/finance/homepage

Vers une amende «dérisoire» pour Desjardins?

Jean-Michel Genois Gagnon | Journal de Montréal

Joël Lemay / Agence QMI

Desjardins s’expose à une amende symbolique de « quelques dizaines de milliers de dollars » pour la fuite de données de 2,9 millions de ses membres, alors que les autorités européennes n’hésitent pas à imposer des amendes de millions de dollars aux entreprises qui n’ont pas protégé suffisamment les données de leurs clients.

Un exemple contrastant, cette semaine : la compagnie aérienne British Airways a écopé d’une amende de 300 millions $ CAN de l’Information Commissioner’s Office (ICO), l’organisme britannique de protection des données personnelles, pour le vol de données financières. Les renseignements de 500 000 personnes auraient été compromis.

Mardi, la chaîne hôtelière Marriott a annoncé faire face à une amende de 162 millions $ CAN de l’ICO, également en lien avec un vol de données. Les informations de plus de 500 millions de clients auraient été touchées lors d’un piratage.

En janvier dernier, en France, la Commission nationale de l’informatique et des libertés a imposé une amende de 73 millions $ CAN à Google pour ne pas avoir fourni assez d’informations aux internautes sur l’utilisation de leurs données.

Dans le cadre du nouveau règlement européen de protection des données, en vigueur depuis le 25 mai 2018, les amendes pour les compagnies en lien avec les données personnelles des gens peuvent atteindre jusqu’à 4 % de leur chiffre d’affaires mondial.

Inspiration

Selon le professeur Vincent Gautrais de la Faculté de droit à l’Université de Montréal, Québec et Ottawa devraient songer à s’inspirer des mesures européennes et donner des pouvoirs d’action et de sanction à la Commission d’accès à l’information du Québec et au Commissariat à la protection de la vie privée du Canada (CPVP).

Il s’agit de deux organisations qui veillent à la protection des renseignements personnels. Malgré le fait qu’elles ont récemment annoncé une enquête conjointe, elles n’ont toutefois pas le pouvoir de donner des amendes.

« Les amendes qui sont dans les lois québécoises sont assez minimalistes. On parle de quelques dizaines de milliers de dollars. Au niveau fédéral, il n’y a aucun pouvoir de sanction pécuniaire », avance M. Gautrais.

« Il s’agit de lois avec peu de dents qui sont beaucoup plus dans l’accompagnement et dans la vérification que dans les mesures pour suppléer au manquement. Il faudrait aller plus loin avec des sanctions plus dissuasives contre les négligences », poursuit-il, estimant que dans le cas de Desjardins, l’amende pourrait être passablement « dérisoire ».

Pas de modifications en 25 ans

Dans le cas de la Commission d’accès à l’information du Québec, le dossier pourrait aboutir entre les mains du Directeur des poursuites criminelles et pénales. Ce dernier jugera par la suite, notamment en lien avec la Loi sur la protection des renseignements personnels dans le secteur privé, si une amende est imposée à Desjardins. Selon la loi, le montant pourrait atteindre au maximum 100 000 $ (lors d’un cas de récidive).

« Depuis des années, nous martelons le fait que la loi sur le privé devrait être revue », avance la porte-parole, Isabelle Gosselin. « En 1994, nous étions les précurseurs au Québec avec une telle loi. Je suis forcée d’admettre qu’il n’y a jamais eu de modification depuis. Avec tous les enjeux contemporains qu’on connaît, on souhaite que le législateur puisse revoir la loi rapidement », poursuit-elle.

Quant au CPVP, si un organisme du secteur privé ne se conforme pas à ses recommandations, il peut demander à la Cour fédérale de rendre une ordonnance enjoignant au répondant de prendre des mesures pour corriger ses pratiques. La cour peut également accorder des dommages et intérêts à un plaignant.

Des acteurs et leur rôle dans le dossier Desjardins

Commission d’accès à l’information du Québec

Réaliser une enquête, émettre des recommandations et ordonner à l’entreprise que des mesures soient prises

Commissariat à la protection de la vie privée du Canada

Réaliser une enquête et émettre des recommandations

Directeur des poursuites criminelles et pénales

Porter le dossier devant les tribunaux

Pourrait imposer une amende à Desjardins

Autorité des marchés financiers (AMF)

Encadrer et surveiller les activités de Desjardins

Protéger les consommateurs et les mettre en garde contre toute approche frauduleuse

Office de la protection du consommateur

Aucun pouvoir dans le dossier Desjardins

Peut traiter des plaintes en lien avec l’encadrement des cartes de crédit

Centre antifraude du Canada

Recueille de l’information et les renseignements criminels sur les plaintes

Dans la même catégorie