Standing Committee on Public Safety and National Security
(1330)
[English]
The Chair (Hon. John McKay (Scarborough—Guildwood, Lib.)):
Folks, we're trying to get back on our timeline here. We are waiting for our other witness, but in the meantime, we will proceed with RCMP captain Mark Flynn.
You will make your presentation, and if the folks from the Communications Security Establishment come, we'll make arrangements for them to speak as well.
The meeting is now public, by the way.
For those who are presenters, the real issue here is that the members wish to ask questions. Therefore, shorter presentations are preferable to longer ones.
With that, Superintendent Flynn, I'll ask you to make your presentation.
Chief Superintendent Mark Flynn (Director General, Financial Crime and Cybercrime, Federal Policing Criminal Operations, Royal Canadian Mounted Police):
You'll be happy to hear, as I understand the committee was informed, that I won't be making any opening remarks. I am present here today simply to address any questions you may have. As this, on its surface, does relate to an ongoing criminal investigative matter, it would be inappropriate for me to provide details of an investigation, particularly an investigation that is not being undertaken by the RCMP.
I welcome all questions. I am here to provide whatever assistance I can.
The Chair:
Mr. Graham.
Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):
It's a little harder to ask questions without an opening to work off.
The first question I have is this. If somebody calls the RCMP with a suspicion of data theft complaint, how does the RCMP treat that from the get-go?
C/Supt Mark Flynn:
That will depend on the jurisdiction where it occurs. In the jurisdiction where we are, the police have jurisdiction, so they have the provincial and municipal responsibility. It would be forwarded to our intake process there, whether it be our telecoms office, the front desk of a detachment or a particular investigative unit that's identified for that.
In cases where we are not the police of jurisdiction, like in Ontario and Quebec where we are the federal police, we will become aware of these instances through our collaboration with our provincial and municipal partners. We will look at the information and determine whether or not there are any connections to other investigations that we have ongoing, and offer our assistance to the police of jurisdiction should they require it, although on many occasions this type of incident is very well handled. We have very competent provincial and municipal police forces that are able to handle these on their own.
Mr. David de Burgh Graham:
At what point does something become federal? If something is provincial jurisdiction but affects multiple provinces, does each province have to deal with it separately or is the RCMP able to step in at that point?
C/Supt Mark Flynn:
The RCMP doesn't automatically step in solely because it crosses multiple provinces. As occurs with traditional crimes, whether a theft ring on a border between two provinces, or homicides, the police forces in those jurisdictions are used to collaborating and do so very well.
When there's an incident that occurs from a cyber perspective, if it's going to have an impact on a Government of Canada system, a critical infrastructure operator or there are national security considerations to it, or if it's connected to a transnational, serious and organized crime group that already falls within the priority areas we're investigating, then that matter will be something we will step into.
From a cyber perspective, we have ongoing relationships and regular communication with most of the provinces and municipalities that have cyber capabilities within their investigative areas. We know that many of these incidents occur in multiple jurisdictions, whether they be domestic or international, so coordination and collaboration are really important.
That's why the national cybercrime coordination unit is being stood up as a national police service to aid in that collaboration, but prior to that being implemented, one of the responsibilities of my team in our headquarters unit is to have regular engagement, whether regular telephone conference calls or formal meetings where we discuss things that are happening in multiple jurisdictions to ensure that collaboration and deconfliction occurs, or on an ad hoc basis. When a significant incident occurs, our staff in the multiple police forces will be on the phone speaking to each other and identifying and ensuring that an appropriate and non-duplicating response is provided.
Mr. David de Burgh Graham:
In the case of the incident we're here to discuss, which is obviously a major incident, is the RCMP being kept apprised of what's happening, even if it's not their investigation?
C/Supt Mark Flynn:
I'd like to stay away from discussing this particular investigation, but I can tell you that investigations of this nature absolutely will lead to discussions occurring. That happens as a consequence of the fact that we do have those regular meetings, whether it be in cyber or other types of crime that are going on in different jurisdictions. These, obviously, on a scale of this nature, would lead to discussions.
I am not involved involved in any of those discussions at this time. It is not something I have knowledge about.
Mr. David de Burgh Graham:
Understood.
Okay.
The Chair:
Mr. Drouin, welcome to the committee.
Mr. Francis Drouin (Glengarry—Prescott—Russell, Lib.):
Thank you, Mr. Chair.
Mr. Flynn, thank you for being here. I know that you will not comment on the ongoing investigation, but as a member of Parliament who represents a lot of members who have been impacted—I have been impacted as well—I am looking more at the potential impacts of fraud.
I know that many Canadians get fraudulent calls from CRA. I myself called back somebody who pretended they were you guys. They wanted to collect some money for a particular person. They were demanding. They were really adamant. They gave a callback number, and I provided that callback number to the police. Is that something you would advise Canadians to do where obviously the RCMP, or your local police force, is the first point of contact?
(1335)
C/Supt Mark Flynn:
Absolutely. We actually have a program at the Canadian Anti-Fraud Centre and a close relationship with telecommunications service providers, who have been very helpful in addressing some of the challenges we've had around telemarketing and the mass fraud committed over the telephone. As we learn about numbers that are utilized for fraud, we are validating that, and the telecoms industry is blocking those numbers to reduce the victimization. We have adapted some of our practices to ensure that this occurs at a much more timely rate than it has historically.
Mr. Francis Drouin:
Just from your experience, and learning from cases of fraud, we know that some of them may have my social insurance number. They may have my email address, as well as my civic address. It could be a very convincing case for them to pretend that they're either a government official or from some type of financial institution. What would you advise Canadians on the best way to protect themselves?
C/Supt Mark Flynn:
With any mass fraud campaign, whether it be tied to an instance like this or just in general, people need to have a strong sense of skepticism and take action to protect themselves. There are many resources under the Government of Canada, with such organizations as the Canadian Anti-Fraud Centre and Get Cyber Safe, that provide a list of advice for Canadians. It simply comes down to protecting your information and having a good sense of doubt when somebody is calling you. If it's a bank calling, call your local branch and use your local number. Don't respond to the number they provide and don't immediately call back the number they provide. Go with your trusted sources to validate any questions that are coming in.
I have experienced calls similar to yours. I had a very convincing call from my own bank. I contacted my bank and they gave me the advice that it was not legitimate. It was interesting, because in the end it turned out to be legitimate, but we all felt very safe in the fact that the appropriate steps were taken. I would rather risk not getting a service than compromising my identity or my financial information.
Mr. Francis Drouin:
Okay. Great.
Thank you.
The Chair:
Mr. Paul-Hus, you have seven minutes.
[Translation]
Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC):
Thank you, Mr. Chair.
Thank you, Mr. Flynn. I'll come back to you in a few moments.
The leader of the Conservative Party of Canada, Andrew Scheer, asked me to contact my fellow committee members to convene this meeting. He sent an open letter to the media on July 12, and I'd like to paraphrase a few paragraphs.
Like the vast majority of Quebecers and all Canadians, I am worried about the the security of our information technology systems, identity theft and privacy protection.
This is a very serious situation, and I understand the fear and anxiety of the victims, whose personal information, including their social insurance number, was stolen. They are worried about how this will affect them in the future. They will have to spend considerable time and energy dealing with this.
It is reassuring to see that the leadership at Desjardins Group is taking the matter seriously and working hard to protect and reassure members. The federal government, too, has a responsibility and duty to support all victims of identity theft by learning from the past and strengthening cybersecurity in partnership with all stakeholders across the industry.…
I want the victims of this data breach, as well as all Canadians, to know that we stand with them and that a future Conservative government would be committed to tackling the privacy challenges confronting Canadians.
[English]
The Chair:
Well, we thank Mr. Scheer for that wonderful message.
[Translation]
Mr. Pierre Paul-Hus:
We want to be very clear about what an important and serious issue this is—so important, in fact, that we felt it was necessary for the committee to meet on this sunny July 15.
Mr. Flynn, you answered the questions of my Liberal colleagues, but I find the RCMP's response to the situation rather weak. Allow me to explain. Some 2.9 million Desjardins account holders are very worried right now. About 2.5 million are Quebecers, and 300,000 are in Ontario and other parts of the country. For the past three weeks, constituents have been contacting our offices non-stop, and the government has yet to respond. The reason for today's emergency meeting is to figure out what the federal government can do to help affected Canadians.
You said the RCMP isn't really involved, but can't it do something given that it has its own cybersecurity unit, works with organizations like Interpol and has access to other resources? I don't want to interfere in a police investigation, but we heard that people's personal information was being sold abroad. Isn't there technology or techniques the RCMP can use to detect potential fraud?
(1340)
[English]
C/Supt Mark Flynn:
The RCMP's role, as I explained earlier, in many of these situations is to work with our provincial and municipal partners. It's important to recognize that our provincial and municipal partners are very skilled at responding to many of these incidents. It's not always the case that the RCMP has additional powers, authorities or capabilities to the ones they have when dealing with an incident that is singular in nature, where an individual is involved in a single event, as opposed to a broader one.
However, there's always a standing offer from the RCMP to our provincial and municipal partners, that should they require technical assistance, advice or guidance, we are available to them for that. It would be inappropriate for the RCMP to inject itself into the jurisdiction of another police force to run the investigation they are operating.
[Translation]
Mr. Pierre Paul-Hus:
I understand what you're saying about the investigation probably being conducted by the Sûreté du Québec, but what the Conservatives and NDP want to know is this. What can the RCMP do about the personal information of 2.9 million people that was handed over to criminals? I don't want to discuss the investigation; I want to know whether you have resources. If you don't, we want to know. That's why we are here today. If personal data was sold on the international market, neither the Quebec provincial police nor Laval police is going to deal with it. I think it falls under RCMP jurisdiction.
[English]
C/Supt Mark Flynn:
Again, outside the scope of this particular investigation, cybercriminals do commit the majority of their crimes to gain access to personal or financial information for the purposes of gaining access to financial institutions and the money that's housed in those locations. The RCMP work continuously with the international community to identify and pursue the individuals who are committing a great number of these crimes.
The RCMP are working closely right now with those international partners, as well as many of the large financial institutions in Canada and the Canadian Bankers Association, to ensure that we are targeting the individuals who are causing the most significant harm. Our federal policing prevention and engagement team has hosted sessions with both the financial institutions and the cybersecurity industry. We have a new advisory group that's helping us target those individuals.
As far as knowledge goes, it's only in the hands of those cybersecurity and financial institutions. We're trying to ensure that as we are putting the resources we have into investigations, we are targeting those individuals who are causing the most harm.
We do that, as well, internationally. As incidents occur, we speak to our international law enforcement partners. We identify the behaviours we have in our cases or in our Canadian law enforcement partners' cases, so that if there are connections or individuals who are in those other jurisdictions, we're using the mutual legal assistance treaty, and we're using police-to-police collaborative efforts that we have to ensure that, internationally, all of those efforts are put towards a problem.
Now, I want to stay away again—and I apologize for doing that—from this exact incident. I cannot express what is or is not being done in this particular incident.
[Translation]
Mr. Pierre Paul-Hus:
Since the problem came to light, has the RCMP set up a special unit to help deal with it?
[English]
C/Supt Mark Flynn:
I am unable to speak about this particular incident. It would be inappropriate for me to do so.
The Chair:
Thank you, Mr. Paul-Hus.[Translation]
Mr. Dubé, you may go ahead for seven minutes.
Mr. Matthew Dubé (Beloeil—Chambly, NDP):
Thank you, Mr. Chair.
Thank you for being here today, Mr. Flynn.
It's important that we talk about this situation because, as my colleague pointed out, people are worried. It's essential that we find out more about the federal government's capacity to take action and the means we have at our disposal, especially since the committee just wrapped up a study on cybersecurity in the financial sector before Parliament rose in June. I'll touch on some of the things the committee looked at in its study because they pertain to the matter at hand.
I'd like to follow up on some of your answers. First of all, it is rumoured that personal data was sold to criminal organizations outside Quebec and Canada. I know you can't comment on this case specifically, but at what point does the RCMP step in to assist the highly competent people at such organizations as the Sûreté du Québec when a case involves a criminal organization operating outside Canada that the RCMP is already monitoring?
(1345)
[English]
C/Supt Mark Flynn:
We have formal, regular engagement with our policing partners across the country. That occurs on a monthly basis in the cyber area, as well as biweekly in some other areas. However, when there are incidents such as this, as you described, there are immediate calls that go out to ensure that collaboration is occurring and that any of our international partners' information that's relevant could be utilized to aid in those investigations.
[Translation]
Mr. Matthew Dubé:
Thank you.
You said local police forces, the Sûreté du Québec and the Ontario Provincial Police were very competent when it came to dealing with cybersecurity issues and had significant powers. Does the RCMP have special expertise or information that could help them?
The reason I ask is that the government touted the consolidation of the cybersecurity capacity of the Communications Security Establishment, or CSE, the RCMP and all the other agencies concerned as a way to ensure information was shared and everyone was on the same page. I'll be asking Mr. Boucher, of the Canadian Centre for Cyber Security, about this as well when we hear from him.
Do you engage municipal or provincial police, as the case may be, in the same way?
[English]
C/Supt Mark Flynn:
Yes, we do. We work very closely, as I've stated, with our provincial and municipal police agencies. In fact, I take great pride in the fact that at some of those meetings that I described, where our federal policing prevention and engagement team brought together the private sector, financial institutions and cybersecurity, one of those policing partners actually stood up at the front of the room and thanked the RCMP for the collaboration they are seeing in the area of cyber, which is far better than anything they've ever seen in their career.
I take great pride in that because that has been a priority for me, my staff and our engagement folks, to ensure that we are not being competitive but are being collaborative and, in that collaboration, we are supporting each other. We are not superseding other police forces' authorities, but we're also ensuring that we can assist the others in that.
[Translation]
Mr. Matthew Dubé:
Thank you. I don't mean to cut you off, but I have a limited amount of time.
When the committee was studying cybersecurity in the financial sector, we talked about the fact that people tend to think of state actors as being the threat. I won't name them, but I'm sure everyone has an idea of the countries that could pose a threat to Canada's cybersecurity.
I realize you can't talk about it, but in this particular case, we are dealing with an individual—an individual who poses a threat because the stolen data can be sold and could end up in the hands of state actors. One of the things the committee heard was that individuals represent the greatest threat. Is that always the case? Does a lone criminal wanting to steal data pose a greater threat than certain countries we would tend to suspect?
(1350)
[English]
C/Supt Mark Flynn:
The threat comes from multiple directions, and I can't say which is greater, because, in our experience, we have seen a significant number of organized groups or individuals perpetrating the crimes across the Internet. The Internet is an enabler as much as it's a tool for us to use in leveraging and utilizing all the fantastic services that are out there.
[Translation]
Mr. Matthew Dubé:
I have to cut you off because I'm almost out of time.
Has the presence of organized groups or countries with ill intentions seeking to buy personal data created some sort of marketplace? Do individuals like the alleged perpetrator in this case have an incentive, albeit a malicious one, to steal information and sell it to interested parties? Does the existence of these groups incentivize individuals who have the expertise to do things they wouldn't normally do?
[English]
C/Supt Mark Flynn:
Yes, absolutely. We have seen a rise in what we refer to as cybercrime as a service to aid others who are less skilled at committing cyber offences, whether they are creating the malware, operating the infrastructure, or creating the processes by which somebody can monetize the information that is stolen. That is a key target area for the RCMP under our federal policing mandate, and we are targeting those key enabling services so that we can have the most significant impact on the individual crimes that are occurring, as opposed to chasing each individual crime.
[Translation]
Mr. Matthew Dubé:
Thank you again for taking the time to meet with us today.
[English]
The Chair:
Thank you, Mr. Dubé.
We have now been joined by Mr. André Boucher from the CSE, and I am going to give him an opportunity to make his statement.
I'll say to you what I said to Superintendent Flynn, that we are encouraging shorter statements rather than longer statements so that members will have more opportunity to ask questions.
Mr. Fortin, I see that you want to—
[Translation]
Mr. Rhéal Fortin (Rivière-du-Nord, BQ):
If I may, Mr. Chair, I'd like to ask the witnesses questions. I'm not sure whether the agenda allows for that, but if so, I'd like a few moments.
[English]
The Chair:
No, it's not, and I'm sorry, but you're not going to be able to speak to the witnesses.
[Translation]
Mr. Rhéal Fortin:
No?
[English]
The Chair:
No, not right now. Thank you. We're still in this hour cycle.
Mr. Boucher, as I said, shorter is better than longer. Thank you.
[Translation]
Mr. André Boucher (Assistant Deputy Minister, Operations, Canadian Centre for Cyber Security, Communications Security Establishment):
Thank you, Mr. Chair. As requested, I'll keep my presentation on the shorter side.
Mr. Chair and honourable members of the committee, my name is André Boucher, and I am the associate deputy minister of operations at the Canadian Centre for Cyber Security.
Thank you for the opportunity to appear before you this afternoon.
Let me begin with a brief overview of who we are.
The Canadian Centre for Cyber Security was launched on October 1, 2018 as part of the Communications Security Establishment. We are Canada's national authority on cybersecurity and we lead the government's response to cybersecurity events.
As Canada's national computer security incident response team, the cyber centre works in close collaboration with government departments, critical infrastructure, Canadian businesses and international partners to prepare for, respond to, mitigate and recover from cyber events. We do this by providing authoritative advice and support, and coordinating information sharing and incident response.
The cyber centre's partnerships with industry are key to this mission. Our goal is to promote the integration of cyber defence into the business model of industry partners to help strengthen Canada's overall resiliency to cyber threats. Despite these efforts and those of Canada's industry, cyber incidents do still happen.
This brings me to the topic we are here to discuss today. The cyber centre is not in a position to provide any details on this incident and does not comment on the cybersecurity practices of specific businesses or individuals. Any cyber breach, not just this specific instance, can be taken as an opportunity to revisit best practices and to refine systems, processes and safeguards.
In this case, media reporting and public statements indicate that the disclosure of personal information occurred as a result of the actions of an individual within the company—what is termed insider threat.[English]
In our recent introduction to the cyber-threat environment, the cyber centre described the insider threat as individuals working within an organization who are particularly dangerous because of their access to internal networks that are protected by security parameters. For any malicious actor, access is key. The privileged access of insiders within an organization eliminates the need to employ other remote means and makes their job of collecting valuable information that much easier. More broadly, what this incident underscores is the human element of cybersecurity. The insider threat is only one example of this.
Cybercriminals have proven especially adept at exploiting human behaviour through social engineering to deceive targets into handing over valuable information. Fundamentally, the security of our systems depends on humans—users, administrators and security teams.
What can we do in a world of increasing cyber-threats? At the enterprise level, adopting a holistic approach to security is critical. This means starting with a culture of security and putting in place the right policies, procedures and cybersecurity practices. This ensures that when something goes wrong, as it almost inevitably will, there is a plan in place to address it.
Then we need to invest in knowing and empowering our people. Training and awareness for individuals and businesses are very important. Only with awareness can we continue to develop and instill good security practices, a fundamental step in securing Canada's cybe systems.
As well, we always need to identify and protect critical assets. Know where your key data lives; protect it; monitor the protection, and be ready to respond.
At the cyber centre, we'll continue to work with industry and to publish cybersecurity advice and guidance on our website. We regularly issue alerts and advisories on potential, imminent or actual cyber-threats, vulnerabilities or incidents affecting Canada's critical infrastructure.
Under, we hope, different circumstances, we'll continue to participate in conversations like this one, which help to keep the spotlight on these issues.
Ultimately, there is no silver bullet when it comes to cybersecurity. We cannot be complacent; there is too much at stake. While long-promised advances in technology may make the task easier, the need for skilled and trustworthy individuals will remain a constant.
Thank you, and I look forward to answering your questions.
(1355)
The Chair:
Thank you, Mr. Boucher.
Next is Monsieur Picard for seven minutes.
[Translation]
Mr. Michel Picard (Montarville, Lib.):
I would like to preface my remarks by pointing out that the incident we are discussing today falls entirely within the parameters of the study we began in January on cybersecurity and financial crime.
As suggested by my fellow Liberal members, I put forward a motion that we study the issue. That shows how deeply concerned we are about cybersecurity in financial institutions. I'm delighted that Mr. Scheer commended our efforts in relation to the study. He fully supports my motion, and I'm glad that his party is joining the Liberal Party in its efforts to address the issue of cybersecurity in financial institutions, so thank you.
Mr. Flynn, I think it's important to speak to Canadians today to help people manage their expectations when something as serious as identity theft occurs.
The public wants the police to conduct a criminal investigation. Generally, people want something done about the loss of their personal information. They want their identity to be restored, without having to worry that five, 10 or 15 years down the road, they will once again be targeted. In terms of a criminal investigation, what are people's expectations?
[English]
C/Supt Mark Flynn:
From a policing perspective, I believe that the public expectation is that police are going to pursue the person and anyone associated with that person who is involved in either the theft or the monetization of information—whether through cyber-threat, cyber-compromise, insider threat, or so on—and hold them to account and bring them into the judicial process to ensure that there are consequences, and that steps are taken to prevent this type of incident from occurring.
[Translation]
Mr. Michel Picard:
It's very hard for people to understand just how difficult it is to prove that you are the person you say you are. How are people supposed to prove their identity? It's extremely challenging when three different people are out there using the same name and social insurance number.
(1400)
[English]
C/Supt Mark Flynn:
It's not an area of expertise for me, as a police officer, to confirm identity. I would go back to my earlier statement about using your local resources, whether it be financial institutions or other types of service. If you're able to use a local service to confirm it, that is your best way to deal with those companies when there are questions about your identity.
[Translation]
Mr. Michel Picard:
To a certain extent, the criminal investigation is a way to ensure justice is served, provided that it leads to the perpetrators being nabbed, the evidence being used to successfully prosecute them and their being punished, mainly sent to prison.
That said, data on the black market represent virtual assets, ones that aren't housed in a physical location. Data can be located in many places. I'm not trying to alarm people, but it's important for them to understand that, even if the perpetrators are arrested, it doesn't necessarily mean that their data are no longer vulnerable and their identity can be restored.
[English]
C/Supt Mark Flynn:
That is correct. It's important to point out that the only measure of success is not necessarily prosecution. In fact, in the cyber area many of those prosecutions will occur in other jurisdictions as we work collaboratively.
One of the approaches in the RCMP, and I know in some of our other police forces as well, is that we are bringing financial institutions and cybersecurity experts into our investigations. That is different from what we traditionally have done in our criminal investigative efforts. That has already borne fruit. It has already provided significant advantages. Those “partners”, as I refer to them, are able to see information that we as police officers might not know is important and we may not independently be able to identify that this could be used to provide protection for their customers. I know of at least one incident in a major investigation we've been undertaking where several financial institutions, through that collaboration, were able to identify and reduce potential harm to accounts that through that sharing were identified as compromised.
So I think the approach we are taking is providing benefits that are not solely measured by arrest and prosecutions.
[Translation]
Mr. Michel Picard:
Mr. Boucher, your centre provides advice to other organizations. How can a business protect itself from its own staff? What advice do you have for businesses in that regard?
As we saw this winter, there is every reason to believe that banks, financial institutions and financial service companies have the best possible technology to protect their data from outside threats. What concerns us are threats from the inside. I don't think any software out there can protect against that risk. How do you advise organizations to safeguard against the human element when it comes to fraud?
Mr. André Boucher:
Thank you for your question.
That ties in with my opening statement. A few tools are available, but what works best is going back to the basics—in other words, taking a holistic approach to security.
First, that means a well-established internal security regime for staff. It is important to understand exactly where the information that needs protecting resides, to know the individuals the organization works with and to constantly update the security regime. An individual's personal situation can easily change after they've been interviewed, so an organization should have those kinds of conversations with staff members on a regular basis. For individuals, a clear training and education program should be in place, one that includes refreshers, and the underlying processes should be clear.
IT teams have access to data loss prevention tools that can help to detect fraud. By the time fraudulent activity is detected, however, it's often too late. It is therefore important that organizations invest as early as possible in measures that build trust and confidence and that they work with reliable people.
[English]
The Chair:
Thank you, Mr. Picard.
Mr. Motz, you have five minutes.
Mr. Glen Motz (Medicine Hat—Cardston—Warner, CPC):
Thank you, Chair.
Thank you, witnesses, for being here.
Mr. Boucher, I was intrigued by your opening comments on the Canadian Centre for Cyber Security being the national authority on cybersecurity and leading the government's response to cybersecurity events:
As Canada's national...security incident response team, the Cyber Centre works in close collaboration with government departments, critical infrastructure, Canadian businesses, and international partners to prepare for, respond to, mitigate, and recover from cyber incidents.
That's fantastic. It also leads to this question by me: What standards or measures do we have in place now? We consider banking in Canada to be a critical infrastructure in this country. What standards are in place at this moment to ensure that those are met? Do we have incentives? Do we have penalties? Do we have anything in the way of ensuring that we have a uniform approach across the industry to make sure that Canadians are safe? It's Canadians we are here for and are serving in that capacity. I'm curious to know if we have a mandatory baseline that everybody needs to operate at. If we don't, how come? And how can we?
(1405)
Mr. André Boucher:
Thank you for your question. It's a vast question. I think you will have testimony this afternoon from experts from that specific sector of financial institutions.
I would say that from a cybersecurity perspective, the financial sector is quite mature, where we have both regulators in place and best practices that are part of the community. As cybersecurity-focused experts, we put a lot of effort into that collaboration in those best practices. We leave it to the regulators who are sector-specific to put in those minimum standards and guidelines that need to be in place, enforced and reviewed. We in fact appeal to the best and try to tease that up as much as possible for entire sectors, in this case the financial sector. The financial sector is one that's very mature. It's one where collaboration is established. It is where reputational risks are measured at their true value. Significant investments are made in that regard.
From a Canadian perspective, I would feel quite reassured that as a sector, there are both minimum standards and applications through the regulators that are in place and teams that are working at bringing the best out of enterprises so that they perform as well as possible.
Mr. Glen Motz:
Approximately 2.9 million entities, individuals and Canadian businesses, are impacted by this particular occurrence, but millions of others across this country have also been victims of having their identities and credit card information stolen. They may not find solace in that particular statement that we have a mature banking industry in this country, because they continue to be victimized. I'm curious to know whether we are as vigorous in that way as we could or should be in pursuing the financial security of those institutions and of the people who put their trust in them.
Mr. André Boucher:
I can assure you that we're quite vigorous in taking all the measures at our disposal, whether they be best practices in collaboration or measures that are enforced and in place.
The sad or unfortunate reality that we all have to compose with is that, as was pointed out earlier, when data gets lost and gets in the wild, we never get to recover it. It is not like a tangible asset that you can go and purge and bring home. It is a new reality for clients, it is a new reality for customers and it is a new reality for enterprises.
I would go back to the comment I made earlier that it just puts more fuel into the need to invest early, with early investments in having programs, in choosing our employees better, and in making sure we have a holistic approach to security to make sure we don't find ourselves trying to recover our losses.
Mr. Glen Motz:
Okay. Thank you.
Chief Superintendent Flynn, as we've learned from this circumstance and from others, data is the hottest commodity on the dark web. We know that. People's names, addresses, dates of birth, social insurance numbers, IP addresses, email addresses—all those sorts of things are commodities that are traded at will on the web. I guess a couple of things come to mind for me. Can you help the Canadian public understand, number one, how that information is used by the criminal element, and number two, how they can then be vigilant? You answered Mr. Drouin partially with a response, but as the law enforcement agency in this country, what red flags or alarms could you make the Canadian public aware of that they need to be vigilant about if they've been compromised, and even before they become compromised?
The Chair:
Mr. Motz asks an important question. Unfortunately, he's left you no time to answer it. I would invite you to work an answer into a response to another member. We have three hours' worth of hearings here, and if I don't keep this on track, we'll get lost.
Ms. Dabrusin, you have five minutes, please.
(1410)
[Translation]
Ms. Julie Dabrusin (Toronto—Danforth, Lib.):
Thank you.
When we did our study on financial institutions and cybersecurity, we heard that banks had extensive security measures in place—something people may be questioning now. We also heard people being talked about as though they were cardboard boxes.
What can people do to better protect themselves? Can you give us any helpful information or details? Is there a place where members of the public can turn for information on how to better protect themselves—a website or a telephone line, perhaps? Is there anything you can tell us, Mr. Boucher?
Mr. André Boucher:
Thank you for your question.
We have an extensive program. On our website, cyber.gc.ca, people can find information on how to protect themselves. Of course, people have to be aware when they are online. That is the most basic rule of cybersecurity. People have to know not only how to use the Internet, but also what they are sharing with others online. We are constantly running campaigns to educate people on using their devices securely and being smart about who they choose to share confidential information with.
Having the best protection and keeping it up to date is the first step, but making smart choices is another. People should visit only the sites of companies they consider to be reliable and reputable. Once they've done those two things, people need to choose what information they agree to share with the company. It's a three-step approach, and it is all available in the information and guidance we provide to people.
Ms. Julie Dabrusin:
I see.
I also saw a lot of information about passwords. For instance, it mentioned people who use the same password for all of their online accounts.
Can you share some things people can do to protect themselves when it comes to their passwords? That's an important element.
Mr. André Boucher:
Yes. I always look for opportunities to promote our website, so on our website, we talk specifically about how long and complex passwords should be. We also provide some tips. I encourage people to explore our website for themselves. It is often said that people should change their passwords regularly, but the problem with that is having to memorize a bunch of ever-changing passwords. The guideline has evolved over time. Nowadays, it is recommended that people choose at least one strong password, using certain parameters, which are available online, based on password length and/or complexity, depending on the available options. If it's possible to have a password containing up to 15 characters, people should try to choose a password that uses all 15 characters. If the password can have only eight characters, that's pretty bad, but people should at least choose a more complex password.
Constantly changing one's passwords is of minimal benefit if it means people have to write them down somewhere or use the same one for many different sites. What we want people to do is be diligent about choosing their passwords: choose something that is unique and as strong as the provider's parameters allow. People can use the same password, but if a data breach occurs, they have to act fast, changing their password and taking additional security measures. It's important to do a combination of things.
Ms. Julie Dabrusin:
The other problem is that once people have a password that works well, they use it for all their online accounts. Some sites tell users that their passwords have to be longer, more complex or what have you, but they never remind people not to use the same password all the time or to use a different password than they do for other accounts. Would you mind talking about that as well?
Mr. André Boucher:
Now you're asking me to be very pragmatic.
Ms. Julie Dabrusin: Yes, but this is pragmatic stuff.
Mr. André Boucher: What I would advise people, other than being very pragmatic, is to base their passwords on their level of uncertainty when it comes to the various online services they are using. For instance, for online banking, people should use a number of distinct passwords that are as complex as possible. However, for their online account with their local curling club, say, people may wish to be a little less rigorous and use the same password a few times, even though that isn't what I would recommend.
Ms. Julie Dabrusin:
What can banks do to better educate the people using their services?
Mr. André Boucher:
I believe most, if not all, banks require a minimum level of sophistication when it comes to the passwords they accept. They already have a certain standard in place to protect themselves from clients who are less diligent than they should be in selecting a password.
[English]
The Chair:
Thank you, Ms. Dabrusin.
Mr. Clarke, welcome to the committee. You have five minutes, please.
[Translation]
Mr. Alupa Clarke (Beauport—Limoilou, CPC):
Thank you, Mr. Chair. I'm very pleased to be here today.
Thank you, gentlemen, for being here and giving up your time to reassure Canadians and answer our questions.
One of the cornerstones of the social contract that exists across this land is the protection of citizens, not just the protection they offer one another, but also the protection provided to them by the government. For the past three weeks, constituents in all of our ridings have been profoundly concerned. Two days after the data breach was made public, people started coming to my office. When I would knock on people's doors, that's all they would talk about. That tells me people are genuinely concerned and feel that the government has done nothing in response.
The question my constituents want you to answer, Mr. Boucher, is very simple. Can the Canadian Centre for Cyber Security indeed ensure the 2.9 million Canadians affected by this data breach are properly protected, yes or no?
Does your centre have the tools to respond to the situation and ensure the victims of identity theft are protected?
(1415)
Mr. André Boucher:
It's fair to say that the Canadian Centre for Cyber Security has the resources to deal with all aspects of cybersecurity. The case we are talking about today involves an insider threat and stolen information. Strictly speaking, it's not a cybersecurity issue.
Mr. Alupa Clarke:
I'm not talking about what's already happened. I'm talking about what's going to happen next. That's what worries people. I want to know whether the Canadian Centre for Cyber Security has the capacity to deal with international or national fraudsters who send text messages or whatever it may be.
Does your centre have the capacity to deal with that?
Mr. André Boucher:
I'm not trying to evade the question, but the issue actually comes down to legislation or fraud. It's not a cybersecurity problem. That's not to say, however, that, if we see something happening, we aren't going to respond.
The first thing we do every day is talk to our partners, including the RCMP, to share what we know and update them on anything new. We make sure that whoever is responsible for the matter does something with the information we provide. The national team is the best there is and won't let anything fall by the wayside. The members of the team endeavour to fix any problems and do everything they can to keep Canadians' information safe.
Mr. Alupa Clarke:
I'm going to take advantage of your cybersecurity expertise.
Is Canada's current social insurance number regime appropriate in a modern age dominated by the Internet? We are at the point now where people shop on their cell phones and pay for their purchases at the cash in mere seconds. Is our system of social insurance numbers adequate in the world we live in?
Mr. André Boucher:
Thank you for your question. You don't ask easy ones, Mr. Clarke.
I'm not an expert in social insurance numbers or their use, but I can talk about identifiers. No matter what identifiers are used, whether they involve complex or simple cryptology, information management is always an issue and the potential for data theft always exists. It's a very complex issue, and I'm going to let the experts in social insurance numbers speak to your specific question.
The bigger problem, as I see it, is how identifiers are managed. They are key pieces of information, and learning how to manage them properly in the large security systems I was talking about earlier is crucial.
Mr. Alupa Clarke:
Superintendent, my next question is along the same lines as that of my fellow member, Mr. Motz.
Whether they've approached me on the street, come to my office or answered the door when I was canvassing, everyone has asked me the same question. They want to know what crimes these fraudsters are going to commit down the road. They want to know what to expect. What crimes will the 2.9 million victims of this massive data breach be the target of in the future?
In addition, how long will it be before those crimes are committed? The media are reporting all kinds of things. We are hearing that it will take five or 10 years before the fraudsters do anything—that they'll wait until the dust has settled.
[English]
The Chair:
Again, that's an important question. You have about 15 seconds to respond to it.
C/Supt Mark Flynn:
The reality is that whenever personal information, passwords, etc., are released on the Internet, they are there forever. People need to be cautious and vigilant about that, and use the services that are available, like credit monitoring, etc., to ensure that triggers are put in place to notify them when someone's trying to use that information, to help prevent an actual fraud from occurring.
I'm trying to respect the timeline.
(1420)
The Chair:
Thank you, Mr. Clarke.
Mr. Graham, you have five minutes.
[Translation]
Mr. David de Burgh Graham:
About 15 years ago, I was in an IRC channel—I'm not sure whether you're familiar with that forum—and someone was selling credit card numbers, along with the three-digit code on the back and the billing address. Everything was ready to go. The person was offering to sell them to people. I felt that was wrong and I wanted to call the police or some other authority, but no one replied or knew what to do.
If someone saw something similar happening on the Internet today, is there someplace they could call to report it?
[English]
C/Supt Mark Flynn:
The RCMP operates the Canadian Anti-Fraud Centre in partnership with the Ontario Provincial Police and the Competition Bureau. That is one of your best places to go to report fraudulent activity, whether it be the telephone numbers that people are calling from, or an individual identity theft or fraud that occurred. They collate that information. They share that information. Police investigations are launched based on the collation of that. That would be the first place you should call, as well as your local police force.
Local police forces—whether they be the RCMP or, in Ontario and Quebec, another police force—need to hear about the crimes that are occurring. There are connections between organized crime involved in fraud and other criminal activities.
[Translation]
Mr. David de Burgh Graham:
What powers does the Canadian Centre for Cyber Security have? What can the centre do?
Mr. André Boucher:
Do you mean generally or in this specific case?
Mr. David de Burgh Graham:
I mean generally. At the centre, do you accept comments from people on the outside, or do you work only with businesses? Explain how it works, if you don't mind.
