• delphine pramotton

Données personnelles : ce que le gouvernement du Québec doit considérer

Alors que de massives fuites de données personnelles ont eu lieu chez Revenu Québec, le Mouvement Desjardins, Equifax et Capital One pour ne citer qu'eux, le gouvernement du Québec tient une commission sur la fuite de données et prépare donc enfin un projet de loi, qui espérons-le, clarifiera l'obligation et la responsabilité du gouvernement, des banques et compagnies en matière de protection des renseignements personnels.


Certes la protection 100% n'existe pas, surtout face à de la malveillance interne contre laquelle, il est un peu plus difficile de se protéger (un conseiller marketing apparemment dans le cas de Desjardins). Il reste fort à parier néanmoins que les moyens de protection de données personnelles sont encore très insuffisants dans la plupart des grosses entreprises. Un portefeuille de données doit être segmenté de manière à ce qu'une personne seule ne puisse pas accéder à une masse critique d'informations. Attention à vos services de marketing et à vos sous-traitants qui travaillent avec vos données. Big Data est aussi synonyme de Big Risk. Une analyse des risques doit être menée et une solution de prévention de type DLP mise en place. On pourra se référer à notre dernier article sur les différents axes de protection à considérer.


Plus fondamentalement, le problème est plus large que la seule protection des données et remet sur la table les vérifications obligatoires que doivent faire les organismes avant d’accepter une mise à jour des informations de contact ou la création de nouveaux comptes.


S'il n'était pas possible d'exploiter ces données volées, le problème ne serait pas aussi grave. Mais avec les bons renseignements personnels, un fraudeur peut créer un compte PayPal, changer votre adresse, se faire livrer une nouvelle carte, etc. Voici quelques mesures qui, si elles étaient mises en oeuvre, rendraient la vie des fraudeurs un peu plus difficile :


1. En ligne, la double authentification devrait être systématisée pour les changements de coordonnées : identifiant, mot de passe, code unique ou reconnaissance biométrique (empreinte digitale).


2. Le changement des coordonnées de contact (courriel, téléphone, adresse postale) au niveau des banques et des organismes d'état ne devrait pas être possible sans la présentation de justificatifs : facture Hydro-Québec, facture de téléphone, etc.. qui prouve l'identité du demandeur.


3 La mise à disposition d'une nouvelle carte de crédit devrait se faire à l'agence en échange de l'ancienne carte, détruite devant vous. L'envoi de chéquiers par paquet de 200 ou plus à domicile devrait être évité et remis par l'agence. Pour les banques en ligne sans guichet, de nombreux justificatifs devraient être demandés.


4. L'usage du NAS devrait être strictement réservé à des fins fiscales et ne devrait pas être utilisé à d'autres fins, ni utilisé comme moyen d'identification par des organismes autres que l'état. Car qu'est-ce-que le NAS sinon notre numéro de citoyen auprès de l'état ?


5. Chaque compagnie devrait nous identifier par son propre numéro de client interne : pas notre numéro de téléphone, pas notre NAS, un numéro de client unique, ce que font tout de même déjà certaines d'entre elles. Mais au Québec, combien de fois vous demande-t-on votre numéro de client lorsque vous appelez ? Jamais. Combien de fois vous demande-t-on votre courriel , votre téléphone et votre code postal chaque fois que vous allez payer votre article à la caisse d'un magasin de détail ? Tout le temps.


6. Le rôle central que jouent les agences américaines de crédit ne serait-il pas à reconsidérer ? Equifax et TransUnion sont des sociétés privées américaines dont l'objectif est de vérifier la solvabilité d'individus pour le compte d'institutions financières. ( Petite parenthèse : Bloomberg a révélé que trois dirigeants d'Equifax avaient vendu une grande part de leurs actions avant l'annonce publique du piratage de juillet mais juste après l'annonce interne ). Par-dessus tout cela, le consommateur moyen, qui s'identifie par son NAS canadien auprès de ces organismes privés américains, doit encore payer pour accéder à son dossier de crédit (alors que ces données devraient en principe lui appartenir !). Bien sûr, le dossier de crédit rassemble une masse d'informations très sensibles : NAS, permis de conduire, adresse, comptes bancaires, cartes de crédit, etc.. En centralisant l'information, le risque a été accru et accentué. La cible est rendue plus facile pour les hackers. Qui plus est, le Canada représente un risque collatéral aux attaques faites sur les systèmes américains. Ce modèle d'affaire, centralisé autour des sociétés de notation de crédit, est d'ailleurs typiquement américain et les européens n'ont pas à utiliser ces organismes pour souscrire une hypothèque auprès d'une banque.

Au final, que Desjardins ait, en compensation, offert à tous ses membres, une souscription gratuite au service Equifax, qui s'était fait pirater juste avant eux n’est pas forcément suffisant.


Le futur est à la désintermédiarisation et au chiffrement des données ainsi qu’au renforcement des procédures de contrôle interne et de vérification d’identité.