Dans cette histoire de vol de données chez Desjardins, soulignons un élément révélateur : la fuite provient de l’équipe de marketing. 

Le rapport d’enquête de la Commission d’accès à l’information du Québec dévoilé lundi offre quelques détails intéressants à ce sujet. On comprend que des employés du département en question ont un accès assez large aux données des clients aux fins de « recherche ». 

En plus des informations sur l’identité des membres et d’anciens membres de la coopérative (incluant le numéro d’assurance sociale), cela comprend des renseignements sur leurs habitudes transactionnelles et les services qu’ils utilisent, dont les types de comptes, les forfaits bancaires, le nombre de cartes de crédit et d’hypothèques, la fréquence des transactions et des « indicateurs de sollicitations ». 

Des données pour vendre

Révélateur, disais-je, mais peu étonnant.

Quelques mois après que le vol a été mis au jour, on a appris que des informations dérobées avaient été vendues à un tiers, un courtier en assurance vie de Québec, qui les a acquises dans le but de développer ses affaires.

On s’en est offusqué, non sans raison. C’est pourtant exactement la raison pour laquelle ces données sont colligées, traitées et stockées sur des serveurs informatiques : nous vendre plus d’assurance, plus de fonds de placement, plus d’hypothèques et plus de cartes de crédit.

Ce n’est pas le motif pour lequel on tape aujourd’hui sur Desjardins, la cueillette de données reste une pratique d’affaires légitime, mais pour la négligence dont elle a fait preuve dans la protection de ces informations.

Je ne vais pas faire ma vierge offensée, ça fait déjà un sacré bout de temps que les données sur les clients font partie de l’arsenal des sociétés commerciales.

Une activité à grande échelle

Ce qui frappe dans l’histoire de Desjardins, outre l’insouciance de l’organisation, c’est l’aspect vieillot de certains éléments dans le déroulement de l’affaire : l’utilisation d’une clé USB par un employé de marketing qui n’a pas encore été remplacé par de l’intelligence artificielle.

Aujourd’hui, les masses d’informations accumulées à notre sujet sont vertigineuses : ce qu’on mange, les sports qu’on pratique, l’âge de nos enfants, nos destinations vacances, nos déplacements en ville, le véhicule qu’on conduit, le quartier qu’on habite, les lieux qu’on fréquente, nos recherches sur Google, les sites internet qu’on visite...

On ne peut faire grand-chose

Quelqu’un quelque part nous connaît mieux que notre propre mère ! 

La cueillette de renseignements est réalisée de manière automatique et continue grâce aux appareils connectés. À l’aide de logiciels, des algorithmes, ces données sont analysées, découpées, consolidées, revendues comme de la saucisse à des fins commerciales. Elles constituent une marchandise qui circule sans trop d’entraves par des canaux électroniques, à l’exception des éléments délicats qui pourraient favoriser la fraude.  

Individuellement, il y a sans doute quelques précautions à prendre, mais pour une majorité de consommateurs, révéler des pans de sa vie privée constitue un prix raisonnable à payer pour accéder aux commodités offertes par la technologie.

C’est la même chose avec les informations récoltées par notre institution financière, des clients seront toujours heureux que leurs banques aillent au-devant de « leurs besoins » grâce à une analyse de leurs « habitudes transactionnelles ». 

Seulement, comme tout ce système s’opère à notre insu, qu’il profite d’abord aux entreprises et que cela pose des risques pour notre sécurité, il nous faut vite un encadrement légal à la hauteur pour nous protéger des abus et des négligences. 

S’il y a un point positif à cette affaire Desjardins, c’est d’avoir accéléré les choses à cet égard.

Dans la foulée de ce scandale, Québec et Ottawa ont tous les deux présenté des projets de loi (respectivement 64 et C-11) qui imposent de sérieuses balises aux entreprises et qui prévoient des pénalités financières dignes de ce nom.

Enfin.