Pirate informatique opérant sur un ordinateur portable.
Photo : Sergey Nivens / 123RF

Un employé de Desjardins a communiqué illégalement les données personnelles de 2,9 millions de membres de Desjardins à des personnes à l’extérieur de l’institution financière.

Une transaction suspecte à Laval en décembre 2018 a déclenché l’ouverture d’une enquête. Les données de 2,7 millions de particuliers et 173 000 entreprises ont été retrouvées sur des clés USB, ont annoncé le Mouvement Desjardins et le Service de police de Laval (SPL) au cours d’une conférence de presse commune jeudi.

Mais ce n’est qu’en mai dernier que la police de Laval a constaté que les données avaient été transmises à l’extérieur de l’institution financière.

Les informations personnelles enregistrées sur ces clés USB sont les noms, adresses, numéros de téléphone et numéros d’assurance sociale de ces 2,9 millions de membres, sur les sept millions de membres que compte l’institution financière.

Le voleur de données n’a cependant pas mis la main sur les mots de passe ni sur les questions secrètes des membres.

Le président et chef de la direction de Desjardins, Guy Cormier, se dit trahi. Il a indiqué que l’employé malveillant a été congédié.

SERVICE OFFERT AUX MEMBRES TOUCHÉS

« Il s’agit d’une situation très sérieuse », commente l’Autorité des marchés financiers (AMF), qui dit s’être rapprochée rapidement de Desjardins pour connaître les mesures prises par l’institution financière.

Desjardins n’a pas enregistré de hausse du nombre de fraudes depuis le vol de ces données. L’institution financière a précisé que si des membres étaient victimes de pertes financières en raison de ce vol, ils seront remboursés. Desjardins informera individuellement par courrier les membres concernés par ce vol de données, en vue de mettre en place les actions nécessaires.

Les membres concernés se verront offrir gratuitement un service de surveillance quotidienne du dossier de crédit et d’assurance si leur identité a été volée. Desjardins prendra en charge ce service durant un an.

MESURES ADDITIONNELLES DE PROTECTION

Dans la foulée, Mouvement annonce avoir pris des mesures additionnelles de protection des renseignements personnels et financiers de tous ses membres. Les procédures de confirmation d’identité des membres auprès des caisses et auprès du centre d’appels AccèsD ont été améliorées, précise l’institution financière.

L’Autorité se dit « satisfaite  des gestes posés jusqu’ici par Desjardins afin de protéger l’intérêt de ses membres et leurs actifs ».

Ce vol de données illustre un risque permanent, souligne l’Autorité. « Cet incident majeur qui frappe aujourd’hui le Mouvement Desjardins met en perspective le risque omniprésent qui pèse désormais sur toutes les organisations en matière de risques liés à la sécurité de l’information », souligne l’AMF.