Point de presse de M. Eric Girard, ministre des Finances

(Quatorze heures trente et une minutes)

M. Girard (Groulx) : Alors, bonjour à tous. Je suis ici pour vous donner la réaction du gouvernement aux nouvelles informations dans le dossier de la fuite de renseignements personnels chez Desjardins.

Je tiens à dire qu'il s'agit toujours du même incident. La nouvelle information que nous avons, c'est que l'ensemble des membres de Desjardins sont touchés, alors on parle maintenant de 4,2 millions de membres. Je tiens à dire que c'est la seule nouvelle information. L'enquête se poursuit. Nous ne savons pas, à ce stade-ci, combien des données volées ont été vendues. Il n'y a pas de hausse de fraudes significative chez Desjardins. Et les données ne sont pas plus visibles sur le «dark Web» qu'elles l'étaient précédemment.

Par ailleurs, je tiens à dire que c'est un incident extrêmement sérieux, que le gouvernement comprend les inquiétudes des citoyens. Nous sommes en action. Il y a trois ministres qui travaillent dans ce dossier. Je travaille sur une loi visant à encadrer les agences de crédit, ma collègue de la Justice travaille sur la protection des renseignements personnels, et le ministre délégué à la Transformation numérique travaille sur la cybersécurité et tout ce qui est rattaché à l'identification et l'authentification.

Finalement, j'aimerais dire que Desjardins gère la situation de façon adéquate, bien sûr, avec la prévention, ce qu'ils ont annoncé aujourd'hui, qu'ils vont donner la protection cinq ans chez Equifax à tous les membres, l'assurance, l'assurance en cas de vol d'identité, qui est le principal risque. Alors, Desjardins a introduit un service pour assister les citoyens qui seraient victimes d'un vol d'identité. Et, bien sûr, vos actifs sont évidemment protégés par votre institution financière, qui est une institution financière d'excellente qualité, bien capitalisée et... 300 milliards d'actifs, plus de 47 000 employés.

Alors, sur ce, je serais intéressé à avoir vos questions et... voilà.

M. Gagnon (Marc-André) : M. le ministre, pour que votre sortie aujourd'hui se résume à dire que le gouvernement est en action, en quelque part, il faut que vous ayez la crainte que la population puisse croire que vous n'en avez pas fait assez depuis tout ce qu'on a appris cet été.

M. Girard (Groulx) : D'abord, je vous remercie pour votre question. Moi, depuis que j'ai eu cette information, le 14 juin, c'est le dossier numéro un. J'ai travaillé sur ce dossier tout l'été. L'AMF travaille avec Desjardins en continu en tant que son régulateur. Il y a des améliorations qui ont été faites dans l'immédiat. Il y a un post-mortem. Et, comme je vous dis, il y aura une loi sur les agences de crédit. On travaille avec les parties prenantes, l'industrie et le ministère de la Justice, et c'est notre intention de déposer ce projet de loi là prochainement.

M. Gagnon (Marc-André) : Bien, c'est ça. Mais donc tout ça se fait encore attendre, dans le fond? On comprend que vous travaillez là-dessus, là, mais ce qui est demandé depuis l'été par les partis d'opposition, puis, à un certain moment, même votre gouvernement était ouvert à ça, hein, c'était de faire en sorte que Desjardins, puis d'autres institutions financières, puis Revenu Québec aussi, qui a été touchée par des fuites de données, soient convoqués à l'Assemblée nationale pour répondre aux questions des élus, puis ultimement essayer de rassurer la population. Pourquoi on ne fait pas ça?

M. Girard (Groulx) : Bien, moi, j'ai toujours été ouvert, notre gouvernement également, à ce mandat d'initiative. Je pense que le mandat doit être ciblé et circonscrit. Comme vous savez, je ne suis pas membre de la commission et je suis convaincu qu'on peut trouver une voie de passage pour ce mandat. Et il y a... C'est un problème qui est multidimensionnel. Alors, le mandat d'initiative, c'est vraiment une petite partie de cet enjeu-là. Desjardins a dû refermer les brèches informatiques. Desjardins a... On a quand même inscrit 1 million de personnes chez Equifax et 40 % des gens qui avaient été identifiés, généralement ce n'est pas plus de 10 %. Desjardins a introduit l'assurance. Je peux vous dire qu'on travaille là-dessus et on a obtenu la nouvelle information hier, transparence complète, elle est divulguée aujourd'hui et je vous rencontre aujourd'hui pour en discuter.