Mr. André Boucher:
As I explained earlier, the Canadian Centre for Cyber Security is responsible for providing advice. It prepares and protects information of national interest. It is responsible for incident management and response, including mitigation strategies. Every step is undertaken in coordination with the centre's partners, as per its mandate. When a fraud-related issue arises, the national team is called in. It is made up of centres that have already been appointed. We make sure all stakeholders have access to the available information so we can move forward. Work on the case continues, and if more information becomes available, it is shared with the person responsible.
Here's where the value of this business model lies. If something changes while the case is under way—for instance, if it ceases to be an investigation—the Canadian Centre for Cyber Security takes over until the victim receives or, rather, until the case is closed.
Mr. David de Burgh Graham:
Earlier, we were talking about passwords. Nowadays, we see two-factor authentication being used a lot more for bank accounts. Could the same thing be done for social insurance numbers?
Mr. André Boucher:
I'm going to say the same thing I did earlier. I'm not an expert in social insurance numbers, but we strongly advise people to use two factors whenever possible. It's not perfect, but it improves the security of their information.
Mr. Michel Picard:
I'd like to revisit the issue of a unique identifier.
Other models exist. On other committees, we've talked about the popular Estonian model, I believe. It's a system that's in line with our discussions on open banking. All the information is centralized and people can access it using a unique identification number.
At the end of the day, no matter what you call it, a social insurance number is a unique identification number, so it's important to understand the system's limitations. It's all well and good to have the ultimate ultra-modern system, but if a single unique identifier is assigned to an individual, the information will always be vulnerable if someone gets a hold of it.
Mr. André Boucher:
Absolutely. I can't name them today, but a number of countries around the world have endeavoured to adopt a system that relies on a national unique identification number. Some have been successful, and others, less so. As you said, the number becomes an essential piece of information and the slightest vulnerability puts the data at risk.
Mr. Michel Picard:
Does your centre manage its employees' personal information itself?
Mr. André Boucher:
Yes, absolutely, using all the measures I mentioned earlier.
Mr. Michel Picard:
How do you protect against an employee who wakes up in a foul mood one day and decides to help the other side?
Mr. André Boucher:
We have an extensive security program in place from the get-go, starting with the selection of personnel. Of course, a culture of security prevails throughout the organization, one that encompasses personnel security, physical security and computer system security.
The processes are in place. The system is evergreen, meaning that it's constantly updated. We don't rest on our laurels, so to speak. We review the system on a regular basis. It's an extensive and complex process, but the investment is worth it.
(1425)
Mr. Michel Picard:
Is your approach used elsewhere in the market? Has another organization established a culture of security similar to yours?
Mr. André Boucher:
Our approach is modern, but we don't have a monopoly on security programs. Documentation is available. Public Safety Canada put out a publication on developing appropriate security programs. It's an excellent reference that refers to the same models we use.
Mr. Michel Picard:
Thank you, Mr. Boucher.
[English]
The Chair:
Thank you, Mr. Picard.
Mr. Dubé, you have three minutes.
Mr. Fortin, we'll have a few minutes left. Do you wish to ask a couple of minutes of questions?
Mr. Rhéal Fortin:
Yes, please.
The Chair:
Go ahead, Mr. Dubé.
[Translation]
Mr. Matthew Dubé:
Thank you, Mr. Chair.
Mr. Boucher, I didn't get a chance to ask you questions earlier.
My first question is about something your colleague Scott Jones said when he appeared before the committee as part of the other study we've been referring to a lot today. He said it was important that institutions and businesses report data breaches and thefts that affect them.
In its recommendation, the committee remained rather vague. Should it be mandatory to report such breaches to police in order to minimize the impact on the public and catch those responsible?
That brings me to two other questions. They're for you, Mr. Flynn.
Since the information remains online forever, should police treat these threats in the same way they do physical ones? If a murderer or someone else poses a physical threat, I imagine police investigations are conducted with a certain level of urgency. Should the same apply to cyberthreats? Desjardins contacted Quebec provincial police in December, if I'm not mistaken.
My last question is about background checks and ongoing security checks. Given how savvy individuals are these days, should these checks become the norm?
You can have the rest of my time to answer.
Mr. André Boucher:
Regarding your question about reporting incidents, I would just point out that we recommend organizations invest before an incident occurs. The organization has to have a security program in place, one that can detect threats and so forth. We always recommend that people report incidents and share them with their community because there are usually commonalities that everyone can learn from.
As the country's cybersecurity centre, we work to gather that information across all communities and to find commonalities in order to issue advice and guidance that could lead to enhanced security nationally. Yes, incidents should definitely be reported.
[English]
C/Supt Mark Flynn:
With respect to the physical versus the cyber harm, I agree with you. It's a very difficult thing to understand. We struggle in policing to determine where we are going to apply our resources, because we always look at where we're going to be able to have the most significant impact in reducing harm.
If you look at fraud, fraud is a very large and significant threat in Canada and globally. It is difficult to measure $400,000 worth of fraud or $2 million worth of fraud against a physical threat or a homicide, or an assault against an individual. We struggle with that, but I can tell you that we're aware of it and are examining how we measure that risk and how we prioritize.
[Translation]
Mr. Matthew Dubé:
Wouldn't it be appropriate to acknowledge that this kind of incident has a lifelong impact on a person and to respond with that in mind?
[English]
C/Supt Mark Flynn:
Yes, it's absolutely a consideration.
The Chair:
Thank you, Mr. Dubé.[Translation]
Mr. Fortin, you have two minutes. Go ahead.
Mr. Rhéal Fortin:
I have a quick question for Mr. Flynn. I say quick, because I have just two minutes and I also have a question for Mr. Boucher.
Two years ago, 19 million Canadians were the victims of fraud as a result of a data breach at Equifax. Similar data were stolen in that case. Last year, some 90,000 CIBC and BMO customers were targeted. This year, it's Desjardins members.
Can you tell us whether, further to these events, crime involving the use of the stolen data has increased?
[English]
C/Supt Mark Flynn:
The specific data from those compromises...?
[Translation]
Mr. Rhéal Fortin:
Yes, but I'm talking about this type of crime.
(1430)
[English]
C/Supt Mark Flynn:
We are seeing fraudsters utilizing information that is compromised in operations. The RCMP had a successful investigation into Leakedsource.com, which was reselling some of the information from the large compromises that were made public. There was a guilty plea in that case.
It is not an unusual circumstance that somebody is reselling that. We are seeing that occur.
[Translation]
Mr. Rhéal Fortin:
All right, but has there been an increase in crime involving data stolen as a result of these breaches? Has the crime rate gone up?
[English]
C/Supt Mark Flynn:
I haven't taken note specifically of the rate of crime, but it is certainly a type of crime that we are seeing.
[Translation]
Mr. Rhéal Fortin:
I see.
My second question is for Mr. Boucher.
Mr. Boucher, in your brief, you give three recommendations to deal with increasing cyberthreats. The second is to invest in training and awareness so that people have the tools to respond. Has the federal government earmarked funding to work with the Quebec government to improve the security of Quebecers' information?
Mr. André Boucher:
I can speak for my organization. We have a national responsibility, and that includes working with our Quebec partners. We invest in education and training, and we also make our services available to Quebec businesses.
Mr. Rhéal Fortin:
Sorry, I don't mean to rush you, but as you know, two minutes isn't much time.
Are any investments planned, and if so, how much? Has the federal government made so many millions available to work with Quebec on a training program or other cybercrime initiative, for example?
Mr. André Boucher:
I don't have that information with me today.
Mr. Rhéal Fortin:
I see.
Thank you.
[English]
The Chair:
Unfortunately, you're not going to be able to answer that question.
Before I suspend I just want to go to point three of your presentation, Mr. Boucher, where it says, “Identify and protect critical assets. Know where your key data lives. Protect it and monitor the protection. Be ready to respond”. In other words, zero trust, which is what we've heard for the last six months.
Is that the standard by which any financial institution, let alone Desjardins, should be held?
Mr. André Boucher:
I think every large enterprise has to measure its own key assets and the value of those assets and make a risk-based decision on how much they're going to invest to protect those assets. Starting from a position of zero trust is the reality of the complex environment we live in today. Don't assume your system is going to work on its own. It takes a holistic investment in a security program—in the right people, the right processes and the right technology. The sum of these things will....
The Chair:
That's a consensus standard among the cyber community, if your will, your point number three—zero trust.
Mr. André Boucher:
It is a consensus that you have to invest in all of these aspects.
The Chair:
Thank you, Mr. Boucher.
With that, we're going to suspend.
We are scheduled to hear government officials and are actually making some decent progress here. I am assuming, and I don't know quite correctly whether, if I suspend for two or three minutes, we can re-empanel with the government witnesses and keep on moving. Is that agreeable to colleagues?
Okay. With that, we will suspend and re-empanel with the government witnesses. Thank you. (1430)
(1435)
The Chair:
We are back on. I want to thank the officials for their flexibility and ask them to indulge the committee with further potential flexibility as we are awaiting the arrival of representatives of Desjardins.
I'm going to ask the various representatives of Canada Revenue, the Department of Finance, the Department of Employment and Social Development, and the Office of the Superintendent of Financial Institutions for brief statements. If, in fact, the representatives of Desjardins are under some time constraints and do arrive, at the end of those statements, I'm going to suspend for a moment, ask you folks to take your seats in the back of the room, and deal with Desjardins for a period of time. After that I'll ask you to come back, and the members will have questions, if that's an acceptable way. Even if it's not an acceptable way to proceed, that's how we're going to proceed, so with that, I'll simply go in this order of Revenue Canada or Department of Finance, whoever wants to make their statement first.
Ms. Annette Ryan (Associate Assistant Deputy Minister, Financial Sector Policy Branch, Department of Finance):
Thank you, Mr. Chair. I will go first, if that's all right.[Translation]
My name is Annette Ryan. I am the associate assistant deputy minister of the financial sector policy branch within the Department of Finance. I am joined by Robert Sample, director general of the financial stability and capital markets division, as well as Judy Cameron, managing director of the Office of the Superintendent of Financial Institutions Canada, and her colleague. We are pleased to appear before you today. (1440)
[English]
My remarks today will address two areas that, I believe, are pertinent to the issues before you. Specifically I will clarify the roles of government departments and agencies and private sector actors within the federal financial sector framework and update the committee on efforts being undertaken by the Department of Finance, federal regulatory agencies and banks in support of cybersecurity and data protection.
Protecting the privacy and security of Canadians' personal and financial data is an objective shared by both levels of government and the private sector, and it is one that's crucial for maintaining continued trust in Canada's banking system.
I'll address the roles within the federal government and then discuss provincial government and private sector roles.
The Department of Finance along with federal financial sector oversight agencies has responsibility for the laws and regulations that govern Canada's federally regulated banking system. We collectively set expectations and oversee implementation to ensure that operational risks related to cybersecurity and privacy are properly managed by the financial institutions that we regulate.
The Minister of Finance has overarching responsibility for the stability and integrity of Canada's financial system. Cybersecurity is a primary aspect of financial cyber-stability as it ensures the sector remains resilient in the face of cyber-threats and attacks
In turn, Public Safety has recognized the financial services industry as being a critically important sector within its wider national critical infrastructure strategy.
The Department of Finance works closely with a range of partners responsible for financial regulation and cybersecurity both domestically and internationally to ensure that the sector is adopting appropriate cyber-resiliency and data protection practices and that the specific needs of the financial sector are considered within economy-wide policies and statutes that relate to cybersecurity and data security.
I'll describe the general responsibilities among financial regulators. The Office of the Superintendent of Financial Institutions is the prudential regulator of federally regulated financial institutions, including banks. OSFI develops standards and rules for managing cyber-risks as is consistent with its wider oversight of operational risks that institutions must manage.
The Bank of Canada monitors financial market infrastructures, such as payment systems, to enhance resilience to cyber-threats, and the bank coordinates sector-wide responses to systemic-level operational incidents.
Other federal agencies have responsibilities for laws of general application in respect of privacy. The Office of the Privacy Commissioner of Canada oversees the banks' compliance with Canada's private sector privacy legislation, the Personal Information Protection and Electronic Documents Act, known as PIPEDA. PIPEDA sets out requirements that businesses must follow when collecting, using or disclosing personal data in the course of commercial activities. These include putting in place appropriate security safeguards to protect personal data against loss, theft or unauthorized disclosure.
The Department of Innovation, Science and Economic Development has overall policy responsibility for PIPEDA. In November of 2018 the Government of Canada implemented amendments to PIPEDA related to data breach reporting requirements and associated monetary penalties for failing to report.
As you've just heard, other federal departments and agencies, including Public Safety, the Canadian Centre for Cyber Security and the RCMP, share responsibilities with respect to broader Government of Canada cybersecurity initiatives. [Translation]
It is important to note that supervisory responsibility for the financial sector in Canada is divided between federal and provincial governments. Provinces are responsible for the supervision of securities dealers, mutual fund and investment advisers, provincial credit unions and provincially incorporated trust, loan and insurance companies.
Accordingly, federal and provincial financial sector authorities have protocols in place for information sharing, particularly where matters of financial stability are concerned. Financial institutions, themselves, of course, are most immediately responsible for maintaining cyber and data security on a day-to-day basis, directly managing operational risks through an extensive series of protective and preventative measures, both individually and through industry-level co-operation.
These are supported by policies and standards that are continually updated to address the evolving threat landscape and remain in line with industry best practices. (1445)
[English]
Cyber-attacks are a serious and ongoing threat. I will focus on some of the steps being taken by the Government of Canada, the financial sector, regulatory agencies and the banks to ensure cybersecurity in the financial sector.
In budget 2018, the federal government invested over half a billion dollars in cybersecurity, and in October of 2018, it established the Canadian Centre for Cyber Security, which serves as a single window of technical expertise and advice to Canadians, governments and businesses. The centre defends against cyber-threat actors that target Canadian businesses, including federally or provincially regulated financial institutions, for their customer data, financial information and payment systems. Efforts to address cybercrime have been further bolstered by the newly created national cybercrime coordination unit within the RCMP, which provides a national cybercrime reporting mechanism for Canadians, including incidents related to data breaches or financial fraud.
More recently, in budget 2019, the government proposed legislation and funding to protect critical cyber systems in the Canadian financial, telecommunications, energy and transport sectors.[Translation]
Our colleagues at the Treasury Board Secretariat continue their work with provincial governments, financial institutions and federal partners toward a pan-Canadian trust framework for digital identity with the goal of strengthening digital ID protection in the context of cyberthreats.[English]
On the regulatory side, earlier this year OSFI published new expectations on technology and cybersecurity breach reporting via the technology and cybersecurity incident reporting advisory. This is intended to help OSFI identify areas where banks can take steps to proactively prevent cyber incidents, or in cases where incidents have occurred, to improve their cyber-resiliency.
While the first objective is to prevent data breaches, the reality is that these events happen and are not localized to the financial sector. Having said this, when cyber events occur at a federally regulated financial institution, control and oversight mechanisms are in place to manage them.
To summarize, cybersecurity is an area of critical importance for the Department of Finance. We are actively working with partners across government and in the private sector to ensure that Canadians are well-protected from cyber incidents and that when incidents do occur, they're managed in a way that mitigates the impact on consumers and the financial sector as a whole.
Thank you for your time. I'm happy to take questions.
[Translation]
The Vice-Chair (Mr. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, CPC)):
Thank you, Ms. Ryan.
We now move on to Ms. Boisjoly.
Ms. Elise Boisjoly (Assistant Deputy Minister, Integrity Services Branch, Department of Employment and Social Development):
Thank you very much, Mr. Chair.
My name is Elise Boisjoly, and I am the assistant deputy minister of the integrity services branch at Employment and Social Development Canada. I am joined by Anik Dupont, who is responsible for the social insurance number program.
Thank you for the opportunity to join you today. My remarks will focus on the social insurance number, or SIN, program. Specifically, I will clarify what the social insurance number is and provide information on its issuance and use; inform the committee on privacy protection related to the SIN; and provide information on our approach in the case of data breach.
What is the SIN? The SIN is a file identifier used by the Government of Canada to coordinate the administration of federal benefits and services and the revenue system. The SIN is required for every person working in insurable or pensionable employment in Canada and to file income tax returns.
It is issued prior to your first job, when you first arrive in Canada or even at birth. During the last fiscal year, over 1.6 million SINs were issued.
The SIN is used, among other things, to deliver over $120 billion in benefits and collect over $300 billion in taxes. It facilitates information sharing to enable the provision of benefits and services to Canadians throughout their life such as child care benefits, student loans, employment insurance, pensions and even death benefits. As such, the SIN is assigned to an individual for life.
The SIN is not a national identifier and cannot be used to obtain identification. In fact, it is not even used by all programs and services within the federal government; only a certain number use it. The SIN alone is never sufficient to access a government program or benefit or to obtain credit or services in the private sector. Additional information is always required. (1450)
[English]
While data breaches are becoming increasingly commonplace, the Government of Canada follows strong and established procedures to protect the personal information of individuals. My colleague mentioned the Privacy Act and the Personal Information Protection and Electronic Documents Act, which is being administered by Innovation, Science and Economic Development Canada. They provide the legal framework for the collection, retention, use, disclosure and disposition of personal information in the administration of programs by government institutions and the private sector, respectively.
As my colleague mentioned, on November 1, 2018, a new amendment to the Personal Information Protection and Electronic Documents Act came into force, which requires organizations that experience a data breach and that have reason to believe there's a real risk of significant harm to notify the Office of the Privacy Commissioner, the affected individuals and associated organizations as soon as it's feasible. Violating this provision may result in a fine of up to $100,000 per offence.
At Employment and Social Development Canada, we have internal monitoring strategies, privacy policies, directives and information tools for privacy management, as well as a departmental code of conduct and mandatory training for employees on protecting personal information. We believe that any security breach affecting social insurance numbers is very serious and, in fact, we ourselves are not immune to such a situation. For example, in 2012, the personal information of Canada student loan borrowers was potentially compromised. The breach was a catalyst for further improvements to information management practices within the department.
Preventing social insurance number fraud starts with education and awareness. This is why our website and communication materials include information that can help Canadians better understand the steps they should take to protect their social insurance numbers. Canadians can visit the department websites, call us or visit us at one of our Service Canada centres to learn how best to protect themselves. It is important to note that protecting the information of Canadians is a shared responsibility among the government, the private sector and individuals. We strongly discourage Canadians from giving out their social insurance numbers unless they are sure that doing so is legally required or necessary. Canadians should also actively monitor their financial information, including by contacting Canada's credit bureau.[Translation]
A loss of a social insurance number does not necessarily mean that a fraud has occurred or will occur.
However, should Canadians notice any fraudulent activity related to their social insurance number, they must act quickly to minimize the potential impact by reporting any incidents to the police, contacting the Privacy Commissioner and the Canadian Anti-Fraud Centre, and informing Service Canada. In cases where there is evidence of the social insurance number being used for fraudulent purposes, Service Canada works closely with those affected.
Despite ever larger data breaches, the number of Canadians who have had their social insurance number replaced by Service Canada due to fraud has remained consistent at approximately 60 per year since 2014.
That being said, we understand that many Canadians have signed a petition asking Service Canada to issue new social insurance numbers for those impacted by this data breach. The main reason we do not automatically issue a new social insurance number in these circumstances is simple: getting a new social insurance number will not protect individuals from fraud. The former social insurance number continues to exist and is linked to the individual. If a fraudster uses someone else's former social insurance number and their identity is not fully verified, credit lenders may still ask the victim of fraud to pay the debts.
In addition, it would be the individual's responsibility to provide their new social insurance number to each of their financial institutions, creditors, pension providers, employers—current and past—and any other organizations. Failing to properly do so could put individuals at risk of not receiving benefits or leave the door open to subsequent fraud or identity theft.
It would also mean doubling the monitoring. Individuals would still need to monitor their accounts and credit reports for both social insurance numbers on a regular and ongoing basis. Having multiple social insurance numbers increases the risk of potential fraud.
Active monitoring through credit bureaus as well as regular reviewing of banking and credit card statements remain the best protection against fraud.
In closing, protecting the integrity of the social insurance number is critical to us, and I can assure you that we will continue to take all necessary action to do so, including reading this committee's report and considering advice from this committee and others on how to best improve.
Thank you for your time. I'd be happy to answer your questions.
(1455)
The Vice-Chair (Mr. Pierre Paul-Hus):
Thank you, Ms. Boisjoly.
Would anyone else like to speak before we go to questions?
Mr. Guénette, you have the floor.
Mr. Maxime Guénette (Assistant Commissioner and Chief Privacy Officer, Public Affairs Branch, Canada Revenue Agency):
Thank you, Mr. Chair.
Good afternoon to all committee members.[English]
My name is Maxime Guénette. I'm assistant commissioner of the public affairs branch and chief privacy officer at the Canada Revenue Agency. With me today is my colleague Gillian Pranke, deputy assistant commissioner of the assessment, benefit and service branch at the CRA.
The CRA is an organization that touches the lives of virtually all Canadians. We're one of the largest holders of personal information at the Government of Canada. We process more than 28 million individual income tax returns annually. It's therefore critical that the CRA has an extensive privacy framework in place to manage and protect personal information for all Canadians.[Translation]
Integrity in the workplace is the cornerstone of agency culture. The agency supports its people in doing the right thing by providing clear guidelines and tools to ensure privacy, security and the protection of personal information, our programs and our data.
The agency is subject to the Privacy Act and associated Treasury Board policies and directives for the management and protection of Canadians' personal information. Section 241 of the Income Tax Act also imposes confidentiality requirements on its employees and others with access to taxpayer information.
The agency also adheres to the policy on government security and direction provided by lead security agencies like the Communications Security Establishment and the Canadian Centre for Cyber Security.
In April 2013, the agency appointed its first chief privacy officer, who is also responsible for the access to information and privacy functions within the agency.[English]
Part of my role as the chief privacy officer is to ensure that the CRA's respect for the privacy of the information it holds is reinforced and strengthened by overseeing decisions related to privacy, including assessing the privacy impacts of our programs; championing privacy rights within the agency, including managing internal privacy breaches when they occur; and reporting to CRA senior management on the state of privacy management at the agency.
Our responsibility for sound privacy management goes beyond appointing a chief privacy officer, though. It's a responsibility that all employees share.
Protecting the CRA's integrity includes ensuring that we have the proper systems in place to safeguard sensitive information from external threats. Agency networks and workstations are equipped with malware and virus detection and removal software, which are updated daily and protect the CRA environment from the increasing threat of malicious code and viruses.[Translation]
At the agency employee level, computers are secured with a suite of security products ranging from anti-virus software to host intrusion software.
External services are conducted on secure platforms and protected by firewalls and intrusion prevention tools to detect and prevent unauthorized access to agency systems.
During online transactions we ensure that all sensitive information is encrypted when it is transmitted between a taxpayer's computer and our Web servers. Regardless of how Canadians choose to interact with the agency, they must complete a two-step authentication process before gaining access to their account.
These steps are crucial to making sure that access to personal information is only available to authorized individuals. The process includes validation of a number of personal and confidential data points, including a person's social insurance number, their month and year of birth, and information from the previous year's income tax return.[English]
The CRA will shortly also be implementing a new personal identification number for taxpayers who choose to use it when calling the individual inquiries line. In addition, the CRA is currently examining additional security procedures to safeguard the information of taxpayers. As cybercrime and phishing scams become more sophisticated and commonplace, the CRA is being proactive in warning the public about fraudulent communications claiming to be from the CRA.
One very simple way in which taxpayers can safeguard against fraudulent activity is to sign up for My Account, or for businesses to sign up for My Business Account, so that they can use the CRA's secure portals to access and manage their tax affairs easily and securely. When an individual is signed up for My Account, they can also sign up for online mail in order to receive account alerts informing them of possible scams or other fraudulent activity that may affect them.
CRA is proud of its reputation as a leading-edge organization committed to excellence in administering Canada's tax system. However, inappropriate fraudulent activity can occur in the workplace. CRA has incorporated a broad array of checks and balances to ensure that those who access taxpayer information are strictly limited to employees required to do so as part of their job and to detect misconduct when it does occur. (1500)
[Translation]
Monitoring of employees' access to taxpayer information is centralized, ensuring an independent process that enables the agency to detect and, if necessary, address any suspect transactions in our systems. This provides assurance that authorized users are accessing only the applications and data they are allowed to access based on strict business rules.[English]
In 2017 the CRA implemented a new enterprise fraud management solution, which complements existing security controls and further reduces the risk of unauthorized access and privacy breaches. This solution enables proactive monitoring and detection of unauthorized access by CRA employees. Any allegations or suspicions of employee misconduct are taken very seriously and are thoroughly investigated. When wrongdoing or misconduct is founded, appropriate measures are taken, up to and including termination of employment. If criminal activity is suspected, the matter is referred to the proper authorities.[Translation]
Upon hire, agency employees are required to read and acknowledge the agency's code of integrity and professional conduct and the values and ethics code for the public sector.
The code clearly outlines the expected standard of conduct, including the obligation to protect taxpayer information in accordance with section 241 of the Income Tax Act. Unauthorized access to taxpayer information is considered to be serious misconduct, as reflected in the agency's directive on discipline.[English]
The code ensures that current and former employees are aware that the obligation to protect taxpayer information continues even after they leave the CRA. All employees are asked to review and affirm their obligations under the CRA's code of integrity every year.
In the event a privacy breach does occur, it is assessed in accordance with TBS policy and procedures to document and evaluate all potential risks to the affected individual. In such a case, the CRA offers support to the affected individual through a dedicated agency representative so that the client has the opportunity to ask questions and find information as well as, on a case-by-case basis, get access to free credit protection services.
On the rare occasion when a taxpayer's information is confirmed to have been compromised, the CRA will act to resolve all outstanding issues. This includes reviewing all fraudulent activity that may have occurred in the account, including fraudulent refund payments.[Translation]
We at the agency are deeply committed to safeguarding the trust Canadians place in our organization, and to meeting their expectations that we have the right checks and balances in place to secure the information entrusted to us. We have worked hard to earn the public's trust, because it is the foundation of our self-assessment tax system.[English]
A good reputation takes years to establish. We safeguard it by remaining vigilant in our efforts to protect taxpayers from security breaches and to protect Canada's tax administration system from misconduct and criminal wrongdoing.
Thank you, Mr. Chairman. I'd be pleased to answer any questions you may have.
[Translation]
The Vice-Chair (Mr. Pierre Paul-Hus):
Thank you, Mr. Guénette.
If there is no one else, we will begin the question period.
Mr. Drouin, you have seven minutes.
Mr. Francis Drouin:
Thank you very much, Mr. Chair.
I thank all witnesses for appearing before the committee on short notice.
I should mention that I am one of the victims of the data breach at Desjardins, as are many of my constituents.
Ms. Boisjoly, you referred to the online petition asking that the social insurance numbers of those affected be changed. Can you explain to the committee why that would not be done and why it would only complicate things without providing better security for Canadians?
Ms. Elise Boisjoly:
I briefly mentioned that in my presentation and I thank you for giving me the opportunity to talk about it at greater length.
First, an information leak does not necessarily mean that fraud or identity theft has occurred. Second, we do not automatically change social insurance numbers after a leak like this because it doesn't really solve the problem or automatically remove all risk of fraud.
Let me explain that first point a little more. If you do not change the social insurance number linked to a certain credit number and if a credit agency uses the old credit number, the person involved will not necessarily be able to get credit. In addition, if a lender does not properly check the identity of that person, and a fraudster borrows money using his name, the lender could ask him to pay the debt. So there can be other cases of fraud if lenders do not correctly check people's identity.
The second reason is that it can create serious problems of access to benefits and services. As I said in my presentation, victims of data breaches must warn everyone, financial institutions, credit agencies, past and future employers, and the managers of pension schemes to which they belonged with their old social insurance numbers, and make the necessary changes. Often, people no longer remember those to whom they have given their social insurance number, especially at the beginning of their careers. That can prevent people from receiving a pension, for example, because it is no longer possible to establish a link between an individual and the benefits to which they are entitled.
At federal level, we would certainly advise the Canadian Revenue Agency and all organizations involved. But changes could be made manually and there may be errors. This could complicate the calculation of pensions or employment insurance benefits. If someone forgets an employer and makes errors, the calculation of employment insurance benefits or the old age pension could be wrong.
(1505)
Mr. Francis Drouin:
In other words, changing our social insurance number does not necessarily protect our personal information.
Why is another social insurance number issued in cases where fraud has been proven?
Ms. Elise Boisjoly:
When fraud has been proven, we look at the type of fraud and discuss the matter with the person involved. Often people decide not to change their social insurance numbers. They register, or have someone register them, at a credit checking agency. By so doing, they will be better protected than they would be if they changed their social insurance number. Often, having been informed, people decide not to change their social insurance number. In a very small number of cases, 60 per year since 2014, people insist on making a change when fraud has been confirmed. At that point, we allow a new social insurance number to be issued, but we will also explain that it will not necessarily solve the problem.
Mr. Francis Drouin:
Here is a more practical question.
Like everyone in the same situation as myself, I see a risk of fraud. How then can I advise the authorities, whether at Revenue Canada or Service Canada, that my social insurance number may perhaps be used fraudulently? Can I call Service Canada to advise them of that? Is there an internal process that allows the public to do that?
Ms. Elise Boisjoly:
Absolutely. Let me make two points about that.
First, since this leak was made public, we have received between 1,400 and 1,500 requests directly from members of the public. They have called us to find out how to better protect their personal data and we have given them a lot of information about doing so. They will often take the steps that we advise them to take, such as looking at the credit agency reports and checking their bank transactions.
Second, if they notice a suspicious activity, they must follow the very clear procedures to give us that information. If suspicious transactions are detected, we ask them to contact Service Canada, which will be able to take the steps needed to help them.
Mr. Francis Drouin:
Okay.
The website lists 29 cases in which Canadians are allowed to give out their social insurance numbers. To banking institutions and other entities, for example.
What does Service Canada do so that Canadians know when they should give out their social insurance number and when they should not? What recourse is possible when an organization asks for a social insurance number when it should not do so?
(1510)
Ms. Elise Boisjoly:
Our website, our call centres and the Service Canada centres tell Canadians who they may give their social insurance numbers to. When we issue social insurance numbers, we actually tell people who they should and should not give it to. A certain number of organizations are authorized to ask for social insurance numbers, for example when a bank or creditor pays interest, which the Canada Revenue Agency needs to know.
If someone not on that list asks for a social insurance number, people can refuse and ask to provide another form of information. For example, a long time ago, landlords often asked tenants for social insurance numbers in order to check their credit. They can simply provide a credit report rather than give out their social insurance number. The person asking the question must—
[English]
The Chair:
Thank you.
It's helpful if the witnesses look at the chair from time to time so that I can signal them.
Ms. Elise Boisjoly:
Thank you very much.
These glasses just—
[Translation]
The Chair:
Mr. Paul-Hus, you have seven minutes, please.
Mr. Pierre Paul-Hus:
Thank you, Mr. Chair.
My thanks to you all for being here today.
Listening to you is like being in The Twelve Tasks of Asterix. Let us put ourselves in people's shoes. Their concern is that they have no real idea of what will happen. We asked to meet with you so that we could have some information on the subject. We know that the social insurance number is one measure but is there anything else that should be done in the future to change the system? Could we do as other countries have done, such as providing more digital identification, whether it is by means of fingerprints or something else?
Ms. Boisjoly, you say that there about 60 cases per year, but look, 2.9 million people had their data stolen. Are you expecting a major increase in the number of requested changes of social insurance numbers following these identity thefts?
I also have a question for you, Mr. Guénette.
The people following what is currently happening want to know what is being done. You proposed a good solution, and solutions are what people need. You mentioned people going on the Government of Canada site and opening their financial records. If I understand correctly, by opening your records, you can receive alerts or warnings.
It has now been three weeks. We are here today as the result of an emergency request. Why was there no communication with the public, immediately or within a week following the thefts, to let people know what the Government of Canada can do to help? That's what we need to know.
I am all ears, Ms. Boisjoly.
Ms. Elise Boisjoly:
Thank you.
To answer your first question on new measures, every situation like this gives us the opportunity to review our security and privacy protection measures. All of our colleagues and myself certainly focus on that when there are incidents of this kind. The colleagues who have gone before us spoke a lot about the evolution of cybersecurity. They said that we always have to be ready. We are certainly always focused on that.
My colleague mentioned the Treasury Board, whose mandate includes identity management. They are focusing on ways in which we can better solve the problems associated with digital identity, specifically by conducting pilot projects with the provinces. We participate in those forums, and we are thinking of ways to move the discussion on digital identity forward.
Second, in terms of the number of identity thefts, we have been advised of many in the last 14 or 15 years. Probably millions of people have already been affected and, despite that, the number asking for a new social insurance number remains rather low. So I cannot answer your question, because I am not aware of the future, but I can say that there have been a lot of thefts and that the number seems constant, around 60 per year.
Mr. Maxime Guénette:
Thank you for the question, Mr. Paul-Hus.
As Ms. Boisjoly said, there is never a bad time to remind people about the things they can do. At tax time, we conducted advertising campaigns and communication initiatives online and on social media to remind people about the services at their disposal. However, more can always be done. We are always looking for opportunities to communicate more in this respect. So—
(1515)
Mr. Pierre Paul-Hus:
Okay, but the case before us is about managing a crisis. We are here to find out whether a federal organization can lend a hand to Desjardins, who are taking their own steps to rectify the situation as best they can. Currently, I see some inter-agency measures but really no proactive measures to help Canadians, aside from a message that has already been sent out.
In your opinion, why does the government seem to be so passive? Why is it saying nothing? Is it because nothing can be done? Is there no solution?
We are looking for solutions because people are concerned. If you are telling us that current agencies do not have the means or the tools to help them, we are going to look for other solutions.
Are solutions like the one Desjardins proposed, the Equifax services, quite effective in your experience and as you assess this situation? We are looking to reassure people with things that are true. We don’t want to say just anything.
Mr. Maxime Guénette:
Currently, because the investigation is still in progress, there is a lot of information…
Mr. Pierre Paul-Hus:
The investigation has nothing to do with it because we know how the data breach happened. We also have an idea of where the data was sent, but, at the moment, that is not what we are interested in. We know that someone, somewhere on the planet, has our information and is in a position to harm us by stealing our identity. So we want to know whether our agencies can become proactively involved or, if not, what can be done.
You have a solution in my case, so that is already something that the public could be told about. It is important to do that quickly because people are not in a very good mood during their holidays. Then we will have to see if something else can be done.
The issue of the social insurance number has come up everywhere. A number of suggestions have been made. You are responsible for that file and you are saying that nothing can be done, at least not in that way. These are the answers that people need to hear. But the fact remains that we have to leave here telling people what the government can do to help, first Desjardins and second, the 2.9 million people who have been affected. We are hearing a lot about internal protocols, but, for the Canadians listening to us, that does not mean a lot. This is why I want to hear clear answers. I know that you are giving them when you can, but basically, when we leave here, we will need to know what can be done.
Mr. Maxime Guénette:
I can assure you that very proactive discussions are going on between the various departments involved.
As far as the revenue agency is concerned, as I said in my remarks, the social insurance number, the address and the date of birth are some of the pieces of information people need in order to identify themselves to the agency. We also need information on tax returns from previous years, which was not in the information stolen from Desjardins, according to the discussions we have had. However, once again, the investigation is still in progress. So these questions—
Mr. Pierre Paul-Hus:
As I told you, that really changes nothing.
How much time do I have left, Mr. Chair?
[English]
The Chair:
You have about 10 seconds.
[Translation]
Mr. Pierre Paul-Hus:
What is the first thing people should do if their identity is stolen? Call the police?
Ms. Elise Boisjoly:
Yes.
Mr. Maxime Guénette:
Certainly.
The Chair:
Thank you, Mr. Paul-Hus.
Mr. Dubé, you have seven minutes.
Mr. Matthew Dubé:
Thank you, Mr. Chair.
Thank you all for taking the time to come here today.
Ms. Boisjoly, I was struck by one point in your reply to Mr. Drouin. You said that a personal data breach does not lead to identity theft. That is basically what brings us here today. Canadians want to avoid identity theft, of course; it’s their main concern. I have some questions about it.
You said that people should report suspicious activities associated with a social insurance number. I am a federal lawmaker and I don’t know what a suspicious activity associated with a social insurance number is. I have never been a victim of fraud, thank heavens, and the same goes for the people around me, touch wood. However, I do know people who have been victims. They find out when they receive a bill for a cellphone they do not have, or for a Canadian Tire credit card that they never applied for. They end up with debts and obligations that are not theirs.
