ce produit-là serait supérieure, par
exemple, aux systèmes d'alerte?
M. Weiser (Jess) : Bien, c'est une très bonne question, M. le Président, puis c'est
difficile donner une réponse au
niveau de la valeur, mais ce que je
peux vous dire, je crois que c'est important, ces deux concepts, produits et
services, ils ont comme but la même chose.
M. Girard (Groulx) : Puis je vais
préciser ma question, j'aurais dû dire : que le service de surveillance,
parce que le service d'alerte est gratuit.
M. Weiser (Jess) :
Ah! Oui, ça, c'est vrai.
M. Girard
(Groulx) : Alors, je voulais dire, par exemple, là, le service que
Desjardins a acheté chez vous pour les clients, qui est tarifé quelque part
entre 15 $ et 20 $ par mois au niveau individuel, là, je présume que
ce n'est pas la transaction commerciale que vous avez faite avec
Desjardins, étant donné le volume, mais la valeur de ce service-là, est-ce
qu'elle est supérieure... est-ce que ce sera, d'une part, plus utile que la
surveillance et est-ce que la valeur sera supérieure?
M. Weiser (Jess) : Merci pour la
question. Je crois que c'est vraiment difficile de donner une valeur à un vis-à-vis l'autre, c'est sûr que, d'habitude, une
valeur c'est un des inputs dans la pensée de, bien, c'est quoi, le prix. Mais
je crois que c'est l'autre input de quoi on parle, de qu'on pense maintenant,
le fait que ce service n'existe pas, la fonctionnalité
n'existe pas, puis ça va coûter beaucoup, ça va prendre un grand investissement
pour créer la fonctionnalité. Le
penser à cette étape-là, ce n'est pas c'est quoi, la valeur, on doit déterminer
un prix, des avis de valeur, c'est plus...
M. Girard (Groulx) : Est-ce qu'il me
reste du temps, monsieur...
Le Président (M. Simard) : Oui.
M. Girard (Groulx) : Avez-vous un
estimé de cet investissement?
M. Weiser
(Jess) : Ah! On n'a pas une
estimation précise, mais c'est sûr que ça va coûter des millions de dollars.
M. Girard (Groulx) : Même des
millions ou des dizaines de millions?
M. Weiser
(Jess) : Mais je ne peux pas
préciser, mais ça se peut... ou un ou l'autre, comme j'ai dit, on est vraiment
au début du processus. Ce qui est sûr, ça va
coûter beaucoup non seulement pour nous, mais tout le système financier,
et plus le système financier, qui devrait changer les logiciels pour injecter
cette nouvelle fonctionnalité.
M. Girard
(Groulx) : O.K. Bien, je vous remercie. Vos réponses sont très utiles,
puis, bien, je suis prêt... il ne reste plus de temps?
Le Président (M. Simard) :
40 secondes.
M. Girard (Groulx) : Est-ce que vous
avez une question de 40 secondes?
Une voix : ...
Le Président (M. Simard) : M. le
député de Saint-Jérôme.
M.
Chassin : Peut-être une
question très rapide, M. Weiser, sur l'aspect... aux États-Unis, il y a
déjà, dans le fond, des dispositions
législatives. Vous avez réussi à vous adapter, aux États-Unis, est-ce que ça a
été une pression importante, malgré que vous ayez réussi à vous adapter?
M. Weiser
(Jess) : Merci pour la
question. Oui, on a adapté aux États-Unis. C'était un peu différent. Ici, il
n'y a pas de fonctionnalités. Aux États-Unis, il y avait eu une nouvelle loi
fédérale, ça fait à peu près deux ans ou trois ans, mais, avant la loi fédérale, on avait quand même
la fonctionnalité. On avait ça pour 15 ans, alors on n'avait pas besoin
de créer un nouveau...
Le
Président (M. Simard) : Merci. Merci, M. Weiser. Désolé, c'est
tout le temps dont nous disposions pour la partie gouvernementale. Je
cède maintenant la parole au député de Pontiac.
