Revenu Québec a invité les contribuables québécois à lui poser des questions sur l’impôt par le biais de Facebook au moment où le réseau social était plongé dans le pire scandale de fuite de données de son histoire.

Salaire, emploi, épargne et situation familiale... Le caractère hautement délicat des informations partagées à Revenu Québec via Facebook donne froid dans le dos aux spécialistes en cybersécurité interrogés par Journal de Montréal.

Les 4 et 19 avril derniers, plus de 308 personnes ont répondu à l’invitation de l’agence et leurs questions fiscales sont d’ailleurs toujours visibles en ligne, au grand dam de spécialistes en sécurité informatique.

Revenu Québec assure avoir obtenu l’aval de ses conseillers juridiques et avoir même remporté un prix de communication pour cette initiative. Cependant, cela ne convainc pas les experts en cybersécurité interrogés par Journal de Montréal.

«Dangereux», «épeurant»

«C’est dangereux!» tranche le chef de la recherche en cybersécurité chez GoSecure, Olivier Bilodeau.

«C’est un peu épeurant. Il y a des chiffres et des salaires», s’inquiète le président d’Intrasecure, Nicolas-Loïc Fortin.

En plus de pouvoir être consultées facilement, les informations publiées sur la page Facebook de Revenu Québec sont enregistrées sur les serveurs du géant américain, rappelle l’associé chez Natifs, Jonathan Poliquin.

«On joue avec le feu. C’est irresponsable de faire ça sur une plateforme comme Facebook. Qui a eu cette mauvaise idée-là? Pourquoi?» s’interroge, pour sa part, le spécialiste en sécurité informatique Éric Parent.

Rien de privé

Les experts consultés par «Journal de Montréal» estiment que Revenu Québec met carrément en péril la sécurité des données des contribuables. Plus de 100 000 Québécois sont abonnés à la page de l’agence.

Selon Olivier Bilodeau de GoSecure, les gens oublient que leur conversation sur Facebook... est publique. «Ils pensent qu’ils ont une relation avec le gouvernement, donc ils ont l’impression que c’est privé. Tout d’un coup, sur cette page-là, c’est public», conclut-il.

Cinq informations conservées par Facebook

Données de profil

(sexe, âge, lieu, relation, fratrie, emploi, études, téléphone, langue)

Les informations enregistrées dans le profil sont mises ensemble. Facebook les prend et s’en sert pour créer des publicités sur mesure qui vont cibler ses membres.

Les «J’aime»

Un clic rapide sur ce bouton donne une mine d’or d’informations à Facebook. Le réseau social est basé sur ces «manifestations d’amour» permettant de brosser le profil psychologique du membre.

Les «Partages»

Le simple geste de «partager» une information en dit beaucoup sur l’utilisateur. Facebook additionne ces partages et peut brosser son portrait pour lui offrir d’autres contenus qu’il a de très fortes chances de le faire réagir.

Les «Commentaires»

Facebook peut identifier le sentiment (positif, négatif ou neutre) des commentaires laissés sur le réseau social. Il se sert de mots clés pour savoir si l’utilisateur aime ou non quelque chose.

Le lien avec la publication initiale

Toutes ces interactions sont une réaction à une première publication. Par exemple, une personne ou une entreprise publie quelque chose et l’utilisateur réagit à cette publication. Facebook fait donc aussi un lien entre l’utilisateur et cette publication initiale.

Source : Samuel Parent, consultant en marketing numérique chez Titan Interactif

5 exemples d’informations publiées sur la page Facebook de Revenu Québec

Je suis en faillite [...]

J’ai un revenu de 23 000$ [...]

J’ai déclaré 984$ de REER pour 2017 [...]

Pour ma grosse dette, j’aimerais ça la payer [...]

Je viens de me faire saisir mon compte bancaire.

La Commission d’accès à l’information tape sur les doigts de Revenu Québec

Le chien de garde de la protection de la vie privée au Québec s’est dit «préoccupé» par les activités de Revenu Québec sur Facebook révélées par Journal de Montréal et a promis de les rappeler à l’ordre.

«On est préoccupé. Et puis, oui, on va aller voir Revenu Québec», a déclaré sans hésiter au «Journal de Montréal» la porte-parole à la Commission d’accès à l’information chargée d’appliquer la Loi sur la protection des renseignements personnels au Québec Isabelle Gosselin.

Mme Gosselin n’a pas tardé à réagir lorsque «Journal de Montréal» l’a contactée. «Il y a des enjeux au niveau de la confidentialité. C’est vraiment important. Le simple fait de discuter de la situation personnelle; par exemple, quelqu’un qui dit qu’il est monoparental, c’est considéré comme étant un renseignement personnel», précise-t-elle.

Elle estime aussi que la mise en garde sur le déroulement de l’événement de Revenu Québec sur Facebook est insuffisante. «Revenu Québec a écrit: “Pour des raisons de confidentialité, nous ne répondrons pas aux questions en lien avec le dossier fiscal d’un citoyen”, mais ça n’empêche pas les gens de nommer des choses», renchérit-elle.

Revenu Québec se défend

Jointe par Journal de Montréal, la porte-parole Geneviève Laurier s’est vigoureusement défendue. «On fait une modération très serrée, surtout pour cet événement-là», a-t-elle affirmé. «On s’assure qu’il n’y ait aucune information confidentielle en lien avec un dossier fiscal», a-t-elle insisté.

Le Protecteur du citoyen a fait la «promotion» du clavardage en le partageant sur Twitter, a aussi tenu à dire Mme Laurier. «On a fait faire un avis juridique. On a fait faire un avis éthique aussi. On a un code de déontologie», a-t-elle ajouté.

Revenu Québec a été récompensé pour cette activité, poursuit sa porte-parole Geneviève Laurier. «Nous avons même gagné un Prix (communication électronique et interactive) lors des Prix d’excellence Société québécoise des professionnels en relations publiques 2017», conclut-elle.