Can you tell me exactly what a suspicious activity associated with a social insurance number is?
Ms. Elise Boisjoly:
Thank you for your question.
You have certainly identified some suspicious activities, as you say. We ask people to protect themselves as best they can by working with a credit bureau so that transactions are monitored as closely as possible. They should look at their bank and credit card transactions. If they see actions in their name that they did not make, we asked them to contact the bureau—
(1520)
Mr. Matthew Dubé:
I am sorry for interrupting you, but my time is limited and I only have one round.
The suspicious activities or problematic transactions that we may be able to see on our credit card statements can be associated with all kinds of things. It may be someone who has stolen our mail and obtained our address. That is information that is probably easier to obtain. You rightly mentioned that, in terms of the situation we are discussing today, the person has complementary information. In principle, with all the information that has been stolen, that person could easily call Revenue Canada and obtain a new password. If you have someone’s entire file, you have all the information you need.
Ms. Elise Boisjoly:
Yes, and that is the most important point. We are talking about a number of identifiers. Each one of the organizations is responsible for checking people’s identity.
My colleague said that there must also be a line from the tax return. With employment insurance, there is an access code and you are asked to provide the two figures in that access code. When we are checking identities, we must make sure that we ask questions about identities that are secret and shared only with the people we know. That allows us to better verify people’s identity and to provide them with the service. For example, you would not be able to call Service Canada and obtain employment insurance benefits with the information that has been made public at the moment.
Mr. Matthew Dubé:
As for getting a new social insurance number, I have a little difficulty understanding. Basically, the argument is that it becomes complicated for people. In principle, a social insurance number is issued for reasons of efficiency. A unique identifier makes transactions with government agencies easier.
Forgive me if this analogy may not be an exact one. If I see a problem with my credit card today, the bank or the company that issued it is still able to transfer a balance or to link the legitimate transactions on my credit card that has been used fraudulently and the new one it sent to me.
Why would a financial institution be able to do that, while you are not able to say that someone’s social insurance number has been compromised and to give them a new number? A former employer, for example, might have to take care of questions about that person’s pension. Knowing that is the same person, why are you not able to link the previous social insurance number to a new one? You may perhaps have to do some additional checking, given that the number has been compromised. But I am still having a little difficulty understanding why you can’t do it.
Ms. Elise Boisjoly:
When you started, you said that the first reason we do not automatically give out social insurance numbers is that it can make life difficult for people. The first reason is actually that it would not really prevent fraud. This is a very important point. People have to continue to check their previous social insurance number because there are still—
Mr. Matthew Dubé:
I am sorry to interrupt you, but, if I lose my credit card, it does not necessarily mean that it has been stolen. It may have fallen down a sewer somewhere, meaning that it will never be seen or used again. I would still call my bank, Visa or whomever, to ask them to cancel the card. I would still keep checking and I would have some peace of mind, knowing that I am protected.
Why not use the same logic for victims of breaches of personal data, especially ones that are all over the news? To make sure they are protected, people want to dot all the i's and cross all the t's that they can. They change their credit cards and everything, as they do when they lose their wallets. Why not proceed in the same way?
Ms. Elise Boisjoly:
A social insurance number is not like a credit card, which is a bank's only way of identifying that person. It is an identifier used by employers for as long as people are in the workforce. It is also used for various programs and services.
At the moment, no computer system links all those systems so that social insurance numbers can be updated by employers and by the various groups and programs. That task would be done manually. That is why we do not know all the employers. In the federal government, it would be done manually. As I said, we have only done it a few times. There is a risk of errors. I am just mentioning this to the committee.
(1525)
Mr. Matthew Dubé:
I have less than a minute left.
At the risk of tangling ourselves up in technical details, I would like to understand this better. If an employer wants to use a social insurance number, how does that work? Surely, things come together in some way when you move up the ladder.
I have one final question, which goes back to what Mr. Paul-Hus rightly said.
Let me take Quebec as an example. When there is flooding, police forces and the Government of Quebec hold public consultations on the spot so that people can attend.
Mr. Guénette, I respect what you said, but perhaps advertising campaigns or posts on social media are not enough.
Given the extent of this theft, this breach, have you considered organizing consultations in person in the key places in Québec, the major centres of Longueuil, Montreal and elsewhere?
[English]
The Chair:
Again, Mr. Dubé has asked an important question but has not left any time for an answer, so you'll have to work it in somewhere else.
Usually you're so good, Mr. Dubé. [Translation]
Welcome to the committee, Ms. Lapointe. You have seven minutes.
Ms. Linda Lapointe (Rivière-des-Mille-Îles, Lib.):
Thank you very much, Mr. Chair.
Good afternoon to you all and thank you for joining us.
I do not normally sit on this committee, but I gladly agreed to replace one of its permanent members.
I have had discussions with a number of my constituents in Rivière-des-Mille-Îles, which is to the north of Montreal and includes Deux-Montagnes, Saint-Eustache, Boisbriand and Rosemère. They are very concerned. This is something that has come up all the time since the House adjourned on June 21. That is why I agreed to be here today without hesitation, even though I am not familiar with all the studies that this committee has done.
Ms. Ryan, earlier, you began by saying that the Department of Finance establishes the legislation and regulations that govern the Canadian banking system. You then said that oversight of the Canadian financial sector is shared between the federal and provincial governments.
Let us look specifically at Quebec. The provinces are responsible for real estate brokers, and mutual funds and investment representatives, and so on. Desjardins is a provincial cooperative institution. Just now, I mentioned my constituents, but my entire family and myself are also among the 2.9 million people affected. This concerns us a great deal and we are wondering what will be the future impact of this theft on our lives.
Have you had any requests from Desjardins? Mr. Guénette said that there are ongoing discussions between departments, but have people from Desjardins been in communication with you to get additional information?
[English]
Ms. Annette Ryan:
To the extent that Desjardins is largely provincially regulated, their first point of contact with a government regulator would be with the Autorité des marchés financiers in Quebec. When I spoke of the system of banking rules and regulations in place federally, that applies to the institutions that have elected to be federally regulated.
To the extent that Desjardins is largely provincially regulated, many of the operational requirements put in place in advance of this incident would have been worked through with the Autorité des marchés financiers.
My colleague from OSFI can speak to how that is put in place at the federal level. In this incident the institution stepped forward and took a number of responsible measures very quickly to be transparent about the leak. That is consistent with both provincial law and federal law in terms of privacy, and the federal and provincial privacy commissioners have struck a joint investigation to look into this incident, but many of the provisions for not just the conduct of the financial regulation of Desjardins but also the consumer protections are provincial in this case. We can speak to the federal system, but I would direct many of the questions you may have to those responsible at the provincial level.
(1530)
[Translation]
Ms. Linda Lapointe:
I have one other question. Are credit bureaus in federal jurisdiction?
[English]
Ms. Annette Ryan:
It's largely provincial, and in this case it is provincial.
[Translation]
Ms. Linda Lapointe:
Okay.
Have people from Equifax been in communication with you?
[English]
Ms. Annette Ryan:
Equifax would not be in touch with us or the department, and they are largely regulated for consumer issues at the provincial level for this.
[Translation]
Ms. Linda Lapointe:
Thank you.
I have used half of my time and so I am now going to turn to you, Mr. Guénette.
You talked earlier about the external rules on preventing identity theft, but you have not spoken a lot about the internal rules. I would like to know about the internal rules in the Canada Revenue Agency. After all, we are here today because data was stolen from the inside.
How do things work at the Canada Revenue Agency? Do the employees have to be at certain levels in order to have access to the systems? You talked about centralizing or detecting problems by intervening if necessary. You said that there are strict rules and I would like you to tell me a little more about them. Can people work with their own electronic equipment when they are in front of Canada Revenue Agency screens? I would like to know more about that.
Mr. Maxime Guénette:
Thank you for your question.
Of course, we have security rules at several levels. First, we screen the staff that we hire. People with more specific access have “Secret” security clearance instead of a lower level of clearance. A whole host of physical security measures are in place. People working in call centres, who have access to screens showing taxpayer information, may not have their personal phones with them. We have measures in that regard.
As for access to taxpayers' data, those data are on separate servers that are not connected to the Internet. There is a mechanism by which the employees' access to the data is reviewed annually, or each time they change jobs. Managers verify the access those employees have on a regular basis.
As for the workload, in my introductory remarks, I talked about the administrative rules. When we give employees their workload, our business fraud management system checks by using algorithms in real time. The system applies several dozen rules. For example, if employees check their own tax accounts, an alert is automatically issued and the system sees it immediately. If employees work on tasks that they have not been assigned, the system will immediately send an alert to the manager, who would then be able to ask an employee what he or she was doing in the system. Screen shots are captured per minute, which allows us to see which pages employees are consulting or which changes they have made. The system was implemented in 2017 and it is very advanced. It allows us to have controls in place.
In terms of preventing data breaches, employees are unable to copy information onto CDs, DVDs or USB keys. The system does not allow it.
Ms. Linda Lapointe:
Thank you.
The Chair:
Thank you, Ms. Lapointe.[English]
We'll have Mr. Motz and Mr. Clarke.
Mr. Glen Motz:
Thank you, Chair.
Again, thank you to the departmental officials for being here.
I have just two quick questions for the Department of Finance. You say that your first objective is to prevent data breaches. We know the reality is that these happen and are not localized to the financial sector.
Ms. Ryan, you said that when cybe events occur at a federally regulated institution, which is what we're talking about, control and oversight mechanisms are in place to manage them. Can you explain to Canadians in practical terms what that actually means when you play that out?
(1535)
Ms. Judy Cameron (Senior Director, Regulatory Affairs and Strategic Policy, Office of the Superintendent of Financial Institutions):
I'll take that question.
I represent the Office of the Superintendent of Financial Institutions. Our mandate is to supervise financial institutions and set rules for them so as to protect the interests of depositors and creditors. Broadly speaking we're looking at safety and soundness, but we also make sure they comply with all federal rules. For example, we expect them to have systems in place to comply with privacy laws.
We set expectations around what institutions should be doing, such as complying with privacy laws. We also expect them to do cyber self-assessments to assess their own internal protections against cyber events. Then we supervise them to make sure they are complying with the expectations we have set out to make sure that they have good compliance management systems in place.
Mr. Glen Motz:
Basically, it's just oversight. Now, in this particular circumstance, it's oversight of what's happened to make sure that—
Ms. Judy Cameron:
It's oversight of their systems to prevent this, really.
Mr. Glen Motz:
Okay, so that's one question. The other question is for Ms. Ryan, or whoever might....
I'm just going to read the summary that you gave. You said that “cybersecurity is an area of critical importance for the Department of Finance. We are actively working with partners across government and the private sector to ensure that Canadians are well-protected from cybe -incidents and that when incidents do occur, they're managed in a way that mitigates the impact on consumers and the financial sector as a whole.”
What does that actually look like to impacted consumers, to consumers at large, to the financial institution, to the banking industry, to various government departments? You can say that, but what does it actually look like?
Ms. Annette Ryan:
I think that the number of federal partners you have had as witnesses today speaks to that.
The investments in the cyber centre were part of the first line of defence in strengthening the ability to prevent cyber incidents, and they are focused, as André Boucher spoke to, on the appropriate response to a cyber event. In this case there was a specific type of cyber event, a breach by an employee, so many of those defences that have been built by the cyber centre were not triggered in this case, but the resources of the cyber centre are complemented by new resources for the RCMP. You heard the RCMP speak about the national cybercrime centre and their efforts at the Canadian Anti-Fraud Centre.
We also realize that a cyber event or a data event does play out on the privacy side. Therefore, measures such as the new requirements for businesses to notify customers that there has been a breach are a key part of a citizen's ability to be vigilant about their own finances and to know that important information about them has been put into play. A monitoring service like Equifax is important because it helps put that person into the mix to know when something that's being done in their name is not right.
Mr. Glen Motz:
I have just one quick follow-up question to that. If I were one of the 2.9 million Canadians impacted by this circumstance, or one of the millions in this country who have already been impacted by data breaches of various varieties, I would want assistance in getting my life back, like them. Right now there is a lot of talk about what that looks like, but in practical terms, Canadians want to know how to get their lives back. They want to mitigate the risks and the impacts that a breach like this has on their personal lives, on their financial futures and on those of their families.
I'm curious; it seems that the Department of Finance has a role to play in having a location from which Canadians can find the information they need, follow a template, call numbers, or whatever it may be to help get their lives in order, because this is, and will be, devastating to those whom these criminals are going to take advantage of.
As government, we have a responsibility to ensure that we protect Canadians as well as we can. This is not going to go away.
(1540)
The Chair:
I'm going to have to leave it there. I thank you for your witness.
Colleagues, I need some guidance here. Our next witnesses are outside, and, as you know, are under some time constraints. I propose suspending. The question, colleagues, is do you want to suspend and release these witnesses, or do you want to suspend and ask these witnesses to remain so that we can have our final rounds of questioning?
Mr. David de Burgh Graham:
If they're willing to stay, I'd like to ask my questions.
Mr. Alupa Clarke:
I would like to intervene with these witnesses, please.
The Chair:
With that, I'm going to suspend. I'm going to ask the witnesses to leave the room, but to stay nearby, and after we finish with the next witness to come back—
[Translation]
Mr. Rhéal Fortin:
Mr. Chair, I have some questions for the witnesses, but I will leave it up to you to decide on a good time for me to ask them.
[English]
The Chair:
We'll look forward to that, Mr. Fortin.
With that, we'll suspend for a couple of minutes while we bring in our next panel. Thank you. (1540)
(1540)
The Chair:
Colleagues, I'd ask you to take your seats.
I ask the next set of witnesses to come forward—Mr. Brun, Mr. Cormier, and Monsieur Berthiaume.
I would ask that the cameras leave, please. That's all of the cameras, including the CBC camera. Thank you.
I want to thank you and your colleagues for coming, Mr. Cormier. Apparently you're fairly popular these days.
We have encouraged witnesses to make brief statements, with the emphasis on their being brief, because there is an appetite on the part of members to ask questions. I'm informed of various times by which, I believe, you, Mr. Cormier, have to leave—and what time is that?
Mr. Guy Cormier (President and Chief Executive Officer, Desjardins Group):
We're supposed to leave around 4:30, but maybe we can add—
The Chair:
I'd encourage you to stretch that if you would.
Mr. Guy Cormier:
Probably an hour would be okay.
(1545)
The Chair:
Okay. I think we can live with an hour. Possibly your colleagues can stay after you leave.
The issue is that this has been an emergency meeting and people have literally come from all over Canada to hear what you have to say.
With that, I'll ask you to make whatever remarks you have and then we'll turn it over to questions.
Mr. Guy Cormier:
Thank you very much. [Translation]
Good afternoon, Mr. Chair and members of the Standing Committee on Public Safety and National Security. I'm joined this afternoon by Denis Berthiaume, Senior Executive Vice-President and Chief Operating Officer, and Bernard Brun, Vice-President, Government Relations, Desjardins Group.
First, I want to say that, at Desjardins, we were ambivalent about this exceptional committee meeting.
On the one hand, this meeting may seem premature, since we're in the process of managing this situation and the police investigations are ongoing. It's far too early to assess the situation. As such, we intend to tell you everything that we know, but in a way that won't interfere with the ongoing investigations.
On the other hand, we see this special meeting as an opportunity to inform legislators and the public about the security of personal information and the need to rethink the concept of digital identity in Canada. In my reflection process, this point prevailed.
First, I'll state the obvious. What happened at Desjardins has happened elsewhere and could happen again in any private company or public organization whose mission involves personal information management. We can think of several banks around the world, such as the American bank Chase, Sun Trust, the Korea Credit Bureau, or a number of government entities in Canada and the United States, to name a few, that have been the victims of malicious employees.
Desjardins is a leading financial institution and one of the largest cooperative financial groups in the world, with more than $300 billion in assets. In 2015, Bloomberg ranked the Desjardins Group as the strongest financial institution in North America, ahead of all Canadian banks. In other words, even the best aren't immune, and we believe that this message must be heard.
Personally, I've been working at the Desjardins Group for 27 years. I chose this organization at the start of my career because the financial institution has managed, after nearly 120 years, to successfully combine the economic and social aspects of our society.
The malicious actions of one employee led to this deplorable situation. That employee has now been dismissed. He violated all the rules of our cooperative. In this situation, we acted as quickly as possible and as transparently as possible, with the sole objective of protecting the interests of our members. That was our priority.
On June 20, a few days after learning of the extent of the situation, we went public and shared all the information available, in conjunction with the police forces. At that time, we also announced the measures implemented to address the privacy breach.
We've taken all the necessary measures to address the situation. We quickly implemented additional monitoring and protection measures to protect the personal and financial information of our members and clients. We informed all the relevant authorities, including the Office of the Privacy Commissioner of Canada, the Commission d'accès à l'information du Québec, the Autorité des marchés financiers, the Office of the Superintendent of Financial Institutions, and the Quebec and federal departments of finance.
We've implemented additional measures to confirm the identity of individuals when they contact us. We're constantly monitoring all our members' accounts. The procedures for confirming the identity of our members and clients when they call the Desjardins caisses, Desjardins Business centres and our AccèsD call centre have also been the focus of additional measures.
We contacted the affected members through the AccèsD private messaging system and by personalized letter, to inform them of the situation and of the steps that they needed to take.
We've also added extra measures to help with the activation of the Equifax monitoring package. The affected members can now register in four ways. They can register on the Equifax website, through the AccèsD telephone service, through the AccèsD web and mobile application, and directly in our Desjardins caisses by speaking with their advisor.
We're actively working with the different police forces. Lastly, we're working with external experts to continue to protect our members' personal information.
I can confirm that we acted diligently. After we received information from the Laval police service, we conducted an internal investigation and quickly traced the source of the breach to a single employee. The employee was suspended and then dismissed.
At this time, our main priority is to reassure, assist, support and protect each and every member affected by the situation. (1550)
Again this morning, we announced new protection measures for all our members. In this digital age, we at Desjardins believe that all our members must be protected.
As I was saying, Desjardins announced this morning that, from now on, all members of our cooperative will be protected from unauthorized financial transactions and identity theft. Membership is automatic and free of charge, regardless of whether they've been affected by the data breach. Since this morning, Desjardins has been protecting all its individual and corporate members. This sets a precedent in the financial services world in Canada. We're the first institution to take this step. In this situation, Desjardins is acting with rigour, a sense of duty and the willingness to honour its special relationship with its members.
We've entered an age where data is a resource on par with water, wood and the raw material needed to run entire sectors of our economy. Data is now the raw material for a whole innovative economy that will lead to tremendous productivity gains and make life easier for Canadians.
Canada is a few months away from the implementation of 5G mobile connectivity, which will increase the flow of data tenfold. According to experts, this ultra-fast connectivity will lead to futuristic applications related to artificial intelligence. Canada is already among the world leaders in this area with its three hubs, Montreal, Toronto and Edmonton. In addition, as we speak, the Department of Finance Canada is in the process of conducting a consultation on open banking, which would help open up the transactional sector. Several European countries have already made the shift.
I'll humbly ask you, the legislators, the following questions.
Is Canada currently well equipped to manage these promising technological developments, which also involve new risks? Should our identification systems be adapted to the digital age to ensure the protection of privacy and to better deal with cybercriminals? This issue is the whole notion of digital identity, which I referred to a few minutes ago.
I want to respectfully point out that these are real issues raised by the situation at Desjardins.
In closing, I want to make a proposal. I'd like to invite the committee to recommend to the Government of Canada the creation of an ad hoc multi-stakeholder working group to advise the government on how to regulate the management of personal data and digital identities. We believe that a group that listens to Canadians' concerns should at least include representatives of governments, the financial services and insurance sector, and the telecommunications sector, along with jurists and experts, or any other group that the government deems it appropriate to involve in the reflection process.
The mandate of this committee should consist of advising the government on legislation and regulations; ensuring the protection of the public; encouraging innovative technological development for the benefit of Canadians and communities; and ensuring the strategic monitoring of best practices around the world, so that Canada is always up to date.
I personally believe that Canada can't pursue excellence in digital technology and artificial intelligence without having the same ambition for data and personal information management. We must all learn from the current situation at the Desjardins Group.
Thank you.
The Chair:
Thank you, Mr. Cormier.
Mr. Picard, you have seven minutes.
Mr. Michel Picard:
Welcome, Mr. Brun, Mr. Cormier and Mr. Berthiaume. Thank you for participating in this exercise. Your presence is greatly appreciated.
Mr. Cormier, I'll start by reassuring you that, last January or even earlier, the Standing Committee on Public Safety and National Security and the Standing Committee on Access to Information, Privacy and Ethics began to address issues related to the unique identifier. We looked at models from abroad, including Estonia's model, which raises a number of other issues.
Before I ask you some more practical questions, I want to point out that the unique identifier is one of the cybersecurity issues. When someone gets their hands on the unique identifier, we'll be faced with the same issue.
I'm pleased to hear that you're offering protection to all your members. However, financial institutions tend to charge their clients to protect the clients' data from identity theft. The financial institutions themselves make the offer. Do you have the same philosophy?
To have my salary deposited into my bank account and to make transactions, automatic withdrawals and Interac payments, I must give my name, address and social insurance number to the institution that I'm dealing with. However, I must use a third party to protect this information. Why do I need to rely on someone other than the entity to which I give the information?
(1555)
Mr. Guy Cormier:
To answer the first part of your question, we made the decision this morning to set up a protection program for all our individual and corporate members. The corporate component sometimes isn't covered by other institutions or even by Equifax. We've decided to offer this service free of charge to our members as long as they stay at Desjardins. We won't charge them anything. I want to quickly reiterate that the program covers all unauthorized financial transactions involving a person's account, deposits and money. If a transaction hasn't been authorized, we'll reimburse the person. That's one thing.
Second, if a person is unfortunately a victim of identity theft, we'll provide assistance, not a list of the steps to take. We'll call on our experts to provide assistance, and the experts may even participate in conference calls to help the person recover their identity.
Third, we'll provide coverage of up to $50,000 to reimburse members for expenses that they may have incurred, such as lost wages, child care costs or the cost of obtaining documents.
This concept of free service is extremely important to us. If you're a member of the cooperative, you have access to the program.
We humbly propose that a committee be established to, among other things, address the issue of whether privacy should be managed by third party companies. I think that the status quo isn't an option.
Mr. Michel Picard:
There are two issues involved in what I consider the temporary solution of dealing with a third party. You're asking people to deal with a third party to protect their personal information. Two years ago, this third party was also the victim of hacking. We conducted a study on the matter here.
How liable would you be if your clients' personal information were hacked from the entity that you trust, such as Equifax?
Mr. Guy Cormier:
That's a relevant question. In Canada, Equifax is the firm with a market share of over 70% in data and information protection and management.
When the incident occurred, we decided to turn to the Canadian company that offered this service to Canadians. We worked with the company. However, in the days that followed, we noticed some issues. We quickly took our own steps to resolve the issues concerning member registration on the Equifax website. We went through this. We saw the need to improve the procedures and methods, and we took charge of the matter.
Now, should one, two or three private companies in Canada manage all this? We must think about it.
Mr. Michel Picard:
Identity theft is unique in that the data is active and will always remain on the market, unless the person using it dies. The data is virtually present all over the world. It can be used on the black market after 24 hours, as in cases of debit or credit card fraud.
The identity theft issue isn't about the security of the client's data at their own financial institution. I'm sure that your systems are up to date in terms of protection from external hacking and that you're fulfilling your responsibility to your clients by meeting the expectations of Quebecers and Canadians. If an issue arises in the account, you'll reimburse the criminally misappropriated money.
The identity theft issue is as follows. Let's say that a person goes to a bank tomorrow morning. The person says that his name is Guy Cormier and that he needs a mortgage to purchase a house. The mortgage would be at the other bank and not at Desjardins.
Identity theft causes damage in other areas. One example is the real estate flips in Saint-Lambert, in the South Shore, where people took out fake mortgages under fake identities. There were a baker's dozen, and that was only in Quebec. After that, it will be Canada and Europe. Identity theft has an impact, and it isn't limited to the Desjardins Group financial system.
The protection that you're offering is appreciated and necessary. However, if I may say so, the protection is limited to the client's financial situation within their institution.
(1600)
Mr. Guy Cormier:
Basically, the thought process behind the new measure announced this morning is that we're in the digital age. There will be fewer and fewer paper transactions in the coming years. This data becomes raw material for our economy. Given the importance of the data, at Desjardins, we've taken on the responsibility of offering protection to all our members.
I said that there were three pillars. The first pillar is the financial aspect that you're referring to. If Desjardins members see an unauthorized transaction in their transactions accounts, Desjardins will fully reimburse them. This answers the first part of your question on the financial transactions aspect.
In terms of other types of identity theft involving credit card transactions made elsewhere, such as cellphone purchases or car rentals, people can contact Desjardins and they'll be taken care of. Second, if they need help with recovering their identity, not from a financial perspective, but in relation to other aspects of their private lives, Desjardins will support them. If we need to call government agencies or private firms, or help them prepare notarized documents or a presentation, we'll do so. We're no longer talking about the financial aspect. We'll help the people with the other steps that they may need to take.
[English]
The Chair:
Thank you, Monsieur Picard.[Translation]
Mr. Paul-Hus, you have seven minutes.
Mr. Pierre Paul-Hus:
Thank you, Mr. Chair.
Thank you for joining us, Mr. Cormier.
We fully understand that this situation is very emotional and complicated for Desjardins. Mr. Cormier, you said that it was premature to hold a committee meeting. I want to point out to everyone again that the Conservatives requested this meeting, with the NDP's support, to see how the federal government could help Desjardins and the nearly three million affected members.
The objective isn't to investigate the situation or to find out how the data was stolen. The police are in charge of that aspect. For my part, I hope that the individual will be punished to the full extent of the law. I hope that the law is strong enough to send him to prison for a long time, but that's another matter.
We've met with officials from various departments, including the Department of Finance and the Canada Revenue Agency. These are large departments. However, it's difficult to know whether the Government of Canada can be useful in this situation.
I want to know whether you've received effective support from the government. If not, what could the government do to help you?
Mr. Guy Cormier:
There are two or three parts to my response. When this incident occurred, we contacted several federal and provincial government agencies. We spoke with the different departments of finance. I want to tell you that the departments were very helpful and supportive. Bernard Brun can confirm that very clear and open discussions were held.
I've noticed that both the federal and provincial government authorities want to reassure the public. You have no idea how important this is to us. Sometimes, we see what's being written and said. I understand that people have concerns and questions. As MPs, you must hear about many of them from the people in your constituencies.
I can see that the federal and provincial government officials want to reassure people and give them the proper information. This is very helpful to Desjardins. People must be told to contact us so that we can introduce them to the programs that we announced this morning. Whenever we meet with people in our caisses or client contact centres, we're in direct contact with them and we reassure them.
We don't want to trivialize the situation. However, according to several studies and several experts who are currently assisting us, there's a clear difference between a data breach and what happens in a real data theft. This isn't a “one-to-one” case. The proportions are very small.
By adding the protection that we announced this morning, we're telling all our members, including businesses, not to worry. If any issues arise, they should call Desjardins. We'll assist them.
(1605)
Mr. Pierre Paul-Hus:
Since the incident, you've offered the affected members a free five-year Equifax membership. Is the new protection announced this morning a lifetime membership, or is it new internal protection?
Mr. Guy Cormier:
Exactly. There's new internal protection. As I said, it's the first pillar. If people see an unauthorized transaction posted to their account, they must notify Desjardins. We'll then review the transaction with them and give them a full reimbursement. I must point out that there's no limit, whether the amount is $10,000 or $100,000.
Second, if they're victims of identity theft, they must contact us. We'll assist them and hold conference calls. We even offer a period of psychological support, through our life insurance companies, to people who are going through this highly emotional situation.
Third, it's the new $50,000 protection for people who must incur personal expenses to recover their identity. Desjardins will cover these expenses. This is extremely important.
I want to reiterate that people who are victims of the data breach must continue to actively register for Equifax services, since this gives them access to the alert service. The alert service could notify them of an unauthorized transaction in the following weeks or months, and this service isn't included in the Desjardins package. The Desjardins Group strongly recommends that members who are victims of the breach register for Equifax services.
Mr. Pierre Paul-Hus:
I'm a Desjardins member, but also a Royal Bank client—
Mr. Guy Cormier: Thank you.
Mr. Pierre Paul-Hus: The Royal Bank has a system that I didn't know about. I learned about it from an employee last weekend. The Royal Bank site has a link to the TransUnion site. When I click on the link, my credit report and credit rating appear. It's completely free.
Will Desjardins provide a similar service?
Mr. Guy Cormier:
I'll let Mr. Berthiaume answer that. He'll undoubtedly be very happy to do so.
Mr. Denis Berthiaume (Senior Executive Vice-President and Chief Operating Officer, Desjardins Group):
We provide the same type of service with TransUnion. On the web and on mobile devices, you can access your credit rating in real time. With regard to the alert system, I think that we've explained it well. We work with Equifax, but we're also considering the possibility of providing an alert system with TransUnion.
Mr. Pierre Paul-Hus:
You've done an extraordinary job of putting all this in place. Congratulations.
I now want to talk about Canadians who are afraid that their data, which has been sent somewhere in the world, will be used to make transactions or for any other purpose. You can't be responsible for everyone. You have a responsibility to your members, and 90% of Quebecers are Desjardins members. However, you can't know whether data sent abroad comes from this particular breach.
In other words, if my stolen data is sent abroad, will you still cover me, even though the data could have been sent from another source?
Mr. Guy Cormier:
The current situation at Desjardins was not our only reason for making this morning's proposal, but we certainly sped up the process. At the beginning of each year, we do some planning. Based on security, our new products and our new offers, we consider what we should offer our members according to their needs.
Mr. Pierre Paul-Hus:
I'll interrupt you, because I made things unnecessarily complicated. What I meant was that even though a data breach occurred on your side, another organization may be sending my information elsewhere. In this case, wouldn't the government have some level of responsibility? You seem to be taking care of everyone's issues. At some point, shouldn't we suggest that the Government of Canada help all Canadians?
Mr. Denis Berthiaume:
Look, right now, the important thing is to reassure the members and to offer protection to everyone. We won't start determining whether data sent abroad comes from the data breach at Desjardins or from an information leak in another organization. We want to cover and reassure our members.
To answer your question, if fraud occurs in a Desjardins account, we'll cover the member concerned. As is the case with other financial institutions, in the event of attempted fraud, whether the account is a current transactions account, a credit card account or another type of account, we don't hold the members liable.
The Chair:
Thank you, Mr. Paul-Hus.
Mr. Dubé, you have seven minutes.
Mr. Matthew Dubé:
Thank you, Mr. Chair.
Mr. Cormier, Mr. Brun and Mr. Berthiaume, thank you for being here. You're welcome here. I think that you've fully understood our objective, which is to share information to restore the confidence of people who are extremely worried. You said it well. Like you, we're hearing from these people. This is all the more beneficial to us, since we've just completed a study. We've opened the door for members of the next Parliament with respect to cybersecurity in the financial sector. As such, we're particularly interested in this matter.
Since it hasn't been mentioned yet, I'd say that, as Quebec MPs, we're not here to conduct a witch hunt. Based on the number of activities that we're involved in, we can clearly see that Desjardins is a local partner in the community. We want to work together, and I think that your recommendation today reflects that. Thank you very much.
I want to touch on a few points, in the hope that you can answer some questions. I understand the constraints that you're operating under. The first thing is very simple. It seems silly, but it concerns Equifax's French services. A few people have reported difficulties with obtaining services in French. Have you worked with Equifax to ensure that your members, the vast majority of whom are French-speaking, receive service in French?
(1610)
Mr. Denis Berthiaume:
Yes. First, we wanted to proceed quickly with Equifax, and I think that was the intent of the process. The people at Equifax have been very helpful. They've even adjusted their service offer to accommodate us in several ways. We've worked very well together.
Now, over time, we've learned about the limits of the French-language capacity at Equifax. As a result, we've introduced a number of additional measures. The president mentioned the four initiatives that have been implemented.
First, people can go online or use their cellphones to register directly for Equifax services. We'll take care of referring them to the services, establishing the link with Equifax and providing the authentication.
Second, people can obtain a French-language service by contacting our AccèsD call centres. Wait times are very reasonable. We act as a bridge, in a way, between our members and Equifax to improve the experience. We've been implementing this approach over the past few days and weeks. We believe that this approach has been successful.
Mr. Matthew Dubé:
It's not necessarily specific to what we want to review, and it doesn't fall within the mandate of the committee. However, you'll appreciate that I still wanted to get the facts straight. Thank you.
I want to focus on regulations. We heard a bit about them from the government officials who spoke before you. Are the regulations becoming cumbersome when it comes to achieving your objectives and ensuring the security of your members' data? In your particular situation, you're subject to both Quebec and federal government regulations. Compared to traditional financial institutions and large banks, you're in a somewhat unique situation. You'll forgive me for perhaps not using the correct terminology, but I think that you understand what I mean. Can this different situation cause problems?
Simply put, would it be in our interest to ensure a better alignment between the Quebec government and the federal government requirements, so that you don't need to turn left and right to comply with two different regulatory entities?
Mr. Bernard Brun (Vice-President, Government Relations, Desjardins Group):
Thank you for your question.
It's extremely relevant because we operate in a bijurisdictional system. That said, overall, Desjardins is perfectly comfortable in the current framework. Obviously, with technological exchanges, the interconnectedness within the financial system is becoming more and more apparent. In this regard, we mustn't act in isolation.
Mr. Cormier pointed out earlier that we worked well together. We were able to speak with all the federal and provincial government stakeholders. We strongly encourage them to work together. We can see the collaborative efforts, but we urge the governments themselves to hold discussions.
With regard to the fact that an entity such as the Desjardins Group operates on both sides, I don't see this as an issue. However, we clearly need support in this area. We can feel it and we're focusing on it. This relates to our suggestion regarding the creation of a multi-stakeholder committee with people from different governments. This will enable us to move forward and adopt effective policies that will affect everyone.
Mr. Matthew Dubé:
Thank you.
It may be more difficult to answer my next question, as the police investigation is still ongoing.
Given the growing cyber security expertise, especially among people who work in that field, do you think it would be appropriate to recommend ongoing background or behaviour checks for employees who have access to sensitive information and can use the information belonging to other users, other employees?
I am not saying that you have failed in that area, but everyone is starting to recognize the existence of people whose expertise is growing. Their expertise is being used, but it can also have more harmful consequences.
(1615)
Mr. Guy Cormier:
My colleague can talk about our practices, and then I will complement his comments based on my perspective.
Mr. Denis Berthiaume:
The first thing is that rigorous security investigations are constantly being conducted at Desjardins. Investigations are indeed related to the job level. That is an important element.
Regarding the situation before us, we could wonder whether anything could have been detected. I would like to point out that internal fraud by a malicious employee is the most difficult risk to protect against. That is recognized across industry, and there are many examples of it.
In addition to security investigations, security mechanisms were in place. Obviously, we are talking about a malicious employee who found a way to circumvent all the rules and used a scheme to extract data. That said, I want to reassure you that security mechanisms are in place.
Mr. Guy Cormier:
With time, will we be able to go further in terms of the situation we are going through? As I was saying, in the digital age, people handle personal data not only in financial institutions, but also in all kinds of businesses. Today, when someone wants to enrol their child in daycare, they must provide their social insurance number, and that number can remain on the table for five, 10 or 15 minutes, during the enrolment process. That is the reality in Canada.
I think that any business where employees handle personal information must ensure they have been screened.
[English]
The Chair:
We're going to have to leave it there. [Translation]
Thank you, Mr. Dubé.
Ms. Lapointe, go ahead.
Ms. Linda Lapointe:
Thank you very much, Mr. Chair. I will share my time.
Gentlemen, thank you very much for being here.
I have been a member of Desjardins since around 1980. Like my colleague was saying, Desjardins is omnipresent. My riding is Rivière-des-Mille-Îles, and it includes Deux-Montagnes, Saint-Eustache, Boisbriand and Rosemère. There is a caisse Desjardins in Deux-Montagnes and one in Thérèse-De Blainville. Those are two major institutions in the region. There are two RCMs and two caisses Desjardins.
Mr. Guy Cormier:
There is Mr. Bélanger.
Ms. Linda Lapointe:
Yes.
