Six mois avant la crise qui a ébranlé le Mouvement Desjardins, les clients de quatre compagnies d’assurance dommage de la coopérative financière ont commencé à être avisés que leurs renseignements personnels seront partagés entre ces compagnies.

Selon des spécialistes, l’initiative, qui touchera près 4,5 millions de polices, pourrait exposer davantage de clients en cas de vols de données.

Les quatre compagnies, La Personnelle, Desjardins Assurances générales, Certas et Certas direct, ont modifié leur politique de confidentialité l’an dernier en vue d’une implantation d’ici le début de 2020.

Elles partageront entre elles des renseignements concernant les propriétaires de quelque 4,48 millions de polices en vigueur au Canada, dont environ le tiers des détenteurs se trouve au Québec. Desjardins n’a pas dévoilé pas le nombre de clients concernés.

Les renseignements qui pourront être partagés servent à l’identification des clients: nom, adresse, numéro de téléphone et date de naissance.

«Tous les clients seront informés d’ici novembre 2019 des modifications avant l’implantation dans les mois suivants», indique Valérie Lamarre, conseillère en communication au Mouvement Desjardins.

Dans l’avis envoyé aux clients, Desjardins les informe qu’en choisissant de renouveler leur police ils acceptent les modifications.

Chez Desjardins on se fait rassurant. Aucun employé n’aura accès à une banque de données composée de l’ensemble des renseignements détenus par ses compagnies d’assurance. Pour avoir accès au dossier d’un client, un agent devra détenir des permis et droits d’accès spécifiques. «Il a donc seulement accès aux dossiers des clients qu’il sert à la pièce»

Propriétaire du Groupe Vigiteck, une firme spécialisée en informatique judiciaire, Paul Laurier estime qu’en partageant de tels renseignements, Desjardins augmente inévitablement le nombre de clients qui pourraient être affectés lors d’un vol de données sensibles.

Ses propos rejoignent ceux d’autres spécialistes interviewés par l’Agence QMI.

Selon Paul Laurier, il s’agit d’un cas patent du laxisme des lois québécoises et canadiennes en matière de renseignements personnels, dit-il. «Ici, c’est un bar ouvert. Les entreprises peuvent faire n’importe quoi sans risque peine ou d’amendes très graves.»

Les obligations des entreprises

Selon l’article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé, les entreprises qui recueillent des renseignements doivent informer les personnes concernées et en expliquer les raisons. Aussi, elles doivent indiquer l’utilisation qu’elles feront des renseignements, les catégories de personnes qui y auront accès au sein de l’entreprise et l’endroit où sont détenues les données. On ne retrouve pas ce type d’information dans l’avis que les compagnies d’assurance dommages ont envoyé à leurs clients, indique Paul Laurier, propriétaire du Groupe Vigiteck.