Canada /Québec : Vol de données dans une banque

Début novembre 2019, la banque Desjardins Inc. aurait fait l’objet d’un vol de plus de 4 millions de données personnelles. Ceci nous amène donc à nous demander si un organisme étranger, faisant  ou ne faisant à priori pas d’affaires en Europe, mais qui détient des données personnelles de citoyens européens, résidant ou non dans l’U.E, lesquels possèdent un compte à l’étranger, doit-il être en conformité avec le RGPD ?

Rappelons-le : Desjardins, premier  groupe financier coopératif du Canada, prônant le « mieux- être économique et social des personnes et des collectivités », est la premiere caisse fondée en 1900 par Alphonse et Dorimène Desjardins, qui fait désormais partie de l’une des institutions de ce monde, comptant plus de 7 millions de membres, 46 216 employés et 3 779 administrateurs.

Le vol

4,2 millions : c’est ce chiffre exorbitant correspondant à des membres affiliés au Mouvement Desjardins qui a été mis en avant le vendredi 01 novembre 2019. C’est un employé du groupe financier qui a commis le vol afin de transmettre des données personnelles à un groupe de courtiers à des fins de concurrence, et donc fait de nombreuses victimes.

Les informations personnelles piratées, semblent être les noms et prénoms, les dates de naissance, les adresses électroniques et postales, les numéros d’assurance sociale et de téléphone, ou encore les habitudes bancaires des clients, ce qui les mettent considérablement en péril et par conséquent, leurs comptes en pâtissent.

Après avoir été informé par la Sûreté du Québec (SQ), Guy Cormier, chef de la direction de Desjardins, a rendu l’annonce publique. À la suite de cette nouvelle d’une grande ampleur sociétale, la gestion du vol des données personnelles a été mise en relief et massivement défendue par Éric Girard, le ministre des Finances du Québec, lequel rappel que « la protection des renseignements personnels, c’est l’actualité dans toutes les sphères de la société », et compte déposer un projet de loi concernant la protection des données personnelles.

RGPD : une conformité est-elle nécessaire pour les organismes étrangers hors Europe ?

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur au 25 mai 2018.

Ce règlement est un texte réglementaire de référence européen qui définit ce que sont des données personnelles.

Rappelons qu’une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Cependant, parce qu’elle concerne des personnes, celle-ci doit en conserver la maîtrise.

Par conséquent, une personne physique peut être identifiée :

  • directement exemple : nom et prénom ;
  • indirectement exemple : par un numéro de téléphone;
  • une plaque d’immatriculation ;
  • un identifiant tel que le numéro de sécurité sociale;
  • une adresse postale ou électronique, mais aussi la voix ou l’image.

De plus, l’identification d’une personne physique peut être réalisée :

  • à partir d’une seule donnée (exemple : nom) ;
  • à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association) :

Aussi, en raison des caractéristiques du RGPD selon l’Union Européenne, Desjardins, étant un organisme étranger détenant des données personnelles de citoyens européens résidant dans l’UE, devrait effectuer sa mise en conformité au RGPD comme l’impose l’Union Européenne.

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.