La fuite de données personnelles survenue au Mouvement Desjardins au printemps 2019 découle d’un ensemble de lacunes administratives et technologiques, révèle un nouveau rapport.
La présidente de la Commission d’accès à l’information du Québec, Diane Poitras, et le commissaire à la protection de la vie privée du Canada, Daniel Therrien, ont présenté lundi matin leurs enquêtes respectives au sujet de cette fuite, qui a touché plus de 9,7 millions de personnes au Canada et à l’étranger.
Selon les deux organisations, l’institution financière n’a pas respecté plusieurs obligations imposées par la Loi sur la protection des renseignements personnels dans le secteur privé. Ce manque de prudence a permis à un employé du département de marketing d’exploiter les failles du système pendant 26 mois.
Le rapport de Commission d’accès à l’information indique que Desjardins « n’a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu’elle détient ».
Elle a aussi « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés. »
L’employé responsable de la fuite a mis la main sur des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir.
Contrairement aux directives en place au moment de l’incident, ces informations confidentielles se trouvaient dans des répertoires partagés par l’ensemble de l’équipe marketing.
« L’employé a ensuite pu transférer des profils financiers et d’identité concernant des millions de membres de Desjardins sur des clés USB à partir de son poste de travail », indique le rapport.
Le document souligne que les fuites se sont produites pendant 26 mois avant que Desjardins n’en soit informée par les policiers.
Selon le commissaire à la protection de la vie privée du Canada, la coopérative a mis trop de temps à réagir et à comprendre l’ampleur de la fuite après cet avertissement. Compte tenu de la quantité de données sensibles détenues par Desjardins, l’entreprise aurait dû avoir des « systèmes proactifs » en place pour déceler et arrêter les transferts anormaux, estime Daniel Therrien.
Les enquêtes ont aussi révélé qu’en plus des millions de membres actuels, la fuite a touché environ 4 millions d’anciens clients de Desjardins.
L’identité de ces personnes, leur date de naissance, leur numéro de téléphone, leurs adresses de résidence et de courriel, leur numéro d’assurance sociale et des renseignements sur leurs habitudes transactionnelles ont été dérobés.
« Les conséquences de cet incident, tant pour les victimes que pour Desjardins, devraient amener toute organisation à mettre en œuvre de façon diligente les mesures appropriées pour prévenir ce genre d’événement portant gravement atteintes à la vie privée des citoyens », a déclaré Diane Poitras en conférence de presse.
La Commission d’accès à l’information du Québec a ordonné à Desjardins de mettre en place un plan d’action pour remédier aux lacunes constatées et de lui transmettre un état d’avancement de ce déploiement tous les six mois.
La Commission a précisé que Desjardins avait déjà commencé à implanter des mesures pour atténuer la portée de l’incident, corriger les manquements en matière de sécurité et éviter qu’une telle fuite ne se reproduise.
La coopérative s’est notamment engagée à détruire ou cesser d’utiliser les renseignements personnels périmés.
L’Autorité des marchés financiers (AMF) s’est aussi penchée sur le dossier, et a conclu que la haute direction et le conseil d’administration des Desjardins « ont manqué à leur obligation d’agir avec diligence dans l’exercice de leurs fonctions ». Dans un communiqué publié lundi, l’AMF exige que l’entreprise mette en place des pratiques visant à « rendre imputables les personnes responsables à l’égard de l’incident ».
L’AMF avait déployé une équipe de surveillance chez Desjardins au cours des derniers mois afin d’évaluer la rigueur des pratiques et des mesures de sécurité.
Cette opération a notamment permis de constater que la coopérative n’a suivi qu’en partie les recommandations découlant de certains travaux de surveillance antérieurs à 2019, alors que le statut d’avancement transmis à l’AMF indiquait le contraire.
Une enquête policière concernant le vol de données personnelles des membres de Desjardins est toujours en cours.