M.
Fortin : Je vous remercie,
M. le Président, et je vais... Bonjour, bonjour à vous. Je vais changer de
direction par rapport aux questions
que le ministre posait à l'instant, parce que,
bien honnêtement, combien ça vous coûtera, mettre ça de l'avant, je vous avoue que ce n'est pas au
coeur de mes préoccupations. Je
pense qu'on a d'autres préoccupations
à travers le projet de loi qu'on veut mettre de l'avant, des préoccupations notamment
pour le consommateur.
Alors là, je veux revenir à certaines des choses
que vous avez mises dans votre mémoire, des demandes des consommateurs, notamment, le projet de loi y fait référence, l'ajout possible d'une note explicative. Je veux
savoir, là, dans votre pratique quotidienne, dans ce que vous donnez aux
institutions financières ou aux autres qui peuvent vouloir le dossier de crédit ou la cote de crédit, peu
importe, là, le fait que ce soit inscrit, «le client conteste parce que XY
raison», là, d'après vous, ça va-tu changer quelque chose à la fin de la
journée? Ça va-tu aider le client?
M. Weiser
(Jess) : Merci pour la
question, M. le Président. Ça dépend. Ça se peut, et on veut que c'est utilisé,
puis on fait du bon sens, puis on lit ça. Ça
dépend du prêteur. À la fin du jour, vous avez raison que, si tu as une note
sur un dossier, ça n'empêche personne de prendre une action ou l'autre,
c'est une explication, une déclaration.
M.
Fortin : O.K. Mais... Donc, vous n'avez pas d'assurance, là, par
exemple des clients institutionnels avec qui vous faites affaire, que ça
va être pris en compte, là.
• (15 h 20) •
M. Weiser (Jess) : Nous, on ne peut
pas donner des assurances, c'est pour eux de faire ça.
M.
Fortin : Je vous entends, je
vous entends. On a entendu de la part de certains experts... le régime de
pénalité américain, entre autres, là,
qui est quand même assez important pour les entreprises comme la vôtre, lorsque
vous-mêmes, vous avez des fuites de données... hein, ça peut arriver,
des entreprises comme la vôtre qui ont des fuites de données où il y aurait des pénalités importantes. Et ce
qu'on a entendu, ce qu'on a compris, c'est que plus les pénalités sont importantes, bien, plus l'organisation va faire
attention aux données du monde, plus ils vont mettre des paramètres en
place pour s'assurer que ces données-là sont protégées.
Est-ce que
vous pensez que ça serait utile de mettre des pénalités plus sévères ici, au
Canada, ou au Québec, pour s'assurer que les données sont bien
protégées, les données de votre industrie?
M. Weiser
(Jess) : Merci pour la
question, M. le Président. Je peux
vous dire : Pour notre part, on a comme but, on a comme objectif
de protéger les données. C'est une des plus grandes priorités. Juste,
indépendamment à toute autre chose,
c'est une de nos plus grandes priorités. On nous considère qu'on est un leader
mondial au sein de la protection des données maintenant. C'est dans
notre culture, la sécurité, la protection des données, comme j'ai dit, c'est
une plus grande priorité. On fait des
dépenses, en fait, des investissements nous-mêmes, dans les trois ans, 2018 à
2020, de 1,5 milliard de
dollars pour une transformation complète de nos technologies puis nos sécurités,
puis, en fait, notre entreprise. C'est un investissement le plus grand dans
notre histoire, et ça a pour but de changer tout ce qu'on fait au niveau de la
sécurité.
M.
Fortin : O.K. donc, si je
comprends bien, vous préférez le système qui vous permet de faire des
investissements plutôt qu'un système punitif, là. Vous êtes confortable
avec votre niveau de protection que vous avez à l'interne pour l'instant.
M. Weiser
(Jess) : C'est sûr qu'on est
confortable avec le niveau de protection qu'on offre. On trouve que c'est
un des meilleurs au monde.
M.