You said that internal fraud is the most difficult type of fraud to detect and protect against. Earlier today, officials from the Department of Finance and the Canada Revenue Agency talked to us.
How do things work internally at Desjardins? How could have supervisors detected that malicious employee? It is clear that he managed to get into the system. Are there access levels and screenshots? Does the system issue alerts when it identifies something unusual? Are your employees allowed to have their cellphone with them when they work with data?
I am sure you will re-evaluate the existing measures. You talked about a lone malicious employee, but what will you do to protect yourselves against other malicious employees? What are your rules? How does it work?
Mr. Guy Cormier:
Mr. Berthiaume, can you talk about operations?
Mr. Denis Berthiaume:
Yes.
Regarding operations, I first want to say that no one, when they turn on their computer in the morning, has access to all the data. That is not how things work. At Desjardins, jobs are categorized according to the data required to do the work. That's the first thing.
Moreover, our organization has implemented a number of internal security and control mechanisms, but we do not want to discuss those publicly, as even our employees are unaware of those mechanisms. So I cannot describe them in any great detail.
Concerning this particular situation, a police investigation is under way, and that makes the issue highly sensitive. Quite frankly, we don't want to hinder the ongoing police investigation in any way.
As I just said, we cannot provide details on our security mechanisms, as they are important for helping us prevent this from happening again. The situation involves a single employee, but I can tell you that our security mechanisms detect external or other elements of fraud. I want to reiterate that it is extremely difficult to completely protect against a malicious employee.
(1620)
Ms. Linda Lapointe:
Will you review your internal rules?
Mr. Denis Berthiaume:
Concerning the security measures, we are constantly evolving. In any given year, Desjardins invests $70 million in security, and data and personal information protection. We are constantly improving in order to adapt to new technologies that create new fraud possibilities. People try to create new schemes, and we are constantly evolving to be able to identify them.
Ms. Linda Lapointe:
Thank you very much.
I am glad you talked about the four procedures you have implemented. My parents are seniors and have no Internet. They went to their caisse Desjardins in person to get someone to assist them, and it did not work very well.
Mr. Guy Cormier:
In the early days, Equifax enrolment was a challenge for us.
Ms. Linda Lapointe:
People without Internet access cannot sign up for it.
Mr. Guy Cormier:
So we made the decision to provide a service to people without Internet access. As of today, people who want to could still obtain the alert service. That service will be taken over by Desjardins, which will be able to communicate with them afterwards. We have innovated when it comes to Equifax to find a solution for those people.
Ms. Linda Lapointe:
Thank you.
Mr. Francis Drouin:
Thank you very much, Mr. Chair.
Mr. Cormier, you and I, like Mr. Lapointe, are victims of the leak. I understand perfectly that it is difficult to fully control a malicious employee. It is virtually impossible.
That said, the leak will have various repercussions on Desjardins members. For some, nothing will come of it, while others will be victims of fraud at some point in the future. My constituents have asked me why you are offering the Equifax service free of charge for five years and not for 10, 15 or 20 years.
Mr. Guy Cormier:
Mr. Berthiaume, you can answer the question on the five-year period, and then we will come back to the answer from this morning. That is a question we have already been asked.
Mr. Denis Berthiaume:
First, we wanted to respond quickly by providing five years of protection. As we were unhappy with that protection period, we decided to extend it. The president announced this morning that Desjardins was committing to provide protection for life. We did not settle for a five-year protection period. We have a partnership with Equifax to provide that protection, which is important in two ways.
We are noting a strong increase in the number of Equifax enrolments, but we are not satisfied with that number. Judging from the current trend, we fear that, at the end of the day, only 20% or 25% of our members will sign up for Equifax. That still leaves people without coverage who choose not to use the alert system for their own reasons. However, we do not want to leave 75% or 80% of our members without any protection. We want to provide them with an assistance service in case something happens. That is what led to this morning's announcement. We want to go beyond the Equifax protection and provide our members with umbrella-type coverage.
Mr. Francis Drouin:
Yesterday, I experienced something while communicating with Equifax. Its website was down, and I called the company. Finally, between 45 minutes and one hour later, I could sign up.
In eastern Ontario, the Desjardins Group caisses are very popular and very represented in communities. Employees are trained to help seniors who cannot go online to enrol. I am lucky to go online and to check my credit report daily, but what about my grandmother, for instance? Will someone from Desjardins let her know that there has been movement in her credit report?
Mr. Denis Berthiaume:
Yes, that is the new solution we just launched. We will get organized to ensure that people can sign up for Equifax. Then, instead of Equifax contacting the individual by email, Desjardins will liaise between Equifax and the person. We will receive alerts and make sure they are real, and then we will contact the affected members, like your grandmother, in a way that suits them. That is what we are implementing.
Mr. Francis Drouin:
Thank you.
Mr. Guy Cormier:
I would like to briefly point out what the key message is. The Desjardins Group quickly decided to be transparent and to provide the information on June 20. When we looked at the data of 2.7 million people, we realized that some people did not have Internet access. There were also estate accounts. Situations arose, and we saw that we had to innovate and find solutions to them. So far, for all those cases, we are collaborating well with the Equifax people. They are helping us find a different solution, including for people like your grandmother.
(1625)
[English]
The Chair:
Thank you, Mr. Drouin.
Mr. Motz, you have five minutes.
Mr. Glen Motz:
Thank you, Chair.
Thank you for being here, gentlemen.
If we're to believe the information that we received, approximately 200,000 Canadians outside of Quebec have been impacted by this particular situation. Do you know about how many in each province were impacted?
[Translation]
Mr. Denis Berthiaume:
The affected members are primarily in Quebec. There are some affected members in Ontario and very few in other provinces. We are talking about people who no doubt moved to other provinces and are members of Desjardins. That is an important aspect. They are affected Desjardins members.
Clients of State Farm or Patrimoine Aviso, which are our partners, are unaffected. We are talking about only caisse members who may have moved to other provinces or members of our caisses in Ontario.
[English]
Mr. Glen Motz:
Okay.
You mentioned that you purchased State Farm in 2015. You're saying that none of them are impacted.
Mr. Denis Berthiaume:
They are not impacted at all, no.
Mr. Glen Motz:
In 2017 you created Aviso Wealth. That was the combination of a merged Credential Financial, Qtrade Canada and NEI Investments. Those all merged.
Mr. Denis Berthiaume: That's correct.
Mr. Glen Motz: Were any of those impacted?
Mr. Denis Berthiaume:
Those were not impacted at all outside of the scope of what we talked about—
Mr. Glen Motz:
What about previous Desjardins clients whose accounts were closed? Has any of their data been impacted?
Mr. Denis Berthiaume:
I'm not sure I—
Mr. Glen Motz:
They used to be clients. Do you still store their data even though they are no longer clients? Was any of that data compromised?
Mr. Denis Berthiaume:
Let me be very, very specific here. It's strictly the members of our caisse network who are impacted. Let's say you were a member a year ago and you closed your account for whatever reason. If you do not receive a letter, you will not be impacted. There is no impact. You haven't been impacted—
Mr. Glen Motz:
Just to be clear, if you do not have an active account with Desjardins, you have not been impacted by this data breach. Is that what I'm hearing you say?
Mr. Denis Berthiaume:
If you did not receive a letter.... The key is whether you have personally received a letter. If you received a letter, it means you're a member that may be affected and we encourage you to subscribe to Equifax.
Mr. Glen Motz:
It doesn't really answer my question. If I'm hearing you correctly, you have to have an active account with Desjardins to have been impacted by this data breach. Is that a yes or a no?
Mr. Denis Berthiaume:
The answer is no, because you could be a former member of Desjardins and you closed your account a year ago—
Mr. Glen Motz:
That's what I asked previously.
Mr. Denis Berthiaume:
—but you may be affected if you receive a letter.
Mr. Glen Motz:
I'm not worried about the letter because Canadians don't care about the letter. They want to know, if I am a current member, is it yes or no? The answer is yes. Current or former clients could be impacted.
Mr. Denis Berthiaume:
Yes.
Mr. Glen Motz:
In 2018, Desjardins Ontario merged with about 11 Ontario credit unions, if I remember correctly. Would any of those potential clients be impacted by this data breach?
Mr. Denis Berthiaume:
We're talking about the Ontario caisses....
Mr. Guy Cormier:
The answer is yes. For the caisses in Ontario, merged or not merged, it's possible that there are some members of these caisses who have been impacted by the breach.
Mr. Glen Motz:
In 2013 the Desjardins Group purchased insurance firms out west, particularly Coast Capital Insurance in B.C., First Insurance in B.C., Craig Insurance in Alberta, and Melfort Agencies and Prestige Insurance in Saskatchewan.
Would any of these clients be impacted by the Desjardins data breach?
Mr. Denis Berthiaume:
The answer is no.
Mr. Glen Motz:
Could the phones of clients who use Apple Pay or Android Pay as part of their banking practices be compromised by this data breach, and are they at higher risk for any fraudulent texts that could occur as a result of this?
Mr. Denis Berthiaume:
The data that has been leaked outside includes some phone numbers and some emails. The answer to your question is yes, there may be phishing, but again, that's if they are members of a caisse, not if they're clients. If they're clients of Aviso Wealth or of former insurance operations or of life and health insurance, or they're property and casualty clients, they are not impacted.
(1630)
Mr. Glen Motz:
It's only the financial side.
Mr. Denis Berthiaume:
It's only caisse members.
Mr. Glen Motz:
I'll share my time with Mr.—
The Chair:
You're going to have to share six seconds with him.
We'll go to Mr. Graham for five minutes.
[Translation]
Mr. David de Burgh Graham:
I will continue somewhat along the lines of Mr. Motz's comments. Many of those who have not received a letter are worrying and wondering whether they are affected or not.
Can we say to all those who have not received a letter that they are not affected?
Mr. Denis Berthiaume:
According to the information we have, only those who receive a letter are affected.
Mr. David de Burgh Graham:
So if someone does not receive a letter, they are not affected. Is that right?
Mr. Denis Berthiaume:
If they have not received a letter, they are not affected.
Mr. Guy Cormier:
On June 14, we received information from the Laval police force. That information enabled our computer investigative teams to provide us with the figures of 2.7 million individuals and 173,000 businesses. We sent letters to those people.
Despite everything, we are hearing people's concerns. That is why, this morning, we decided to speed up the launch of this protection program for all members, be they affected or not.
Mr. David de Burgh Graham:
That protection is a good thing, but in some of the towns in my riding, Laurentides—Labelle, a number of people don't have Internet access or a cellphone. They are fewer than when I first took office, but there are still some. A number of them have even lost their Desjardins branch. What can those people do?
I have had an account with Equifax for several years. When something changes, I receive an email, but I must go on the website to try to figure out what it is, as it is not clear at all. So for those with an Internet connection, the Equifax-provided information is unclear, and those without a connection have nothing at all.
You talked a bit about this, but could you elaborate further?
Mr. Guy Cormier:
There are two things to consider. First, it is urgent to connect Canadians across the country to the Internet if we want to enter the 21st century. On our end, as some of our members are not connected to the Internet—sometimes by choice, sometimes because they have no access to it—we have proposed an additional solution in partnership with Equifax. Mr. Berthiaume can explain that.
Mr. Denis Berthiaume:
People who don't go online and don't necessarily have an email address must still be reached. Therefore, we have set up a call centre so they can reach us by telephone. We will undertake to sign them up for the Equifax services.
We have implemented an innovative solution with Equifax, which will enrol them, take care of monitoring and alerts, and then send us the results. At that point, we will contact those without Internet or email access. That is what we implemented today.
Mr. David de Burgh Graham:
So Equifax, and not Desjardins, will take care of the technical aspect.
Mr. Denis Berthiaume:
Yes. Currently, Equifax has the ability to handle alerts. As we were saying earlier, Equifax holds 70% of the Canadian market when it comes to credit bureaus and detection and alert systems. So those are the services we use for this aspect.
Once again, we liaise for people who have more difficulty accessing the Internet or don't have an email address. We reassure people and, in case of alert, we contact them.
Mr. David de Burgh Graham:
Fine.
In your statement, you talked about changing our digital identity system. What examples would you like us to follow?
Mr. Guy Cormier:
Far be it from me to give you the perfect example that should be followed, because there will always be gaps in the perfect solutions that we think we have found. There will always be dishonest people who will try to get around these solutions. However, countries such as Estonia, India and even some European countries have put in place measures regarding unique identifiers or, at the very least, measures to ensure that government-issued cards, whether drivers' licences or health insurance cards, do not become ways of identifying people. The objective of these countries was to restore the primary role of these cards, which have become identification documents over time. Canada should draw inspiration from these countries.
(1635)
Mr. David de Burgh Graham:
Very well.
I have one last question. What did the 2.9 million Desjardins clients who were affected have in common? Do we know why they were affected and not the others?
Mr. Denis Berthiaume:
On this subject, we have nothing conclusive. We relied on the data provided to us by the police services. We don't have conclusive data on why someone was on the list or not. We don't have that information.
Mr. David de Burgh Graham:
Thank you.
[English]
The Chair:
We'll go to Mr. Clarke.
[Translation]
Mr. Alupa Clarke:
Mr. Cormier, I would just like to reiterate what my colleague said. The fundamental objective of today's meeting, for us Conservatives, is to determine what the government, its agencies and institutions could do to help you and, in turn, to help Desjardins members, which is the most important thing. They are Canadian and Quebec citizens.
As you know, I have contacted the three directors of the Desjardins branches in my riding to express my support.
Has Canada's Department of Employment and Social Development contacted you to obtain the list of the 2.9 million citizens? This is a very important question.
Mr. Guy Cormier:
The department is in contact with us and collaborates with us. We have been talking directly with its representatives for more than two weeks now, whether it is about social insurance numbers or the situation Desjardins is in.
I do not believe that the information was requested, at least not on an operational level. I don't have that information. I don't know if Mr. Brun or Mr. Berthiaume know more, but I don't think so.
Mr. Alupa Clarke:
When you have the answer, could you give it to the analysts or the clerk? It would be important for us to know that. If the request has been made, could you provide a list of these Canadians? We are trying to find out what the government can do, but first it should know who it is talking about. So would you be able to send this list to the Canadian government? Unfortunately, it would still involve sending data, but the recipient would be the government.
Mr. Denis Berthiaume:
We will have to see if this is possible. From a legal point of view, I am not sure.
Mr. Alupa Clarke:
Next, I would like to know if a member of the current cabinet has contacted you since June 20.
Mr. Guy Cormier:
When you talk about the current cabinet, you are talking about the cabinet....
Mr. Alupa Clarke:
I am talking about the federal cabinet. So it would be a minister.
Mr. Guy Cormier:
Yes, that's right. I had a discussion with Minister Morneau on the situation. He offered me his support to see how the federal government could support Desjardins in this situation.
Mr. Alupa Clarke:
Fine.
In your introduction, you mentioned very humbly and respectfully that you had some questions. Personally, I would have liked to know your answers as an expert in your field. I don't remember your first question very well, but it was still interesting. You were wondering if Canada had an adequate system for social insurance numbers, for example. I would like to know your perspective on this.
Mr. Guy Cormier:
The first question was whether Canada is well equipped to manage technological development, which is full of promise, but also involves new risks.
Do we need to adapt our identification systems?
Mr. Alupa Clarke:
I would like to have your answers on both points.
Mr. Guy Cormier:
My two answers are simple: I think the status quo is not an option. The status quo in Canada today is not sufficient in the digital age, in the upcoming 5G era, and in the era of reflection about the world of financial services, including open financial services. On these two issues, I think we should not be satisfied with the status quo.
That is why we humbly propose the creation of a committee composed of several stakeholders, including citizens, governments, businesses—not just financial institutions, but companies that process data—to reflect on these issues and see if, using examples from other countries around the world, we can continue to be leaders.
As I mentioned in the beginning, I think that in artificial intelligence, Canada is taking an important leadership position in the world. At the same time, we must have the same ambition with regard to personal information and data protection. My answer revolves around these points.
Mr. Alupa Clarke:
I have a supplementary question, which will probably be the last one. I am addressing Mr. Cormier, the citizen.
You made a very important announcement this morning. You said that the protection applies to all members, whether or not they are affected by this unfortunate event. You said all they have to do is call you and you can take care of them. You will establish contacts, take action and take the necessary steps.
Do you think that's exactly the kind of attitude that the government, the federal state, should have right now towards the 2.9 million Canadian citizens?
Citizens are being asked to contact us, and I think it is the federal government that should contact citizens. Let's say that citizens are communicating with the federal government, shouldn't the federal government have the same approach as you and say that it takes care of everything?
The representative of Employment and Social Development Canada said that, if citizens' social insurance numbers were changed, they would have to call all their former employers. That's not what you're doing. You, incredibly, say you're going to take care of everyone at the last minute.
As a citizen, would you like the federal government to act in the same way towards the affected members?
(1640)
Mr. Guy Cormier:
As a citizen, I would say that elected officials are elected to provide a framework and adopt laws. In the current digital age, regulatory parameters must be put in place to protect citizens in this regard. That's my message, as a citizen.
This is also why, despite the fact that we found this meeting premature, we still made the decision to be present. We feel that this situation is sounding the alarm and that there is an awareness and a real willingness on the part of elected officials to address this issue. We wanted to provide our point of view on this subject.
[English]
The Chair:
Thank you, Mr. Clarke.
We'll go to Mr. Dubé for three minutes and then Mr. Fortin for three minutes.
[Translation]
Mr. Matthew Dubé:
Thank you, Mr. Chair.
I have a question that is somewhat similar to what Mr. Graham was saying about Internet and telephone access. Seniors have special needs.
Are we also looking at that?
Mr. Denis Berthiaume:
That's what I was saying. Often, seniors do not necessarily have an Internet connection or an email address. We take care of them. These people can call us. We will take charge of the situation from that moment on and act as intermediaries with Equifax regarding the alert system and what these people will receive as a message.
Mr. Matthew Dubé:
There is an interesting article in La Presse, in today's issue, if I'm not mistaken. It talks about how credit watch agencies, companies like Equifax, are regulated and that this regulation focuses more on consumer issues.
It may be too much speculation for what you are comfortable talking about today, but given the somewhat symbiotic relationship they have with financial institutions and the breach Equifax has experienced, do you think it would be relevant in the digital age to review how these agencies are regulated?
This has become more important than consumer protection; they now have a responsibility to protect data. We see that there are important consequences.
Should we review this in the context of all these changes you alluded to?
Mr. Guy Cormier:
I told you a few minutes ago: I think the status quo is not an option. That's why we're here today. Desjardins will be very honoured to participate in the discussions, if they are held.
I think we need to bring together the stakeholders who work in the data field in Canada to think about how we want to change the situation. Sometimes it could be about regulation, sometimes it could be about business processes, sometimes it could be about working together. I think the status quo is not an option.
Mr. Matthew Dubé:
I have one minute left. In closing, I would like to say that we are pleased to have you here. We understand that this is a difficult situation. I appreciate the fact that you understand why we have a duty to do this.
Citizens are calling us. It affects them, they are worried. Our objective is not only to reassure them in this case, but also to ensure that they and other citizens who are clients of other financial institutions do not experience the same thing. You are sharing your experience, which is very useful not only today, but also for the future Parliament. We still want to put in place a roadmap in this rapidly evolving area.
Mr. Guy Cormier:
That is why we accepted the invitation.
Mr. Matthew Dubé:
Your presence is very much appreciated, thank you.
The Chair:
Mr. Fortin, you have three minutes, please.
Mr. Rhéal Fortin:
Thank you, Mr. Chair.
Mr. Cormier, Mr. Brun and Mr. Berthiaume, I too will begin by congratulating you. I must admit that when I arrived here this morning, I had questions and concerns, which you answered. I think that your statement this morning is very beneficial to Desjardins. I too am affected by what happened at Desjardins, and I appreciate the measures you have taken.
About two or three weeks ago, the Bank of Canada established the Financial Sector Resiliency Group to address IT threats. As far as I know, Desjardins Group has not been invited to join this group. Chartered banks, among others, and systemically important banks were invited.
First, can you confirm that Desjardins Group has not been invited? Then, do you consider it would be appropriate for it to participate in such a working group?
Mr. Guy Cormier:
Mr. Brun, I know you've talked to this group. Can you give us the true story on that?
Mr. Bernard Brun:
Thank you for this very relevant question.
The Bank of Canada obviously has an extremely important role to play in ensuring financial stability. Recently, it announced the creation of a committee to develop supervision and review oversight by discussing matters with all kinds of partners. Naturally, it turned to the big banks and the regulator. We have had discussions with people at the Bank of Canada and we feel that they have an opportunity to explore this.
As already mentioned, the financial system is extremely interconnected. All the players in this sector have issues, regulations and regulators, but they must be able to work together, go beyond that and discuss matters. We certainly have a great interest in participating in all of this. We felt that there was an opening in this direction and we are waiting to see what form this will take.
Desjardins Group is certainly a Canadian and Quebec financial institution of systemic importance. If there are discussions, we should be involved.
(1645)
Mr. Rhéal Fortin:
You have the support of the Bloc Québécois on this. I hope my colleagues across the way will follow up on this and propose that the Bank of Canada invite you.
Presently, there are discussions on the establishment of a national identity validation system. Previously, the social insurance number was used in the relationship between the employer and employees and the government. Now we see that it is used in almost every way. It is no longer clear how to behave in this regard, but it is clear that the simple social insurance number is no longer sufficient to ensure a certain level of security for citizens.
In your opinion, would an identity validation system, which would include a PIN, fingerprint or whatever, be useful in a situation like the one you have experienced?
Mr. Guy Cormier:
That is why we humbly submit a recommendation to the committee today.
In Canada, 30, 40 or 50 years ago, we put in place certain mechanisms, which today are no longer used for what they were created for. It is time for industry players to sit down together to rethink all of this, and try to draw inspiration from best practices around the world; this reflection, as I can see very well, has already begun.
[English]
The Chair:
Thank you, Monsieur Fortin.
I want to thank the witnesses for their appearance here. I'm happy to note that your announcement of your package coincided with your appearance here. That's quite fortunate. There are four or five members of this committee who are uniquely vulnerable as members of your association. I'm wondering whether their unique vulnerabilities as public figures is covered by your announcement today.
Mr. Guy Cormier:
All of the information, per the announcement we made this morning, of all of the people who were on the list of the members who have been affected by this leak will be taken care of by this program. With this protection program, if it's their financial activities in their accounts, if it's having access to assistance for recovery of their identity, or if there are problems with some fees they have to pay regarding the recovery of their identity, they will be allowed to go under this program.
The Chair:
I have taken note of that, as you mentioned it earlier. However, what I'm talking about is the unique vulnerability of public officials. If that vulnerability arises, will it be addressed by this particular package?
Mr. Guy Cormier:
This is something that we are looking at right now in our files. Among these 2.7 million people, we are looking right now if there are some more sensitive people. You probably read about policemen, judges, people like officials. This is something that we're looking at right now. Our priority was to send the letters to make contact with the people. Now we're looking what may be other sensitivity that we should be more careful—
The Chair:
So in the initial thrust, not necessarily.
Mr. Guy Cormier: Yes. We will look at it.
The Chair: My question is that we've been doing this for awhile now and one of, if you will, the gold standards of protection is what's called “zero trust”, which was brought up by a previous witness, who said, “identify and protect critical assets. Know where your key data lives; protect it; monitor the protection, and be ready to respond.”
Do you feel that Desjardins adhered to the zero trust principle that seems to be the gold standard for protection of data?
Mr. Denis Berthiaume:
When we say “zero trust”, we need to identify what we are talking about. Zero trust, we have people who have access to data. They need it to actually do their work. With zero trust, clearly we want to make sure that we have security mechanisms in place that aim at the zero trust principle. However, when you put it in practical terms, sometimes there's a difference between the theory and what you can really do practically. The objective is there to make sure that the data given to us by our customers, by our clients, is fully secure. That's our goal.
(1650)
The Chair:
That's the goal.
With that I want to thank you again for your appearance here. We will suspend for a couple of minutes and re-empanel with the officials and finish our questioning with them. Thank you. (1650)
(1650)
The Chair:
We're reconvened. Thank you to the officials all and sundry for your patience with us. We were in the middle of questioning and I believe it's Mr. Graham up for five minutes, please.
[Translation]
Mr. David de Burgh Graham:
Thank you.
Ms. Boisjoly, earlier you heard the people from Desjardins talk about the need to rethink the social insurance number system. Is research being done on the future of the social insurance number?
Ms. Elise Boisjoly:
Thank you for your question.
As you know, the social insurance number is one identifier among many. As we have already mentioned, on our website, we are advising citizens that they should only give their social insurance number in very limited circumstances. This is explained to them. We tell them not to give their social insurance numbers to organizations that cannot legally request them. However, from what we hear, citizens often give it voluntarily to organizations that are not authorized to take it.
We are certainly aware of the discussions. We are still looking at what we can do to improve the protection of our systems and practices related to the social insurance number.
We want to hear the recommendations or see the report that this committee will publish, as well as other reports.
I can assure you that work on improving the security of our systems is ongoing. I know that Treasury Board is also very actively working on digital identity projects. We are participating in these discussions to see how we can improve the digital identity of citizens in Canada.
(1655)
Mr. David de Burgh Graham:
Among the data that was taken, we know that there was a lot of information, not just social insurance numbers. There were also addresses, phone numbers, and so on. You have spoken several times about additional information to authenticate the social insurance number. Is all this information included in the data that was taken?
Ms. Elise Boisjoly:
The social insurance number is an identifier that provides access to federal programs and services, as well as to income and tax systems. In the case involving the federal government, with respect to benefits, for example, my colleague explained that at the Canada Revenue Agency you have to ask an additional, secret question to identify individuals, such as the amount entered on a certain line of the tax return. In the case of employment insurance, participants are given a program access code, and must give two digits of this code in order to access private information related to the employment insurance program.
The social insurance number is an identifier, but it is accompanied by other questions to validate the identity of the person with whom we do business.
Mr. David de Burgh Graham:
There are Service Canada officers in every city. If people come to their offices to find out what they need to do about the current situation, what instructions will they be given?
Ms. Elise Boisjoly:
Thank you for your question.
All our call centres, Service Canada offices and agents have received very clear instructions. Our call centres and Service Canada offices answered questions from approximately 1,500 citizens. They have informed them of the steps to take, including contacting a credit bureau, verifying their financial and banking transactions, and exercising extra vigilance with respect to the transactions they make. If they identify activities that are not related to their transactions, they should contact the police, Service Canada offices and the various institutions so that we can resolve the situation. To date, no fraud has been reported.
Mr. David de Burgh Graham:
The leak is recent, however.
Ms. Elise Boisjoly:
As I was saying, despite the number of leaks detected in recent years, there are about 60 cases per year requiring a change in the social insurance number.
Mr. David de Burgh Graham:
Is there a way to indicate somewhere that the social insurance number is no longer valid and then remove the liability associated with it?
If I change my social insurance number and I am still responsible for the old one, in my opinion, it doesn't make sense. Can you tell us more about this?
Ms. Elise Boisjoly:
One of the reasons is that we do not know to whom citizens have given their social insurance number. The social insurance number should only be used as an identifier to link certain information to provide benefits. Individuals are the only ones who know to whom they have given their social insurance number and for what purpose. You can give your social insurance number for private pensions, insurance and car rentals or purchases, for example.
The social insurance number should not be used to identify the person. This is a number that allows you to link certain files. We need this number to link the information. We now link the two social insurance numbers in our systems, but the first should never again be used by the individual.
(1700)
[English]
The Chair:
Thank you, Mr. Graham.
Mr. Clarke, for five minutes, please.
[Translation]
Mr. Alupa Clarke:
Thank you, Mr. Chair.
Good afternoon, everyone.
Thank you for waiting and staying here.
Ms. Boisjoly, you are the assistant deputy minister at the Department of Employment and Social Development Canada. Did your minister instruct you to get the list? I asked the same question of Mr. Cormier. Have you received ministerial instructions to obtain the list of the 2.9 million Canadians affected by the massive data leak at Desjardins?
Ms. Elise Boisjoly:
You raise an interesting question.
The first thing to do, according to the Personal Information Protection and Electronic Documents Act, is to inform third parties. As you have heard, Desjardins has contacted us to ensure that we will provide the information and help Desjardins branches obtain as much relevant information as possible to help their members. In this case, we have given a lot of information on how to protect their members.
Mr. Alupa Clarke:
So there were no guidelines. In other words, you are reactive. I'm not talking about you, of course. You follow political orders, and we understand that. At the moment, everything is reactive and absolutely nothing is proactive.
You said you received 1,500 requests or calls about the social insurance number. Our goal is to know how the government can help people proactively. Since you don't know which Canadians are affected, you necessarily have to wait for them to contact you. That is what is happening right now. You wait for the people affected to contact you, not the other way around. That's impossible, because you don't have the data. Mr. Cormier, from Desjardins, seemed to say that they would be ready to send this data. I know I'm asking you to give a political opinion, but you can't.
I have to express something that royally disgusts the people in my riding. I went door-to-door a lot last week and the week before that. People have consistently told me that they doubt that the government can do anything. It saddened me very much. How is that possible? I would like to break the cynicism and listen to people. People contribute 50% of their income to the Canadian government. We Conservatives want the government to work for citizens, not the other way around.
Mr. Cormier said that when someone calls Desjardins, they are proactive and take care of things for them.
We learned something very important today. In fact, we already knew that because it had been mentioned here and there. I learned from an official like you that you can change your social insurance number. I know it's complex and that even if we change it, we still have to reach a myriad of institutions, our former employers, and so on. However, it is the government that requires that citizens have a social insurance number. It is a system that should perhaps even be called into question, and we are discussing it today, in a way.
Wouldn't it be your duty to contact the 2.9 million people? The Liberal government should do this to be proactive. It knows these people. For example, at the Pizzeria D'Youville, where I worked in 2004 when I was 17, it was the boss who sent the GST to the federal government. All these things are well known. Your departments could easily link this information and change the social insurance number, perhaps not in a comprehensive way, but it should support the citizen in the very difficult task of reaching all former employers or government agencies.
I really don't like this. I know it's not your fault. You have political directives from the Liberal government, but it is not proactive at the moment. I don't like it at all. What can you say about this?
Ms. Elise Boisjoly:
In view of the multiple leaks that can occur, the goal is to ensure that citizens and the benefits due to them, whether tax refunds or other benefits, are always protected. That is why we worked very closely with Desjardins to define what measures would enable us to support it in its relations with the affected citizens.
Desjardins has implemented measures. When there were leaks at the federal level, very similar measures were taken with respect to credit bureaus, because it is really the best way to protect citizens from fraud. We continue to work with Desjardins. If an exchange of information proved to be a good solution, we would consider it. However, at this stage, the measures put in place are the best that could have been taken.
(1705)
Mr. Alupa Clarke:
Thank you, Ms. Boisjoly.
[English]
The Chair:
Are there any questions over here? No.
Mr. Dubé, for three minutes.
[Translation]
Mr. Matthew Dubé:
Thank you, Mr. Chair.
I would like to come back to the question I asked, namely whether you want to hold information sessions in major centres in Quebec, among others. I know that people outside Quebec are also affected, but it is in Quebec that the leak had the greatest impact. The population must be informed.
I forgot what it was, but I have already received a letter in the mail regarding a change in federal policy. I would like to believe that it is possible to send letters by mail to the people of Quebec informing them of the schedule of public consultations or information sessions that will take place in the next two months. You are giving us information today and I think people are listening, of course. Nevertheless, we should make sure to reach as many people as possible. Despite the pervasiveness of social media, I am not convinced that this response is adequate.
Is this something you are open to? I believe that the Department of Finance and the Canada Revenue Agency also have a role to play.
Ms. Elise Boisjoly:
Absolutely.
To be proactive, we have put additional information on our website. We have issued press releases. We used social media, as you said. We hold workshops on the social insurance number in several communities. These are workshops that are given on a regular basis and I won't see why we can't use this method as well.
So, thanks for the recommendation. We will take it into consideration.
Mr. Matthew Dubé:
Perfect. We thank you for that because these are indeed special circumstances, and when there are natural disasters, for example, the local government—whether it is the municipalities or the Government of Quebec—always answers.
As my colleagues said, and not to insult anyone, the federal government is the furthest away. In this case, there are real impacts on people's lives.
Either way, if we ourselves—I'm just talking about myself right now—don't necessarily know how to navigate the social insurance number system when we are federal legislators, I don't think it's because of our own ignorance. It's just a very complex system. That's why you're here today, and that would be knowledge worth sharing.
Thank you for your openness. This completes my questions.
The Chair:
Fine.
You have two minutes, Mr. Fortin.
Mr. Rhéal Fortin:
Thank you, Mr. Chair.
I'll start with Ms. Boisjoly.
If we consider that the social insurance number was created in 1964 to govern employer-employee and government-to-government relations, we see that it is used in every way now, but in any case, much more widely than before.
Wouldn't it be necessary to review the security regulations concerning its use? For example, there could be a PIN that matches the health card, fingerprints or other data, for example.
In your opinion, can anything be done with this?
Ms. Elise Boisjoly:
That is an excellent question.
As I always say, it is important, when you have situations like this, to review and rethink certain things.
As far as the social insurance number is concerned, as I said, it is one of several identifiers. At the federal level—and, of course, in many places— people are invited to add secret questions that only they can answer. It is not a PIN, but it is an additional way to ensure security and identify the right person.
Mr. Rhéal Fortin:
Correct me if I'm wrong, but the social insurance number is valid, regardless of whether or not we have matching questions.
I am asked for my social insurance number for a transaction, whatever it is, with a bank, or whatever. I don't have a PIN. I just have the number.
Ms. Elise Boisjoly:
You are absolutely right. You do not have a PIN.
Is this something we could consider? Maybe. What is important to say is that, to access a service, you must give other identifiers such as the line...
Mr. Rhéal Fortin:
It depends on the companies we request services from, but, I agree, you're right.
Wouldn't a penalty be appropriate? We see that retailers or banks frequently ask for social insurance numbers, and this is not always necessary. Shouldn't there be a system of penalties for those who ask for a social insurance number when they don't need it?
(1710)
Ms. Elise Boisjoly:
That is an interesting question. I don't know if any predecessors have addressed this issue.
Currently, we have a very clear list of who can do so. We have very clear instructions for citizens. When someone asks them for a social insurance number and they are not on the list of people who should ask them for it, they can seek redress with the Privacy Commissioner of Canada.
Mr. Rhéal Fortin:
Couldn't we include criminal provisions in the act for this, whether it be a fine or some other sanction?
Ms. Elise Boisjoly:
Yes, it would be something to check, but I don't have any information on that today.
Mr. Rhéal Fortin:
All right. Fine.
I have one last question if you...
The Chair:
Unfortunately, your time is up, Mr. Fortin.[English]
That ends our questioning.
On behalf of the committee, I want to thank the officials not only for your initial appearance but also for your subsequent appearance and waiting for the other witnesses.
We are going to suspend and then go in camera. We will take a couple of minutes to clear the room.
[Proceedings continue in camera]
|
Comité permanent de la sécurité publique et nationale
(1330)
[Traduction]
Le président:
Mesdames et messieurs, nous nous efforçons de respecter notre horaire. Nous attendons l’arrivée de nos autres témoins, mais, dans l’intervalle, nous allons entendre le témoignage du représentant de la GRC, le capitaine Mark Flynn.
Vous ferez votre exposé et, si les représentants du Centre de la sécurité des télécommunications viennent, nous prendrons des dispositions afin qu'ils s'expriment eux aussi.
Soit dit en passant, la séance est maintenant publique.
En ce qui concerne les personnes qui témoignent devant nous, le véritable problème, c’est que les membres du Comité souhaitent poser des questions. Par conséquent, il est préférable de limiter la durée des exposés.
Et maintenant, je vous prie de faire votre exposé, surintendant Flynn.
Surintendant principal Mark Flynn (directeur général, Criminalité financière et la cybercriminalité, Opérations criminelles de la police fédérale, Gendarmerie royale du Canada):
Vous serez heureux d’apprendre que je ne ferai pas de déclaration préliminaire, et je crois comprendre que le Comité en a été informé. Je suis ici aujourd’hui simplement pour répondre à toutes les questions que vous pourriez avoir. Comme cet enjeu est, à première vue, lié à une enquête criminelle en cours, il serait toutefois inapproprié que je vous communique des détails relatifs à une enquête, en particulier une enquête qui n’est pas menée par la GRC.
