Fuite de renseignements personnels au Mouvement Desjardins – L’Autorité ordonne à la Fédération de respecter ses obligations de gestion saine et prudente
L’Autorité des marchés financiers (« l’Autorité ») ordonne à la Fédération des caisses Desjardins du Québec (« la Fédération ») de mettre en place une série de mesures correctives ainsi que des mécanismes de contrôle interne robustes afin d’atténuer efficacement les risques d’incidents opérationnels dont ceux liés à la protection des renseignements personnels et de respecter ses obligations légales de suivre des pratiques de gestion saine et prudente.
En vertu des pouvoirs que lui confère la Loi sur les coopératives de services financiers (« la Loi »), l’Autorité a transmis à la Fédération une ordonnance (pdf – 115 Ko)Ce lien s’ouvrira dans une nouvelle fenêtre par laquelle elle expose de nombreux constats découlant de ses travaux de surveillance réalisés à l’égard de la fuite de renseignements personnels annoncée en juin 2019 (« l’incident »). L’Autorité conclut au terme de ses travaux que le Mouvement Desjardins a manqué à ses obligations légales de suivre des pratiques de gestion saine et prudente, ce qui a favorisé la survenance de l’incident. Elle ordonne ainsi à la Fédération de mettre en place une série de mesures correctives visant à répondre adéquatement aux manquements relevés et d’en faire une reddition de comptes rigoureuse auprès de ses instances et de l’Autorité.
L’Autorité a par ailleurs pris acte des différentes mesures déployées par le Mouvement Desjardins depuis l’incident en vue d’apporter les correctifs requis et de rehausser son niveau de maturité global en matière de sécurité de l’information et de protection des renseignements personnels. Ces mesures constituent une amélioration certaine et témoignent de la volonté du Mouvement Desjardins de maintenir la confiance de ses membres et clients. L’Autorité est toutefois d’avis que ces mesures doivent aller encore plus loin afin de répondre pleinement à ses exigences et de satisfaire aux meilleures pratiques observées au sein des institutions financières d’importance systémique. À la demande de l’Autorité, le Mouvement Desjardins a donc élaboré des plans visant à rehausser ses pratiques de gestion saine et prudente, de saine gouvernance, et à assurer une gestion adéquate des risques quant à la sécurité de l’information et la protection des renseignements personnels.
Principaux constats et manquements reprochés
À la suite de l’incident, l’Autorité a exigé du Mouvement Desjardins un bilan complet et détaillé afin d’identifier, avec l’aide de consultants externes indépendants, toute mesure additionnelle ou changement structurel devant être mis en place. L’Autorité a également déployé une équipe de surveillance au sein du Mouvement Desjardins pour valider la rigueur et le caractère adéquat et complet des mesures prises.
L’Autorité constate notamment que des recommandations découlant de ses travaux de surveillance antérieurs n’ont été suivies qu’en partie au moment de la survenance de l’incident, et ce, en dépit de statuts d’avancement fournis par le Mouvement Desjardins à l’effet contraire.
De plus, la Fédération a failli à son obligation de suivre des pratiques de gestion saine et prudente assurant notamment une saine gouvernance et le respect des lois régissant ses activités, et ce, malgré les multiples constats et recommandations de l’Autorité et des auditeurs internes du Mouvement Desjardins à cet égard.
L’Autorité a également identifié des lacunes importantes au niveau de chacune des trois lignes de défense du Mouvement Desjardins, soit les directions opérationnelles, les fonctions de supervision et l’audit interne. En outre, ces lignes de défense n’ont pas assuré une coordination rigoureuse de leurs activités pour assurer une meilleure compréhension et une gestion de la gamme complète des risques en lien avec l’atteinte des objectifs de l’institution financière.
À la lumière de ces principaux constats, l’Autorité conclut que :
- la Fédération a manqué à son obligation de suivre et de faire respecter des pratiques de gestion saine et prudente ;
- la Fédération a fait défaut de rencontrer certaines attentes de l’Autorité, telles qu’énoncées dans le cadre de plusieurs lignes directrices, en omettant de mettre en place des mécanismes adéquats de contrôle interne au sein du Mouvement Desjardins; et
- les membres de la haute direction de la Fédération, de son conseil d’administration et certains de ses comités statutaires ont manqué à leur obligation d’agir avec prudence et diligence dans l’exercice de leurs fonctions, en ne mettant pas en place des mesures de gouvernance et mécanismes de contrôle suffisamment robustes, notamment en matière de sécurité de l’information et de pratiques de ressources humaines, et en n’assurant pas un suivi adéquat des plans d’action devant mettre en œuvre les recommandations de l’Autorité et des auditeurs internes du Mouvement Desjardins.
Certaines des mesures ordonnées
En conséquence des divers constats et manquements reprochés, l’Autorité ordonne notamment à la Fédération :
- qu’elle prenne les mesures nécessaires afin de respecter entièrement, correctement et sans retard les obligations auxquelles le Mouvement Desjardins est tenu en vertu de la Loi, en ce qui concerne l’obligation de suivre des pratiques de gestion saine et prudente et de respecter les lois régissant ses activités;
- qu’elle mette en place des mécanismes de contrôle internes suffisamment robustes, notamment en matière de sécurité de l’information, afin d’atténuer efficacement l’exposition aux risques d’incidents liés à la protection des renseignements personnels;
- qu’elle mette en place des pratiques de ressources humaines afin de rendre imputables les personnes responsables à l’égard de l’incident et celles qui seront chargées de la mise en place des correctifs en temps opportun;
- de produire une reddition formelle illustrant l’avancement réel des travaux exigés dans le cadre de l’ordonnance, les risques réels et résiduels en vigueur, de même que les délais envisagés et de transmettre cette reddition à l’Autorité sur une base mensuelle; et
- d’assumer les frais d’une firme d’experts indépendants qui sera approuvée par l’Autorité, dont le mandat sera déterminé par celle-ci et qui lui fera directement rapport, afin d’effectuer une surveillance de l’opérationnalisation des mécanismes de gouvernance et de contrôles mis en place en vue de certifier que le Mouvement Desjardins rencontre les attentes des lignes directrices établies par l’Autorité et des meilleures pratiques au sein de l’industrie.
À propos du pouvoir d’ordonnance
La Loi ne prévoit pas la possibilité d’assortir l’ordonnance rendue de sanctions pécuniaires. Toutefois, en cas de non-respect de celle-ci, la Fédération s’expose à une sanction administrative de 10 000 $ par jour de manquement.
L’Autorité n’émettra aucun autre commentaire à l’égard de ses travaux de surveillance prudentielle.
L’Autorité des marchés financiers est l’organisme de réglementation et d’encadrement du secteur financier du Québec.