Fortin : O.K. Si on parle
des dossiers et des obligations que vous auriez, là, à travers le projet de loi ou que vous pourriez avoir à
travers une bonification du projet de
loi... Là, on parle beaucoup
d'alerte de gel dans le projet de loi.
Si, par exemple, un consommateur demande un
dégel de son dossier, hein, on en a parlé, peut-être que ça peut être
naturel de vouloir imposer un gel
tout de suite, d'avoir un dégel lorsqu'il y aura transaction qu'on sait qui se
produira. Est-ce que vous êtes capable de vous revirer de bord assez
vite? Le consommateur dit : Moi, je veux un dégel, est-ce que
vous êtes capable de faire ça rapidement?
M. Weiser (Jess) : Aujourd'hui...
M. Fortin : Aujourd'hui et dans le futur, après vos changements
technologiques, s'il le faut, là.
M. Weiser (Jess) : Aujourd'hui,
c'est sûr qu'on ne peut pas faire ça, il n'y a pas de fonctionnalité.
M. Fortin :
Oui, mais après?
M. Weiser
(Jess) : Mais après... Mais
on est dans l'étape de commencer à examiner comment on va construire ça, comment est-ce que ça va fonctionner,
alors c'est difficile de prédire comment ça va être dans le futur. Mais c'est
sûr que, comme but, c'est de donner un service de qualité puis de
réaliser comme but les fins qu'on veut.
M.
Fortin : O.K. Mais, si je
vous... si on vous dit, là, si le législateur, ici, là, vous dit : On vous
demande ou on exige de vous qu'un consommateur québécois qui vous contacte
puisse dégeler son dossier en une heure, vous allez le faire.
M. Weiser
(Jess) : Ah! c'est sûr qu'on
va essayer de faire, puis on va faire tous nos systèmes comme ça. Mais, si je
peux offrir quelque chose, c'est... avec un dégel, avec une demande pour un
dossier de crédit, il y a toujours une balance, puis c'est difficile. Mais
c'est une balance pour nous. Deux impératifs, un, d'un bon service, d'un
service de qualité, d'un service vert
pour les consommateurs, puis s'assurer de la sécurité. Alors, on doit toujours
être confiant qu'on authentifie bien le consommateur. On ne veut pas que
c'est mal fait puis quelqu'un, un fraudeur dégèle, par exemple, un dossier.
Alors, ça,
c'est la balance, mais, pour le but, c'est de le faire le plus vite possible.
Il y a plein de cas, par exemple si
c'est un consommateur qui n'utilise pas Internet, comment est-ce que
ça va... c'est quelqu'un qui veut venir en personne, si c'est un cas où une personne fait part du... poste. Mais
c'est sûr, si c'est donné vite, si c'est fait par Internet,
si on a les renseignements pour s'authentifier bien vite, notre but, ce serait
de le faire aussi vite que possible.
M.
Fortin : Je comprends que c'est votre but. Mais, dans le fond, ce que je vous demande, là, c'est que, si on a des exigences qui sont particulièrement strictes envers la rapidité, si on a des exigences qui sont particulièrement strictes envers,
je ne sais pas, moi, la gratuité et le fait que ça doit être une
compagnie comme la vôtre qui en défraie les frais, vous allez vous
conformer à la loi.
M. Weiser (Jess) : C'est sûr qu'on
conforme en tout droit.
M. Fortin : En
fait, c'est tout ce que je voulais savoir. Je voulais, là... entre autres, par
rapport à la gratuité, TransUnion nous a dit la même chose, ils vont se
conformer à la loi. Si une entreprise comme la vôtre doit fournir ce service-là gratuitement, ils vont le fournir. Pour
moi, ça va, je pense que ma collègue de Saint-Laurent a quelques questions, M. le
Président.
Le Président (M. Simard) : Mme la
députée, entendu, avec plaisir.
Mme Rizqy : Il reste combien de
temps?
Le Président (M. Simard) :
3 min 50 s.
Mme
Rizqy : Parfait, merci.