Je suis disposé à répondre à toutes les questions. Je suis ici pour vous apporter toute l'aide que je suis autorisé à vous offrir.
Le président:
Monsieur Graham.
M. David de Burgh Graham (Laurentides—Labelle, Lib.):
Il est un peu plus difficile de poser des questions sans s’appuyer sur une déclaration préliminaire.
Ma première question est la suivante: si quelqu’un appelle la GRC pour déposer une plainte concernant un vol de données présumé, comment la GRC traite-t-elle cette plainte dès sa réception?
Surint. pr. Mark Flynn:
Cela dépend de l’endroit où le vol présumé a eu lieu. Sur le territoire où nous nous trouvons, ces cas relèvent des services de police. Par conséquent, les services de police provinciaux et municipaux se partagent la responsabilité. La plainte serait transférée à notre processus de réception là-bas, que ce soit notre bureau des télécommunications, la réception du détachement ou une unité d’enquête particulière qui a été désignée à cet effet.
Dans les cas où nous ne sommes pas les policiers compétents, comme en Ontario et au Québec, où nous assumons le rôle d’agents de police fédéraux, nous prenons conscience de ces situations en collaborant avec nos partenaires provinciaux et municipaux. Nous examinons l’information, et nous déterminons si la situation est liée à d’autres enquêtes en cours. De plus, nous offrons aux services de police compétents notre appui s’ils en ont besoin, bien que, dans bon nombre de cas, ces types d’incidents soient très bien gérés. Nos forces de police provinciales et municipales sont fort compétentes et sont en mesure de gérer ces incidents par elles-mêmes.
M. David de Burgh Graham:
À quel moment un incident devient-il de compétence fédérale? Si un problème relève des provinces, mais touche plusieurs provinces, les services de police provinciaux doivent-ils le gérer séparément? La GRC est-elle en mesure d’intervenir à ce moment-là?
Surint. pr. Mark Flynn:
La GRC n'intervient pas automatiquement uniquement parce qu'un problème touche plusieurs provinces. Comme avec les crimes traditionnels, qu'il s'agisse d'un réseau de voleurs qui exerce ses activités près de la frontière entre deux provinces ou d'homicides, les corps policiers de ces administrations ont l'habitude de collaborer et ils le font très efficacement.
Lorsqu'un cyberincident survient, s'il aura des répercussions sur un système du gouvernement du Canada ou un exploitant d'infrastructures essentielles, que des facteurs liés à la sécurité nationale doivent être pris en compte ou que l'incident est lié à un groupe important de criminels qui opère à l'échelle nationale et qui fait déjà parti des enjeux prioritaires sur lesquels nous enquêtons, nous donnerons suite à cet incident.
Dans le domaine du cyberespace, nous entretenons des relations et communiquons régulièrement avec la plupart des provinces et des municipalités dotées de cybercapacités dans leurs secteurs d'enquête. Nous savons que bon nombre de ces incidents surviennent dans plusieurs administrations, que ce soit au pays ou à l'étranger. Par conséquent, la coordination et la collaboration sont vraiment importantes.
C'est pourquoi l'Unité nationale de coordination de la lutte contre la cybercriminalité agira comme le service de police national qui contribuera à cette collaboration. Toutefois, avant sa mise en œuvre, l'une des responsabilités de mon équipe au quartier général est de communiquer régulièrement, que ce soit en tenant régulièrement des conférences téléphoniques ou des rencontres officielles au cours desquelles nous discutons de ce qui se passe dans les diverses administrations pour assurer la collaboration et la déconfliction. De plus, de façon ponctuelle, lorsqu'un incident important survient, les employés des nombreux corps policiers communiquent entre eux par téléphone pour déterminer l'intervention appropriée et s'assurer qu'elle n'est pas réalisée en double.
M. David de Burgh Graham:
Dans le cas de l'incident dont il est question aujourd'hui, qui est, de toute évidence, un incident majeur, la GRC est-elle tenue au courant de ce qui se passe même s'il ne s'agit pas de son enquête?
Surint. pr. Mark Flynn:
Je tiens à éviter de parler de cette enquête, mais je peux vous dire que les enquêtes de ce genre feront assurément l'objet de discussions. Ces discussions ont lieu en raison des rencontres régulières que nous tenons, que ce soit au sujet des cybercrimes ou d'autres types de crimes qui sont commis dans les différentes administrations. Il est évident qu'un incident de cette ampleur fera l'objet de discussions.
Pour l'instant, je n'ai pris part à aucune de ces discussions. Je ne sais pas s'il y en a.
M. David de Burgh Graham:
Je comprends.
D'accord.
Le président:
Monsieur Drouin, bienvenue au Comité.
M. Francis Drouin (Glengarry—Prescott—Russell, Lib.):
Merci, monsieur le président.
Monsieur Flynn, merci d'être venu. Je sais que vous ne ferez pas de commentaires sur l'enquête en cours, mais, en tant que député qui représente beaucoup de membres qui ont été touchés — je l'ai moi-même été —, je m'intéresse surtout aux répercussions possibles de la fraude.
Je sais que beaucoup de Canadiens reçoivent des appels frauduleux de gens qui se font passer pour des agents de l'Agence du revenu du Canada. J'ai moi-même rappelé une personne qui prétendait travailler pour la GRC. Elle voulait obtenir de l'argent pour une personne en particulier. Elle était très exigeante et insistante. Elle m'a donné un numéro où je pouvais rappeler, que j'ai transmis à la police. Est-ce quelque chose que vous conseillez aux Canadiens de faire où, de toute évidence, la GRC ou le service de police local est le premier point de contact?
(1335)
Surint. pr. Mark Flynn:
Absolument. En fait, le Centre antifraude du Canada dispose d'un programme à cet effet et il entretient une relation étroite avec les fournisseurs de services de télécommunications, qui ont beaucoup aidé à résoudre certains des problèmes entourant le télémarketing et les fraudes massives commises au téléphone. Lorsque nous découvrons et que nous validons les numéros utilisés pour commettre des fraudes, l'industrie des télécommunications bloque ces numéros pour réduire la victimisation. Nous avons adapté certaines de nos pratiques pour faire en sorte que cela se produise beaucoup plus rapidement qu'autrefois.
M. Francis Drouin:
Selon votre expérience et ce qu'on a appris des cas de fraude, nous savons que certains fraudeurs ont peut-être mon numéro d'assurance sociale. Ils ont peut-être mon adresse de courriel ainsi que mon adresse municipale. Ils pourraient prétendre de façon très convaincante être un représentant du gouvernement ou d'une quelconque institution financière. À votre avis, quel est le meilleur moyen pour que les Canadiens se protègent?
Surint. pr. Mark Flynn:
Dans toutes les campagnes de fraude massive, que ce soit un cas comme celui-ci ou en général, les gens doivent faire preuve d'un grand scepticisme et prendre des mesures pour se protéger. Le gouvernement du Canada offre de nombreuses ressources, comme le Centre antifraude du Canada et Pensez cybersécurité, qui fournissent une liste de conseils pour les Canadiens. Essentiellement, il faut protéger ses renseignements et émettre des doutes raisonnables quand quelqu'un nous appelle. Si une banque nous appelle, il faut composer le numéro de la succursale locale. Il ne faut pas répondre au numéro qu'on a fourni ni rappeler immédiatement à ce numéro. Il faut passer par des sources fiables pour valider les questions qu'on pose.
J'ai déjà reçu des appels semblables au vôtre. J'ai reçu un appel très convaincant de ma propre banque. J'ai communiqué avec cette dernière, qui m'a indiqué que l'appel était frauduleux. C'était intéressant parce que, au bout du compte, l'appel était réel, mais nous nous sommes tous sentis très en sécurité parce que nous avions pris les mesures appropriées. Je préfère risquer de ne pas obtenir un service plutôt que de compromettre mon identité ou mes renseignements financiers.
M. Francis Drouin:
Bien, parfait.
Merci.
Le président:
Monsieur Paul-Hus, vous disposez de sept minutes.
[Français]
M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC):
Merci, monsieur le président.
Merci, monsieur Flynn. Je reviendrai à vous dans quelques instants.
Le chef du Parti conservateur du Canada, Andrew Scheer, m'a demandé d'appeler nos collègues afin d'organiser cette réunion, et j'aimerais lire quelques paragraphes d'une lettre ouverte qu'il a envoyée aux médias le 12 juillet:
Comme la grande majorité des Québécois et de tous les Canadiens, je suis préoccupé par la sécurité des technologies de l'information, le vol d'identité et la protection des renseignements et informations personnels.
La situation est très sérieuse et je comprends l'inquiétude et l'angoisse des victimes qui craignent les effets futurs de tels vols d'information personnelles, incluant les numéros d'assurance sociale, et qui doivent y consacrer temps et énergie pour y remédier.
Il est rassurant de voir que les dirigeants du Mouvement Desjardins prennent la situation au sérieux en déployant beaucoup d'énergie à protéger et rassurer leurs membres. Le gouvernement fédéral a également la responsabilité et le devoir de soutenir toutes les victimes affectés par les vols d'identités, en travaillant avec tous les acteurs du secteur pour tirer des leçons et améliorer la sécurité informatique.
[...] Je veux dire aux victimes de vol d'informations, ainsi qu'à tous les Canadiens, de notre solidarité et de la volonté d'un futur gouvernement conservateur de s'attaquer aux défis de la protection des renseignements et données personnelles des Canadiens.
[Traduction]
Le président:
Eh bien, nous remercions M. Scheer pour ce merveilleux message.
[Français]
M. Pierre Paul-Hus:
Nous tenons à démontrer l'importance que nous accordons à ce dossier. C'est pourquoi il est important pour nous d'être ici en cette belle journée ensoleillée du 15 juillet 2019.
Monsieur Flynn, vous avez répondu à mes collègues libéraux, mais je trouve un peu faible la réponse de la GRC concernant une telle situation. Je m'explique. Il y a 2,9 millions de Canadiens, dont 2,5 millions de Québécois et quelque 300 000 Canadiens de l'Ontario et d'ailleurs au pays, qui ont un compte auprès du Mouvement Desjardins, et ces gens sont très inquiets. Nos bureaux sont constamment interpellés depuis trois semaines et on n'a pas eu de réponse du gouvernement. C'est pourquoi nous tenons cette réunion d'urgence aujourd'hui afin de déterminer ce que peuvent faire les ministères fédéraux pour aider les Canadiens.
Vous nous dites que la GRC n'est pas vraiment impliquée, mais avec son agence de cybersécurité, ses liens avec des organisations comme INTERPOL et tous les autres moyens à sa disposition, n'est-elle pas en mesure d'intervenir? Nous ne voulons pas nous immiscer dans l'enquête policière, mais nous avons appris que des données auraient été vendues à l'étranger. Alors, n'y a-t-il pas des moyens technologiques ou techniques pouvant permettre à la GRC d'intercepter d'éventuelles fraudes?
(1340)
[Traduction]
Surint. pr. Mark Flynn:
Comme je l'ai expliqué tout à l'heure, dans bon nombre des situations de ce genre, le rôle de la GRC est de collaborer avec ses partenaires provinciaux et municipaux. Il est important de reconnaître que nos partenaires provinciaux et municipaux sont très habiles pour intervenir dans beaucoup de ces incidents. Il n'est pas toujours vrai que la GRC dispose de pouvoirs, d'autorisations ou de capacités supérieurs à ceux que nos partenaires ont pour faire face à un incident unique en son genre, où une personne est impliquée dans un événement unique, contrairement à un événement plus vaste.
Toutefois, si les partenaires provinciaux et municipaux de la GRC ont besoin d'assistance technique ou de conseils, cette dernière est toujours prête à les lui offrir. Il serait inapproprié que la GRC s'immisce dans la compétence d'un autre corps policier pour diriger l'enquête qu'il mène.
[Français]
M. Pierre Paul-Hus:
Je comprends ce que vous nous dites au sujet de l'enquête qui est probablement menée par la Sûreté du Québec. Cependant, ce que les conservateurs et le NPD veulent savoir, c'est ce que peut faire la GRC en ce qui concerne les données de 2,9 millions de personnes qui ont été transmises à des criminels. Je ne veux pas parler de l'enquête, je veux savoir si vous avez des ressources. Si ce n'est pas le cas, nous voulons le savoir. C'est pour cela que nous sommes ici aujourd'hui. Si des données ont été vendues à l'étranger, ce n'est pas la Sûreté du Québec ni la police de Laval qui va s'en occuper. Je crois que cela relève de la GRC.
[Traduction]
Surint. pr. Mark Flynn:
Au-delà de l'enquête, je peux dire que, dans la plupart des cas, les cybercriminels commettent leurs crimes pour avoir accès à des renseignements personnels ou financiers dans le but de mettre la main sur l'argent que détiennent les institutions financières. La GRC travaille constamment en étroite collaboration avec la communauté internationale pour trouver et poursuivre les personnes qui commettent une bonne partie de ces crimes.
En collaboration avec ses partenaires étrangers, de nombreuses grandes institutions financières du Canada et l'Association des banquiers canadiens, la GRC cible les personnes qui causent les dommages les plus importants. L'équipe du Programme de prévention et de mobilisation de la Police fédérale a organisé des rencontres avec les institutions financières et les intervenants du secteur de la cybersécurité. Nous avons un nouveau comité consultatif qui nous aide à cibler ces personnes.
Le savoir est entre les mains des institutions financières et des organismes de cybersécurité. Nous consacrons nos ressources d'enquête à cibler les personnes qui causent le plus de dommages.
Nous collaborons aussi avec les autres pays. Quand des cas se produisent, nous nous entretenons avec les forces de l'ordre des autres pays. Nous signalons les comportements que nous avons constatés dans nos dossiers ou dans ceux de nos partenaires canadiens. Si des liens peuvent être faits, ou si des personnes recherchées sont dans un de ces pays, nous invoquons le traité d'entraide juridique et nous collaborons entre services de police dans le but de concentrer tous les efforts internationaux vers un problème commun.
Comme je l'ai déjà dit, je ne peux pas parler de ce cas en particulier, et je m'en excuse. Je ne peux pas dire ce qui est fait et ce qui n'est pas fait dans ce cas-ci.
[Français]
M. Pierre Paul-Hus:
Depuis qu’on est au fait de ce problème, est-ce qu’une cellule spéciale a été mise sur pied à la GRC pour aider à le résoudre?
[Traduction]
Surint. pr. Mark Flynn:
Je ne peux pas parler de ce cas. Ce serait inapproprié.
Le président:
Je vous remercie, monsieur Paul-Hus.[Français]
Monsieur Dubé, vous avez sept minutes.
M. Matthew Dubé (Beloeil—Chambly, NPD):
Merci, monsieur le président.
Je remercie M. Flynn d’être ici aujourd’hui.
Il est important de parler de cette situation, car les gens sont inquiets, comme mon collègue vient de le mentionner. Il est essentiel d'obtenir plus d’information sur les capacités du fédéral et les moyens dont nous disposons pour traiter cette question, d'autant plus que ce comité vient de terminer, juste avant la levée des travaux en juin, une étude sur la cybersécurité dans le secteur financier. Je reviendrai sur certains éléments auxquels nous avions touché et qui sont pertinents dans le cas qui nous concerne aujourd’hui.
J’aimerais revenir sur quelques éléments que vous avez mentionnés dans vos réponses. Tout d'abord, il y a des rumeurs selon lesquelles des données auraient été vendues à des organisations criminelles au-delà des frontières du Québec et du Canada. Je ne vais pas parler de ce cas précis, puisque vous ne pouvez pas le commenter, mais à quel moment la GRC s’active-t-elle pour venir en aide aux instances très compétentes comme la Sûreté du Québec quand il s’agit d’une organisation criminelle qu’elle surveille déjà et qui opère à l’étranger?
(1345)
[Traduction]
Surint. pr. Mark Flynn:
Nous avons régulièrement des rencontres officielles avec les autres services de police du pays. Dans le domaine de la cybercriminalité, ces rencontres ont lieu une fois par mois. Dans d'autres domaines, elles ont lieu toutes les deux semaines. Quoi qu'il en soit, lorsqu'un cas comme celui-ci se produit, des appels sont immédiatement faits, comme vous le décrivez, pour que la collaboration fonctionne et que les renseignements pertinents que détiennent nos partenaires étrangers puissent servir aux enquêtes.
[Français]
M. Matthew Dubé:
Merci.
En parlant des pouvoirs et des capacités de la police municipale, de la Sûreté du Québec et de la police provinciale de l'Ontario, vous avez dit qu'elles avaient des compétences importantes en matière de cybersécurité. Est-ce que la GRC détient une certaine expertise unique ou des informations qui pourraient leur être utiles?
Je pose la question parce que c'est que le gouvernement s'est vanté de la consolidation des compétences du CST, de la GRC et de toutes les agences qui œuvrent dans le domaine de la cybersécurité en nous disant qu'il voulait assurer une mise en commun de l'information afin que tout le monde soit sur la même longueur d'onde. D'ailleurs, j'y reviendrai quand ce sera le tour de M. Boucher, du Centre canadien pour la cybersécurité.
Est-ce que vous fonctionnez de la même façon avec la police municipale ou provinciale, le cas échéant?
[Traduction]
Surint. pr. Mark Flynn:
Oui, c'est ce que nous faisons. Comme je l'ai dit, nous travaillons en étroite collaboration avec les services de police provinciaux et municipaux. En fait, je peux vous dire — et j'en suis très fier — que pendant certaines de ces rencontres, où l'équipe du Programme de prévention et de mobilisation de la Police fédérale avait réuni des intervenants du secteur privé, du secteur de la cybersécurité et des institutions financières, quelqu'un dans la salle a tenu à prendre la parole pour remercier la GRC de cette collaboration dans le domaine de la cybersécurité, qui était beaucoup mieux que cette personne n’avait jamais pu constater dans sa carrière.
J'en suis très fier parce que la collaboration et le soutien entre les forces de l'ordre, et non la concurrence, c'est une priorité pour mon équipe, mes employés et moi-même. Nous ne nous substituons pas aux autres services de police, nous cherchons à les aider.
[Français]
M. Matthew Dubé:
Merci. Je ne veux pas vous couper la parole, mais le temps file.
Dans le cadre de notre étude sur la cybersécurité dans le monde financier, nous avons parlé du fait qu'on a tendance à se faire une image des acteurs étatiques. Sans les nommer, je suis certain que tout le monde a une idée des différents pays qui pourraient porter atteinte à la cybersécurité au Canada.
Je comprends que vous ne pouvez pas en parler, mais dans le cas qui nous concerne, on parle d’un individu. Il pose néanmoins une menace, car les données en question peuvent être vendues et se retrouver entre les mains d'acteurs étatiques. Une des choses que nous avons entendues, c'est que les individus posent la plus grande menace. Est-ce que c’est toujours le cas? Est-ce qu’un criminel qui voudrait procéder à un vol de données pose une plus grande menace que certains pays qu'on pourrait soupçonner?
(1350)
[Traduction]
Surint. pr. Mark Flynn:
L'origine de la menace est multiple. Je ne peux pas dire laquelle des origines possibles est la pire parce que, selon mon expérience, il y a un nombre considérable de groupes organisés et de personnes qui commettent des crimes sur Internet. Internet est tout aussi bien un catalyseur qu'un outil permettant d'utiliser et de mettre à profit les extraordinaires services qui nous sont offerts.
[Français]
M. Matthew Dubé:
Je vais vous interrompre parce que mon temps de parole tire à sa fin.
La présence de groupes organisés ou de pays avec de mauvaises intentions et qui voudraient acheter les renseignements a-t-elle créé une espèce de marché? Y a-t-il un mauvais incitatif, mais néanmoins un incitatif, pour un individu comme l'individu allégué en question, de voler des renseignements pour ensuite les vendre à des groupes intéressés? La présence de tels groupes incite-t-elle des individus ayant une expertise en la matière à poser des gestes qu'ils ne poseraient pas normalement?
[Traduction]
Surint. pr. Mark Flynn:
Oui, tout à fait. Il y a des services de cybercriminalité qui aident d'autres acteurs moins compétents à commettre des crimes sur Internet, qu'il s'agisse de créer des logiciels malveillants, de faire fonctionner les infrastructures ou de créer les mécanismes par lesquels quelqu'un peut vendre de l'information volée. C'est l'une des cibles visées par la GRC dans le cadre de son mandat fédéral. Elle cible les principaux services qui facilitent les crimes afin de s'attaquer plus efficacement aux crimes commis au lieu de pourchasser individuellement les criminels.
[Français]
M. Matthew Dubé:
Je vous remercie encore d'avoir pris le temps de nous rencontrer aujourd'hui.
[Traduction]
Le président:
Je vous remercie, monsieur Dubé.
M. André Boucher, du Centre de la sécurité des télécommunications, vient de se joindre à nous. Je lui donne la parole pour qu'il puisse faire sa déclaration préliminaire.
Je vais redire ce que j'ai déjà dit au surintendant Flynn, c'est-à-dire que les déclarations courtes valent mieux que les longues, car les participants ont plus de temps pour poser des questions.
Monsieur Fortin, je vois que vous voulez...
[Français]
M. Rhéal Fortin (Rivière-du-Nord, BQ):
Si vous me le permettez, monsieur le président, j'aimerais m'adresser aux témoins. Je ne sais pas si c'est prévu dans votre ordre du jour. Si oui, j'aimerais avoir quelques instants.
[Traduction]
Le président:
Non, ce n'est pas prévu. Je regrette, mais vous ne pourrez pas vous adresser aux témoins.
[Français]
M. Rhéal Fortin:
Non?
[Traduction]
Le président:
Non, pas maintenant. Nous en sommes encore au premier groupe.
Monsieur Boucher, comme je le disais, plus ce sera court, mieux ce sera. Je vous remercie.
[Français]
M. André Boucher (sous-ministre adjoint, Opérations, Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications):
Merci, monsieur le président. Comme vous l'avez demandé, ma présentation sera plutôt courte.
Monsieur le président et distingués membres du Comité, je m'appelle André Boucher. Je suis sous-ministre délégué des opérations au Centre canadien pour la cybersécurité.
Tout d'abord, je vous remercie d'avoir accepté de nous recevoir et d'entendre mon témoignage cet après-midi.
En guise de préambule, permettez-moi de vous présenter brièvement l'organisme que je représente.
Le Centre canadien pour la cybersécurité a été institué le 1er octobre 2018 et relève du Centre de la sécurité des télécommunications. À titre d'autorité canadienne en matière de cybersécurité, l'organisme dirige les interventions du gouvernement suivant des événements liés à la cybersécurité.
Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents. Ce faisant, nous offrons des conseils et du soutien d'expert et coordonnons les communications d'information ainsi que les interventions en cas d'incident.
Les partenariats que le Centre canadien pour la cybersécurité établit avec les intervenants de l'industrie représentent un élément clé de notre mission. Nous avons pour objectif de promouvoir l'intégration de la cyberdéfense dans le modèle d'affaires de nos partenaires de l'industrie, ce qui aura pour effet d'accroître le niveau global de résilience du Canada à l'égard des cybermenaces. Or, malgré les efforts que l'industrie et le Centre ont à déployer, force est de constater que des cyberincidents ont tout de même lieu.
Cela m'amène à aborder le sujet dont j'aimerais vous entretenir cet après-midi. Il convient tout d'abord d'indiquer que le Centre canadien pour la cybersécurité n'est en mesure de fournir aucun détail concernant l'incident en question et qu'il n'émettra aucun commentaire quant aux pratiques de cybersécurité d'une entreprise particulière ou d'un individu. Au reste, toute forme d'atteinte à la cybersécurité peut être vue comme une occasion de réévaluer ses propres pratiques et de renforcer les systèmes, les processus ainsi que les mesures de protection.
Dans le cas présent, les articles de médias et les déclarations publiques indiquent qu'une divulgation de renseignements personnels a eu lieu suivant des actes commis par un individu œuvrant pour l'entreprise en cause, ce que l'on appelle communément une menace interne.[Traduction]
Dans sa récente publication intitulée Introduction à l'environnement de cybermenaces, le Centre pour la cybersécurité décrit la menace interne comme étant ces individus qui travaillent dans un organisme, mais que l'on considère comme particulièrement dangereux, puisqu'ils ont accès à des réseaux internes qui sont protégés par des périmètres de sécurité. Pour tout intervenant malintentionné, l'accès est l'élément déterminant. Comme ils jouissent d'un accès privilégié aux données protégées par l'organisme qui les emploie, les auteurs de menace internes ne sont pas contraints de recourir aux méthodes que l'on doit normalement appliquer à distance, ce qui leur permet de collecter assez aisément de précieux renseignements. De fait, cet incident nous rappelle l'importance du facteur humain en matière de cybersécurité. Or, les menaces internes ne sont qu'un exemple de ce type de problème.
Les cybercriminels ont été particulièrement ingénieux lorsqu'il s'est agi d'exploiter le comportement humain à des fins de piratage psychologique et d'inciter les personnes à divulguer, bien qu'à leur insu, des renseignements sensibles. La sécurité de nos systèmes dépend essentiellement de la fiabilité des humains, c'est-à-dire les utilisateurs, les administrateurs et les équipes responsables de la sécurité.
Il convient donc de nous demander ce que nous pouvons faire dans un environnement où les cybermenaces se multiplient. Sur le plan de l'entreprise, il est capital d'adopter une approche globale qui se caractérise d'abord par la promotion d'une culture de sécurité et par la mise en place des politiques, des procédures et des pratiques nécessaires en matière de cybersécurité. Nous disposerons ainsi d'un plan d'intervention en cas de problèmes; et nous savons que des problèmes, il y en aura toujours.
Il faut investir pour que les personnes détiennent les moyens d'agir. La formation et la sensibilisation des personnes et des entreprises s'avèrent essentielles. Ce n'est que par la sensibilisation que nous pourrons continuer de développer et d'inculquer de bonnes pratiques de sécurité, une mesure essentielle pour protéger les systèmes informatiques du Canada.
Il faut également déterminer et protéger les actifs essentiels. Il importe de savoir où se trouvent les données clés. Assurez-vous donc de leur protection et surveillez les mesures de protection prises. Soyez prêts à intervenir.
Au Centre pour la cybersécurité, nous continuerons à travailler avec les intervenants de l'industrie ainsi qu'à fournir des conseils et des avis en matière de cybersécurité par l'intermédiaire de notre site Web. En l'occurrence, nous publions des alertes et des avis lorsque des cybermenaces, des vulnérabilités ou des incidents possibles, imminents ou réels touchent ou pourraient toucher les infrastructures essentielles du Canada.
Quoi qu'il advienne, il conviendra de poursuivre le dialogue que nous tenons présentement, de redoubler de vigilance et de porter une attention particulière aux enjeux de cybersécurité.
En dernière analyse, on constate qu'il n'existe aucun remède miracle lorsqu'il est question de cybersécurité. Il nous est donc interdit de baisser la garde. Les enjeux sont beaucoup trop importants. Certes, les prochaines avancées technologiques pourraient très bien nous faciliter la tâche, mais il n'en demeure pas moins que nous devrons toujours pouvoir compter sur un effectif compétent et fiable.
Je vous remercie, et je suis maintenant disposé à répondre à vos questions.
(1355)
Le président:
Je vous remercie, monsieur Boucher.
Nous passons maintenant à M. Picard, qui dispose de sept minutes.
[Français]
M. Michel Picard (Montarville, Lib.):
En guise de préambule, je rappelle que l'incident dont nous parlons aujourd'hui s'inscrit tout à fait dans l'étude que nous faisons depuis le mois de janvier sur la cybersécurité et les crimes financiers.
J'ai déposé une motion pour que nous fassions une étude sur ce sujet, tel que suggéré par mes collègues libéraux. Cela démontre notre grande préoccupation au sujet de la cybersécurité dans les institutions financières. Je me réjouis que M. Scheer ait salué les efforts que nous avons faits dans le cadre de cette étude. Finalement, il est tout à fait d'accord sur mon initiative et je suis content qu'on contribue aux efforts du Parti libéral pour traiter des préoccupations liées à cybersécurité dans les institutions financières. Alors, merci.
Monsieur Flynn, je pense qu'il est important de s'adresser au public maintenant et de gérer ses attentes dans une situation aussi grave qu'un vol d'identité.
On souhaite que la police intervienne dans l'enquête criminelle. Pour la plupart, les gens veulent qu'on remédie à la perte de leurs données et que leur identité soit restaurée, sans crainte qu'on l'usurpe à nouveau dans 5, 10 ou 15 ans. Quelles sont les attentes du public relativement aux résultats de l'enquête criminelle?
[Traduction]
Surint. pr. Mark Flynn:
Du point de vue des services de police, je crois que les gens s'attendent à ce qu'ils trouvent l'auteur du vol ou de la monétisation des données ainsi que tous ceux qui y ont participé de quelque façon, que ce soit par l'intermédiaire de cybermenaces, de cybercompromissions, de menaces internes, et j'en passe. Ils s'attendent à ce que ces personnes répondent de leurs actes devant la justice, à ce qu'il y ait des conséquences, puis à ce que l'on prenne des mesures pour éviter que de tels incidents se reproduisent.
[Français]
M. Michel Picard:
Les gens ont beaucoup de mal à comprendre jusqu'à quel point c'est difficile de prouver qu'on est bien la personne qu'on prétend être. De quelle façon peut-on prouver sa propre identité? Ce sera un grand défi lorsque trois personnes se présenteront avec le même nom et le même numéro d'assurance sociale éventuellement.
(1400)
[Traduction]
Surint. pr. Mark Flynn:
En tant qu'agent de police, la confirmation de l'identité n'est pas mon domaine de compétence. Comme je l'ai dit plus tôt, je me tournerais vers les ressources locales, qu'il s'agisse d'institutions financières ou d'autres types de services. Si vous pouvez utiliser un service local pour confirmer votre identité, c'est la meilleure façon de gérer les demandes des entreprises à cet effet.
[Français]
M. Michel Picard:
Dans une certaine mesure, l’enquête criminelle va rendre justice. Si on met la main au collet des criminels à la suite du dépôt de la preuve, on les poursuivra en justice et il y aura une conséquence judiciaire, essentiellement leur emprisonnement.
Cela dit, la donnée sur le marché représente un actif virtuel et ne se trouve pas dans un endroit physique donné; elle peut être à plusieurs endroits. Je ne veux pas alarmer les gens, mais il est important qu'ils réalisent que, bien qu’on ait arrêté les criminels, cela ne veut pas dire nécessairement que la donnée a été éliminée et que l'identité a été restaurée.
[Traduction]
Surint. pr. Mark Flynn:
C'est exact. Il est important de souligner que les poursuites ne sont pas forcément le seul indicateur de réussite. En fait, dans le milieu du cyber, beaucoup de poursuites peuvent, au fil de nos collaborations, relever d'autres compétences.
Une des approches adoptées par la GRC, tout comme d'autres corps policiers d'ailleurs, est d'inclure des institutions financières et des experts en cybersécurité dans nos enquêtes criminelles, ce qui ne correspond pas à la façon dont nous procédons habituellement. Toutefois, nous en constatons déjà les résultats, puisque nous en tirons des avantages importants. Ces « partenaires », comme je les appelle, repèrent des renseignements qui ne paraissent pas forcément importants aux policiers. Sans leur aide, nous ne pourrions peut-être pas savoir que ces renseignements peuvent servir à protéger leurs clients. Je connais au moins un exemple dans le cadre d'une enquête majeure en cours où, grâce à une telle collaboration, plusieurs institutions financières ont pu repérer des comptes compromis et en atténuer les vulnérabilités.
Je crois donc que l'approche que nous avons adoptée engendre des avantages qui ne se quantifient pas seulement en arrestations et en poursuites.
[Français]
M. Michel Picard:
Monsieur Boucher, vous avez une approche-conseil auprès des organismes. Comment une entreprise peut-elle se protéger de ses propres employés? Quels conseils peut-on lui donner à cette fin?
Comme on l’a vu cet hiver, il n'y a aucune raison de croire que les banques, les institutions financières et les entreprises de services financiers ne profitent pas de la meilleure technologie possible pour protéger leurs données des menaces extérieures. Ce qui nous préoccupe, ce sont les menaces qui viennent de l'intérieur. À mon avis, il n’y a pas de logiciel qui aide à contrer ce genre de risque. Quelle approche conseil avez-vous auprès des organismes pour couvrir le risque humain de fraude?
M. André Boucher:
Je vous remercie de votre question.
Cela revient à mes commentaires d'ouverture. Il existe quelques outils, mais ce qui est le plus efficace, c'est de retourner aux principes de base et d’avoir une approche holistique et large en matière de sécurité.
Il faut d'abord avoir un programme de sécurité bien établi relativement au personnel à l'interne, bien comprendre où sont les choses qu’on veut protéger, connaître les individus avec qui on s’associe et avoir un programme toujours renouvelé. Ce n’est pas parce qu’on rencontre quelqu’un une fois dans une entrevue que sa situation de vie ne va pas changer. On renouvelle périodiquement ces conversations. Pour les individus, il y a un programme clair d’entraînement, de formation et de rafraîchissement des connaissances, lequel est soutenu par des processus clairs.
Les équipes de technologie de l’information ont accès à certains outils de prévention de la perte de données, notamment, qui peuvent contribuer à la détection d'une fraude. Cependant, par le temps qu'on détecte une fraude, il est souvent trop tard. Il est donc important d’investir le plus tôt possible dans l'édification d'une confiance et de s’entourer de gens fiables.
[Traduction]
Le président:
Merci, monsieur Picard.
Monsieur Motz, vous avez cinq minutes.
M. Glen Motz (Medicine Hat—Cardston—Warner, PCC):
Merci, monsieur le président.
Je remercie tous les témoins de s'être déplacés.
Monsieur Boucher, vous avez déclaré dans vos commentaires d'ouverture que le Centre canadien pour la cybersécurité est l'autorité nationale en matière de cybersécurité et dirige la réponse du gouvernement en cas d'incident lié à la sécurité informatique, ce qui a attiré mon attention:
Notre équipe nationale d'intervention travaille étroitement avec les ministères, les propriétaires et les exploitants d'infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d'incidents de cybersécurité ou pour atténuer les conséquences qui découlent de ces incidents.
C'est fantastique. Et cela m'amène aussi à vous poser la question suivante: quelles sont les normes ou mesures appliquées à l'heure actuelle? Pour nous, le système bancaire canadien est une infrastructure essentielle de notre pays. Quelles sont les normes appliquées actuellement pour veiller à ce que ces attentes soient respectées? Y a-t-il des incitatifs? Y a-t-il des pénalités? Y a-t-il quoi que ce soit qui assure une approche uniforme au sein de ce secteur pour veiller à la sécurité des Canadiens? Nous sommes là pour servir les Canadiens. Je serais curieux de savoir s'il y a des exigences opérationnelles de base auxquelles tous les acteurs du secteur doivent se plier. S'il n'y en a pas, pouvez-vous me dire pourquoi? Et comment pouvons-nous en établir?
(1405)
M. André Boucher:
Je vous remercie pour votre question. Sa portée est très large. Je crois que, cet après-midi, vous entendrez des experts de ce secteur précis des institutions financières.
Je vous dirais que, du point de vue de la cybersécurité, le secteur financier est fort développé, puisqu'il comprend tant des organismes de réglementation que des pratiques exemplaires bien établis. En tant qu'experts de la cybersécurité, nous déployons des efforts considérables pour qu'une telle collaboration s'inscrive dans ces pratiques exemplaires. Nous laissons les organismes de réglementation du secteur établir les normes et lignes directrices de base, les revoir et assurer leur application. En fait, nous misons sur ce que chacun a de mieux à offrir et en tirons le maximum dans des secteurs en entier. Dans le cas présent, il s'agit du secteur financier. C'est l'un des secteurs très développés où la collaboration va de soi. C'est un secteur qui accorde sa véritable valeur aux risques pour la réputation. Des investissements majeurs sont faits à cet égard.
Sur le plan national, je crois que la présence de normes de base et d'organismes de réglementation qui veillent à leur application, sans compter des équipes qui s'emploient à aider les entreprises à offrir le meilleur rendement possible, est fort rassurante.
