L’agence de crédit TransUnion a avisé environ 37 000 Canadiens que la confidentialité de leurs renseignements personnels a pu être compromise l’été dernier.

Ces milliers de Canadiens ont reçu récemment une lettre pour les informer qu’une personne non identifiée a eu accès à leurs données personnelles, notamment le nom, la date de naissance, l’adresse et le numéro d’assurance sociale, en s’immisçant illégalement dans le système de TransUnion.

La compagnie offre aux personnes touchées une protection de deux ans de surveillance du crédit. Elle affirme aussi mener une enquête et a informé le commissaire à la protection de la vie privée du Canada de l’incident.

Déjà victime de la fuite de données au Mouvement Desjardins, le Montréalais Benjamin Gingras a eu la désagréable surprise hier de recevoir une lettre de TransUnion. C’était comme un choc, nous a-t-il confié dans une entrevue téléphonique. Qui est TransUnion? Pourquoi ils me parlent? Une autre fuite de données avec une compagnie avec laquelle je n’ai jamais fait affaire.

Benjamin Gingras a été avisé dans cette lettre, comme 37 000 autres Canadiens, que ses renseignements personnels ont pu tomber entre des mains malveillantes.

L’agence de crédit affirme qu’un de ses clients d’affaires, la société de financement d’équipement CWB National Leasing, lui a rapporté que son code d’accès lui permettant de consulter le dossier de crédit de consommateurs dans les systèmes de TransUnion a pu être détourné et utilisé par un intrus pour ainsi accéder aux données personnelles d’environ 37 000 Canadiens.

«L’enquête de TransUnion sur cette situation a également révélé que l’intrus a eu accès à vos renseignements personnels à partir d’une source inconnue d’une tierce partie qui a été utilisée pour faciliter l’attaque.» – Extrait de la lettre de l’agence de crédit TransUnion

On peut aussi lire que l’intrus en question a pu mettre la main sur des renseignements concernant l’identité des personnes touchées, leur crédit et leur historique de paiements entre le 28 juin et le 11 juillet derniers.

Il est aussi précisé dans la lettre que les renseignements du dossier de crédit auxquels l’intrus aurait pu avoir accès comprennent possiblement votre nom, votre date de naissance, votre adresse actuelle, vos adresses antérieures et des renseignements liés à votre crédit et à vos engagements sous forme d’emprunts et aux entités avec lesquelles vous avez ces engagements. Ces renseignements pourraient aussi inclure vos antécédents de paiement. Les renseignements n’incluaient AUCUN numéro de compte.

Inquiétudes et frustrations

Benjamin Gingras est particulièrement préoccupé par le fait qu’il n’a jamais été client de TransUnion et que cette compagnie ait pu donner accès à ses données à un tiers.

Une fois le choc passé, j’ai réalisé : OK, il y a de quoi qui ne marche vraiment pas ici. Que cette compagnie ait mes données, qu’elle fasse affaire avec d’autres compagnies qui peuvent accéder à mes données et que ces compagnies avec qui je n’ai jamais fait affaire. […] Il y a quelque chose de profondément problématique sur la façon dont l’industrie du crédit est réglementée, organisée, et comment les données sont transmises. Il y a lieu d’être très très frustré par rapport à tout ce qui se passe ici.

Il espère que les gouvernements vont presser le pas pour légiférer afin de mieux encadrer l’industrie du crédit et l’utilisation de données confidentielles.

L’expert en cybersécurité Steve Waterhouse partage les craintes et les frustrations de Benjamin Gingras. Les gens ont certainement raison de s’inquiéter, lance-t-il. On s’est fait imposer comme population de ne faire affaire qu’avec deux autorités financières qui sont TransUnion et Equifax en matière de protection de dossier de crédit. Donc, ce sont deux entreprises privées qui ne répondent qu’à elles-mêmes.

Steve Waterhouse attend toujours que les chefs de partis fédéraux dans la campagne électorale se prononcent sur la protection des données personnelles.

Comment ils voient ça maintenant en 2019 et pour les années à venir? Parce que les lois au Canada sont vraiment faibles et les conséquences sont quasi inexistantes pour les compagnies qui sont fautives en matière de fuites d’informations. Si l’on fait la comparaison avec le Règlement général sur la protection des données personnelles en Europe, lui va être impitoyable sur la négligence, alors qu’ici il y a encore une clémence accordée aux entreprises.

Radio-Canada.ca par Éric Plouffe