Merci et bienvenue parmi nous. Juste pour peut-être sécuriser le ministre des Finances, vous n'avez pas de problème de trésorerie
présentement, là. Au niveau monétaire, vous allez bien?
M. Weiser (Jess) : On n'a pas de problème.
Mme
Rizqy : Merci. Et d'ailleurs j'aimerais juste faire une petite
parenthèse, parce que j'ai eu l'occasion de vous rencontrer, et souvent on mentionne quand que les gens ne parlent pas
français, mais, dans votre cas, c'est... je vous l'avais déjà mentionné en
privé, mais j'aimerais souligner la qualité de votre français. Puis je sais que
vous faites à chaque fois un effort, à nos appels, nos rencontres, pour
communiquer en français, j'aimerais le souligner.
J'aimerais savoir... On s'est parlé, vous et
moi, par rapport à certains dossiers qui méritent une attention plus
particulière, c'est les dossiers qui ont une rectification qui doit être faite.
Je vous avais parlé des différents codes qui existent
mais que le consommateur ne connaît rien. 72 % du temps, selon une
étude... démontre que ça peut être réglé rapidement, mais il reste le 28 %, puis, vous m'avez dit, vous
allez me revenir là-dessus. Et là... et, sur ce 28 %, ça peut être plus
long. Est-ce que ça, vous avez trouvé une solution pour... et on parlait le...
en anglais, le «fast track» ou, si vous le permettez, une voie rapide
pour rectifier les dossiers pour les consommateurs?
M. Weiser
(Jess) : Oui, merci pour la
question, M. le Président. Nous, on veut l'exactitude du dossier, comme
le consommateur, comme les institutions financières, et on n'aime pas des
erreurs. On fait tout ce qu'on peut pour s'assurer
qu'il n'y a pas d'erreur. Puis, quand il y a
des erreurs... une erreur est trop, mais, quand il y a une erreur, on a
créé un processus robuste pour que les
consommateurs peuvent faire une demande de changer une erreur, de... et il y a
un désaccord, on veut changer ça, je
crois que c'est un processus robuste. On est toujours là pour regarder des
solutions pour améliorer. Puis, peut-être,
je vais demander à ma collègue Toni, qui est responsable des opérations,
d'énumérer ce processus, qu'est-ce que le consommateur doit faire
s'il pense qu'il y aurait une...
Mme Rizqy : Ah! mais, si vous le
permettez, vu que je n'ai pas beaucoup de temps, moi, c'était vraiment... Parce que
j'ai eu la longue conversation avec vous à cet effet, et c'est vraiment...
ce n'est pas le... c'est parce que je ne veux pas vous empêcher de parler, c'est
que je veux vraiment savoir : Pour les 28 % des cas où est-ce que ça
devient problématique, où est-ce qu'il y a une usurpation d'identité, est-ce
que c'est possible d'avoir une voie rapide?
M. Weiser
(Jess) : Bien, c'est sûr
que, dans tous les cas, on essaie d'y aller assez rapide que possible. Ton
étude des statistiques... combien de temps ça prend...
Le Président (M. Simard) : Oui,
Mme Di Napoli. Bienvenue parmi nous, madame, d'ailleurs.
Mme Di Napoli (Antonietta) :
Merci. Oui...
M. Weiser (Jess) :
...statistiques.
Mme Di Napoli
(Antonietta) : On a fait des
améliorations à nos services. Ça fait
que, premièrement, j'aimerais
souligner qu'on peut faire des... demander des corrections au dossier de crédit
en ligne maintenant. Ça, c'était une fonctionnalité qui n'existait pas avant. Ça
fait que ça, c'est plus efficace, plus rapide pour les consommateurs.
Au niveau des statistiques, en 1919, 90 %
de nos enquêtes avec nos fournisseurs de données étaient fermées dans 10 jours. C'était traité et fermé dans
10 jours. C'est sûr que, dans notre processus, on voit que, si après
10 jours le fournisseur de
données ne répond pas, on supprime l'information tout à fait puis on répond au
consommateur en disant que l'information est supprimée du dossier de
crédit.
