(Crédit photo : Gilles Boutin – Archives)

ÉCONOMIE. L'Autorité des marchés financiers (AMF), la Commission d'accès à l'information et le commissaire à la protection de la vie privée du Canada ont dévoilé, le 14 décembre, leurs ordonnances ou leurs conclusions à la suite de leurs enquêtes sur la fuite de données personnelles chez Desjardins, survenue en 2019.

Par Érick Deschênes – Collaboration spéciale

En vertu des pouvoirs que lui confère la Loi sur les coopératives de services financiers, l'AMF a d'abord transmis à la Fédération une ordonnance par laquelle elle expose de nombreux constats découlant de ses travaux de surveillance réalisés à l'égard de la fuite de renseignements personnels annoncée en juin 2019.

Le gendarme québécois des marchés financiers conclut que la Fédération a manqué à son obligation de suivre et de faire respecter des pratiques de gestion saine et prudente et qu'elle a fait défaut de rencontrer certaines attentes de l'Autorité en omettant de mettre en place des mécanismes adéquats de contrôle interne au sein du Mouvement Desjardins.

De plus, l'AMF croit que les membres de la haute direction de la Fédération, de son conseil d'administration et certains de ses comités statutaires ont manqué à leur obligation d'agir avec prudence et diligence dans l'exercice de leurs fonctions, en ne mettant pas en place des mesures de gouvernance et mécanismes de contrôle suffisamment robustes, notamment en matière de sécurité de l'information et de pratiques de ressources humaines, et en n'assurant pas un suivi adéquat des plans d'action devant mettre en œuvre les recommandations de l'Autorité et des auditeurs internes du Mouvement Desjardins.

Si l'AMF a pris acte des mesures correctrices prises par Desjardins depuis le début de la crise, l'organisme estime «que ces mesures doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d'importance systémique».

Ainsi, l'AMF a notamment ordonné à la Fédération qu'elle mette en place les mesures suivantes :

- qu'elle prenne les mesures nécessaires afin de respecter entièrement, correctement et sans retard les obligations auxquelles le Mouvement Desjardins est tenu en vertu de la Loi sur les coopératives de services financiers, en ce qui concerne l'obligation de suivre des pratiques de gestion saine et prudente et de respecter les lois régissant ses activités;

- qu'elle mette en place des mécanismes de contrôle internes suffisamment robustes, notamment en matière de sécurité de l'information, afin d'atténuer efficacement l'exposition aux risques d'incidents liés à la protection des renseignements personnels;

- qu'elle mette en place des pratiques de ressources humaines afin de rendre imputables les personnes responsables à l'égard de l'incident et celles qui seront chargées de la mise en place des correctifs en temps opportun;

- de produire une reddition formelle illustrant l'avancement réel des travaux exigés dans le cadre de l'ordonnance, les risques réels et résiduels en vigueur, de même que les délais envisagés et de transmettre cette reddition à l'Autorité sur une base mensuelle;

- d'assumer les frais d'une firme d'experts indépendants qui sera approuvée par l'Autorité, dont le mandat sera déterminé par celle-ci et qui lui fera directement rapport, afin d'effectuer une surveillance de l'opérationnalisation des mécanismes de gouvernance et de contrôles mis en place en vue de certifier que le Mouvement Desjardins rencontre les attentes des lignes directrices établies par l'Autorité et des meilleures pratiques au sein de l'industrie.

Notons qu'en cas de non-respect de l'ordonnance de l'AMF, la Fédération s'expose à une sanction administrative de 10 000 $ par jour de manquement.

La Commission d'accès à l'information veut des suivis

La Commission d'accès à l'information du Qébec a également rendu publique sa décision, le 14 décembre, à la suite de l'enquête sur l'incident de sécurité survenu chez Desjardins.

La Commission conclut que Desjardins n'a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé. Plus précisément, l'instance conclut que Desjardins :

- n'a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu'elle détient; a manqué à son obligation de limiter l'accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés;

- n'a pas pris les mesures nécessaires pour limiter ou cesser l'utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l'objet de ces dossiers accompli.

La Commission considère que les mesures correctrices envisagées depuis la crise par Desjardins devraient cependant suffire à rehausser la sécurité pour la maintenir à un niveau plus à même d'assurer la protection des renseignements personnels détenus par Desjardins, en fonction de leur sensibilité et de leur quantité.

La Commission a toutefois ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures. La Commission a aussi ordonné à Desjardins de lui transmettre, d'ici deux ans, une évaluation réalisée par un auditeur externe indépendant sur l'ensemble des mesures déployées et propres à assurer la protection des renseignements personnels de ses membres et clients.

Desjardins «imprudente» et «lente à réagir»

Quant à lui, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a constaté les mêmes problèmes.

«Notre enquête a révélé que Desjardins n’avait pas fait preuve de la prudence nécessaire pour protéger les données personnelles sensibles qui lui avaient été confiées. Desjardins avait déjà décelé certaines des lacunes qui ont ouvert la voie à la fuite, mais a été trop lente à réagir. Cela dit, l’institution a très bien réagi une fois qu’elle a été informée de l’atteinte», a-t-il déclaré lors d'une conférence de presse téléphonique afin de dévoiler son rapport sur la fuite de renseignements personnels.

Du même souffle, le commissaire a indiqué que Desjardins s'est dit satisfait des mesures d’atténuation offertes par Desjardins aux personnes touchées, que Desjardins se soit engagée à mettre en œuvre une série d’améliorations sur le plan de la sécurité de l’information, des délais de conservation des renseignements et des contrôles d’accès et qu'elle s’est également engagée à nous fournir des rapports d’étape aux six mois.

Desjardins réagit

Pour sa part, Desjardins a fait savoir qu'elle prenait acte du rapport du Commissariat à la protection de la vie privée du Canada (CPVP) et des ordonnances de la Commission d'accès à l'information du Québec (CAI) et de l'Autorité des marchés financiers (AMF) à la suite de la fuite des enseignements personnels. La coopérative financière de Lévis a rappelé qu'elle a assuré sa pleine collaboration tout au long des travaux des autorités règlementaires.

De plus, Desjardins a indiqué qu'elle a établi «depuis l'année dernière des stratégies qui couvrent leurs recommandations, qui sont déjà implantées ou en voie de l'être».

 

 

Les plus lus

Le développement économique avance malgré le climat d’incertitude

ÉCONOMIE. La COVID-19 a occupé pratiquement à temps plein le tout nouveau département de développement économique de la MRC de Lotbinière en 2020. Les impacts de la pandémie se feront toujours sentir en 2021, mais la jeune organisation prévoit également innover afin de soutenir les entrepreneurs de la région.

Revenu Québec maintient certaines mesures d’aide

SOCIÉTÉ. Revenu Québec a fait connaître, le 13 janvier, une série de mesures visant à alléger le fardeau des contribuables pendant cette seconde période de confinement.

Projet d’affaires inspiré par sa fille

ÉCONOMIE. En tant que maman d’une enfant avec des intolérances alimentaires, passionnée de cuisine et professionnelle de la santé, il n’était pas évident pour Jessika Pelletier-Boucher de voir sa fille être privée des plaisirs de la table. C’est pour cette raison qu’en 2019, l’Apollinairoise a décidé de prendre le taureau par les cornes et de développer elle-même un produit qui pourrait satisfaire...