M. Glen Motz:
Environ 2,9 millions de particuliers et d'entreprises au Canada sont touchés par cet incident, mais des millions d'autres au pays ont aussi été victimes d'un vol d'identité ou de renseignements relatifs à leur carte de crédit. Le fait d'apprendre que notre secteur bancaire est bien développé ne suffira peut-être pas à les réconforter, puisqu'ils continuent de subir les répercussions de ce méfait. Je serais curieux de savoir si nous sommes aussi énergiques que nous pourrions ou devrions l'être quant à la sécurité des institutions financières et des personnes qui leur accordent leur confiance.
M. André Boucher:
Je vous assure que nous mettons énergiquement à profit toutes les mesures à notre disposition, qu'il s'agisse de pratiques exemplaires en matière de collaboration ou de mesures en place.
La triste réalité, comme je l'ai mentionné plus tôt, c'est que nous devons malheureusement tous vivre avec la perte de données et le fait que nous ne pourrons jamais les récupérer. Contrairement à un actif tangible, il n'est pas possible d'aller les chercher pour les ramener à la maison. C'est une nouvelle réalité, tant pour les clients que les entreprises.
Comme je l'ai souligné un peu plus tôt, cela vient confirmer toute l'importance d'investir tôt, tant dans l'acquisition de programmes que dans le recrutement mieux avisé des employés et l'adoption d'une approche globale en matière de sécurité afin de ne pas se retrouver en position de rattrapage.
M. Glen Motz:
D'accord, merci.
Monsieur Flynn, les circonstances actuelles et d'autres avant cela nous ont appris que les données constituent la marchandise la plus courue sur le Web profond. Nous le savons. Le nom, l'adresse, la date de naissance, le numéro d'assurance sociale, l'adresse IP et le courriel des gens, toutes ces données sont de la marchandise échangée à volonté en ligne. Quelques questions me viennent d'ailleurs à l'esprit. Pouvez-vous aider la population canadienne à comprendre de quelle façon le milieu interlope utilise ces renseignements, mais aussi de quelle façon nous pouvons faire preuve de vigilance? Vous avez déjà partiellement répondu à M. Drouin, mais, en votre qualité de représentant de l'organisme national d’application de la loi, à quels signaux d'alarme les Canadiens devraient-ils prêter attention, selon vous, si leurs données ont été compromises, et même avant qu'elles le soient?
Le président:
Monsieur Motz pose là une question importante. Malheureusement, il n'a plus de temps pour la réponse. Je vous invite donc à inclure votre réponse dans celle que vous ferez à une autre question. La séance dure trois heures et, si je ne respecte pas le temps alloué à chacun, nous ne nous en sortirons pas.
Madame Dabrusin, je vous en prie. Vous avez cinq minutes.
(1410)
[Français]
Mme Julie Dabrusin (Toronto—Danforth, Lib.):
Merci.
Quand nous avons fait notre étude au sujet des associations bancaires et de la cybersécurité, on a dit qu'il y avait beaucoup de sécurité du côté bancaire, ce qu'on remet peut-être en question maintenant, et on a parlé des individus comme s'ils étaient des boîtes de carton.
Qu'est-ce que les individus peuvent faire pour mieux se protéger? Pouvez-vous nous donner des informations et des données? Y a-t-il un endroit où les gens peuvent trouver de l'information, que ce soit sur des sites Web ou par téléphone, afin de mieux se protéger? Pouvez-vous nous aider, monsieur Boucher?
M. André Boucher:
Je vous remercie de votre question.
Nous avons un très grand programme. Sur notre site Web, cyber.gc.ca, les gens peuvent trouver des mesures appropriées pour les individus. Effectivement, l'individu doit être alerte lorsqu'il navigue sur Internet. Cela est au cœur de la cybersécurité. Il faut savoir non seulement comment utiliser Internet, mais aussi ce qu'on met en commun avec les gens. Nous menons constamment des campagnes d'information sur l'utilisation des appareils et nous conscientisons les gens à l'importance de choisir ceux à qui ils communiquent de l'information privilégiée.
C'est une chose de se munir du meilleur appareil et de le tenir à jour, mais encore faut-il faire de bons choix. Il faut aller sur des sites Web d'entreprises qu'on considère comme fiables et qui ont une bonne réputation. Une fois qu'on a fait tout cela, il faut aussi choisir les renseignements qu'on transmet à l'entreprise en question. Il y a donc trois étapes, et toute cette information est disponible dans les avis que nous donnons aux gens.
Mme Julie Dabrusin:
D’accord.
Il y avait aussi beaucoup d’information au sujet des mots de passe. Par exemple, on parlait des gens qui utilisent le même mot de passe pour toutes leurs activités sur Internet.
Est-ce que vous pouvez nous donner des informations sur les façons dont les gens peuvent mieux se protéger avec leurs mots de passe? C'est important.
M. André Boucher:
Oui. Sur notre site Web — j'en fais toujours la promotion —, nous donnons des conseils précis sur la longueur et la complexité des mots de passe. Il y a aussi quelques trucs. Je veux laisser la chance aux gens d'aller en prendre connaissance par eux-mêmes. Il y a souvent des rumeurs disant qu’il faut changer souvent son mot de passe. Le problème, c'est que cela signifie que l'on doit mémoriser plusieurs mots de passe qui sont constamment en changement. Au fil du temps, l’avis a évolué. Maintenant, on dit qu'il faut au moins choisir un mot de passe solide, ce qui est défini par certains paramètres, que l'on peut trouver en ligne, qu'il s'agisse de la longueur ou de la complexité, selon ce que le fournisseur offre. S'il offre d’utiliser 15 caractères, on doit essayer de tous les utiliser. Si on ne nous en offre que huit, c’est déplorable, mais on doit alors choisir un mot de passe plus complexe.
Changer souvent son mot de passe n'a pas beaucoup de valeur si cela nous force à les noter quelque part ou à utiliser le même sur plusieurs sites. Ce que nous demandons aux gens, c’est d’être diligents et de choisir un mot de passe unique et aussi fort que le permettent les paramètres du fournisseur. Ils peuvent garder le même mot de passe, mais s’il y a un incident, ils doivent réagir rapidement, le changer et mettre en place des mesures de sécurité additionnelles. Il y a donc une combinaison de choses à faire.
Mme Julie Dabrusin:
L’autre problème, c'est qu’une fois qu'ils ont trouvé un mot de passe qui fonctionne bien, les gens l’utilisent sur tous les sites Web. Certains sites Web nous disent qu’on a besoin de plus de caractères ou d’autres choses, mais on ne nous rappelle jamais que nous devrions avoir d’autres mots de passe et non utiliser le même partout. Est-ce que vous pouvez dire quelque chose à ce sujet aussi?
M. André Boucher:
Là, vous me demandez d’être très pragmatique.
Mme Julie Dabrusin: Oui, mais c’est pragmatique.
M. André Boucher: Si je vais au-delà du conseil spécifique d’être très pragmatique, ce que je proposerais aux gens, c’est de regrouper leurs mots de passe selon le niveau d’incertitude qu'ils ont à l'égard des différents services qu'ils utilisent. Par exemple, pour leurs services bancaires, ils voudront utiliser plusieurs mots de passe distincts et les plus complexes possible. Par contre, pour leur compte sur le site de leur club local de curling ou d'autres comptes similaires, ils pourraient peut-être se donner la latitude d’utiliser le même mot de passe quelques fois, même si je ne le leur recommande pas.
Mme Julie Dabrusin:
Qu’est-ce que les banques peuvent faire pour donner de meilleures informations aux gens qui utilisent leurs services?
M. André Boucher:
Je crois que la plupart, sinon toutes les banques demandent un minimum de sophistication quant au mot de passe. Elles ont déjà établi une certaine norme pour se protéger elles-mêmes d’un client qui ne serait peut-être pas diligent dans la sélection de son mot de passe.
[Traduction]
Le président:
Merci, madame Dabrusin.
Bienvenue au Comité, monsieur Clarke. La parole est à vous. Vous avez cinq minutes.
[Français]
M. Alupa Clarke (Beauport—Limoilou, PCC):
Merci, monsieur le président. Je suis très content d’être ici.
Je vous remercie, messieurs, d’être ici aujourd’hui et de donner de votre temps pour rassurer les Canadiens et répondre à nos questions.
Une des pierres angulaires du contrat social que nous avons sur notre territoire, c’est la protection des citoyens, non seulement celle qu'ils s'offrent réciproquement entre eux, mais aussi celle qu'ils reçoivent de l'État. Depuis trois semaines, les citoyens de toutes nos circonscriptions sont extrêmement préoccupés. Deux jours après que la fuite de données a été rendue publique, des gens venaient à mon bureau. Lorsque je faisais du porte-à-porte, c'est tout ce dont ils me parlaient. Il y a donc une vraie préoccupation et les gens sentent qu’il n’y a aucune réponse de la part du gouvernement.
Ce que mes concitoyens voudraient savoir de votre part, monsieur Boucher, est très simple: est-ce que le Centre canadien pour la cybersécurité peut effectivement assurer la sécurité en bonne et due forme des 2,9 millions de Canadiens qui ont été touchés par ce vol de données personnelles, oui ou non?
Est-ce que votre institution a les outils nécessaires pour faire face à cette situation et assurer la protection des citoyens victimes de vol d'identité?
(1415)
M. André Boucher:
Il est juste de dire que le Centre canadien pour la cybersécurité a les moyens de prendre des mesures concernant tous les aspects de la cybersécurité. Nous traitons aujourd'hui d'un cas de menace interne et de vol d’informations. Ce n’est pas, au sens strict, une question de cybersécurité...
M. Alupa Clarke:
Je ne parle pas de l’événement qui est arrivé, je parle de ce qui va arriver prochainement. C’est cela qui inquiète les citoyens. Je veux savoir si le Centre canadien pour la cybersécurité a la capacité de faire face aux fraudeurs internationaux ou nationaux qui tentent d’envoyer des messages textes ou quoi que ce soit.
Votre organisme a-t-il la capacité de faire face à cela?
M. André Boucher:
Je ne tente pas d'échapper à votre question, mais elle concerne plutôt un problème de loi ou de fraude, et non un problème de cybersécurité. Cela ne veut pas dire que, si nous voyons des manifestations, nous les ignorerions.
Nous commençons chaque journée en discutant avec nos partenaires, incluant ceux de la GRC, afin de leur faire part de ce que nous savons et de ce qu'il y a de nouveau. Nous nous assurons que l'intervenant responsable du dossier fera quelque chose de cette information. L'équipe nationale est la meilleure qui soit et ces gens ne vont rien laisser tomber. Ils vont tenter de régler les problèmes et de faire le maximum pour prendre soin de la sécurité des Canadiens.
M. Alupa Clarke:
Je vais profiter de votre expertise en cybersécurité.
Notre système actuel de numéros d'assurance sociale est-il adéquat dans ce monde contemporain où Internet prend toute la place? C'est rendu à un point où les gens font leurs achats avec leur téléphone ou paient en quelques secondes à une caisse. Notre système de numéros d'assurance sociale est-il adéquat dans le monde dans lequel nous vivons aujourd'hui?
M. André Boucher:
Je vous remercie encore de votre question. Vous ne posez pas des questions faciles, monsieur Clarke.
Je ne suis pas un expert en numéros d'assurance sociale et leur utilisation, mais je peux parler d'identifiants. Quels que soient les identifiants dont on se munit, que ce soit des identifiants cryptologiques complexes ou simples, il y a toujours un problème de gestion de l'information et de vol possible de l'information. C'est un problème très complexe et je vais laisser aux experts en numéros d'assurance sociale le soin de répondre à l'aspect spécifique de votre question.
Selon moi, le problème plus large est la gestion des identifiants. C'est un morceau d'information clé qu'il faut apprendre à gérer dans les systèmes de sécurité larges dont je parlais.
M. Alupa Clarke:
Monsieur le surintendant, j'ai une question qui va dans le même sens que celle de mon collègue M. Motz.
Tous les gens qui m'ont abordé dans la rue, au bureau ou lors d'un porte-à-porte m'ont posé la même question. Ils m'ont demandé quels actes criminels ces fraudeurs commettront ultérieurement et à quoi il faut s'attendre. Quels actes criminels seront posés en ce qui concerne les 2,9 millions de Canadiens touchés par cette immense fuite de données?
Ensuite, dans combien de temps ces actes seront-ils posés? En ce moment, les médias disent toutes sortes de choses. On dit notamment que cela prendra cinq ou dix ans avant que les fraudeurs n'agissent et qu'ils attendront que la poussière retombe.
[Traduction]
Le président:
Ici encore, la question est importante. Vous avez une quinzaine de secondes pour y répondre.
Surint. pr. Mark Flynn:
Le fait est que, dès que des renseignements personnels, des mots de passe, etc. se retrouvent sur Internet, ils y demeurent à perpétuité. Les gens doivent être vigilants par rapport à cela, et utiliser les services à leur disposition, comme la surveillance du crédit, pour s'assurer que des déclencheurs sont activés quand quelqu'un essaie d'utiliser ces renseignements, ce qui les prévient et contribue à lutter contre la fraude.
C'est ce que je peux vous dire avec le temps qui m'est imparti.
(1420)
Le président:
Merci, monsieur Clarke.
Monsieur Graham, vous avez cinq minutes.
[Français]
M. David de Burgh Graham:
Il y a une quinzaine d'années, j'étais sur un canal d'IRC — je ne sais pas si vous connaissez cela —, et quelqu'un y offrait des numéros de cartes de crédit avec les trois chiffres derrière ainsi que l'adresse; tout était prêt. Il demandait aux gens s'ils souhaitaient les acheter. Je trouvais que cela n'avait pas d'allure et j'ai voulu appeler la police ou différents services, mais personne ne répondait ou ne savait quoi faire.
Si quelqu'un voyait quelque chose de semblable sur Internet aujourd'hui, y a-t-il un endroit où il pourrait le rapporter?
[Traduction]
Surint. pr. Mark Flynn:
La GRC, en collaboration avec la Police provinciale de l'Ontario et le Bureau de la concurrence, exploite le Centre antifraude du Canada. C'est l'un des meilleurs endroits où signaler des activités frauduleuses, que ce soit un numéro de téléphone utilisé par les fraudeurs, un vol d'identité ou un cas de fraude. Le Centre compile ce type de renseignements. Il les transmet. Des enquêtes policières sont lancées d'après ces renseignements. C'est le premier endroit où vous devriez appeler, de même qu'à votre poste de police.
Les forces de l'ordre locales, que ce soit la GRC ou un autre corps policier dans le cas de l'Ontario et du Québec, doivent être mises au courant des crimes perpétrés. Il y a un lien entre le crime organisé impliqué dans les cas de fraude et les autres activités criminelles.
[Français]
M. David de Burgh Graham:
Quels sont les pouvoirs du Centre canadien pour la cybersécurité? Que peut-il faire?
M. André Boucher:
Parlez-vous en général ou du cas qui nous occupe?
M. David de Burgh Graham:
Je parle en général. Les gens de ce centre prennent-ils les commentaires de l'extérieur ou travaillent-ils seulement avec les entreprises? Expliquez-moi ce qu'ils font.
M. André Boucher:
Comme je l'expliquais tout à l'heure, le Centre canadien pour la cybersécurité est responsable de donner des avis. Il prépare et protège l'information d'intérêt national. Il s'occupe de la gestion des incidents et des stratégies d'atténuation qui s'ensuivent. Toutes les étapes se déroulent en coordination avec les partenaires du Centre, conformément à son mandat. Quand il y a des problèmes de fraude, on fait appel à l'équipe nationale, qui est formée des centres qui ont déjà été nommés. On s'assure que l'information disponible est mise en commun et on va de l'avant. Le dossier se poursuit, et si plus d'information est disponible, on la transmet à la personne responsable.
Voici ce que ce modèle d'affaires a d'intéressant. S'il survient un changement pendant que le dossier est en cours, par exemple s'il ne s'agit plus d'une enquête, le Centre canadien pour la cybersécurité va le prendre en charge jusqu'à ce que la victime ait eu... jusqu'à la fermeture du dossier, si vous voulez.
M. David de Burgh Graham:
Tout à l'heure, on a parlé de mots de passe. Maintenant, on voit beaucoup plus l'authentification de deux facteurs en ce qui concerne les comptes de banque. Pourrait-on faire la même chose pour le numéro d'assurance sociale?
M. André Boucher:
Je vais répondre la même chose que tout à l'heure. Je ne suis pas un expert en numéros d'assurance sociale, mais nous recommandons fortement aux gens, quand c'est possible, de se servir des deux facteurs. Ce n'est pas parfait, mais cela améliore la sécurité de leurs renseignements.
M. Michel Picard:
J'aimerais revenir sur la question de l'identifiant unique.
Il y a d'autres modèles. Dans d'autres comités, on a parlé du fameux modèle de l'Estonie, je crois. Ce système va dans le sens des discussions que nous avons eues sur le système bancaire ouvert, où toute l'information est centralisée et où les gens peuvent y avoir accès en fournissant un numéro d'identification unique.
Au bout du compte, peu importe le nom qu'on lui donne, le numéro d'assurance sociale est un numéro d'identification unique. Il faut comprendre les limites de notre système. On a beau avoir un système ultra moderne et par excellence, si on revient à une seule et unique façon d'identifier quelqu'un, la donnée sera toujours vulnérable si quelqu'un met la main dessus.
M. André Boucher:
Tout à fait. On ne peut pas les nommer aujourd'hui, mais plusieurs pays ont tenté d'avoir un numéro d'identification unique national. Quelques-uns ont connu du succès et d'autres, un peu moins, parce que, comme vous l'avez dit, ce numéro devient une donnée essentielle et que, s'il y a la moindre faiblesse, il risque d'être exploité.
M. Michel Picard:
Votre organisation gère-t-elle elle-même les données personnelles de ses employés?
M. André Boucher:
Oui, absolument, avec toutes les mesures dont je parlais tout à l'heure.
M. Michel Picard:
Comment fait-on pour se protéger d'un employé qui est de mauvaise humeur un matin et qui décide de traverser la clôture?
M. André Boucher:
Nous avons un programme exhaustif de sécurité qui s'applique dès la sélection du personnel. Évidemment, il y a une culture de sécurité dans l'ensemble de notre organisation, ce qui comprend la sécurité du personnel, la sécurité physique et la sécurité des systèmes informatiques.
Les processus sont en place. C'est un système evergreen, c'est-à-dire qu'il doit toujours être mis à jour. On ne se repose pas sur le système en place, on revoit celui-ci périodiquement. C'est vaste et complexe, mais c'est un investissement qui en vaut la peine.
(1425)
M. Michel Picard:
Votre approche est-elle utilisée ailleurs sur le marché? Y a-t-il un organisme qui a mis en place une culture de sécurité semblable à celle que vous développez?
M. André Boucher:
Notre approche est moderne et nous n'avons pas le monopole en la matière. Vous pouvez trouver des documents. Sécurité publique Canada a publié un document décrivant la façon de se munir d'un système de sécurité. C'est une très bonne source de référence et cela touche les mêmes modèles que ceux que nous avons.
M. Michel Picard:
Merci, monsieur Boucher.
[Traduction]
Le président:
Merci, monsieur Picard.
Monsieur Dubé, vous avez trois minutes.
Monsieur Fortin, il nous restera ensuite quelques minutes. Souhaitez-vous avoir un peu de temps pour poser des questions?
M. Rhéal Fortin:
Oui, s'il vous plaît.
Le président:
Allez-y, monsieur Dubé.
[Français]
M. Matthew Dubé:
Merci, monsieur le président.
Monsieur Boucher, je n'ai pas eu la chance de vous poser des questions tout à l'heure.
Ma première question concerne ce qu'a dit votre collègue M. Scott Jones, qui a comparu devant notre comité dans le cadre de l'étude à laquelle on fait référence régulièrement aujourd'hui. Il a mentionné qu'il était important que les institutions et les entreprises signalent les vols ou les fuites de données qui les touchent.
La recommandation du Comité était plutôt vague. Devrait-on insister sur le fait qu'il faut signaler ce genre de fuites à la police, afin de minimiser les dégâts pour la population et arrêter ceux qui ont commis le crime?
Cela m'amène à deux autres questions, lesquelles s'adressent à vous, monsieur Flynn.
Étant donné que l'information va demeurer sur Internet à perpétuité, la police doit-elle traiter ces menaces de la même façon que les menaces physiques? Si un meurtrier ou quiconque pose une menace physique, j'imagine qu'il y a un certain sentiment d'urgence dans les enquêtes policières. Devrait-on faire la même chose dans le cas des cybermenaces? Desjardins a quand même communiqué avec la SQ au mois de décembre, si je ne m'abuse.
Ma dernière question concerne les vérifications d'antécédents et les vérifications continues de sécurité. Maintenant que des individus possèdent une expertise très élevée en la matière, ces vérifications doivent-elles devenir la norme?
Je vous laisse répondre dans le temps qui reste.
M. André Boucher:
Concernant le signalement d'incidents, je vous rappelle que nous recommandons d'investir avant l'incident. Il faut qu'il y ait un programme de sécurité et de détection, et ainsi de suite. Nous recommandons toujours aux gens de signaler un incident et d'en faire part à leur communauté, parce qu'il y a probablement des points communs. Ainsi, tous pourront apprendre de cet incident.
En tant que centre national de cybersécurité, nous essayons de recueillir de telles informations dans toutes les communautés, de trouver les points communs et d'émettre des avis qui pourraient augmenter la sécurité à l'échelle nationale. Effectivement, il faut signaler les incidents.
[Traduction]
Surint. pr. Mark Flynn:
En ce qui a trait aux menaces physiques par rapport aux cybermenaces, je suis d'accord avec vous. C'est très difficile à comprendre. Les forces de l'ordre peinent à établir l'allocation de leurs ressources, car elles cherchent toujours à cibler ce qui aura le plus d'effet sur la réduction des méfaits.
Prenons la fraude. C'est une menace très grave, tant au Canada qu'à l'échelle mondiale. Il est difficile de comparer une fraude de 400 000 $ ou de 2 millions de dollars à une menace physique ou à un homicide, voire à une agression. Cela nous donne bien du mal, mais je peux vous confirmer que nous en sommes conscients et que nous évaluons actuellement notre façon de jauger ce risque et d'établir nos priorités.
[Français]
M. Matthew Dubé:
Ne serait-il pas pertinent de dire que cela a une incidence permanente sur la vie d'une personne et de voir les choses de cette façon?
[Traduction]
Surint. pr. Mark Flynn:
Oui, c'est indéniablement un facteur.
Le président:
Merci, monsieur Dubé.[Français]
Monsieur Fortin, vous avez deux minutes.
M. Rhéal Fortin:
J'aimerais poser rapidement une question à M. Flynn. Je dis « rapidement » parce que je n’ai que deux minutes et que j'avais aussi une question à poser à M. Boucher.
Il y a deux ans, 19 millions de Canadiens ont été l’objet d’une fraude chez Equifax. Il s'agissait d'un vol de données semblables. L’an dernier, on parlait d’environ 90 000 clients de la CIBC et de la BMO. Cette année, il s'agit de clients de Desjardins.
Pouvez-vous nous dire s'il y a eu une augmentation des crimes liés à l'utilisation de ces données à la suite de ces événements?
[Traduction]
Surint. pr. Mark Flynn:
Des données tirées de ces comptes compromis en tant que telles?
[Français]
M. Rhéal Fortin:
Oui, mais je parle de ce type de crime.
(1430)
[Traduction]
Surint. pr. Mark Flynn:
Nous constatons que les fraudeurs utilisent des renseignements compromis pour effectuer leurs transactions. L'enquête de la GRC sur Leakedsource.com s'est avérée concluante: ce site revendait des renseignements tirés d'une imposante banque de données compromises rendues publiques. L'accusé a plaidé coupable.
La revente de tels renseignements n'est pas inhabituelle, comme en témoignent divers incidents.
[Français]
M. Rhéal Fortin:
D'accord, mais est-ce que le taux de criminalité lié à l'utilisation de ces données volées a augmenté?
[Traduction]
Surint. pr. Mark Flynn:
Je n'ai pas pris en note le taux de criminalité en particulier, mais il va sans dire que c'est le genre d'activités criminelles dont nous sommes témoins.
[Français]
M. Rhéal Fortin:
D'accord.
Ma seconde question s’adresse à M. Boucher.
Monsieur Boucher, dans votre témoignage écrit, vous donnez trois recommandations. La deuxième consiste à investir dans la formation et la sensibilisation pour que les personnes aient les moyens d’agir. Est-ce que le gouvernement fédéral a prévu des investissements pour collaborer avec le gouvernement du Québec en vue d’améliorer la sécurité des Québécois?
M. André Boucher:
Je peux parler de mon organisation. Nous avons une responsabilité nationale, et travailler avec nos partenaires du Québec en fait partie. Nous investissons dans l’éducation et la formation et nous offrons aussi nos services aux entreprises québécoises...
M. Rhéal Fortin:
Excusez-moi de vous interrompre, je ne veux pas vous bousculer, mais comme vous le savez, deux minutes, c’est court.
Y a-t-il des projets d’investissement, et si c'est le cas, pouvez-vous les chiffrer? Par exemple, le fédéral a-t-il dégagé une enveloppe d'un certain nombre de millions de dollars pour s’entendre avec Québec sur un programme de formation ou autre en lien avec la cybercriminalité?
M. André Boucher:
Je n'ai pas cette information avec moi aujourd'hui.
M. Rhéal Fortin:
D'accord.
Je vous remercie.
[Traduction]
Le président:
Vous n'aurez malheureusement pas le temps de répondre à cette question.
Avant de suspendre la séance, je voudrais simplement revenir au point trois de votre présentation, monsieur Boucher, où vous dites: « II faut également déterminer et protéger les actifs essentiels. II importe de savoir où se trouvent les données clés. Assurez-vous donc de leur protection et surveillez les mesures de protection prises. Soyez prêts à intervenir. » Autrement dit, des réseaux à confiance zéro, ce dont nous entendons parler depuis six mois.
Est-ce la norme qui devrait s’appliquer à toute institution financière, pas seulement à Desjardins?
M. André Boucher:
Je crois que toute grande entreprise doit évaluer ses actifs essentiels et leur valeur, puis décider de l'ampleur de ses investissements dans leur protection en fonction du risque. En partant du principe de la confiance zéro, le fait est que nous vivons aujourd’hui dans un environnement complexe. Il ne faut donc pas présumer que le système va fonctionner en vase clos. Il faut investir dans un programme de sécurité de façon globale, soit dans les bonnes personnes, les bons processus et la bonne technologie. L'ensemble de ces éléments vont...
Le président:
C'est une norme qui fait l'unanimité dans le milieu du cyber, si je puis dire, cette idée de confiance zéro, à votre point trois.
M. André Boucher:
On s'entend pour dire qu'il faut investir dans tous ces éléments.
Le président:
Merci, monsieur Boucher.
Sur ce, nous allons suspendre la séance.
Nous devons entendre des représentants du gouvernement et faisons somme toute des progrès intéressants. Je présume, mais sans savoir si j'ai raison, que si je suspends la séance pendant deux ou trois minutes, nous pouvons reprendre les travaux avec les témoins du gouvernement et poursuivre sur notre lancée. Est-ce que cela vous convient, chers collègues?
D'accord. Sur ce, la séance est suspendue et reprendra avec les témoins du gouvernement. Merci. (1430)
(1435)
Le président:
Reprenons nos travaux. Je tiens à remercier les représentants du gouvernement pour leur souplesse et les prie de faire preuve d'un peu plus de patience, car le Comité attend toujours l'arrivée des représentants de Desjardins.
J'invite les divers représentants de Revenu Canada, du ministère des Finances, du ministère de l'Emploi et du Développement social et du Bureau du surintendant des institutions financières à être brefs. Si les représentants de Desjardins ont un temps limité à nous consacrer, je vais, s'ils se présentent, suspendre la séance un instant après vos déclarations et vous prier de vous asseoir au fond de la salle afin que nous puissions discuter avec eux pendant un certain temps. Ensuite, je vous demanderai de revenir devant le Comité, et les membres pourront vous poser des questions, si cela vous convient. Même si cela ne vous semble pas une façon convenable de mener la séance, c'est ainsi que nous allons procéder, donc je vais simplement demander au représentant de Revenu Canada ou du ministère des Finances de prendre la parole, selon celui qui souhaite s'exprimer en premier.
Mme Annette Ryan (sous-ministre adjointe déléguée, Direction de la politique du secteur financier, ministère des Finances):
Merci, monsieur le président. Je vais commencer, si cela vous convient.[Français]
Je m'appelle Annette Ryan. Je suis sous-ministre adjointe déléguée de la Direction de la politique du secteur financier au ministère des Finances. Je suis accompagnée de Robert Sample, directeur général de la Division de la stabilité financière et des marchés des capitaux, ainsi que de Judy Cameron, directrice principale du Bureau du surintendant des institutions financières du Canada, ainsi que de son collègue. Nous sommes heureux d'être ici avec vous aujourd'hui. (1440)
[Traduction]
Mes remarques porteront sur deux sujets que je crois pertinents dans le contexte des questions dont vous êtes saisis. Plus particulièrement, je vais préciser les rôles des ministères et agences du gouvernement ainsi que des acteurs du secteur privé dans le cadre fédéral régissant le secteur financier, et fournir une mise à jour au Comité quant aux efforts entrepris par le ministère des Finances, les organismes fédéraux de réglementation et les banques pour appuyer la cybersécurité et la protection des données.
La protection de la vie privée et des données personnelles et financières des Canadiens est un objectif partagé du gouvernement et du secteur privé; il s'agit d'un objectif qui est essentiel au maintien continu de la confiance dans le système bancaire canadien.
Je vais aborder la question des rôles au sein du gouvernement fédéral, puis de celui des gouvernements provinciaux et des acteurs du secteur privé.
Le ministère des Finances et les organismes fédéraux de surveillance du secteur financier sont chargés des lois et des règlements qui régissent le système bancaire canadien sous juridiction fédérale. Collectivement, nous établissons les attentes et en surveillons la mise en œuvre afin de garantir que les risques opérationnels liés à la cybersécurité et à la protection de la vie privée sont convenablement gérés par les institutions financières que nous réglementons.
Le ministre des Finances a une responsabilité générale envers la stabilité et l'intégrité du système financier canadien. La cybersécurité est un aspect essentiel de la stabilité du secteur financier, car elle permet au secteur de demeurer résilient face aux cybermenaces et aux cyberattaques.
Le ministère de la Sécurité publique a, à son tour, reconnu le secteur des services financiers comme un secteur d'importance critique dans le cadre de sa Stratégie nationale sur les infrastructures essentielles.
Le ministère des Finances travaille étroitement avec un ensemble d'intervenants responsables de la réglementation du secteur financier et de la cybersécurité, tant au niveau national qu'avec nos partenaires internationaux, afin de s'assurer que le secteur adopte des pratiques appropriées pour favoriser la cyber-résilience et la protection des données et aussi afin de faire en sorte que les besoins du secteur financier soient pris en compte dans les politiques portant sur l'ensemble de l'économie et la législation ayant trait à la cybersécurité et à la protection des données.
Je vais maintenant aborder les responsabilités des différents régulateurs du secteur financier. Le Bureau du surintendant des institutions financières, l'organisme de réglementation prudentielle des institutions financières fédérales — par exemple, les banques — élabore des normes et des règles pour gérer les risques en matière de cybersécurité. Ceci est conforme à son mandat plus vaste de surveillance des risques opérationnels que les institutions financières doivent gérer.
La Banque du Canada surveille les infrastructures du marché financier, comme les systèmes de paiements, afin d'accroître leur résilience aux cybermenaces et coordonne les réponses de l'ensemble du secteur en cas d'incident opérationnel systémique.
D'autres organismes fédéraux sont responsables de la législation entourant le respect de la vie privée. Le Commissariat à la protection de la vie privée veille à ce que les banques respectent la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit la protection des renseignements personnels dans le secteur privé canadien. Cette loi établit les exigences auxquelles les entreprises doivent satisfaire relativement à la collecte, à l'utilisation ou à la divulgation de données personnelles dans le cadre d'activités commerciales. Ces exigences comprennent la mise en place de mesures de protection appropriées pour protéger les données personnelles contre la perte, le vol ou la divulgation non autorisée.
Le ministère de l'Innovation, des Sciences et du Développement économique a une responsabilité stratégique globale à l'égard de la Loi sur la protection des renseignements personnels et les documents électroniques. En novembre 2018, le gouvernement du Canada a modifié les dispositions de la loi relatives au signalement d'atteinte à la protection des données et aux sanctions pécuniaires connexes pour ne pas avoir signalé une fraude.
Comme vous l'avez entendu plus tôt, d'autres agences et ministères fédéraux, y compris Sécurité publique, le Centre canadien pour la cybersécurité et la Gendarmerie royale du Canada, partagent des responsabilités à l'égard de plus vastes initiatives de cybersécurité du gouvernement du Canada.[Français]
Il est important de noter que la responsabilité de la surveillance du secteur financier canadien est partagée entre les gouvernements fédéral et provinciaux. Les provinces sont chargées de la surveillance des courtiers en valeurs mobilières, des conseillers en épargne collective et en fonds de placement, des coopératives provinciales, ainsi que des caisses d'épargne, des sociétés de fiducie, des compagnies d'assurances et des sociétés de prêt constituées par une loi provinciale.
Par conséquent, les autorités fédérales et provinciales du secteur financier ont des protocoles en place à l'égard de l'échange de renseignements, particulièrement pour les questions relatives à la stabilité financière. Les institutions financières ont bien sûr la responsabilité première quant au maintien de la cybersécurité et de la protection des données sur une base quotidienne, puisqu'elles gèrent directement les risques opérationnels grâce à un ensemble exhaustif de mesures de protection et de prévention sur le plan individuel et à la coopération avec les autres acteurs de l'industrie.
Ces mesures sont appuyées par des politiques et des normes qui sont constamment mises à jour pour répondre aux menaces changeantes et demeurent conformes aux pratiques exemplaires de l'industrie. (1445)
[Traduction]
Les cyberattaques sont une menace sérieuse et permanente. J'aimerais aborder quelques-unes des mesures mises en place par le gouvernement du Canada, les organismes de réglementation du secteur financier et les banques afin de renforcer la cybersécurité dans le secteur financier.
Dans le budget de 2018, le gouvernement fédéral a investi plus d'un demi-milliard de dollars dans la cybersécurité et, en octobre 2018, le gouvernement a établi le Centre canadien pour la cybersécurité, qui sert de guichet unique d'expertise et de conseils techniques pour les Canadiens, les gouvernements et les entreprises. Le Centre lutte contre les auteurs de cybermenaces qui ciblent des entreprises canadiennes, y compris les institutions financières fédérales et provinciales, en vue d'obtenir des données de leurs clients, des renseignements financiers et des systèmes de paiement. Les efforts de lutte contre la cybercriminalité ont été stimulés par le Centre national de coordination de la lutte contre la cybercriminalité nouvellement créé au sein de la GRC, qui fournit un mécanisme national de signalement des cybercrimes, y compris les atteintes à la protection des données ou les fraudes financières.
Plus récemment, dans le budget de 2019, le gouvernement a proposé une loi et un financement afin de protéger les cybersystèmes essentiels dans les secteurs canadiens des finances, des télécommunications, de l'énergie et des transports.[Français]
Nos collègues du Secrétariat du Conseil du Trésor continuent de travailler conjointement avec les gouvernements provinciaux, les institutions financières et les partenaires fédéraux à l'élaboration d'un cadre de confiance pancanadien sur l'identité numérique qui vise à renforcer la protection de l'identité numérique dans le contexte des cybermenaces.[Traduction]
En ce qui concerne la réglementation, plus tôt cette année, le Bureau du surintendant des institutions financières a publié un nouveau guide sur les exigences de signalement des incidents liés à la technologie et à la cybersécurité par l'entremise du préavis sur le signalement des incidents liés à la technologie et à la cybersécurité. Ces directives visent à aider le bureau à déterminer où les banques peuvent prendre des mesures pour prévenir de façon proactive les incidents liés à la cybersécurité ou, lorsqu'un incident survient, à améliorer leur résilience cybernétique.
Bien que notre principal rôle soit de prévenir les atteintes à la protection des données, la réalité est que ces incidents surviennent et ils ne se limitent pas qu'au secteur financier. Cela étant dit, lorsqu'un incident lié à la cybersécurité survient dans une institution fédérale sous réglementation fédérale, des mécanismes de contrôle et de surveillance sont en place pour le gérer.
