CRÉDIT : GILLES BOUTIN - ARCHIVES

L'Autorité des marchés financiers (AMF), la Commission d'accès à l'information et le commissaire à la protection de la vie privée du Canada ont dévoilé, le 14 décembre, leurs ordonnances ou leurs conclusions à la suite de leurs enquêtes sur la fuite de données personnelles chez Desjardins, survenue en 2019.

En vertu des pouvoirs que lui confère la Loi sur les coopératives de services financiers, l'AMF a d'abord transmis à la Fédération une ordonnance par laquelle elle expose de nombreux constats découlant de ses travaux de surveillance réalisés à l'égard de la fuite de renseignements personnels annoncée en juin 2019.

Le gendarme québécois des marchés financiers conclut que la Fédération a manqué à son obligation de suivre et de faire respecter des pratiques de gestion saine et prudente et qu'elle a fait défaut de rencontrer certaines attentes de l'Autorité en omettant de mettre en place des mécanismes adéquats de contrôle interne au sein du Mouvement Desjardins.

De plus, l'AMF croit que les membres de la haute direction de la Fédération, de son conseil d'administration et certains de ses comités statutaires ont manqué à leur obligation d'agir avec prudence et diligence dans l'exercice de leurs fonctions, en ne mettant pas en place des mesures de gouvernance et mécanismes de contrôle suffisamment robustes, notamment en matière de sécurité de l'information et de pratiques de ressources humaines, et en n'assurant pas un suivi adéquat des plans d'action devant mettre en œuvre les recommandations de l'Autorité et des auditeurs internes du Mouvement Desjardins.

Si l'AMF a pris acte des mesures correctrices prises par Desjardins depuis le début de la crise, l'organisme estime «que ces mesures doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d'importance systémique».

Ainsi, l'AMF a notamment ordonné à la Fédération qu'elle mette en place les mesures suivantes :

- qu'elle prenne les mesures nécessaires afin de respecter entièrement, correctement et sans retard les obligations auxquelles le Mouvement Desjardins est tenu en vertu de la Loi sur les coopératives de services financiers, en ce qui concerne l'obligation de suivre des pratiques de gestion saine et prudente et de respecter les lois régissant ses activités;

- qu'elle mette en place des mécanismes de contrôle internes suffisamment robustes, notamment en matière de sécurité de l'information, afin d'atténuer efficacement l'exposition aux risques d'incidents liés à la protection des renseignements personnels;

- qu'elle mette en place des pratiques de ressources humaines afin de rendre imputables les personnes responsables à l'égard de l'incident et celles qui seront chargées de la mise en place des correctifs en temps opportun;

- de produire une reddition formelle illustrant l'avancement réel des travaux exigés dans le cadre de l'ordonnance, les risques réels et résiduels en vigueur, de même que les délais envisagés et de transmettre cette reddition à l'Autorité sur une base mensuelle;

- d'assumer les frais d'une firme d'experts indépendants qui sera approuvée par l'Autorité, dont le mandat sera déterminé par celle-ci et qui lui fera directement rapport, afin d'effectuer une surveillance de l'opérationnalisation des mécanismes de gouvernance et de contrôles mis en place en vue de certifier que le Mouvement Desjardins rencontre les attentes des lignes directrices établies par l'Autorité et des meilleures pratiques au sein de l'industrie.

Notons qu'en cas de non-respect de l'ordonnance de l'AMF, la Fédération s'expose à une sanction administrative de 10 000 $ par jour de manquement.

La Commission d'accès à l'information veut des suivis

La Commission d'accès à l'information du Qébec a également rendu publique sa décision, le 14 décembre, à la suite de l'enquête sur l'incident de sécurité survenu chez Desjardins.

La Commission conclut que Desjardins n'a pas respecté plusieurs obligations que lui impose la Loi sur la protection des renseignements personnels dans le secteur privé. Plus précisément, l'instance conclut que Desjardins :

- n'a pas pris les mesures nécessaires pour assurer la sécurité des renseignements personnels qu'elle détient; a manqué à son obligation de limiter l'accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés;

- n'a pas pris les mesures nécessaires pour limiter ou cesser l'utilisation des renseignements personnels contenus dans près de 4 millions de dossiers inactifs, une fois l'objet de ces dossiers accompli.

La Commission considère que les mesures correctrives envisagées depuis la crise par Desjardins devraient cependant suffire à rehausser la sécurité pour la maintenir à un niveau plus à même d'assurer la protection des renseignements personnels détenus par Desjardins, en fonction de leur sensibilité et de leur quantité.

La Commission a toutefois ordonné à Desjardins de lui rendre compte régulièrement de la mise en œuvre de ces nouvelles mesures. La Commission a aussi ordonné à Desjardins de lui transmettre, d'ici deux ans, une évaluation réalisée par un auditeur externe indépendant relative à l'ensemble des mesures déployées et propres à assurer la protection des renseignements personnels de ses membres et clients.

Desjardins «imprudente» et «lente à réagir»

Quant à lui, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a constaté les mêmes problèmes.