Mme Rizqy : O.K. Vous avez
mentionné que vous avez 500 employés, environ 160 au Québec. Si jamais... Parce que, ce matin, nous, on a reçu Desjardins.
Ils disaient qu'ils allaient peut-être relancer leurs clients. Ils ont eu au
total environ
6 millions de personnes qui ont été touchées par la fuite de données,
environ 1,7 million, selon le chiffre avancé ce matin, qui se sont
inscrites auprès de vous.
Si jamais la balance des clients se dirige vers
vous, est-ce que vous allez avoir suffisamment de monde pour répondre en
français? Et l'an dernier il y avait un problème au niveau du clavier en
français sur votre site Web.
Le Président (M. Simard) : Très
rapidement, s'il vous plaît.
M. Weiser
(Jess) : Oui, on serait
prêts puis on est prêts. Les Québécois ont comme «expectation» de recevoir un bon service puis un service en français, puis on
donne maintenant puis on est prêts pour continuer à donner.
Le Président (M. Simard) :
Merci. Merci beaucoup. M. le député de Rosemont.
• (15 h 30) •
M. Marissal :
Merci, M. le Président. Bonjour. Bienvenue. Vous avez rendu gratuit l'accès en
ligne au rapport de crédit des particuliers, equifax.ca. Vous dites que vous
pensez que les consommateurs devraient disposer
de tous les outils nécessaires.
Mais ça, vous rentrez ça dans votre filière COVID. Pourquoi vous ne l'avez
pas fait avant? Et est-ce
qu'il y a une date de péremption sur cette initiative?
M. Weiser (Jess) : Bien, pourquoi
c'était fait au temps du COVID? Bien, on avait une décision, là, au temps de COVID. On a vu qu'il y avait... bien, il y avait plein
de problèmes dans le temps de COVID. Un des problèmes, c'était que les consommateurs s'inquiétaient de leurs
finances. Un autre, c'est que c'était difficile d'y aller, dehors, de chercher
un dossier de crédit. Nous-mêmes, il y avait
une période de temps où les centres d'appels, il y avait moins de personnes, on
doit avoir moins de personnes... on a dû avoir des espaces entre les personnes.
Alors, c'est une des raisons pourquoi on a fait la décision : O.K., le dossier sur Internet devrait être
gratuit. Puis on l'a fait gratuit. Je crois que je comprends la
question...
M. Marissal : Est-ce que ça finit en
même temps que l'éventuelle et tant espérée fin de la pandémie?
M. Weiser
(Jess) : Il n'y a pas de
plan maintenant pour arrêter cette pratique. Ça, c'est notre
pratique, puis il n'y a pas de plan pour changer.
M.
Marissal : Très bien.
Vous avez parlé du temps de réponse, vous venez de parler du temps de réponse
avec ma collègue de Saint-Laurent, mais on a beaucoup parlé aussi du
taux, pourcentage d'exactitude ou d'inexactitude. Vous dites : Une erreur, c'est une de trop. Moi, je pense qu'il y
en a plus qu'une, malheureusement. Avez-vous des données sur le taux
d'inexactitude de vos dossiers?
M. Weiser (Jess) : On n'a pas des
données sur le taux d'exactitude des données, malheureusement. Tout ce que je peux dire, c'est que, pour nous, c'est
important qu'il n'y pas de faute puis que les dossiers sont exacts. C'est notre
entreprise d'avoir des données exactes.
Nous, on veut ça, les consommateurs veulent ça, puis les entreprises
financières veulent ça. On a tous des
«incentives» pour faire ça, puis c'est la raison qu'on a ce processus robuste.
On essaie de le faire facile pour corriger des...
M. Marissal : O.K. je comprends que
vous n'avez pas de chiffre sur le taux d'inexactitude de vos dossiers. Le ministre
des Finances vous a posé une question
tout à l'heure sur une conversation, là, évidemment, numérique, entre
vous et TransUnion, justement sur le gel, par exemple. Vous, vous dites :
Non, ce n'est pas vraiment possible, ce n'est pas vraiment... Mais est-ce à dire que TransUnion et
Equifax ne se parlent pas déjà, et même des centaines de milliers de fois
par jour?