M. Lacroix (Louis) : M. Girard, là, là, on se rend compte que c'est l'ensemble des clients de Desjardins qui sont victimes de ce vol de données. Ça, c'est la donnée nouvelle, là...

M. Girard (Groulx) : C'est tous les membres, effectivement. Oui.

M. Lacroix (Louis) : ...tous les membres de Desjardins. Est-ce que... En fait, on se rend compte... À quelque part, Desjardins a eu un manque important, là, un manque flagrant dans son système de sécurité. Qu'est-ce que vous dites à Desjardins face au fiasco dont ils sont responsables?

M. Girard (Groulx) : Écoutez, c'est certain qu'il y a eu vol de données et il y a eu un délai entre le moment où ce vol de données a été détecté... Alors, ça, c'est l'incident, moi, mon rôle, en tant que ministre des Finances, c'est de m'assurer que, d'une part, l'incident est bien géré... Alors, pour que l'incident soit bien géré, il y a l'inscription chez Equifax, qui est un moyen de prévention, il y a l'assurance qui est offerte par Desjardins s'il y a un vol d'identité...

M. Lacroix (Louis) : ...comprend tout ça, M. Girard. Ce n'est pas ça, ma question. Quel est le niveau de responsabilité de Desjardins là-dedans?

M. Girard (Groulx) : Bien, c'est-à-dire que Desjardins est responsable de la protection des données, et c'est là que le vol a eu lieu. Alors, dans la gestion de l'incident, la première chose qu'il y avait à faire, c'était colmater les brèches informatiques; ça a été fait. Ensuite, il faut protéger les avoirs et les renseignements des citoyens. Ça aussi, c'est fait, avec, je l'ai mentionné, la protection chez Equifax, l'assurance, la protection des actifs financiers. Il y a les renseignements personnels puis il y a les actifs financiers qui sont garantis par votre institution. Ensuite, il y a le post-mortem, O.K., le post-mortem, Desjardins fait les investissements en informatique pour être un leader à la fine pointe des meilleures pratiques. J'ai demandé également les meilleures pratiques en gestion des risques et des améliorations au niveau de la gouvernance.

M. Lacroix (Louis) : Mais est-ce que vous êtes satisfait de la façon... parce que là, ce qu'on se rend compte, c'est qu'il y avait un vol de données chez Desjardins, ça a pris des mois avant que Desjardins le disent aux clients, le premier vol. Là, après ça, ils disent : Regardez, on a, oui, bon, je ne sais pas combien de... Et là, tout à coup, on se rend compte que plusieurs mois après, là, eux autres ne le savaient même pas, que l'ensemble de leurs clients, de leurs membres était touché par ça. Ça ne démontre pas une négligence de la part de Desjardins? Ils ne savaient même pas combien de leurs membres s'étaient fait frauder, il a fallu que la Sûreté du Québec leur dise.

M. Girard (Groulx) : En fait, Desjardins a été très transparent dans ce dossier-là. Le 14 juin, l'information qu'ils avaient, c'était 2,7 millions de membres, c'est l'information qu'ils ont divulguée. Hier, j'ai eu une nouvelle information, ils l'ont eue un peu avant, ils la divulguent aujourd'hui. Alors, ils sont très transparents. Et ce qui est important, c'est la protection des renseignements des individus et la protection des avoirs financiers, et l'AMF, le gouvernement s'occupe de ça avec Desjardins.

M. Lacroix (Louis) : Mais vous ne pensez pas que, s'ils avaient le contrôle de ce qui se passe dans leur système informatique, ils auraient pu le détecter immédiatement, et ils n'auraient pas eu besoin de la Sûreté du Québec pour leur dire qu'ils s'étaient fait voler les données de l'ensemble de leurs clients?

