Déclaration du commissaire à la protection de la vie privée du Canada au terme de l’enquête sur la fuite de données chez Desjardins
Le 14 décembre 2020
Par téléconférence
Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a prononcé la déclaration suivante lors d’une conférence de presse téléphonique.
(Le texte prononcé fait foi)
Bonjour à tous. Mes commentaires portent sur l’enquête menée en vertu de la loi fédérale qui vise le secteur privé. Les résultats de nos enquêtes respectives vont dans le même sens.
La fuite de données qui a eu lieu chez Desjardins représente la plus importante à ce jour dans le secteur des services financiers au Canada.
Notre enquête a révélé que Desjardins n’avait pas fait preuve de la prudence nécessaire pour protéger les données personnelles sensibles qui lui avaient été confiées.
Desjardins avait déjà décelé certaines des lacunes qui ont ouvert la voie à la fuite, mais a été trop lente à réagir. Cela dit, l’institution a très bien réagi une fois qu’elle a été informée de l’atteinte.
Quand l’affaire a été révélée dans la presse, les citoyens ont été choqués – parce qu’on s’attend à ce qu’une institution financière fasse preuve d’une très grande rigueur sur le plan de la sécurité des données.
Cette attente trouve un écho dans la loi, qui exige des organisations qu’elles protègent les renseignements personnels au moyen de mesures de sécurité qui correspondent à leur degré de sensibilité.
On s’explique mal comment un employé a réussi à exfiltrer les renseignements personnels de clients de Desjardins pendant au moins 26 mois, et que l’institution financière l’a appris à l’origine des policiers.
La protection des données est une activité complexe, surtout pour une grande entreprise comme Desjardins qui fait affaire avec des millions de personnes et de partenaires commerciaux. Les technologies en cause aussi sont complexes. Mais une entreprise de la taille de Desjardins a les moyens, et l’obligation juridique de déployer ces moyens, afin de protéger les données de ses membres.
Ce qui est arrivé à Desjardins aurait pu arriver à d’autres entreprises, et comme on le sait, ce genre de fuites se produit trop souvent. Cette fuite devrait servir de leçon aux autres organisations.
Les autorités de réglementation ne s’attendent pas à la perfection, mais elles s’attendent à ce que les données soient protégées avec des mesures conséquentes avec leur degré de sensibilité. Cela comprend notamment des systèmes qui permettent de déceler des activités inhabituelles qui pourraient être frauduleuses.
Cela dit, nous sommes satisfaits des mesures d’atténuation offertes par Desjardins aux personnes touchées. L’ensemble des mesures proposées va au-delà de ce qui a été offert par d’autres organisations dans des circonstances similaires.
Pour la suite, Desjardins s’est engagée à mettre en œuvre une série d’améliorations sur le plan de la sécurité de l’information, des délais de conservation des renseignements et des contrôles d’accès. Elle s’est également engagée à nous fournir des rapports d’étape aux six mois.
En terminant, je tiens à remercier Me Poitras et la Commission d’accès à l’information pour leur collaboration dans cette enquête importante.
Contenu connexe
- Date de modification :