Un banlieusard en fourgonnette parmi des centaines d’autres.

Tel est le profil banal de Sébastien Boulanger Dorval, l’homme que les policiers soupçonnent d’avoir volé les renseignements personnels de 2,9 millions de clients de Desjardins. Une fuite de données d’une ampleur sans précédent au Québec.

Le suspect ne fait pas l'objet d'accusations criminelles.

Il a été arrêté par la police dans les dernières semaines, puis relâché. Des perquisitions ont aussi été menées. La police de Laval mène l’enquête parce que la « transaction suspecte » qui a sonné l’alarme leur a d’abord été signalée.

Selon une source policière, les enquêteurs ont d’autres suspects dans leur ligne de mire : quelques individus qui auraient été pressentis pour acquérir les données personnelles dérobées.

La police de Laval a encore beaucoup à faire dans ce dossier et il pourrait s’écouler un certain temps avant le dépôt d’accusations, selon une autre source policière. Les enquêteurs auraient aimé retarder la sortie publique sur cette affaire, le temps de continuer leurs démarches, mais Desjardins devait aviser rapidement ses membres de la situation.

« Un bon gars »

Âgé de 37 ans, M. Boulanger Dorval est propriétaire d’un condo à Beaumont et d’une maison à Saint-Charles-de-Bellechasse, village en pleine croissance immobilière, à 15 minutes à l’est de Lévis. Il aurait quitté le premier pour le second il y a un an.

« Sébastien est un bon gars. Il était président de son complexe de condos et il était très actif. »

— ancienne voisine qui n’a pas voulu être nommée

La maison de Saint-Charles-de-Bellechasse a été mis en vente il y a trois semaines. Sur la fiche immobilière, les photos laissent entrevoir une vie de banlieue banale : terrain gazonné, panier de basketball dans l’entrée d’asphalte et foyer électrique au centre du salon.

« J’ai vu la pancarte apparaître et j’ai voulu aller voir les photos de l’inscription, mais je me suis rendu compte que [son] profil Facebook avait été effacé », a expliqué un voisin.

Dans la petite rue tranquille, les résidants rencontrés par La Presse n’avaient pas remarqué de présence policière extraordinaire au cours des dernières semaines. Le principal intéressé n’était pas à la maison, hier après-midi.

Diplômé en administration des affaires de l’Université Laval, avec une spécialisation en technologies, Sébastien Boulanger Dorval a été conseiller en segmentation. Si les hypothèses des policiers se confirment, le vol se serait produit au siège social de Lévis, en plein cœur de l’immense réseau de Desjardins. À cinq minutes de l’endroit où la coopérative est née, il y a 119 ans.

Il avait un homonyme, Sébastien Boulanger, au siège social de Desjardins. L’homme, qui n’a rien à voir avec cette histoire, a été surpris de recevoir la visite de plusieurs journalistes, hier.

Cinq ans de surveillance

Alors que le suspect se fait discret, c’est le branle-bas chez son ancien employeur. Après une conférence de presse indignée jeudi, le grand patron Guy Cormier est allé hier plaider sa cause au micro des émissions radiophoniques matinales, répétant que Desjardins avait fait tout en son pouvoir pour se prémunir contre ce type de vol de données. En vain.

L’institution financière a aussi annoncé qu’elle prolongeait le forfait antifraude offert à tous les clients touchés. La firme spécialisée Equifax portera une attention particulière à leurs comptes pendant cinq ans aux frais de Desjardins – plutôt que seulement un an, comme d’abord annoncé. Equifax avait elle-même été victime d’une immense fuite de renseignements personnels en 2017.

Selon nos informations, des employés de Desjardins ont travaillé de longues heures dans la nuit pour gérer le tsunami de plaintes de membres qui craignaient les fraudes.

Mais les impacts avérés du vol d’informations demeurent nébuleux. Si une transaction suspecte a mis la puce à l’oreille de la police, Desjardins a bien confirmé jeudi qu’aucune hausse notable du nombre de fraudes ne s’était produite depuis le vol.

La coopérative a précisé que ses services de sécurité interne surveillent le dark web (les bas-fonds de l’internet où des transactions illégales peuvent se conclure) afin de vérifier si les données de ses membres y seraient vendues au plus offrant. Le cas échéant, des mesures seraient prises, assure le groupe financier, sans donner plus de détails.

Desjardins a refusé de confirmer l’identité de l’employé fautif hier, la direction se contentant de répéter qu’il avait été suspendu puis congédié lorsque le groupe financier avait découvert la situation à la fin mai.

— Avec la collaboration de Daniel Renaud et de Richard Dufour, La Presse

Deux demandes d’autorisations d’action collective ont été déposées contre Desjardins dans les heures qui ont suivi l’annonce du vol des données de 2,9 millions de ses membres. Mais dans cette affaire complexe, il est loin d’être assuré que les clients de l’institution financière seront indemnisés.