M. Girard (Groulx) : Bien, c'est-à-dire que vous vous référez à une situation qui aurait été préférable. J'en conviens. Moi, je vous dis qu'étant donné ce qui est arrivé, l'institution financière gère bien l'incident.

M. Gagnon (Marc-André) : Bien, justement, c'est parce que, M. Girard, votre gouvernement dit, depuis le début, que Desjardins a bien géré la crise. Or, dans la gestion de leur crise, Desjardins n'a même pas été capable de se rendre compte que l'ensemble de leurs membres finalement avaient été touchés par le vol de données. Puis ça, c'est exemplaire?

M. Girard (Groulx) : Je n'ai pas dit que c'était exemplaire, j'ai dit adéquat. Et, Desjardins, c'est l'enquête policière qui a révélé le nombre de membres qui sont touchés. La nouvelle information a été révélée hier, et Desjardins la divulgue aujourd'hui.

M. Lacroix (Louis) : Vous, êtes-vous membre de Desjardins?

M. Girard (Groulx) : Non. Moi, comme je pense que c'est connu, j'ai travaillé 24 ans pour une autre institution financière.

M. Pilon-Larose (Hugo) : Est-ce que les autres institutions financières au Québec, les banques, aujourd'hui, à votre connaissance, sont à risque des mêmes choses qui se sont produites chez Desjardins? Est-ce que tout le secteur est à risque?

M. Girard (Groulx) : Oui, bien, c'est-à-dire que la protection des renseignements personnels, c'est définitivement d'actualité dans toutes les sphères de la société. Évidemment, au niveau des données financières, il y a des particularités, et c'est pour ça qu'il faut attaquer le problème d'une façon multidirectionnelle. Il y aura la loi sur les agences de crédit, parce que c'est un domaine de l'information financière, il y aura la loi sur la protection des renseignements personnels, ça, c'est la ministre de la Justice. Mais les vols de données sont possibles dans toutes les sphères de la société. Il n'y a pas de protection ultime, mais les institutions sont responsables d'avoir les meilleures pratiques pour faire de la prévention.

M. Pilon-Larose (Hugo) : Craignez-vous que, s'il y a un mandat d'initiative qui est large et qu'il y a beaucoup de gens qui sont appelés à venir témoigner devant les élus, les informations qui pourraient leur être demandées pourraient, à la limite, aider ceux qui veulent faire de la fraude? Est-ce que c'est une raison pour laquelle vous êtes...

M. Girard (Groulx) : Personnellement, je n'ai aucune crainte par rapport au mandat d'initiative. D'ailleurs, dans le cadre de mon projet de loi sur les agences de crédit, il y aura des consultations, et c'est certain que les agences de crédit vont venir, puis que Desjardins, l'AMF sont des parties prenantes, et les autres institutions financières. Alors...

M. Gagnon (Marc-André) : Bien, allez-vous le déposer plus vite? Allez-vous accélérer le pas?

M. Girard (Groulx) : Mon intention, c'est de le déposer avant la fin de la session.

M. Gagnon (Marc-André) : Bien, allez-vous le déposer plus vite? C'est ça, ma question.

M. Girard (Groulx) : Ah! bien, c'est-à-dire que, s'il y a une chose que j'ai apprise dans mon expérience au gouvernement, c'est que les projets de loi doivent être bien faits, et que ça prend du temps, là. Nous sommes la seule province qui n'a pas de loi sur les agences de crédit. Alors, puisque nous serons les derniers à faire ça, on veut être sûrs qu'ils auront la meilleure loi.

Et d'ailleurs je peux vous donner les éléments principaux. On parle évidemment d'inscription des agences, on parle de qui va les superviser, on parle des responsabilités des agences et nous voulons introduire le verrou ou le gel de crédit, qui n'est pas disponible dans aucune province au Canada.

Mme Crête (Mylène) : Jusqu'à quel point est-ce que vous pensez que vous êtes rassurant pour les membres de Desjardins aujourd'hui? Vous nous répétez ce que vous nous avez dit il y a quatre ou cinq mois.