M. Weiser
(Jess) : C'est sûr qu'on se
parle. On n'a pas aujourd'hui des logiciels entre un et l'autre pour
transmettre des données de façon
sécuritaire. Et je ne veux pas dire, pour être sûr, que c'est un concept qui
est impossible. C'est possible. C'est
complexe, mais c'est sûr que ça va faire que le temps pour créer ces systèmes,
ça serait plus long de penser puis de créer un autre système avec eux.
Et l'autre chose qui est importante, un enjeu,
c'est que... le dégel. Si le dégel s'est fait avec nous ou essayer de faire à nous avec eux, là, l'autre doit
dire : O.K. Je prends son mot qu'il y a un dégel. Ce n'est pas moi qui
a... ce n'est pas nous... qui a parlé au consommateur, c'est eux, mais
il dit : Ils veulent dégeler. C'est un enjeu aussi. Ce n'est pas une chose
impossible, mais le fait... c'est un bon concept. En principe, nous soutenons
ça. C'est complexe, puis notre suggestion, c'est de continuer avec un gel de
base pour commencer.
M.
Marissal : Je comprends.
Bien, disons, pour Equifax, la fuite chez Desjardins, l'an dernier, ça a été
plutôt une bonne affaire, pour Equifax, non?
Le Président (M. Simard) :
Rapidement, s'il vous plaît.
M. Weiser
(Jess) : Je ne dirais pas
que c'est une bonne affaire, mais je comprends que la question, c'est au niveau
de... bien, les ventes, pour nous, des fuites. Ce que je dirais, c'est que nos
services de fuite, on n'a jamais chargé un consommateur, même un sou. On fait des dépenses et
des investissements pour créer des solutions à ces problèmes dans la
société, puis c'est les compagnies qui paient pour ça.
Le
Président (M. Simard) :
Alors, merci, M. Weiser. Je cède maintenant la parole au député de René-Lévesque.
M.
Ouellet : Merci beaucoup, M.
le Président. Donc, à mon tour de vous saluer. J'ai eu effectivement
l'opportunité aussi de vous
rencontrer un petit peu après le dépôt du projet de loi, avant la pandémie,
pour nous expliquer un peu votre position.
Ça fait que j'irai plutôt avec des questions plus précises, suite à l'évolution
de la situation. Présentement, aux États-Unis, le gel existe.
M. Weiser (Jess) : Oui.
M. Ouellet : Vous l'offrez.
M. Weiser (Jess) : Oui.
M. Ouellet : Et c'est possible pour
un client de demander un gel, dégel, dans des délais de, quoi, 12 heures,
24 heures, 48 heures?
M. Weiser (Jess) : Bien, c'est aux États-Unis,
je n'ai pas ici les nombres exacts, mais ça dépend de la façon que la demande vient. Si c'est par poste, le délai
est un peu plus long. Si la demande vient par Internet, les règles sont...
ça doit être effectué plus vite. Mais je n'ai pas que c'est trois jours si ça
vient par poste puis un jour si ça vient sur Internet. Mais, oui, il y a des
règles au niveau des délais.
M.
Ouellet : O.K. Donc, vous
avez une certaine expérience en matière de technologies pour offrir une
expérience client intéressante, à
savoir : il est beaucoup plus facile pour quelqu'un qui a de la
technologie entre les mains de faire une
demande de gel, dégel par son application ou par Internet. Donc, ça existe
déjà, vous n'êtes pas devant un inconnu.