En résumé, la cybersécurité est un domaine d'une importance critique pour le ministère des Finances. Nous collaborons activement avec des partenaires de l'ensemble du gouvernement et du secteur privé pour nous assurer que les Canadiens sont bien protégés contre des incidents liés à la cybersécurité et que, lorsqu'ils surviennent, les incidents sont gérés de façon à atténuer les répercussions sur les consommateurs et le secteur financier dans son ensemble.
Je vous remercie de votre temps. Je serai heureuse de répondre à vos questions.
[Français]
Le vice-président (M. Pierre Paul-Hus (Charlesbourg—Haute-Saint-Charles, PCC)):
Merci, madame Ryan.
Nous passons maintenant à Mme Boisjoly.
Mme Elise Boisjoly (sous-ministre adjointe, Direction générale des services d'intégrité, ministère de l'Emploi et du Développement social):
Merci beaucoup, monsieur le président.
Je m'appelle Elise Boisjoly et je suis la sous-ministre adjointe responsable des services d'intégrité à Emploi et Développement social Canada. Je suis accompagnée par Mme Anik Dupont, responsable du programme du numéro d'assurance sociale.
Je vous remercie de m'avoir donné l'occasion de m'adresser à vous aujourd'hui. Mon allocution portera sur le programme du numéro d'assurance sociale. Plus précisément, j'aimerais clarifier ce qu'est le numéro d'assurance sociale, fournir des renseignements sur son émission et son utilisation, informer le Comité sur la protection de la vie privée en ce qui concerne le numéro d'assurance sociale, et fournir de l'information sur notre approche en cas de fuite d'informations personnelles.
Le numéro d'assurance sociale est un identificateur de dossier ou un numéro de compte utilisé par le gouvernement du Canada pour coordonner l'administration des prestations et services fédéraux, et par le système du revenu. Le numéro d'assurance sociale est requis pour chaque personne qui occupe un emploi assurable ou donnant droit à une pension au Canada, et pour produire une déclaration de revenus.
Un numéro d'assurance sociale est émis avant le premier emploi, en arrivant au Canada pour la première fois ou même à la naissance. Au cours de la dernière année financière, plus de 1,6 million de numéros d'assurance sociale ont été émis.
Le numéro d'assurance sociale sert, entre autres, à verser plus de 120 milliards de dollars en prestations et à percevoir plus de 300 milliards de dollars en impôts. Il facilite l'échange d'information pour permettre l'allocation de prestations et de services aux Canadiens tout au long de leur vie, comme les prestations pour la garde d'enfants, les prêts étudiants, l'assurance-emploi, les pensions et même les prestations de décès. Ainsi, un numéro d'assurance sociale est attribué à une personne pour la vie.
Le numéro d'assurance sociale n'est pas un identificateur national et ne peut pas être utilisé pour obtenir une identification. En fait, il n'est même pas utilisé par tous les programmes du gouvernement fédéral, seulement par un certain nombre. Le numéro d'assurance sociale seul n'est pas suffisant pour accéder à un programme ou à un avantage gouvernemental, ou même pour obtenir du crédit ou des services dans le secteur privé. Des informations supplémentaires sont toujours requises. (1450)
[Traduction]
Bien que les fuites de données soient de plus en plus courantes, le gouvernement du Canada suit des procédures rigoureuses et établies pour protéger les renseignements personnels des particuliers. Ma collègue a fait mention de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est administrée par Innovation, Sciences et Développement économique Canada. Ces lois établissent le cadre juridique régissant la collecte, la conservation, l'utilisation, la divulgation et l'élimination des renseignements personnels dans le contexte de l'administration des programmes des institutions gouvernementales et des activités du secteur privé.
Comme l'a dit ma collègue, le 1er novembre 2018, une nouvelle modification a été apportée à la Loi sur la protection des renseignements personnels et les documents électroniques exigeant que les organisations faisant face à une fuite de données et ayant des raisons de croire qu'il y a un risque réel de préjudice grave en informent le Commissariat à la protection de la vie privée, les personnes affectées ainsi que les organisations associées dès que possible. La violation de cette disposition peut conduire à des amendes allant jusqu'à 100 000 $ par infraction.
Au sein d'Emploi et Développement social Canada , nous avons des stratégies de surveillance interne, des politiques de confidentialité, des directives et des outils d'information sur la gestion de la protection de la vie privée, ainsi qu'un code de conduite ministériel et des formations obligatoires pour nos employés sur la protection des renseignements personnels. Nous croyons que toute atteinte à la sécurité touchant le numéro d'assurance sociale est très grave et, en fait, le gouvernement du Canada n'est pas à l'abri de telles situations. Par exemple, en 2012, des informations concernant des prêts étudiants canadiens ont été potentiellement compromises. Cette fuite a servi de catalyseur à l'amélioration des pratiques de gestion de l'information au ministère.
La prévention de la fraude en matière de numéro d'assurance sociale commence par l'éducation et la sensibilisation. C'est pourquoi notre site Web et nos documents de communication contiennent des renseignements qui aident les Canadiens à mieux comprendre les mesures qu'ils devraient prendre pour protéger leur numéro d'assurance sociale. Les Canadiens peuvent visiter le site Web du ministère, nous appeler ou visiter l'un de nos centres Service Canada pour apprendre la meilleure façon de se protéger. II est important de noter que la protection des renseignements personnels des Canadiens est une responsabilité partagée entre le gouvernement, le secteur privé et les particuliers. Nous encourageons fortement les Canadiens à ne pas donner leur numéro d'assurance sociale à moins d'être certains qu'il est légalement requis ou que c'est nécessaire. Les Canadiens devraient également surveiller activement leurs renseignements financiers, notamment en communiquant avec les agences d'évaluation du crédit du Canada.[Français]
La perte d'un numéro d'assurance sociale ne signifie pas automatiquement qu'une fraude s'est produite ou se produira.
Cependant, si des Canadiens détectent une activité suspecte touchant leur numéro d'assurance sociale, ils doivent agir rapidement afin de minimiser les répercussions potentielles en signalant tout incident à la police, en contactant le commissaire à la protection de la vie privée et le Centre antifraude du Canada, et en informer Service Canada. Dans les cas où il est prouvé que le numéro d'assurance sociale a été utilisé à des fins frauduleuses, Service Canada travaillera en étroite collaboration avec les personnes touchées.
Le nombre de Canadiens dont le numéro d'assurance sociale a été remplacé par Service Canada en raison d'une fraude est demeuré stable à environ 60 par année depuis 2014, malgré les fuites de données de plus en plus importantes.
Cela dit, nous savons que de nombreux Canadiens ont signé une pétition demandant à Service Canada d'attribuer un nouveau numéro d'assurance sociale aux personnes touchées par cette atteinte aux données. La raison principale pour laquelle nous n'attribuons pas automatiquement un nouveau numéro d'assurance sociale dans ces circonstances est simple: l'obtention d'un nouveau numéro d'assurance sociale ne protégera pas les particuliers contre la fraude. L'ancien numéro d'assurance sociale continue d'exister et est toujours lié aux particuliers. Par exemple, si un fraudeur utilise l'ancien numéro d'assurance sociale d'une personne et que son identité est mal vérifiée, les prêteurs peuvent quand même demander à la personne fraudée de payer les dettes.
Également, il incombera à la personne de fournir son numéro d'assurance sociale à chacune des institutions financières, à ses créanciers, à ses fournisseurs de régime de retraite, à ses employeurs actuels et passés, ou à toute autre organisation à laquelle elle aurait donné son numéro d'assurance sociale. Le faire incorrectement pourrait mettre à risque l'octroi de bénéfices ou laisserait la porte ouverte à la fraude ou au vol d'identité.
Cela signifierait aussi de doubler la surveillance. Les particuliers devraient quand même surveiller leur compte et leurs rapports de solvabilité pour leurs deux numéros d'assurance sociale de façon régulière et continue. La multiplication des numéros d'assurance sociale augmente donc le risque de fraude potentielle.
La surveillance active des bureaux de crédit ainsi que l'examen régulier des relevés bancaires et des relevés de cartes de crédit demeurent la meilleure protection contre la fraude.
En terminant, la protection de l'intégrité du numéro d'assurance sociale est importante pour nous. Je peux vous assurer que nous continuerons à prendre toutes les mesures nécessaires pour y parvenir, incluant la lecture du rapport de ce comité ou d'autres informations provenant de ce comité ou autres sur les meilleures façons d'améliorer la situation.
Je vous remercie de votre temps. Je me ferai un plaisir de répondre à vos questions.
(1455)
Le vice-président (M. Pierre Paul-Hus):
Merci, madame Boisjoly.
Y a-t-il d'autres intervenants qui veulent prendre de parole avant que nous passions aux questions?
Monsieur Guénette, vous avez la parole.
M. Maxime Guénette (sous-commissaire et chef de la protection des renseignements personnels, Direction générale des affaires publiques, Agence du revenu du Canada):
Merci, monsieur le président.
Bonjour à tous les membres du Comité. [Traduction]
Je m'appelle Maxime Guénette et je suis sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels de l'Agence du revenu du Canada. Ma collègue Gillian Pranke, sous-commissaire adjointe de la Direction générale de cotisation, de prestation et de service de l'Agence, m'accompagne aujourd'hui.
L'Agence du revenu du Canada est une organisation qui touche la vie de pratiquement tous les Canadiens. Elle est l'un des plus importants détenteurs de renseignements personnels du gouvernement du Canada. À l'Agence, nous traitons plus de 28 millions de déclarations de revenus de particuliers chaque année. II est donc essentiel qu'elle dispose d'un cadre de protection des renseignements personnels exhaustif pour gérer et protéger les renseignements de tous les Canadiens.[Français]
L'intégrité en milieu de travail est la pierre angulaire de la culture mise en avant par l'Agence. L'Agence aide ses employés à bien agir en leur fournissant des lignes directrices claires et des outils visant à assurer la sécurité et la confidentialité ainsi qu'à protéger les renseignements personnels, les programmes et les données.
L'Agence est tenue de respecter la Loi sur la protection des renseignements personnels ainsi que les politiques et directives du Conseil du Trésor qui y sont liées pour assurer la gestion et la protection des renseignements personnels des Canadiens. L'article 241 de la Loi de l'impôt sur le revenu impose également des exigences en matière de confidentialité aux employés de l'Agence et aux autres personnes ayant accès aux renseignements sur les contribuables.
L'Agence observe aussi la Politique sur la sécurité du gouvernement et les orientations fournies par les principaux organismes de sécurité, comme le Centre de la sécurité des télécommunications et le Centre canadien pour la cybersécurité, qui sont intervenus tantôt.
En avril 2013, l'Agence a nommé son premier chef de la protection des renseignements personnels, qui est, entre autres, responsable des fonctions liées à l'accès à l'information et à la protection des renseignements personnels à l'Agence.[Traduction]
En tant que chef de la protection des renseignements personnels, mon rôle consiste, entre autres, à faire en sorte que la protection des renseignements que l'Agence détient soit assurée et renforcée par la supervision des décisions liées à la protection des renseignements personnels, y compris l'évaluation des répercussions de nos programmes sur la protection de ces renseignements; la défense des droits relatifs à la protection des renseignements personnels, ce qui comprend la gestion des atteintes à la vie privée à l'interne; et le rapport à la haute direction de l'Agence sur l'état de la gestion de la protection des renseignements personnels.
À l'Agence, la responsabilité quant à la saine gestion de la protection des renseignements personnels ne se limite pas à nommer un chef de la protection des renseignements personnels; il s'agit d'une responsabilité que partagent tous les employés.
Pour préserver son intégrité, l'Agence doit avoir en place les systèmes appropriés pour protéger les renseignements de nature délicate des menaces externes. Les réseaux et les postes de travail de l'Agence sont dotés de logiciels de détection et de suppression de logiciels malveillants et de virus. lls sont mis à jour quotidiennement et protègent l'environnement de l'Agence contre les menaces de virus et de codes malveillants.[Français]
Pour ce qui est des employés de l'Agence, leurs ordinateurs sont dotés d'un ensemble de produits de sécurité allant de logiciels antivirus à des logiciels de détection des intrusions au niveau de l'hôte.
Les services externes sont pris en charge par des plateformes sécurisées et protégées par des pare-feu et des outils de prévention des intrusions visant à détecter et à prévenir l'accès non autorisé aux systèmes de l'Agence.
Pour ce qui est des transactions en ligne, nous nous assurons que les renseignements de nature délicate sont chiffrés lors de la transmission entre l'ordinateur d'un contribuable et nos serveurs Web. Peu importe la façon dont les Canadiens choisissent d'interagir avec l'Agence, ils doivent suivre un processus d'authentification en deux étapes pour accéder à leur compte.
Ces étapes sont essentielles pour que seules les personnes autorisées aient accès aux renseignements personnels. Le processus comprend la validation d'un ensemble de points de données personnelles et confidentielles, dont, entre autres, le numéro d'assurance sociale d'une personne, mais aussi le mois et l'année de sa naissance, et des renseignements tirés de sa déclaration de revenus de l'année précédente.[Traduction]
L'Agence mettra sous peu en œuvre un nouveau numéro d'identification personnel pour les contribuables qui appellent la ligne des demandes de renseignements sur l'impôt des particuliers. De plus, l'Agence étudie actuellement des procédures de sécurité supplémentaires pour protéger les renseignements des contribuables. Comme la cybercriminalité et l'hameçonnage sont maintenant fréquents et que les techniques utilisées sont de plus en plus sophistiquées, l'Agence agit de façon proactive en avertissant le public que des fraudeurs communiquent avec les gens en prétendant travailler pour elle.
Une façon simple pour les contribuables de se protéger contre la fraude est de s'inscrire à Mon dossier ou à Mon dossier d'entreprise afin de gérer leur dossier fiscal facilement et en toute sécurité au moyen des portails sécurisés de l'Agence. Ceux qui sont inscrits à Mon dossier peuvent aussi s'inscrire au courrier en ligne afin de recevoir des alertes du compte qui les informent des arnaques possibles ou d'autres activités frauduleuses qui pourraient avoir une incidence sur eux.
L'Agence est fière de sa réputation d'organisation de pointe engagée à assurer l'excellence de l'administration du régime fiscal du Canada. Toutefois, des activités inappropriées ou frauduleuses peuvent se produire en milieu de travail. L'Agence a mis en place toute une gamme de contrôles pour s'assurer que les seules personnes qui accèdent aux renseignements des contribuables sont les employés tenus de le faire dans le cadre de leur travail. Elle peut ainsi détecter les cas d'inconduite qui pourraient se produire. (1500)
[Français]
La surveillance de l'accès des employés aux renseignements des contribuables est centralisée, ce qui garantit un processus indépendant permettant à l'Agence de détecter des activités douteuses dans ses systèmes et d'intervenir quand c'est nécessaire. De cette façon, les utilisateurs autorisés ont accès uniquement aux applications et aux données auxquelles ils ont droit d'accéder en fonction de règles administratives strictes.[Traduction]
En 2017, l'Agence a mis en œuvre une solution de gestion de la fraude d'entreprise, qui complète les contrôles de sécurité existants et réduit encore plus les risques d'accès non autorisé et d'atteinte à la vie privée. La solution de gestion de la fraude d'entreprise permet la surveillance proactive et la détection de l'accès non autorisé des employés. L'Agence prend très au sérieux toute allégation ou tout soupçon d'inconduite de la part d'un employé et fait minutieusement enquête. Lorsque les soupçons d'actes répréhensibles ou d'inconduite sont fondés, des mesures disciplinaires appropriées sont prises, qui peuvent aller jusqu'au congédiement. Si l'on soupçonne une activité criminelle, la question est renvoyée aux autorités compétentes.[Français]
Au moment de leur embauche, les employés de l'Agence doivent attester avoir lu le Code d'intégrité et de conduite professionnelle ainsi que le Code de valeurs et d'éthique du secteur public.
Le code décrit de façon claire la norme de conduite que les employés doivent respecter, dont l'obligation de protéger les renseignements des contribuables, conformément à l'article 241 de la Loi de l'impôt sur le revenu. L'accès non autorisé à ces renseignements est considéré comme une inconduite grave, comme l'indique la Directive sur la discipline de l'Agence.[Traduction]
Le code veille à ce que les employés, actuels et anciens, soient au courant que l'obligation de protéger les renseignements des contribuables se poursuit même après leur départ de l'Agence. Chaque année, on demande à tous les employés de relire et de confirmer leurs obligations en vertu du Code d'intégrité et de conduite professionnelle de l'Agence.
Toute atteinte à la vie privée qui survient est évaluée conformément aux politiques et aux procédures du Secrétariat du Conseil du Trésor afin de consigner et d'évaluer tous les risques potentiels pour la personne touchée. Un représentant de l'Agence spécialisé lui offrira un soutien afin qu'elle puisse poser des questions et obtenir les renseignements dont elle a besoin, et selon le cas, accéder à des services gratuits de protection du crédit.
Dans les rares cas où les renseignements d'un contribuable sont véritablement compromis, l'Agence prend des mesures pour résoudre toutes les questions en suspens. Ces mesures comprennent l'examen de toutes les activités frauduleuses qui pourraient avoir eu lieu dans le compte, y compris les remboursements frauduleux.[Français]
L'Agence est fermement résolue à maintenir la confiance des Canadiens en notre organisation et à répondre à leurs attentes concernant la mise en place des contrôles nécessaires pour assurer la sécurité des renseignements qui lui sont confiés. Nous avons travaillé fort pour gagner la confiance du public, puisque celle-ci est à la base d'un régime fiscal fondé sur l'autocotisation.[Traduction]
II faut des années pour se forger une bonne réputation, et nous maintenons la nôtre en demeurant vigilants dans nos efforts pour protéger les contribuables contre les atteintes à la sécurité et pour protéger le système d'administration de l'impôt du Canada contre toute inconduite et infraction criminelle.
Je vous remercie, monsieur le président. Je répondrai maintenant avec plaisir à vos questions.
[Français]
Le vice-président (M. Pierre Paul-Hus):
Merci, monsieur Guénette.
S'il n'y a personne d'autre, nous allons commencer la période de questions.
Monsieur Drouin, vous avez sept minutes.
M. Francis Drouin:
Merci beaucoup, monsieur le président.
Je remercie tous les témoins de comparaître devant le Comité à court préavis.
Je tiens à dire que je suis une des victimes de la fuite de données chez Desjardins, tout comme plusieurs de mes concitoyens.
Madame Boisjoly, vous avez fait allusion à la pétition en ligne visant à faire changer les numéros d’assurance sociale des gens touchés. Pouvez-vous expliquer au Comité pourquoi on ne le ferait pas et pourquoi cela ne ferait que compliquer les choses sans donner plus de sécurité aux Canadiens et aux Canadiennes?
Mme Elise Boisjoly:
J’en ai fait brièvement mention dans ma présentation, et je vous remercie de me donner l’occasion d’en parler plus longuement.
Tout d’abord, une fuite d’information ne signifie pas nécessairement qu’il y a eu fraude ou vol d’identité. Ensuite, si on ne change pas automatiquement les numéros d’assurance sociale à la suite d’une fuite comme celle-ci, c’est d'abord parce que cela ne résout pas vraiment le problème et n'écarte pas nécessairement tout risque de fraude.
Laissez-moi vous expliquer un peu plus ce premier point. Si on ne change pas le numéro d’assurance sociale associé à un certain numéro de crédit et qu’un bureau de crédit utilise l’ancien numéro de crédit, l'individu concerné ne pourra pas nécessairement obtenir du crédit. De plus, si un prêteur ne fait pas une bonne vérification de l'identité de ce dernier et qu'un fraudeur emprunte de l’argent en son nom, le prêteur pourrait lui demander de payer la dette. Il peut donc y avoir d'autres fraudes si le prêteur ne vérifie pas correctement l'identité de l'individu.
La deuxième raison, c’est que cela peut créer de graves problèmes d’accès à des avantages et à des services. Comme je l’ai dit dans ma présentation, la personne qui est victime d'une fuite d’information doit prévenir toutes les personnes, les institutions financières, les agences de crédit, les employeurs passés et futurs et les gestionnaires des régimes de pensions auxquels elle a adhéré avec son ancien numéro d’assurance sociale et faire les changements nécessaires. Souvent, les gens ne se souviennent plus des personnes à qui ils ont donné leur numéro d’assurance sociale, surtout au début de leur carrière. Cela peut empêcher une personne de recevoir sa pension, par exemple, car on ne pourrait plus faire le lien entre l'individu et les avantages auxquels il a droit.
Au sein du fédéral, nous aviserions certainement l’Agence du revenu et tous les organismes concernés, mais les changements pourraient se faire de façon manuelle et il pourrait y avoir des erreurs, ce qui pourrait compliquer le calcul des pensions ou des prestations d’assurance-emploi. Si on oublie un employeur et que celui-ci fait des erreurs, il pourrait y avoir un mauvais calcul des prestations d’assurance-emploi ou de la pension de vieillesse.
(1505)
M. Francis Drouin:
En d'autres mots, changer notre numéro d’assurance sociale ne protège pas nécessairement nos renseignements personnels.
Pourquoi émet-on un autre numéro d’assurance sociale dans les cas où la fraude a été prouvée?
Mme Elise Boisjoly:
Quand la fraude est prouvée, on en détermine le type et on discute avec le citoyen touché. Souvent, celui-ci va décider de ne pas changer son numéro d’assurance sociale. Il va s’inscrire ou être inscrit à un bureau de vérification de crédit. Par le fait même, il sera mieux protégé qu'il ne le serait en changeant son numéro d’assurance sociale. Souvent, après avoir été informé, le citoyen décide de ne pas changer son numéro d’assurance sociale. Dans un très petit nombre de cas, soit 60 cas par année depuis 2014, le citoyen tient absolument à faire un changement lorsque la fraude est confirmée. À ce moment-là, on va permettre l’émission d’un nouveau numéro d’assurance sociale, mais on va aussi lui faire comprendre que cela ne réglera pas nécessairement la situation.
M. Francis Drouin:
Voici une question plus pragmatique.
Comme les citoyens qui sont dans la même situation que moi, je me dis qu’il y a un risque de fraude. Comment puis-je donc aviser les autorités, que ce soit Revenu Canada ou Service Canada, que mon numéro d’assurance sociale va peut-être être utilisé de façon frauduleuse? Est-ce que je peux appeler Service Canada pour l'en aviser? Est-ce qu’il existe un processus interne qui permet aux citoyens de faire cela?
Mme Elise Boisjoly:
Absolument. Je dirais deux choses là-dessus.
Premièrement, depuis que la fuite a été rendue publique, nous avons reçu directement de 1 400 à 1 500 demandes de citoyens. Ils nous ont appelés pour savoir comment mieux protéger leurs renseignements personnels, et nous leur avons donné beaucoup d'information à ce sujet. Souvent, les citoyens prendront les mesures que nous leur conseillons de prendre, c'est-à-dire regarder les rapports des bureaux de crédit et vérifier leurs transactions bancaires.
Deuxièmement, s'ils constatent une activité suspecte, ils doivent suivre des procédures très claires pour nous en informer. Si des transactions suspectes sont détectées, nous leur demandons de communiquer avec Service Canada, qui pourra prendre les mesures nécessaires pour les aider.
M. Francis Drouin:
D'accord.
Sur le site Web, il est question de 29 cas où il est permis aux Canadiens et aux Canadiennes de communiquer leur numéro d'assurance sociale, par exemple à des institutions bancaires ou à d'autres entités.
Que fait Service Canada pour que les Canadiens et les Canadiennes sachent quand ils devraient communiquer leur numéro d'assurance sociale et quand ils ne devraient pas le faire? Quel est le recours possible quand un organisme demande un numéro d'assurance sociale alors qu'il ne devrait pas le faire?
(1510)
Mme Elise Boisjoly:
Notre site Web, nos centres d'appel et les centres de Service Canada indiquent aux citoyens à qui ils devraient donner leur numéro d'assurance sociale. À vrai dire, lorsque nous émettons un numéro d'assurance sociale à un citoyen, nous lui mentionnons à qui ils devraient le donner et à qui ils ne devraient pas le donner. Un certain nombre d'organismes sont réglementés pour obtenir le numéro d'assurance sociale, par exemple quand une banque ou un créditeur donne des intérêts, ce qui concerne l'Agence du revenu du Canada.
Si quelqu'un ne faisant pas partie de cette liste demande le numéro d'assurance sociale d'une personne, cette dernière peut refuser et demander de produire une autre forme d'information. Par exemple, il y a longtemps de cela, les propriétaires demandaient souvent le numéro d'assurance sociale d'un locataire potentiel pour vérifier son crédit. La personne concernée peut simplement remettre un rapport de crédit plutôt que donner son numéro d'assurance sociale. La personne qui pose la question doit...
[Traduction]
Le président:
Merci.
Il est utile que les témoins jettent un coup d'œil à la présidence de temps à autre afin que je puisse leur faire signe.
Mme Elise Boisjoly:
Merci beaucoup.
Ces lunettes ne...
[Français]
Le président:
Monsieur Paul-Hus, vous avez sept minutes, s'il vous plaît.
M. Pierre Paul-Hus:
Merci, monsieur le président.
Merci à vous tous d'être présents aujourd'hui.
À vous écouter, nous nous sentons comme dans Les Douze travaux d'Astérix. Nous nous mettons à la place des citoyens. Ce qui les inquiète, c'est qu'ils ne savent pas trop ce qui va arriver. Nous avons demandé à vous rencontrer pour avoir de l'information à cet égard. On sait que le numéro d'assurance sociale est une mesure en place, mais y a-t-il autre chose qui devrait être fait à l'avenir pour changer le système? Pourrait-on faire ce qu'ont fait d'autres pays, c'est-à-dire avoir plus d'identification numérique, que ce soit au moyen d'empreintes digitales ou d'autre chose?
Madame Boisjoly, vous avez dit qu'il y a environ 60 cas par année, mais là, les données de 2,9 millions de personnes ont été volées. Vous attendez-vous à une grande augmentation de changements requis du numéro d'assurance sociale à la suite de ces vols d'identité?
J'ai aussi une question pour vous, monsieur Guénette.
Les gens qui suivent ce qui se passe actuellement veulent savoir ce qu'on fait. Vous avez proposé une bonne solution, et c'est ce que les gens ont besoin qu'on donne, des solutions. On a parlé d'aller sur le site du gouvernement du Canada et d'ouvrir son dossier de finances. Si j'ai bien compris, en ouvrant son dossier, on peut recevoir des alertes ou des avis.
Cela fait trois semaines maintenant. Nous sommes ici aujourd'hui à la suite d'une demande d'urgence. Pourquoi n'a-t-on pas communiqué avec le public immédiatement ou dans la semaine qui a suivi les vols pour lui faire savoir ce que le gouvernement du Canada peut faire pour l'aider? C'est ce qu'on a besoin de savoir.
Je vous écoute, madame Boisjoly.
Mme Elise Boisjoly:
Merci.
Pour répondre à votre première question sur les nouvelles mesures, toute situation comme celle-ci nous donne l'occasion de revoir nos mesures de sécurité et de protection de la vie privée. Tous nos collègues et moi nous penchons certainement là-dessus lorsqu'il y a de tels incidents. Nos collègues qui nous ont précédés ont beaucoup parlé de l'évolution de la cybersécurité. Ils ont dit qu'il fallait toujours être prêt. Il est certain que nous nous penchons toujours là-dessus.
Ma collègue a mentionné le Conseil du Trésor, dont le mandat comprend la gestion de l'identité. Il se penche sur les façons dont on peut mieux résoudre les problèmes liés à l'identité numérique, notamment en menant des projets pilotes avec les provinces. Nous participons à ces forums et nous pensons à des façons de faire avancer la discussion en ce qui concerne l'identité numérique.
Deuxièmement, au sujet du nombre de vols d'identité, on nous a signalé de nombreux vols d'identité au cours des 14 ou 15 dernières années. Ce sont probablement des millions de personnes qui ont déjà été touchées et, malgré cela, le nombre de personnes qui demandent un nouveau numéro d'assurance sociale demeure plutôt faible. Alors, je ne peux pas répondre à votre question, puisque je ne connais pas l'avenir, mais je peux dire qu'il y a eu beaucoup de vols et que le nombre semblait constant, soit près de 60 par année.
M. Maxime Guénette:
Je vous remercie de votre question, monsieur Paul-Hus.
Comme Mme Boisjoly le disait, toutes les occasions sont bonnes pour rappeler aux gens les choses qu'ils peuvent faire. Pendant la période des impôts, nous avons mené des campagnes publicitaires et des initiatives de communication sur le Web et sur les médias sociaux pour rappeler aux gens les services qui sont à leur disposition. Cela dit, il y a toujours plus à faire de ce côté-là. Nous cherchons toujours des occasions de communiquer davantage là-dessus. Alors...
(1515)
M. Pierre Paul-Hus:
D'accord, mais dans le cas qui nous occupe, il s'agit de gérer une crise. Nous sommes ici pour savoir si un organisme fédéral peut donner un coup de main à Desjardins, qui prend ses propres mesures pour rectifier la situation du mieux qu'elle le peut. À l'heure actuelle, je vois des mesures interagences, mais il n'y a pas vraiment de mesures proactives pour aider les citoyens, mis à part un message qu'on a déjà fait passer.
Selon vous, pourquoi le gouvernement semble-t-il aussi passif et ne dit-il rien? Est-ce parce qu'il n'y a rien à faire? N'y a-t-il pas de solution?
Nous cherchons des solutions, parce que les gens sont inquiets. Si vous nous dites que les agences en place n'ont pas les moyens ou les outils pour les aider, nous allons nous tourner vers d'autres solutions.
Est-ce que les solutions comme celle proposée par Desjardins, c'est-à-dire les services d'Equifax, sont assez efficaces, selon votre expérience et votre évaluation de la situation? Nous cherchons à rassurer les gens avec les vraies choses; nous ne voulons pas dire n'importe quoi.
M. Maxime Guénette:
À l'heure actuelle, puisque l'enquête est encore en cours, il y a pas mal d'information...
M. Pierre Paul-Hus:
L'enquête n'a rien à y voir, car on sait comment la fuite de données a eu lieu. On a aussi une idée de l'endroit où elles ont été envoyées, mais, pour l'instant, ce n'est pas cela qui nous intéresse. On sait qu'il y a quelqu'un, quelque part sur la planète, qui a nos coordonnées et qui peut nous faire du mal en volant notre identité. Nous voulons donc savoir si nos agences peuvent intervenir de façon proactive ou non, et ce qu'on peut faire si ce n'est pas le cas.
Vous avez une solution concernant mon dossier, alors c'est déjà un élément qui pourrait être communiqué aux citoyens. Ce serait important de le faire rapidement, parce que les gens ne sont pas de très bonne humeur pendant leurs vacances. Ensuite, il faudra voir si on peut faire autre chose.
La question du numéro d'assurance sociale a été soulevée partout. Plusieurs ont fait des suggestions. Vous êtes responsable de ce dossier et vous dites qu'il n'y a rien à faire, du moins pas de cette façon. Ce sont des réponses qu'on doit entendre, mais il reste qu'il faut sortir d'ici en disant aux gens ce que le gouvernement peut faire pour aider Desjardins, premièrement, et deuxièmement, les 2,9 millions de personnes touchées. On entend beaucoup parler de protocoles internes, mais, pour les citoyens qui nous écoutent, cela ne veut pas dire grand-chose. Voilà pourquoi j'aime entendre des réponses claires. Je sais que vous en donnez quand vous le pouvez, mais en fin de compte, lorsqu'on va sortir d'ici, il faudra savoir ce qu'on peut faire.
M. Maxime Guénette:
Je peux vous assurer qu'il y a des discussions très proactives entre les différents ministères concernés.
Du côté de l'Agence du revenu, comme je le disais dans mon allocution, le numéro d'assurance sociale, l'adresse et la date de naissance sont certaines des informations dont on a besoin pour s'identifier auprès de l'Agence. Cela prend aussi de l'information sur les déclarations de revenus des années précédentes, ce qui ne fait pas partie de l'information qui a été volée chez Desjardins, selon les discussions que nous avons eues. Cela dit, encore une fois, l'enquête est toujours en cours. Alors, ces questions...
M. Pierre Paul-Hus:
Comme je vous l'ai dit, cela ne change rien, en fin de compte.
Combien de temps me reste-t-il, monsieur le président?
[Traduction]
Le président:
Vous avez une dizaine de secondes.
[Français]
M. Pierre Paul-Hus:
S'il y a un vol d'identité, quelle est la première chose qu'un citoyen doit faire? Appeler la police?
Mme Elise Boisjoly:
Oui.
M. Maxime Guénette:
Effectivement.
Le président:
Merci, monsieur Paul-Hus.
Monsieur Dubé, vous avez sept minutes.
M. Matthew Dubé:
Merci, monsieur le président.
Merci à vous tous d'avoir pris le temps de venir ici aujourd’hui.
Madame Boisjoly, j’ai retenu un point dans votre réponse à M. Drouin. Vous avez dit qu’une fuite de données personnelles ne mène pas au vol d’identité. C’est un peu ce qui nous amène ici aujourd’hui. Les citoyens veulent justement éviter un vol d’identité; c’est la préoccupation principale. Dans ce contexte, j’ai quelques questions à poser.
Vous avez dit que les gens devraient rapporter les activités suspectes liées au numéro d’assurance sociale. Je suis un législateur fédéral et je ne sais pas ce qu'est une activité suspecte liée au numéro d’assurance sociale. Dieu merci, je n’ai jamais été victime de fraude, et c'est la même chose pour les gens de mon entourage. Je touche du bois. Cependant, je connais des gens qui en ont été victimes. Ils l'apprennent quand ils reçoivent une facture de téléphone cellulaire qu'ils n'ont pas ou une carte de crédit de Canadian Tire qu'ils n'ont jamais demandée. Ils se retrouvent avec des dettes et ont des obligations qui ne sont pas les leurs.
Pouvez-vous me dire ce qu'est exactement une activité suspecte liée au numéro d’assurance sociale?
Mme Elise Boisjoly:
Je vous remercie de votre question.
Vous avez bien cerné certaines activités suspectes, comme vous le dites. Nous demandons aux gens de se protéger le mieux possible en faisant affaire avec un bureau de crédit, pour que les transactions soient suivies du plus près possible. Ils doivent regarder leurs transactions bancaires et de cartes de crédit. S’ils voient qu'on leur attribue une transaction qu'ils n'ont pas faite, nous leur demandons de contacter le bureau...
(1520)
M. Matthew Dubé:
Pardonnez-moi de vous interrompre, mais mon temps est limité et j'ai juste un tour.
Ces activités suspectes ou ces transactions problématiques que nous pourrions voir sur notre relevé de carte de crédit peuvent être liées à toutes sortes de choses. Ce peut être quelqu’un qui a volé notre courrier et qui a obtenu notre adresse. Il s'agit d'informations qui sont vraisemblablement plus faciles à obtenir. Vous avez justement mentionné qu'en ce qui concerne la situation dont nous discutons aujourd'hui, la personne a de telles informations complémentaires. En principe, avec toutes les informations qui ont été volées, la personne pourrait facilement appeler Revenu Canada et obtenir un nouveau mot de passe. On a toute l’information nécessaire, si on a le dossier complet d’un individu.
Mme Elise Boisjoly:
Oui, et c’est le point le plus important. On parle du nombre d’identifiants. Il revient à chacune des organisations de vérifier l’identité du citoyen.
Mon collègue a dit qu’on doit aussi avoir une ligne de la déclaration de revenus. Dans le cas de l’assurance-emploi, il y a un code d’accès, et on vous demande de donner les deux chiffres de ce code d'accès. En tant que vérificateur d’identité, il faut nous assurer de poser des questions d’identification secrètes et qui ne sont partagées qu’avec les personnes que nous connaissons. Cela nous permet ainsi de mieux vérifier l’identité des gens et de leur fournir le service. Par exemple, vous ne pourriez pas appeler Service Canada et obtenir des prestations d’assurance-emploi avec l’information qui est divulguée présentement.
M. Matthew Dubé:
Concernant l'obtention d'un nouveau numéro d'assurance sociale, j’ai un peu de difficulté à comprendre. Dans le fond, l’argument, c’est que cela devient compliqué pour le citoyen. En principe, on attribue un numéro d’assurance sociale pour des raisons d'efficacité. Un identifiant unique vise à faciliter les transactions avec les instances gouvernementales.