M. Girard (Groulx) : Bien, c'est-à-dire qu'il y a seulement une nouvelle information aujourd'hui, c'est que l'ensemble des membres sont touchés. Il y avait plusieurs rumeurs qui circulaient à cet effet, notamment dans un reportage télévisé, et là on en a eu la confirmation hier, alors on le divulgue immédiatement à la population. Mais...

Mme Crête (Mylène) : Mais est-ce que vous pensez vraiment que vous êtes rassurant, là, pour les gens?

M. Girard (Groulx) : Mais la gestion de l'incident pour 2,7 millions de personnes, c'est exactement la même gestion pour 4,2 millions de personnes.

M. Gagnon (Marc-André) : Avec tout le respect, là, ce n'est pas très rassurant de vous entendre dire : Il n'y a seulement qu'une nouvelle information qui a été révélée aujourd'hui. Là, c'est tous les membres de Desjardins, pratiquement la moitié du Québec, qui a été victime d'une fraude, d'un vol de données.

M. Girard (Groulx) : D'une fuite.

M. Gagnon (Marc-André) : Donc, je vous donne l'opportunité de qualifier cette révélation-là aujourd'hui.

M. Girard (Groulx) : Bien, c'est une nouvelle information qui confirme que c'est un incident très sérieux. L'incident... Moi, j'ai pris cet incident-là avec autant d'importance pour 2,7 millions que pour 4,2 millions de personnes. Les mêmes gestes qui sont posés pour les 2,7 millions de personnes sont pertinents pour l'ensemble des membres. Et c'est d'ailleurs pour ça que Desjardins avait l'intention d'annoncer aujourd'hui qu'il voulait offrir la protection Equifax pour l'ensemble des membres.

La Modératrice : On va prendre une dernière question en français, puis, après ça, on va prendre les questions en anglais.

M. Lacroix (Louis) : On a vu, dans d'autres cas de vol de données, là, à l'étranger, entre autres, où il y a eu des amendes extraordinaires qui ont été données, là. Je pense à British Airways, entre autres choses, qui a eu une amende salée, puis il y en a eu d'autres, là. Est-ce qu'au Québec on ne devrait pas avoir aussi des amendes pour les gens qui sont... pour les entreprises, par exemple, qui sont négligentes avec les données des gens, des données personnelles de la population? Est-ce qu'on ne devrait pas... Parce que nous autres, ici, il n'y en a pas, d'amendes, ou très peu, là. Tu sais, c'est des peccadilles, là.

M. Girard (Groulx) : Vous avez raison qu'au Canada et au Québec nous n'avons pas la tradition d'imposer des amendes dans des cas comme ça, et dans divers domaines, d'ailleurs. C'est une approche que je qualifierais de plus américaine, plus coercitive, avec des amendes. On n'a pas ça... On n'a pas cette approche-là au Canada. On a plus une approche incitative. Là, moi, ce qui me préoccupe, c'est, bien sûr, la protection des avoirs et des renseignements des citoyens.

M. Lacroix (Louis) : ...mais moi, je vous demande : Est-ce que...

M. Girard (Groulx) : Vous, vous me demandez si, dans la Loi sur la protection des renseignements personnels, ce serait possible d'avoir des sanctions plus sévères. Et la réponse, c'est oui, puis je vais laisser la ministre de la Justice s'occuper de cet aspect-là. Moi, je suis responsable de l'aspect des données financières.

M. Lacroix (Louis) : Donc, il va y avoir quelque chose qui va faire en sorte de... en fait, des pénalités plus importantes qui vont être imposées pour justement... Parce que ça, ce que ça fait, c'est que, moi, si je suis une institution financière puis je sais que je me fais voler les données de mes clients, ça se pourrait que j'aie des amendes très importantes, je vais peut-être faire plus attention à mon système de sécurité.

M. Girard (Groulx) : Bien, qu'il y ait amende ou non, les données des individus, c'est l'aspect le plus important d'une institution financière. O.K.? Il y a les avoirs financiers puis il y a les renseignements personnels. Alors, on n'a pas besoin d'amendes pour que les institutions financières assument leurs responsabilités. Est-ce que ce serait possible d'avoir des amendes? Oui.