Donc, quand
vous dites, tout à l'heure, que ça pourrait prendre deux ans, permettez-moi de
douter de votre volonté d'aller un peu plus vite que deux ans. Moi,
ma prétention — puis
les gens de TransUnion nous ont dit à peu près la même affaire, entre 18 et 24 mois — je pense qu'on peut faire plus court
considérant qu'il y a une expertise que vous avez développée par le
passé, ailleurs dans la législation américaine. Je suis bien conscient que les
systèmes informatiques canadiens ne parlent
pas de la même façon que les systèmes
informatiques américains parlent à vos systèmes à Equifax. Ça, on a eu cette discussion-là, je suis d'accord
avec vous. Mais je pense que les Québécois, Québécoises ne s'attendent pas, à la sortie de cette commission, qu'on va
leur dire : Écoutez, on a un excellent projet de loi, on va vous protéger,
ça sera gratuit, mais ça va prendre
deux ans avant qu'on le mettre en application. Honnêtement, là, il faut qu'on
travaille ensemble à trouver des solutions pour que ça soit plus court
que ça.
Puis je vais
être honnête avec vous, on vous a questionné comment ça peut coûter... ça, moi,
ça ne me dérange pas comment ça va vous coûter parce qu'il y a de la
business à faire. Si je vous pose la question comme j'ai posé à TransUnion, si le législateur vous oblige de
rendre cette fonctionnalité-là gratuite pour les consommateurs, je présume,
mais je vous laisse y répondre, que vous allez être toujours en affaire ici, au
Canada, là?
M. Weiser (Jess) : Merci pour la
question, M. le Président, mais, au niveau du temps, c'est sûr qu'on veut travailler avec vous. L'affaire des États-Unis,
oui, on a la connaissance du concept et comment l'offrir, mais c'est au niveau
des technologies, des logiciels, c'est vraiment que chaque application, mais
chaque aspect de l'architecture de nos applications
devrait être changé, et non seulement pour nous. Si on fait ça juste nous, ça
ne changerait rien, rien. On doit communiquer
avec tous les prêteurs, les grandes banques, les petites banques, les prêteurs,
pour qu'ils... savoir qu'est-ce qu'il fait avec ça, comment il gère
cette information. On va essayer de le faire d'une façon efficace et vite, mais
notre estimation, c'est que ça va prendre
deux années pour faire bon avec le système, pour que le résultat est un gel qui
fonctionne bien pour les consommateurs.
Deuxième, au niveau prix, on n'a pas fait de
décision du coût. Je comprends qu'il y a un débat de la gratuité, combien le
prix, mais il n'y a pas de décision faite encore de nous au niveau de s'il y a
un prix, c'est quoi, le prix.
M.
Ouellet : Mais vous
comprenez que, si pour... ici, la commission
parlementaire, nous décidons tous
que, pour le consommateur, pour
demander cet accès-là, c'est gratuit, vous avez également compris que ça
devrait être gratuit, mais que, s'il y a des coûts que vous voulez
charger à l'utilisateur-payeur...
Le Président (M. Simard) : En
conclusion.
M. Ouellet : ...donc, les
institutions financières, ça pourrait leur être chargé. Et là on n'a pas encore
eu les discussions quel serait le coût raisonnable, parce que ça pourrait être
prévu dans le projet de loi.
Le Président (M. Simard) : Très
rapidement.
M. Weiser (Jess) : Je comprends.
Le Président (M.
Simard) : Très bien.
M. Ouellet : Bien, merci.
Le
Président (M. Simard) :
Voilà. Alors, Mme Di Napoli, M. Weiser, merci beaucoup pour
votre contribution à nos travaux. Ceci met donc fin à nos auditions.
Mémoires déposés
Notre
commission a, bien sûr, accompli son mandat, mais, avant de terminer, je dépose
officiellement les mémoires des groupes non entendus durant nos
auditions.
Je vous remercie encore à vous deux pour votre
présence. Je remercie beaucoup tous nos auditeurs, qui nous écrivent très fréquemment pour nous donner des
commentaires, commentaires que nous lisons, bien sûr, avec beaucoup d'intérêt.
Alors, on se retrouve demain, le 27 août, à
9 h 30. Bonne soirée à tout le monde.
(Fin de la séance à 15 h 39)