Le fait que deux requêtes aient été déposées devant les tribunaux ne signifie pas que les membres de Desjardins pourraient avoir deux chèques.

Étant donné la règle du « premier arrivé, premier servi », la justice n’entendra que la première demande d’autorisation d’exercer une action collective reçue.

« La deuxième sera suspendue », précise Me Pierre-Claude Lafond, professeur titulaire à la faculté de droit de l’Université de Montréal.

Si jamais la première est refusée, la seconde pourrait être entendue, « mais ça n’arrive pas souvent. Ça dépend des raisons pour lesquelles le juge refuse d’autoriser l’action », note l’expert.

Jeudi, une première demande a été déposée par le cabinet Siskinds Desmeules Avocats au nom de Nathalie Boulay. Ils réclament des dommages compensatoires de 2,9 milliards et des dommages punitifs de 290 millions, soit environ 1100 $ par personne. Dans les deux cas, il s’agit de montants « temporairement évalués ».

« On est dans une poussée inflationniste. On n’en voit pas toutes les semaines [des montants si élevés], mais on en voit de plus en plus souvent. »

— Me Pierre-Claude Lafond, avocat

La seconde requête a été déposée hier par les cabinets LPC Avocat et Kugler Kandestin. Le représentant est un certain Hugo Langlois qui réclame 300 $ en dommages punitifs. En tenant compte de tous les clients touchés, le montant s’approche du milliard de dollars. Les autres sommes réclamées en dommages ne sont pas mentionnées.

« PAS UNE QUESTION FACILE »

L’avocat Jean-Philippe Caron, de CaLex Légal, a de forts doutes quant aux chances de succès d’une action collective dans cette affaire. D’ailleurs, après avoir « analysé en profondeur » la situation, il a décidé de ne pas se précipiter au palais de justice.

« On est venus à la conclusion que ça serait impossible de démontrer le caractère intentionnel et volontaire de la faute pour réclamer des dommages punitifs en vertu de l’article 49 de la Charte des droits et libertés de la personne du Québec. »

Me Caron croit par ailleurs que Desjardins ne peut être tenu responsable de la faute commise par son employé « en vertu de la Charte ».

« C’est la grande question qui va se poser, croit Pierre-Claude Lafond. Est-ce que Desjardins est responsable ? Ce n’est pas une question facile. » Pour le moment, rappelle-t-il, « on n’a pas de preuves […] On connaît le résultat, mais on ne sait pas ce qui s’est passé avant dans le détail ».

Professeure titulaire à la faculté de droit de l’Université Laval, Michelle Cumyn souligne que l’article 1463 du Code civil prévoit que l’employeur est responsable de la faute de son employé. « Cet article pourrait s’appliquer », croit-elle.

Or, en matière criminelle, ça se brouille. Et le vol d’informations personnelles est justement une infraction criminelle.

« Si l’employé a commis l’acte en dehors de l’exercice de ses fonctions, l’employeur n’est pas responsable […] Et il y a une partie de la jurisprudence qui dit que lorsque l’on commet un acte criminel, ça ne peut pas être dans l’exercice de ses fonctions. Car aucun employeur ne demande à ses employés de commettre des actes criminels. »

Les avocats pourraient plutôt tenter de prouver « la faute directe de Desjardins ». Il leur faudrait alors démontrer que la coopérative a été imprudente en n’utilisant pas des mécanismes de protection appropriés ou suffisants, par exemple, dit Michelle Cumyn.

« IL FAUT AVOIR UNE PREUVE »

La question des préjudices ajoute une autre couche de complexité à l’affaire.

Car non seulement il faut les identifier – et ils peuvent varier énormément d’une personne à l’autre et dans le temps –, mais il faut aussi les prouver, insiste Me Lafond.

« Est-ce que les fraudeurs ont eu le temps d’aller demander des cartes de crédit et de dépenser ? On ne le sait pas. Il faut avoir une preuve. On ne peut pas seulement dire que ses droits ont été bafoués. »

— Me Pierre-Claude Lafond

Certaines personnes ont peut-être déjà perdu de l’argent ou subi des événements fâcheux. D’autres découvriront peut-être les conséquences du vol de leur identité bien plus tard. D’autres encore ne sont pas au courant de la nouvelle et ne subissent donc aucun préjudice.

Or, explique Michelle Cumyn, les tribunaux acceptent plus facilement d’autoriser les actions collectives lorsque les « membres sont tous dans des situations à peu près équivalentes ». Cela dit, certains juges « peuvent être créatifs ».

« Avec toutes les actions prises par Desjardins pour limiter les dommages, j’aurais tendance à croire que s’il y a un dommage, il est extrêmement minime ou inexistant », juge Jean-Philippe Caron.

Autre difficulté : comment prouver que les préjudices subis par une personne qui s’est fait voler son identité sont réellement liés à ce qui s’est produit chez Desjardins ? La coopérative est loin d’être la seule organisation à s’être fait voler des données ces dernières années et les malfaiteurs attendent parfois longtemps avant de les utiliser.