M. Pilon-Larose (Hugo) : Mais si on se donne des... Juste pour clarifier ça, en terminant. Si on donne une amende, par exemple, à Desjardins, est-ce qu'on ne vient pas pénaliser encore plus des membres dont les données ont déjà été volées? C'est-à-dire, si on fait mal à Desjardins, est-ce qu'on fait mal en même temps à ses membres?

M. Girard (Groulx) : Bien, c'est-à-dire que Desjardins, c'est une institution financière d'importance systémique, 300 milliards d'actifs, 47 000 employés. Et c'est certain que l'AMF, et le ministre des Finances, et le gouvernement veut que Desjardins gère cette situation et, après, soit une institution encore de plus grande qualité. Alors, ça, c'est certain que, dans le post-mortem, il y a une institution encore de plus grande qualité après. Alors, lorsque vous dites : S'il y a des pénalités, est-ce que ça nuit aux membres? C'est un élément à considérer.

M. Lacroix (Louis) : Equifax, c'est 600 millions. British Airways c'était 125 millions US. C'est des amendes importantes, là.

M. Girard (Groulx) : Je suis conscient de ça.

M. Lacroix (Louis) : British Airways, c'est britannique, ce n'est pas américain. Alors, il y a d'autres pays qui le font. Ils doivent se dire, quelque part, que ça doit ajouter une protection parce que les compagnies doivent faire plus attention.

M. Girard (Groulx) : Encore une fois, je tiens à dire que les amendes, c'est une approche qui est très utilisée aux États-Unis dans divers domaines, pas seulement dans les infractions reliées... On a vu, dans la crise financière, que les institutions financières américaines avaient eu des amendes nettement plus élevées aux États-Unis que dans d'autres pays. Alors, chaque juridiction a ses pratiques. Et, bien sûr, on regarde l'ensemble des opportunités.

Mme Crête (Mylène) : Le système bancaire repose sur la confiance. Vous ne pensez pas que ça altère la confiance que les gens ont dans une des grandes institutions financières québécoises?

M. Girard (Groulx) : C'est-à-dire que, dans une crise, dans un incident, il y a toujours une opportunité. Dans la mesure où Desjardins gère bien cet incident et prouve, continue de prouver à ses membres qu'ils sont une institution financière solide, à l'écoute de leurs membres, qui s'occupe de la protection des renseignements, la protection des avoirs, Desjardins va en sortir grandie. Et le Québec, c'est la même chose. On n'est pas les leaders au niveau de l'identification, l'authentification des renseignements personnels. On n'a pas les meilleures pratiques au niveau des agences de crédit. Alors, cet incident-là va nous amener à un autre niveau des meilleures pratiques. Puis c'est ça qu'il faut faire.

Mme Greig (Kelly) : To pick up on a point that my colleagues raised, I mean, it was the police who told Desjardins how serious was the scope of the problem. First off, how did Desjardins — you mentioned your experience with financial institutions — how did Desjardins not know the extent?

M. Girard (Groulx) : That aspect is for Desjardins to answer, and the investigation will reveal it. There's a post mortem being done right now with external consultants, and all the aspects of why the data could be extracted and why it took the amount of time that it took to detect it are extremely important. And that will be part of the... not only the internal audit that's being done with external consultants, but also, l'Autorité des marchés financiers is following the situation. And that's all part of future improvement. The breach... the IT breaches have been closed. Now, they must move to the best practice of the industry and that would involve detecting in real time if there are data dump related to personal information.

Mme Greig (Kelly) : But how concerning is that for you, that it was not the institution itself that could detect that? For you, what does that say? What's the concern there?

M. Girard (Groulx) : Well, I'm dealing with the incident, OK? There's nothing I can do prior... or to prevent what happened. The incident happened. And, from the day that I was informed that this incident happened, I focused on the management of the incident. And I'm satisfied with the management of the incident, but that does not, by any means, make the incident less important.

