•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

100 000 Canadiens pourraient avoir été touchés par le piratage d'Equifax

Les bureaux d'Equifax à Atlanta

Les bureaux d'Equifax à Atlanta

Photo : Associated Press / Mike Stewart

Radio-Canada

Environ 100 000 consommateurs canadiens risquent d'être victimes de fraude et de vol d'identité à la suite de la cyberattaque qui a frappé la compagnie Equifax cet été. Des enquêtes sont en cours et des recours collectifs s'organisent, mais il semble que les Canadiens soient moins protégés par la loi que les Américains.

Un texte de Christian Noël

L'agence de surveillance de crédit Equifax fait l'objet d'enquêtes aux États-Unis et au Canada, après que les informations confidentielles de ses clients eurent été compromises. Il y aurait 143 millions de clients touchés aux États-Unis, 400 000 au Royaume-Uni et 100 000 au Canada.

« Toutes nos excuses aux consommateurs canadiens qui ont été touchés par cet incident », a écrit la PDG d’Equifax Canada, Lisa Nelson, dans un communiqué.

« Nous comprenons aussi leur frustration devant le manque d’information provenant d’Equifax. L’identité précise des victimes canadiennes ne sera connue qu’une fois notre enquête terminée », a-t-elle ajouté.

« C’est extrêmement grave »

Ce vol de données est pire qu’un simple vol de numéro de carte de crédit, selon l’avocat Jean-Marc Leclerc, de la firme Sotos LLP à Toronto. « C’est extrêmement grave », dit-il, parce que les informations piratées contiennent des noms, des adresses, mais aussi des numéros d'assurance sociale.

Ce n'est pas le type d'information qu'un détaillant possède généralement. La perte d'un numéro d'assurance sociale ouvre la porte à un potentiel de vol d'identité massif.

Jean-Marc Leclerc, avocat chez Sotos LLP

Jean-Marc Leclerc intente un recours collectif au Canada contre Equifax, pour avoir manqué à son devoir contractuel de protéger l’information de ces clients, et aussi parce que la firme n’a pas averti rapidement ses clients de l’existence de cette faille.

Chronologie d’une cyberattaque :

  • mars 2017 : une faille informatique est détectée, Equifax essaie de la colmater;
  • 23 juillet 2017 : le piratage informatique et la fuite d’informations sont détectés;
  • août 2017 : de hauts dirigeants vendent pour 1,8 million de dollars leurs actions d’Equifax;
  • 7 septembre 2017 : Equifax annonce finalement avoir été victime d’une cyberattaque. La compagnie offre aux Américains touchés un service gratuit de protection du crédit;
  • 19 septembre : les clients canadiens reçoivent finalement la même information et la même offre de la part d’Equifax.

« Nous avons été contactés par des centaines de personnes qui s’inquiètent d’avoir été touchées par cette violation de la vie privée, confie Me Leclerc. Mais on ne sait toujours pas qui précisément a été affecté. »

Selon lui, même si des clients d’Equifax n’ont pas été victimes de vol d’identité ou de fraude, ils devraient quand même avoir droit à une compensation.

« Equifax aurait dû disposer de protection adéquate, et ça n’a pas été le cas », plaide l’avocat.

Les Canadiens mal protégés

Au Canada, si une compagnie est victime de piratage informatique, aucun règlement en vigueur ne la force à avertir ses clients ou l’organisme de réglementation fédéral.

Et si une plainte est déposée contre la compagnie, le Commissariat à l’information et à la vie privée n’est pas obligé de dire aux Canadiens qu’une enquête est en cours ni de dévoiler les résultats de cette enquête. Le nom des compagnies visées est rarement rendu public.

« C’est un peu problématique » selon Teresa Scassa, de la Chaire de recherche du Canada en droit de l’information à l’Université d’Ottawa. Faire une enquête qui ne mène à aucun changement ni aucune pénalité, « il semble que ce soit un gaspillage de temps, d’énergie et d’argent ».

Le commissaire à la vie privée du Canada, selon elle, devrait avoir plus de dents, plus de pouvoirs.

La loi actuelle est désuète. Elle n’est pas adaptée à notre époque, où le renseignement personnel est devenu un produit prisé, qui est entreposé, échangé et vendu entre compagnies.

Teresa Scassa, de la Chaire de recherche du Canada en droit de l’information à l’Université d’Ottawa

Si le Commissaire à la vie privée du Canada pouvait imposer des amendes, des compensations ou des mesures correctives, les compagnies seraient plus enclines à faire des efforts, croit Teresa Scassa

« Toutes ces mesures auraient un impact direct sur la compagnie, dit-elle. Ça enverrait un message clair qu’on est sérieux, qu’il faut protéger les renseignements personnels. Sinon, il y aura un impact sur la réputation et sur les revenus de la compagnie. »

La loi est désuète, de l’avis de Teresa Scassa, qui estime qu’une réforme est nécessaire à l'ère où les renseignements personnels valent de l'or pour les fraudeurs, mais aussi pour les compagnies de marketing.

Justice et faits divers