Éditorial Ariane Krol Equifax

Vos données, leur impunité

Ariane Krol La Presse

Jusqu’à 700 millions de dollars américains… C’est ce qu’Equifax aura à payer aux États-Unis à cause de son vol massif de renseignements personnels, en vertu d’une entente gouvernementale annoncée lundi. Au Canada ? Rien, car le Commissariat à la protection de la vie privée n’a toujours pas le droit d’imposer des amendes. Pourquoi laisse-t-on les entreprises négligentes s’en tirer à si bon compte ?

Les membres de Desjardins se plaignent des systèmes d’Equifax, mais ils étaient encore pires il y a deux ans, lorsque la société américaine s’est fait voler les renseignements personnels de près de 150 millions de personnes.

Son réseau comportait des failles de sécurité élémentaires dont elle a mis des mois à s’apercevoir, relate la Federal Trade Commission (FTC) dans sa plainte déposée en cour.

Equifax devra donc verser jusqu’à 425 millions de dollars dans un fonds servant à financer la surveillance du dossier des consommateurs touchés et à rembourser ceux qui ont payé de leur poche pour se protéger. Elle devra aussi acquitter une pénalité de 100 millions auprès d’une autre agence gouvernementale, la Consumer Financial Protection Bureau, et allonger 175 millions pour régler les poursuites de 50 États et territoires. L’entreprise devra également se soumettre à une batterie de mesures pour sécuriser ses systèmes.

Pendant ce temps à Ottawa… Le Commissariat à la protection de la vie privée a lui aussi découvert une série de manquements chez Equifax Canada. Il a conclu un accord de conformité dans lequel l’entreprise s’engage à implanter des mesures correctives et à se soumettre à un certain suivi. Mais en pénalités et indemnités, pas un sou. Equifax devra seulement offrir son propre service de surveillance de crédit gratuitement aux Canadiens touchés – ils sont moins de 20 000. Pour l’effet dissuasif, on repassera !

Pourtant, ça fait au moins six ans que les commissaires fédéraux à la vie privée réclament le pouvoir d’imposer leurs propres amendes. Mais ni le gouvernement Trudeau ni le gouvernement Harper avant lui ne se sont donné la peine de présenter un projet de loi.

Résultat ? Pour qu’une entreprise se voie imposer des pénalités, il faudrait que le commissaire monte un dossier de toutes pièces, en espérant que la Cour fédérale lui donne raison.

Cette impuissance est d’autant plus choquante que les vols de données se multiplient. Et que d’autres États sont pas mal mieux équipés pour ramener les entreprises à l’ordre.

Le Bureau du commissaire à l’information du Royaume-Uni a ainsi infligé une pénalité de 500 000 livres à Equifax… parce que c’était le maximum permis par sa loi en 2017. Le Règlement général sur la protection des données, entré en vigueur en Europe depuis, prévoit des amendes autrement plus salées pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise.

Bien sûr, l’herbe n’est jamais parfaitement verte chez le voisin. L’entente conclue avec Equifax aux États-Unis est critiquée, notamment parce que les victimes pourraient avoir du mal à obtenir le maximum d’argent prévu. Et parce que la FTC n’a pas pu imposer d’amende elle-même, car à la première infraction, elle a seulement le droit de négocier une entente. Mais elle ne perd rien pour attendre, comme en témoigne la pénalité record de 5 milliards de dollars infligée à Facebook cette semaine pour avoir violé son entente de 2012.

Est-ce que ça suffira à convaincre des multinationales de protéger les données personnelles dont elles ont la garde ? Pas sûr. Mais l’État doit prendre le parti de ses citoyens, et rappeler qu’il y a des limites à ne pas franchir. En gardant son commissaire à la vie privée menotté, le gouvernement canadien fait plutôt un gros cadeau aux entreprises fautives. C’est inacceptable.