«Notre enquête a révélé que Desjardins n’avait pas fait preuve de la prudence nécessaire pour protéger les données personnelles sensibles qui lui avaient été confiées. Desjardins avait déjà décelé certaines des lacunes qui ont ouvert la voie à la fuite, mais a été trop lente à réagir. Cela dit, l’institution a très bien réagi une fois qu’elle a été informée de l’atteinte», a-t-il déclaré lors d'une conférence de presse téléphonique afin de dévoiler son rapport sur la fuite de renseignements personnels.

Du même souffle, le commissaire a indiqué que Desjardins s'est dit satisfait des mesures d’atténuation offertes par Desjardins aux personnes touchées, que Desjardins se soit engagée à mettre en œuvre une série d’améliorations sur le plan de la sécurité de l’information, des délais de conservation des renseignements et des contrôles d’accès et qu'elle s’est également engagée à nous fournir des rapports d’étape aux six mois.

Desjardins réagit

Pour sa part, Desjardins a fait savoir qu'elle prenait acte du rapport du Commissariat à la protection de la vie privée du Canada (CPVP) et des ordonnances de la Commission d'accès à l'information du Québec (CAI) et de l'Autorité des marchés financiers (AMF) à la suite de la fuite des enseignements personnels. La coopérative financière de Lévis a rappelé qu'elle a assuré sa pleine collaboration tout au long des travaux des autorités règlementaires.

De plus, Desjardins a indiqué qu'elle a établi «depuis l'année dernière des stratégies qui couvrent leurs recommandations, qui sont déjà implantées ou en voie de l'être».

Les plus lus

Deux garages de la région récompensés par NAPA

Dans le cadre de l’événement virtuel Une soirée pour vous dire merci… c’est vrai organisé par NAPA région du Québec, les garages Pièces d’auto Alain Côté de Bernières et Mécanique auto D.R. de Saint-Étienne-de-Lauzon ont remporté la médaille d’or dans leur catégorie respective, le 17 décembre dernier.

Une boutique vendra des produits issus du chanvre à Lévis

Déjà propriétaire d’une concession de la chaîne à Saint-Georges, Éric Poulin a obtenu une nouvelle concession de la Maison d’Herbes café-boutique à Lévis. Le commerce qui vendra des produits à base de chanvre ouvrira en février, dans un des locaux du 95, route du Président-Kennedy.

L’APCHQ anticipe une prochaine année particulière

L’Association des professionnels de la construction et de l’habitation du Québec (APCHQ) a présenté, le 9 décembre, ses prévisions économiques pour 2020-2021. Après une dernière année «étonnante» où travaux de rénovation et achat d’une propriété plus grande ont été au menu de plusieurs ménages, l’organisation prévoit un recul des nouvelles constructions, mais un fort rebond de la rénovation en 202...

Le Maxi de Lévis célèbre ses 25 ans

Le magasin Maxi de Lévis célèbre cette année son 25e anniversaire. L’épicerie située dans le centre-ville de Lévis a été inaugurée le 13 décembre 1995.

Nouveaux propriétaires pour Lévis Ford

Par voie de communiqué, le Groupe Ouellet a annoncé que quatre de ses associés sont officiellement devenus les propriétaires de Lévis Ford, le 1er janvier dernier. Raymond Ouellet, Pascal Ouellet, Olivier Fleury-Bellavance et Sébastien Proulx dirigeront désormais les destinées de la concession automobile fondée en 1983 et comptant une cinquantaine d’employés.

Une bande pour protéger les paniers et lutter contre la COVID

L’entrepreneur de Saint-Étienne-de-Lauzon et président de Protection DB, Marc Dion, a créé une bande protectrice qui se met sur la poignée d’un panier d’épicerie ou d’un chariot afin de protéger les mains de tout contact avec une surface contaminée.

2021 sous le signe des opportunités et de la relance

L’année 2020 a été éprouvante pour la Chambre de commerce de Lévis (CCL) et ses membres. Marie-Josée Morency, directrice générale et vice-présidente exécutive de la CCL, souhaite que 2021 soit remplie d’opportunités et que la relance économique se fasse en grand pour les entreprises de la région et pour l’organisation lévisienne.

La CCL dévoile les commerces qui remportent son concours

La Chambre de commerce de Lévis (CCL) a annoncé les gagnants de son concours Magie des fêtes – Lévis en lumière parmi ses membres participants, en collaboration avec RBC, le 17 décembre dernier. La CCL avait invité les commerçants à décorer et illuminer leur entreprise et à lui envoyer une photo afin d’apporter de la gaieté en cette période des fêtes particulière pour les entrepreneurs. Le ...

Fuite de données chez Promutuel Assurance : l'entreprise fait le point

Dans la foulée de l'incident de sécurité dont elle a été victime et forte d'une analyse préliminaire menée par ses experts, Promutuel Assurance a fait le point, le 15 janvier dernier, concernant les données de ses membres-assurés et celles de ses employés, actuels et passés, et retraités.