Mme Greig (Kelly) : But is that concerning to you, that it was not Desjardins itself to find that out?

M. Girard (Groulx) : It's certainly part of the SQ, the investigation, to find that out. It would have been preferable if there was no data stolen and if it had been detected earlier.

Mme Greig (Kelly) : Yes. Let me say it another way. Should it have been Desjardins who discovered it before the SQ did?

M. Girard (Groulx) : I think it could have been Desjardins that had known the extent. It's not the case, so I'm dealing with the situation that we have.

Mme Greig (Kelly) : Desjardins said they have everything under control. Do you find that reassuring to Quebeckers today?

M. Girard (Groulx) : I think what's most important for Quebeckers is that their assets are protected. So, Desjardins is a well capitalized institution. It's a systemic, important financial institution. Their financial assets are guarantied by this institution. So, that's the number one thing.

With respect to the personal data information, they've registered 1 million people to Equifax, which is a suitable prevention strategy, and they've introduced, if you're a victim of identity theft, they've introduced the insurance and they will help you. They're the first ones to introduce that, so that's a good step.

So, I think the fact that the data is protected and that there's prevention of fraud and that, in the case of identity theft, there will be significant help means that they're dealing with the situation adequately.

Mme Greig (Kelly) : One million Quebeckers signed up to Equifax. I mean, that's a huge number of people.

M. Girard (Groulx) : Correct.

Mme Greig (Kelly) : Your message to Quebeckers today who are, first of all, the ones who are implicated in this, but the other ones as well who see this and say : Oh my Gosh! this happens here and this could happen to us just as easily if I'm with any other bank, what's your message to Quebeckers?

M. Girard (Groulx) : Well, my message is, first of all, we all have a responsibility. You need to be mindful of the risk of... sorry, what's the right word?

Une voix : Say it in French.

M. Girard (Groulx) : De la possibilité de vol d'identité. You need to be...

Journaliste : ...identity theft.

M. Girard (Groulx) : Yes. You need to be mindful that you could be subject to bad behavior, that some people want... veulent nuire à vos actifs. So, you need to be aware of this. We all need to be aware of this. Cybersecurity is part of today's environment. Desjardins has a responsibility. Your financial institution is guaranteeing your assets against fraud. So, that's... In the case of Desjardins, you have a well-capitalized institution, systematically important, designated institution by the Government of Québec, so your assets are guaranteed. And the two other aspects are really prevention of the identity theft and, in the case of identity theft, helping you dealing with it, the insurance.

M. Verville (Jean-Vincent) : What are the tools that you can put in place in the future to reassure the public that this won't happen again? I guess, as a Minister, you know what tools you may put in place to reassure the public... it will not happen again?

M. Girard (Groulx) : Well, I think, as a society, there's many aspects that we need to improve that are related to cybersecurity. First of all, we need to... we do not have a law on credit agencies, so we need to regulate them so we know clearly what their responsibilities are. We will monitor them. They will need to be registered. And we want to introduce the credit freeze.

The whole aspect of the... We all know that the Social Insurance Number is not an identity tool for today's world. So, all the aspects with respect to identification, authentification need to be improved. The aspect of the responsibilities of who stores those data, the responsibilities institutions that have this private information that belong to the citizens, the responsibilities of these institutions will be dealt by the Justice Minister. That's also an aspect that is very important.

M. Verville (Jean-Vincent) : So, the solution, could it be to store all the information in one place so that all the banks can have all this information, but it will be regulated by the Government? Because I know it exists in other countries.

M. Girard (Groulx) : I think we are best served where we have private institutions in competition that strive to have the best practices of the industry. And it is helpful to identify who is the leader and for the others to converge and for all institutions to improve. The solution for today's world may not be the solution for 10 years from now. So, what you are proposing or suggesting may not be appropriate in the future. So, I think, we want to keep the private sector involved. Certainly, the financial institutions are private entities, and they simply need to have the best practices of the industry.

La Modératrice : Thank you.

M. Girard (Groulx) : Merci beaucoup.

(Fin à 14 h 55)