Selon la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada, les enquêtes, qui se dérouleront de façon conjointe, « permettront de déterminer si l’organisation a respecté » les règles en matière de protection des renseignements personnels au Québec ainsi qu’au Canada.
« Bien que Desjardins exerce l’essentiel de ses activités au Québec et est assujetti à la loi provinciale, il est également assujetti à la loi fédérale pour les activités qu’il exerce dans d’autres provinces », peut-on lire, dans un communiqué publié lundi, en fin d’après-midi, afin d’expliquer la collaboration.
On a évoqué la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.
Un porte-parole de Desjardins, Jean-Benoit Turcotti, a indiqué, au cours d’un entretien téléphonique, que la coopérative avait été prévenue lundi et qu’elle entendait collaborer aux enquêtes.
« Pour le moment, nous allons réserver nos commentaires pour la fin de l’enquête et lorsqu’ils (Québec et Ottawa) auront rendu leurs conclusions », a-t-il répondu, lorsqu’interrogé sur les possibles sanctions dont Desjardins pourrait faire l’objet.
Ce n’est pas la première fois que Québec et Ottawa collaborent dans une affaire de protection des renseignements personnels. Les deux organismes ont également collaboré à la suite de la fuite de données ayant frappé le site de rencontres extraconjugales Ashley Madison en 2016.
« Nous allons effectuer nos enquêtes et ensuite, il y a un commissaire, qui émet une décision, qui peut faire des recommandations et qui peut aussi ordonner certaines choses », a dit la porte-parole de la Commission d’accès à l’information du Québec, Isabelle Gosselin, au cours d’un entretien téléphonique.
Il s’agit d’une autre tuile pour Desjardins, qui est dans la tourmente après avoir révélé, le 20 juin dernier, que les informations personnelles de 2,7 millions de membres particuliers et 137 000 entreprises avaient été dérobées par un employé de la coopérative, qui a depuis été congédié.
La semaine dernière, à la suite de critiques, la coopérative de Lévis avait annoncé une série de mesures afin d’épauler ses membres pour qu’ils puissent activer le service de surveillance assuré par Equifax.
Desjardins avait mandaté cette firme pour assurer la surveillance des dossiers de ses membres. Mais les plaintes ont rapidement fusé: l’attente était longue, le service en ligne parfois carrément inaccessible et des clients n’ont pu parler à un agent en français.
Depuis lundi, les membres touchés pouvaient contacter la coopérative directement pour activer le programme de surveillance, ce qui a, comme prévu, entraîné une hausse du nombre d’appels entrants.
« Les délais étaient un peu plus longs qu’à l’habitude, mais ils étaient raisonnables, a dit M. Turcotti. Dans le pire moment de la journée, on parlait de cinq à dix minutes d’attente. En après-midi, la situation était de retour à la normale, avec une attente inférieure à deux minutes. »
Cette affaire pourrait aussi avoir des conséquences légales pour Desjardins. Deux requêtes en autorisation pour des actions collectives allèguent que la coopérative a violé les droits de ses membres en matière de vie privée ou fait preuve de négligence dans la protection de leurs informations personnelles et financières.
L’enquête policière visant à faire la lumière sur le vol de données est toujours en cours.