Les données de 2,9 millions de clients du Mouvement Desjardins ont été compromises alors qu’un ex-employé les a volées, a révélé la coopérative hier.

Des renseignements personnels, tels que le nom, la date de naissance, l’adresse, le numéro de téléphone, courriel, le numéro d’assurance sociale et certaines données sur les habitudes transactionnelles et de produits détenus chez Desjardins, de 2,7 millions de particuliers et de 173 000 entreprises ont été communiqués à des personnes à l’extérieur de l’organisation.

Desjardins assure que les NIP, réponses aux questions de sécurité et mots de passe n’ont toutefois pas été compromis.

Un porte-parole de Desjardins a confirmé au Journal de l’assurance que les clients des filiales du mouvement coopératif, comme Desjardins Assurances, ne sont affectés que s’ils sont aussi membres des caisses Desjardins. « S’ils ne sont pas membres d’une caisse, ils ne sont pas concernés par la situation. »

Desjardins a aussi indiqué que les clients concernés pourront profiter gratuitement d'une surveillance de leur dossier de crédit et d'une assurance en cas de vol d'identité par Equifax pour une durée de cinq ans. 

L’Autorité surveille la situation

Dans un communiqué de presse envoyé hier quelques minutes après que la fraude ait été révélée, l’Autorité des marchés financiers a affirmé « suivre de près » la « situation très sérieuse ».

« Après en avoir été informée, l’Autorité s’est rapidement enquise des impacts potentiels de la situation et des mesures déployées par Desjardins afin d’y répondre efficacement », précise le régulateur.

L’Autorité se dit satisfaite des actions prises par Desjardins pour protéger l’intérêt de ses membres et leurs actifs. « [L’Autorité] demeure confiante que les dirigeants de l’institution ont pris la situation en charge avec la rigueur, la transparence et la célérité que commande la situation, et que la collaboration offerte aux autorités policières est pleine et entière. »

Le régulateur rappelle que les risques liés à la sécurité de l’information sont désormais « omniprésents ». L’Autorité rappelle aux institutions financières qu’elles doivent évaluer adéquatement les risques auxquels elles sont exposées et renforcer la protection des renseignements personnels et la cybersécurité.