Vous me pardonnerez cette comparaison qui n’est peut-être pas exacte. Si, aujourd’hui, je constate un problème lié à ma carte de crédit, la banque ou la compagnie émettrice est quand même en mesure de transférer un solde ou de faire le lien entre les transactions légitimes sur ma carte de crédit fraudée et le nouveau numéro de carte qu'elle m'a envoyée.
Pourquoi une institution financière pourrait-elle faire cela alors que, de votre côté, vous n’êtes pas capable de dire que le numéro d'assurance sociale d'une personne est compromis et qu’elle a un nouveau numéro? Un ancien employeur pourrait devoir s'occuper, par exemple, de questions qui concernent la pension de cette personne. Sachant que c'est la même personne, pourquoi n’êtes-vous pas capable de faire le lien entre l’ancien et le nouveau numéro d'assurance sociale? Il faudrait peut-être faire une vérification additionnelle, étant donné que le numéro a été compromis, mais il reste que j'ai un peu de difficulté à comprendre pourquoi vous ne pouvez pas faire cela.
Mme Elise Boisjoly:
Au départ, vous avez énoncé que la première raison pour laquelle on ne donne pas automatiquement le numéro d’assurance sociale est que cela pourrait rendre la vie difficile aux citoyens. Or la première raison est plutôt que cela ne préviendrait pas nécessairement la fraude. C'est un point très important. Il faudrait que le citoyen continue à faire la vérification de son ancien numéro d’assurance sociale parce qu’il existe encore...
M. Matthew Dubé:
Je suis désolé de vous interrompre, mais, si je perds ma carte de crédit, cela ne veut pas nécessairement dire qu'elle a été volée. Elle est peut-être tombée quelque part dans un égout, de sorte qu'on ne la reverra plus jamais et qu'elle ne sera pas utilisée. J'appellerais tout de même ma banque, Visa ou peu importe, pour lui demander d'annuler cette carte. Je ferais quand même des vérifications et j'aurais la paix d'esprit en sachant que je suis protégé.
Pourquoi ne pas suivre la même logique pour un citoyen victime d'une fuite de données personnelles, qui, en plus, est hautement médiatisée? Le citoyen veut mettre tous les points-virgules qu'il peut pour se protéger. Il change ses cartes de crédit et tout le reste, comme on le fait quand on perd son portefeuille. Pourquoi ne pas procéder de la même façon?
Mme Elise Boisjoly:
Le numéro d'assurance sociale n'est pas comme une carte de crédit, qui est le seul identifiant de cette personne pour la banque. C'est un identifiant utilisé par les employeurs d'une personne depuis qu'elle est sur le marché du travail. Ce numéro est aussi utilisé par différents programmes et services.
Présentement, il n'y a pas de système informatique qui relie tous ces systèmes pour faire une mise à jour du numéro d'assurance sociale utilisé par les employeurs et les différents groupes et programmes. Ce travail se ferait de façon manuelle. C'est pour cela que nous ne connaissons pas l'ensemble des employeurs. Au sein du gouvernement fédéral, cela se ferait de façon manuelle. Comme je l'ai dit, c'est ce que nous avons fait un petit nombre de fois. Il y a des risques d'erreur. Je ne fais que le mentionner au Comité.
(1525)
M. Matthew Dubé:
Il me reste moins d'une minute.
Au risque de nous emmêler dans les détails techniques, j'aimerais mieux comprendre. Si un employeur veut utiliser le numéro d'assurance sociale, comment cela fonctionne-t-il? Il doit bien y avoir une sorte d'alignement, quand on remonte l'échelle.
J'ai une dernière question, qui revient à ce que M. Paul-Hus a dit à juste titre.
Je vais prendre l'exemple du Québec. Quand il y a des inondations, les forces de l'ordre et le gouvernement du Québec font des consultations publiques sur place pour que les gens puissent se déplacer.
Monsieur Guénette, je respecte ce que vous avez dit, mais les programmes publicitaires ou les publications sur les médias sociaux ne sont peut-être pas suffisants.
Compte tenu de l'ampleur du vol et de la fuite, avez-vous considéré organiser des consultations en personne dans des endroits névralgiques au Québec ou dans des grands centres à Longueuil, à Montréal ou ailleurs?
[Traduction]
Le président:
Encore une fois, monsieur Dubé, vous avez posé une question importante, mais vous n'avez pas prévu de temps pour la réponse, alors vous devrez y revenir de quelque façon à un autre moment.
Vous êtes pourtant si efficace habituellement, monsieur Dubé.[Français]
Je vous souhaite la bienvenue au Comité, madame Lapointe. Vous avez sept minutes.
Mme Linda Lapointe (Rivière-des-Mille-Îles, Lib.):
Merci beaucoup, monsieur le président.
Bonjour à vous tous et merci d'être avec nous.
Je ne siège pas à ce comité ordinairement, mais c'est avec plaisir que j'ai accepté de remplacer un de ses membres permanents.
J'ai discuté avec plusieurs concitoyens dans ma circonscription de Rivière-des-Mille-Îles, qui est au nord de Montréal et qui comprend Deux-Montagnes, Saint-Eustache, Boisbriand et Rosemère, et ils sont très inquiets. C'est quelque chose qui revient constamment depuis que la Chambre a ajourné, le 21 juin dernier. C'est pour cela que j'ai accepté avec empressement d'être ici aujourd'hui, même si je ne connais pas toutes les études qu'a faites ce comité.
Madame Ryan, tantôt, vous avez commencé par dire que c'est le ministère des Finances qui établit les lois et les règlements qui régissent le système bancaire canadien. Vous avez dit par la suite que la surveillance du secteur financier canadien est partagée entre les gouvernementaux fédéral et provinciaux.
Revenons au Québec spécifiquement. Les provinces sont chargées de la surveillance des courtiers en valeurs immobilières, des conseillers en épargne collective et en fonds de placement et des coopératives provinciales, entre autres. Desjardins est une coopérative provinciale. Je viens de parler de mes concitoyens, mais toute ma famille et moi faisons aussi partie des 2,9 millions de personnes touchées. Cela nous préoccupe énormément et nous nous demandons quelles seront les répercussions futures de ce vol sur notre vie.
Avez-vous reçu des demandes de Desjardins? M. Guénette a dit qu'il y a des discussions continues entre les ministères, mais les gens de Desjardins ont-ils communiqué avec vous pour obtenir des informations supplémentaires?
[Traduction]
Mme Annette Ryan:
Puisque Desjardins est en grande partie régie par des lois provinciales, son premier interlocuteur gouvernemental serait l'Autorité des marchés financiers du Québec. Quand j'ai parlé de la réglementation qui régit le système bancaire au fédéral, il faut savoir qu'elle s'applique aux institutions qui ont opté pour une réglementation fédérale.
Puisque Desjardins est en grande partie régie par des lois provinciales, nombre des exigences d'exploitation mises en œuvre avant cet incident l'ont normalement été par l'intermédiaire de l'Autorité des marchés financiers.
Ma collègue du Bureau du surintendant des institutions financières peut vous expliquer de quelle façon cela fonctionne au fédéral. Dans l'incident en question, l'institution s'est empressée de prendre diverses mesures responsables afin de ne rien camoufler de la fuite, ce qui est conforme aux lois provinciales et fédérales en matière de confidentialité. Les commissaires à la protection de la vie privée du Canada et du Québec ont également entamé une enquête conjointe sur cet incident, quoique nombre des dispositions relatives à la réglementation financière de Desjardins, mais aussi à la protection des consommateurs, soient ici de compétence provinciale. Nous pouvons traiter du système fédéral, mais nombre des questions que vous pourriez avoir dans ce dossier devraient être posées aux responsables provinciaux.
(1530)
[Français]
Mme Linda Lapointe:
J'ai une autre question. Les bureaux de crédit sont-ils de compétence fédérale?
[Traduction]
Mme Annette Ryan:
Ils sont en grande partie de compétence provinciale et, dans ce cas-ci, il est question de compétence provinciale.
[Français]
Mme Linda Lapointe:
D'accord.
Les gens d'Equifax ont-ils communiqué avec vous?
[Traduction]
Mme Annette Ryan:
Equifax ne communiquerait pas avec nous ni avec le ministère; elle est principalement régie par les lois provinciales sur la protection des consommateurs dans ce cas-ci.
[Français]
Mme Linda Lapointe:
Merci.
J'ai écoulé la moitié de mon temps de parole et je vais maintenant m'adresser à vous, monsieur Guénette.
Vous avez parlé tantôt de règles externes sur la prévention des vols d'identité, mais vous n'avez pas parlé beaucoup des règles internes. J'aimerais savoir quelles sont les règles internes à l'Agence du revenu du Canada. Après tout, nous sommes ici aujourd'hui parce qu'il y a eu un vol de données à l'interne.
Comment cela fonctionne-t-il à l'Agence du revenu du Canada? Les employés doivent-ils être à certains échelons pour avoir accès aux systèmes? Vous avez parlé de centraliser ou de détecter les problèmes en intervenant, si nécessaire. Vous avez dit qu'il y a des règles strictes et j'aimerais que vous m'en parliez un peu plus. Les gens peuvent-ils travailler avec leur équipement électronique quand ils sont devant des écrans de l'Agence du revenu du Canada? J'aimerais en savoir plus.
M. Maxime Guénette:
Je vous remercie de votre question.
Évidemment, nous appliquons des règles de sécurité à plusieurs niveaux. D'abord, nous faisons un filtrage du personnel que nous embauchons. Les gens qui ont des accès plus privilégiés ont une cote « Secret » plutôt qu'une cote moins élevée. Une panoplie de mesures de sécurité physique sont en place. Les gens qui travaillent dans les centres d’appel et qui ont accès à des écrans contenant de l’information sur des contribuables n’ont pas le droit d’avoir leur téléphone personnel avec eux. Il y a des mesures prises de ce côté-là.
Quant à l’accès aux données des contribuables, ces données sont sur des serveurs distincts et non branchés à l'Internet. Il y a un mécanisme selon lequel l’accès des employés aux données est révisé sur une base annuelle ou chaque fois qu’ils changent de poste. L’accès de ces employés est vérifié sur une base régulière par les gestionnaires.
En ce qui concerne la charge de travail, dans mes notes d'allocution, j'ai parlé des règles administratives. Quand nous confions une charge de travail à des employés, notre système de gestion de la fraude d’entreprise fait en temps réel une vérification par algorithme. Ce système applique plusieurs douzaines de règles. Par exemple, si un employé vérifie son propre compte d’impôt, une alerte est automatiquement émise et le système la voit tout de suite. Si un employé exécutait un travail ne lui ayant pas été confié, le système émettrait immédiatement une alerte au gestionnaire, qui serait alors en mesure de demander à l'employé ce qu’il faisait dans le système. Des captures d’écran sont faites à la minute près, ce qui nous permet de savoir quelles pages l’employé a consultées ou quels changements il y a apportés. Ce système a été mis en place en 2017 et il est très avancé. Il nous permet d’avoir des contrôles en place.
Pour ce qui est de la prévention de la fuite de données, les employés sont incapables de copier de l’information sur des CD, des DVD ou des clés USB. Le système ne le leur permet pas.
Mme Linda Lapointe:
Merci.
Le président:
Merci, madame Lapointe.[Traduction]
Passons maintenant à M. Motz, puis à M. Clarke.
M. Glen Motz:
Merci, monsieur le président.
Je tiens à remercier une fois de plus les représentants des ministères qui sont ici.
Je n'ai que deux questions brèves pour la représentante du ministère des Finances. Vous dites que votre objectif premier est de prévenir la fuite de données. Nous savons cependant que ces fuites se produisent et qu'elles ne se limitent pas au secteur financier.
Madame Ryan, vous avez dit que, lorsqu'un incident lié à la cybersécurité survient dans une institution fédérale sous réglementation fédérale — ce dont il est question aujourd’hui —, il y a des mécanismes de contrôle et de surveillance en place pour le gérer. Pouvez-vous expliquer concrètement aux Canadiens ce qui arrive quand cela se produit?
(1535)
Mme Judy Cameron (directrice principale, Affaires réglementaires et politique stratégique, Bureau du surintendant des institutions financières):
Permettez-moi de vous répondre.
Je représente le Bureau du surintendant des institutions financières, dont le mandat est de surveiller les institutions financières et de leur imposer des règles afin de protéger les droits et les intérêts des déposants et des créditeurs. En gros, le bureau assure la sûreté et la fiabilité des institutions financières, mais il veille aussi à ce qu'elles se conforment à toute la réglementation fédérale. Par exemple, il s'attend à ce qu'elles aient des systèmes conformes aux lois sur la protection de la vie privée.
Le bureau établit les attentes par rapport aux activités des institutions, comme le respect des lois sur la protection de la vie privée. Il s'attend également à ce qu'elles effectuent des autoévaluations des risques pour établir les protections nécessaires contre les menaces internes de cybersécurité. Il supervise donc les institutions pour s'assurer qu'elles respectent les attentes établies de sorte à confirmer la présence de systèmes de gestion dûment conformes.
M. Glen Motz:
Essentiellement, c'est de la surveillance, sans plus. Et, dans le cas présent, c'est de la surveillance par rapport à ce qui s'est passé pour s'assurer que...
Mme Judy Cameron:
C'est la surveillance de leurs systèmes pour prévenir ce genre de situations, en fait.
M. Glen Motz:
D'accord. Va pour cette question. L'autre question est pour Mme Ryan ou quiconque peut...
Je vais simplement lire le résumé que vous avez fourni. Vous avez dit: « ... la cybersécurité est un domaine d'une importance critique pour le ministère des Finances. Nous collaborons activement avec des partenaires de l'ensemble du gouvernement et du secteur privé pour nous assurer que les Canadiens sont bien protégés contre des incidents liés à la cybersécurité et que, lorsqu'ils surviennent, les incidents sont gérés de façon à atténuer les répercussions sur les consommateurs et le secteur financier dans son ensemble ».
À quoi est-ce que cela ressemble pour les consommateurs touchés, pour l'ensemble des consommateurs, pour l'institution financière, pour le secteur bancaire et pour les divers ministères? Vous pouvez certes faire ce genre de déclarations, mais à quoi cela ressemble-t-il concrètement?
Mme Annette Ryan:
Je pense que le nombre de partenaires fédéraux que vous avez entendus aujourd'hui en témoigne.
Les investissements dans le centre pour la cybersécurité faisaient partie de la première ligne de défense en vue du renforcement de la capacité de prévenir les atteintes à la cybersécurité et, comme l'a dit André Boucher, ils sont axés sur la mise en œuvre d'une réponse adaptée à celles-ci. Dans ce cas-ci, un type particulier d'atteinte à la cybersécurité s'est produit, une infraction commise par un employé, si bien qu'un grand nombre des moyens de défense mis en place par le centre pour la cybersécurité n'ont pas été déployés, mais les ressources de ce centre sont complétées par les nouvelles ressources de la GRC. Vous avez entendu cette dernière parler du centre national de lutte contre la cybercriminalité et de ses efforts au sein du Centre antifraude du Canada.
Nous sommes également conscients que les atteintes à la cybersécurité ou aux données relèvent de la protection de la vie privée. Par conséquent, des mesures telles que les nouvelles exigences obligeant les entreprises à aviser leurs clients de toute atteinte sont essentielles pour permettre aux citoyens de se montrer vigilants quant à leurs propres finances et de savoir que des renseignements importants à leur sujet ont été touchés. Il est important de faire appel à des services de surveillance comme Equifax parce qu'ils permettent à ces personnes de savoir quand quelque chose est fait en leur nom à leurs dépens.
M. Glen Motz:
J'ai une question complémentaire à ce sujet. Si j'étais l'un des 2,9 millions de Canadiens concernés par cette situation, ou l'un des millions de Canadiens qui ont déjà été victimes d'atteintes aux données de toutes sortes, je voudrais moi aussi obtenir de l'aide pour reprendre le contrôle de ma vie. On parle actuellement beaucoup de ce en quoi pourrait consister cette aide, mais concrètement, les Canadiens veulent savoir comment reprendre le contrôle de leur vie. Ils veulent atténuer les risques et les répercussions qu'une telle atteinte peut avoir sur leur vie personnelle, sur leur avenir financier et sur celui de leur famille.
Je suis curieux; il semble que le ministère des Finances a un rôle à jouer dans la création d'un lieu où les Canadiens puissent obtenir les renseignements dont ils ont besoin, suivre un modèle, trouver des numéros à appeler ou autre pour mettre de l'ordre dans leur vie, car ces événements sont et seront catastrophiques pour ceux dont ces criminels vont profiter.
En tant que gouvernement, nous avons la responsabilité de veiller à protéger les Canadiens du mieux que nous le pouvons. Ces problèmes ne vont pas disparaître.
(1540)
Le président:
Je vais devoir en rester là. Je vous remercie de votre témoignage.
Chers collègues, j'ai besoin de votre avis. Nos prochains témoins sont à l'extérieur et, comme vous le savez, ils sont soumis à des contraintes de temps. Je propose de suspendre la séance. Ma question, chers collègues, est la suivante: voulez-vous suspendre la séance et laisser ces témoins partir, ou voulez-vous suspendre la séance et leur demander de rester pour que nous puissions poser notre dernière série de questions?
M. David de Burgh Graham:
S'ils sont disposés à rester, j'aimerais poser mes questions.
M. Alupa Clarke:
J'aimerais poser mes questions à ces témoins, s'il vous plaît.
Le président:
Sur ce, je vais suspendre la séance. Je vais demander aux témoins de quitter la salle, mais de rester à proximité, et de revenir quand nous aurons terminé avec le prochain témoin...
[Français]
M. Rhéal Fortin:
Monsieur le président, j'aurais des questions pour les témoins, mais je vous laisse décider à quel moment il sera opportun de les poser.
[Traduction]
Le président:
Nous avons hâte de les entendre, monsieur Fortin
Sur ce, nous allons suspendre la séance pour quelques minutes pendant que nous accueillons notre prochain groupe de témoins. Je vous remercie. (1540)
(1540)
Le président:
Chers collègues, veuillez vous asseoir.
Je demande au prochain groupe de témoins de se joindre à nous — M. Brun, M. Cormier et M. Berthiaume.
Je vais demander aux caméras de quitter la salle. Cela concerne toutes les caméras, y compris celle de CBC. Merci.
Monsieur Cormier, j'aimerais vous remercier, vous et vos collègues, de votre présence. Vous semblez être très populaires dernièrement.
Nous avons encouragé les témoins à faire de brèves déclarations, en insistant sur le fait qu'elles doivent être courtes, parce que les députés souhaitent vivement poser des questions. Monsieur Cormier, on m'a communiqué des renseignements contradictoires quant à l'heure à laquelle vous devez partir. À quelle heure devez-vous nous quitter au juste?
M. Guy Cormier (président et chef de la direction, Mouvement Desjardins):
Nous sommes censés partir vers 16 h 30, mais nous pouvons peut-être ajouter...
Le président:
Je vous encourage à rester plus longtemps si possible.
M. Guy Cormier:
Nous pourrions probablement rester une heure.
(1545)
Le président:
D'accord. Je pense que cela suffira. Vos collègues pourront peut-être rester après votre départ.
Le fait est qu'il s'agit d'une réunion d'urgence et que des gens sont venus de partout au Canada pour entendre ce que vous avez à dire.
Sur ce, je vous demande de formuler vos observations, après quoi nous passerons aux questions.
M. Guy Cormier:
Merci beaucoup.[Français]
Monsieur le président, mesdames et messieurs les membres du Comité permanent de la sécurité publique et nationale, bonjour. Je suis accompagnée cet après-midi de M. Denis Berthiaume, premier vice-président exécutif et chef de l’exploitation, et de M. Bernard Brun, vice-président des relations gouvernementales, du Mouvement Desjardins.
D'entrée de jeu, j'aimerais dire que, chez Desjardins, nous étions ambivalents à l'égard de cette séance extraordinaire du Comité.
D’une part, cette séance peut paraître prématurée, dans la mesure où nous sommes en train de gérer cette situation et que des enquêtes policières sont en cours. Il est donc beaucoup trop tôt pour faire un bilan de la situation. Dans ce contexte, nous nous engageons à vous dire tout ce que nous savons de façon, toutefois, à ne pas nuire aux enquêtes en cours.
D’autre part, cette séance spéciale représente à nos yeux une occasion d’alerter les législateurs et l’opinion publique sur l'enjeu de la sécurité des renseignements personnels et sur la nécessité de repenser la notion d’identité numérique au Canada. Dans ma réflexion, c’est ce point qui l’a emporté.
Je vais d'abord dire une évidence: ce qui s’est produit chez Desjardins s’est produit ailleurs et pourrait se reproduire ailleurs, dans n’importe quelle entreprise privée ou n'importe quel organisme public dont la mission comporte la gestion de renseignements personnels. Qu’on pense à plusieurs banques dans le monde, par exemple Chase, aux États-Unis, Sun Trust, le Korea Credit Bureau ou, encore, plusieurs entités gouvernementales du Canada et des États-Unis, pour ne nommer que ceux-là, qui ont d’ailleurs été victimes d’employés malveillants.
Desjardins est une institution financière de premier plan et l'un des plus importants groupes financiers coopératifs dans le monde, avec plus de 300 milliards de dollars d’actifs. En 2015, le Mouvement Desjardins a été classé par Bloomberg au premier rang des institutions financières les plus sûres en Amérique du Nord, devant toutes les banques canadiennes. En d’autres mots, même les meilleurs ne sont pas à l’abri, et ce message doit être entendu, selon nous.
Personnellement, je travaille au Mouvement Desjardins depuis 27 ans. J’ai choisi cette organisation dès le début de ma carrière parce que c’est une institution financière qui réussit, après près de 120 ans, à très bien conjuguer l’économie et le social dans notre société.
Les agissements d’un employé malveillant sont à l'origine de cette situation déplorable, lequel est aujourd’hui congédié. Il a contrevenu à toutes les règles de notre coopérative. Dans cette situation, nous avons agi le plus rapidement possible et de la façon la plus transparente possible, avec pour seul objectif la protection de l’intérêt de nos membres. C’était notre priorité.
Dès le 20 juin, quelques jours après avoir appris l’ampleur de la situation, nous sommes sortis publiquement et avons donné toute l’information disponible, en concertation avec les forces policières. Nous avons aussi annoncé dès ce moment les mesures mises en place concernant la fuite des renseignements personnels.
Nous avons déployé tous les moyens que requiert la situation. Nous avons rapidement apporté des mesures additionnelles de surveillance et de protection, afin de protéger les renseignements personnels et financiers de nos membres et de nos clients. Nous avons avisé toutes les autorités compétentes: le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, l’Autorité des marchés financiers, le Bureau du surintendant des institutions financières, ainsi que les ministères des Finances du Québec et du Canada.
Nous avons mis en place des mesures additionnelles pour confirmer l’identité des personnes lorsqu’elles font appel à nous et assurons une vigie constante de l’ensemble des comptes de nos membres. Les procédures pour confirmer l’identité de nos membres et de nos clients, lorsqu’ils appellent les caisses Desjardins, les centres Desjardins Entreprises et notre centre d’appel AccèsD, ont également fait l’objet de mesures additionnelles.
Nous avons communiqué avec les membres concernés par la messagerie privée AccèsD et par lettre personnalisée, afin de les informer de la situation et des actions qu'ils devaient poser.
Nous avons aussi ajouté des mesures complémentaires pour faciliter l’activation du forfait de surveillance d’Equifax. Les membres touchés peuvent maintenant s’inscrire de quatre façons: sur le site Internet d’Equifax, par le service téléphonique d’AccèsD, par l’application Web et mobile d’AccèsD et directement dans nos caisses Desjardins en parlant avec leur conseiller.
Nous poursuivons activement notre collaboration avec les différents corps policiers. Finalement, nous travaillons avec des experts externes pour continuer à protéger les renseignements personnels de nos membres.
Je peux vous confirmer que nous avons agi avec diligence. À la suite des informations transmises par le Service de police de Laval, notre enquête interne a rapidement permis de remonter à la source de la fuite: un employé unique. Cet employé a été suspendu, puis congédié.
À l’heure actuelle, notre première priorité est de rassurer, d’accompagner, de soutenir et de protéger chacun des membres qui ont été touchés par cette situation. (1550)
Encore ce matin, nous avons annoncé de nouvelles mesures de protection pour l'ensemble de nos membres. Dans cette ère du numérique, nous croyons, chez Desjardins, que tous nos membres doivent être protégés.
Comme je le disais, ce matin, Desjardins a annoncé qu'à compter de maintenant tous les membres de notre coopérative vont bénéficier d'une protection contre les transactions financières non autorisées et le vol d'identité. L'adhésion est automatique et sans frais, qu'ils aient été touchés ou pas par cette fuite de données. Depuis ce matin, Desjardins protège tous ses membres, tant les membres particuliers que les membres entreprises. C'est un précédent dans le monde des services financiers au Canada; nous sommes la première institution à faire cela. Dans cette situation, Desjardins agit avec rigueur, un sens du devoir et la volonté d'honorer son lien particulier avec ses membres.
Nous sommes entrés dans une ère où les données sont une ressource au même titre que l'eau, le bois et les matières premières essentielles au fonctionnement de pans entiers de notre économie. C'est la matière première, dorénavant, de toute une économie innovante qui va permettre des gains de productivité formidables et faciliter la vie des citoyens.
Le Canada est à quelques mois de l'opérationnalisation de la connectivité mobile 5G, qui va décupler les flots de données en circulation. Selon les spécialistes, cette connectivité ultrarapide sera le déclencheur d'applications futuristes liées à l'intelligence artificielle, un domaine où le Canada figure déjà parmi les leaders mondiaux avec ses trois pôles, Montréal, Toronto et Edmonton. Également, à l'heure où on se parle, le ministère des Finances du Canada est en consultation sur l'open banking, un système bancaire ouvert qui amènerait une ouverture du secteur transactionnel. Le virage a d'ailleurs déjà été entrepris dans plusieurs pays d'Europe.
À vous, législateurs, je me permets humblement de poser les questions suivantes.
Le Canada est-il bien outillé actuellement pour encadrer ces développements technologiques pleins de promesses, mais qui comportent aussi des risques nouveaux? Y a-t-il lieu d'adapter nos systèmes d'identification à cette ère du numérique pour garantir la protection des renseignements personnels et mieux lutter contre les cybercriminels? C'est toute la notion de l'identité numérique à laquelle j'ai fait allusion il y a quelques minutes.
Je vous soumets respectueusement que ce sont des questions réelles soulevées par la situation survenue chez Desjardins.
En terminant, je me permets de faire une proposition. J'invite ce comité à recommander au gouvernement du Canada la formation d'un groupe de travail spécial multipartite qui conseillerait le gouvernement sur la manière d'encadrer la gestion des données personnelles et l'identité numérique. Un tel groupe à l'écoute des préoccupations des citoyens devrait rassembler minimalement, selon nous, des représentants des gouvernements, du secteur des services financiers et des assurances, du secteur des télécommunications, ainsi que des juristes et des experts, ou tout autre groupe que le gouvernement trouverait pertinent de faire participer à la réflexion.
Le mandat de ce comité devrait consister en ceci: conseiller le gouvernement en matière de lois et de règlements; assurer la protection du public; favoriser un développement technologique innovant au bénéfice des citoyens et des communautés; et assurer une veille stratégique des meilleures pratiques dans le monde, afin que le Canada soit toujours à la page.
Personnellement, j'estime que le Canada ne peut viser l'excellence en technologie numérique et en intelligence artificielle sans avoir la même ambition en ce qui a trait à la gestion des données et des renseignements personnels. Nous devons tous tirer des leçons de la situation que vit le Mouvement Desjardins actuellement.
Merci.
Le président:
Merci, monsieur Cormier.
Monsieur Picard, vous avez sept minutes, s'il vous plaît.
M. Michel Picard:
Messieurs, bienvenue. Je vous remercie de vous prêter à l'exercice. Votre présence est très appréciée.
Monsieur Cormier, d'entrée de jeu, je vais vous rassurer en vous disant que le Comité permanent de la sécurité publique et nationale et le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique ont commencé, en janvier dernier ou même avant, à traiter de questions entourant l'identifiant unique. Nous avons regardé des modèles de l'étranger, par exemple celui de l'Estonie, qui pose un certain nombre d'autres problèmes.
Avant de vous poser des questions d'ordre plus pratique, j'aimerais vous soumettre que l'identifiant unique fait partie des problèmes liés à la cybersécurité. La journée où quelqu'un mettra la main sur l'identifiant unique, on fera face au même problème.
Je suis content d'apprendre que vous offrez une protection à tous vos membres. Cependant, les institutions financières ont tendance à faire payer leurs clients pour protéger leurs données contre le vol d'identité. L'offre est faite par les institutions financières elles-mêmes. Avez-vous la même philosophie?
Pour que mon salaire soit déposé dans mon compte bancaire, pour faire des transactions, des retraits automatisés et des paiements Interac, je suis obligé de donner mon nom, mon adresse et mon numéro d'assurance sociale à l'institution avec laquelle je fais affaire. Or, je dois recourir à une tierce personne pour protéger ces informations. Pourquoi dois-je compter sur quelqu'un d'autre que l'entité à qui je donne ces informations?
(1555)
M. Guy Cormier:
Pour répondre à la première partie de votre question, je vous dirais que nous avons pris la décision, dès ce matin, de mettre en place un programme de protection pour l'ensemble de nos membres, tant les particuliers que les entreprises. Le volet entreprises n'est parfois pas couvert par d'autres institutions, voire par Equifax. Nous avons décidé d'offrir ce service gratuitement à nos membres tant qu'ils restent chez Desjardins. Il n'est pas question de leur facturer quoi que ce soit. Je répète très rapidement que le programme couvre toutes les transactions financières non autorisées sur le compte d'une personne, ses dépôts et son argent. Si une transaction n'a pas été autorisée, nous allons rembourser la personne. C'est une première chose.
Deuxièmement, si une personne est malheureusement victime d'un vol d'identité, nous lui offrirons une assistance, et non pas une liste de ce qu'elle doit faire. Nous allons lui offrir l'assistance de nos experts, qui pourront même participer à des conférences téléphoniques pour l'aider à restaurer son identité.
Troisièmement, nous allons offrir une protection allant jusqu'à 50 000 $ pour rembourser des frais que les membres auront pu subir, que ce soit une perte de salaire, des frais de gardiennage d'enfants ou d'obtention de documents.
Ce concept de gratuité est extrêmement important pour nous. Si vous êtes membre de la coopérative, vous avez accès à ce programme.
Nous proposons humblement qu'on mette sur pied un comité pour, entre autres, répondre à la question de savoir si la protection des données personnelles doit être gérée par des tierces entreprises. Je pense que le statu quo n'est pas une option.
M. Michel Picard:
Il y a deux problèmes à la solution que je considère comme temporaire de faire affaire avec une tierce partie. Vous demandez aux gens de faire affaire avec une tierce partie pour protéger leurs renseignements personnels, tierce partie qui, il y a deux ans, a aussi été victime d'actes de piratage. Nous avons fait une étude là-dessus ici.
Quelle serait la limite de votre responsabilité si l'entité à qui vous faites confiance, notamment Equifax, se faisait pirater les renseignements personnels de vos clients?
M. Guy Cormier:
C'est une question pertinente. Au Canada, la firme qui détient une part de marché de plus de 70 % dans le domaine de la protection et de la gestion de renseignements et de données est Equifax.
Quand cet événement est survenu, nous avons décidé de nous tourner vers l'entreprise canadienne qui offrait ce service aux Canadiens. Nous avons donc travaillé avec elle, mais, au cours des jours suivants, nous avons constaté qu'il y avait des problèmes. Nous avons rapidement pris nos propres mesures pour remédier aux problèmes liés à l'inscription des membres sur le site Internet d'Equifax. Nous l'avons vécu. Nous avons vu qu'il fallait améliorer les procédures et les façons de faire, et nous avons pris cela en charge.
Maintenant, faudrait-il que ce soit une seule, deux ou trois entreprises privées au Canada qui pilotent tout cela? La réflexion s'impose tout à fait.
M. Michel Picard:
Le vol d'identité a ceci de particulier que la donnée est active et à jamais sur le marché, à moins que la personne qui l'utilise ne meure. La donnée est virtuellement présente partout dans le monde. Elle peut être utilisée sur le marché noir après 24 heures, comme dans les cas de fraude de cartes de débit ou de crédit.
Le problème du vol d'identité ne concerne pas la sécurité des données du client à sa propre institution financière. Je suis convaincu que vos systèmes sont à jour quant à la protection contre le piratage de l'extérieur et que votre responsabilité envers vos clients est à la hauteur des attentes des Québécois et des Canadiens. S'il y a un problème dans le compte, vous allez rembourser l'argent qui a été détourné de façon criminelle.
Le problème du vol d'identité est le suivant. Disons qu'une personne se présente à une banque demain matin, dise s'appeler Guy Cormier et avoir besoin d'un prêt hypothécaire pour acheter une maison. L'hypothèque serait dans cette autre banque et non chez Desjardins.
Le vol d'identité fait des dommages dans d'autres milieux. Il y a eu les fameux flips immobiliers à Saint-Lambert, dans la Rive-Sud, où des personnes ont contracté de fausses hypothèques sous de fausses identités. Il y en a eu treize à la douzaine, et ce n'était qu'au Québec. Après cela, ce sera le Canada et l'Europe. Le vol d'identité a des répercussions et prend effet à l'extérieur du système financier du Mouvement Desjardins.
La protection que vous offrez, qui est appréciée et nécessaire, est quand même limitée à la vie financière du client, si je puis dire, au sein de son institution.
(1600)
M. Guy Cormier:
Essentiellement, la réflexion derrière la nouvelle mesure que nous avons annoncée ce matin, c'est qu'on est à l'ère numérique. Il y aura de moins en moins de transactions sur papier au cours des prochaines années. Cette donnée devient une matière première pour notre économie. Compte tenu de l'importance de ces données, chez Desjardins, nous avons pris la responsabilité d'offrir une protection à l'ensemble de nos membres.
Je disais qu'il y avait trois piliers. Le premier est la dimension financière à laquelle vous faites allusion. Si un membre de Desjardins voit une transaction non autorisée par lui-même apparaître dans ses comptes d'opération, Desjardins va totalement l'indemniser. Cela répond à la première partie de votre question sur la dimension des transactions financières.
S'il survient d'autres types de vol d'identité liés à des transactions de carte de crédit effectuées ailleurs, par exemple, des achats de téléphones cellulaires ou des locations de véhicules, la personne peut communiquer avec Desjardins et on va s'occuper d'elle. Deuxièmement, si elle a besoin de soutien pour restaurer son identité, pas sur le plan financier, mais relativement à d'autres éléments de la vie privée, Desjardins va l'accompagner. S'il faut appeler des agences gouvernementales ou des firmes privées, ou encore l'aider à préparer des documents notariés ou une présentation, nous allons le faire. On n'est donc plus dans la dimension financière, on accompagne la personne dans les autres démarches qu'elle pourrait avoir à entreprendre.
[Traduction]
Le président:
Merci, monsieur Picard.[Français]
Monsieur Paul-Hus, vous avez sept minutes.
M. Pierre Paul-Hus:
Merci, monsieur le président.
Merci, monsieur Cormier, messieurs, d'être avec nous.
Nous comprenons très bien que c'est une situation très émotive et très compliquée pour Desjardins. Monsieur Cormier, vous avez mentionné qu'il était prématuré de tenir une réunion de comité. Ce que je veux expliquer de nouveau à tout le monde, c'est que les conservateurs ont demandé cette réunion, avec l'appui du NPD, dans le but de voir ce que le gouvernement fédéral pouvait faire pour aider l'entreprise Desjardins et les quelque 3 millions de membres touchés.
L'objectif n'est pas d'enquêter sur la situation ou de connaître la façon dont les données ont été subtilisées. Ce sont les policiers qui s'en occupent. De mon côté, j'espère bien que l'individu va être puni avec toute la rigueur de la loi. J'espère que la loi est assez forte pour l'envoyer en prison longtemps, mais c'est une autre question.
Nous avons rencontré des fonctionnaires de différents ministères, notamment du ministère des Finances et de l'Agence du revenu du Canada. Ce sont de grands ministères, mais il est difficile de savoir si le gouvernement du Canada peut être utile dans cette situation.
Je veux savoir si vous avez reçu un soutien efficace du gouvernement. Sinon, que pourrait-il faire pour vous aider?
M. Guy Cormier:
Il y a deux ou trois éléments de réponse. Lorsque cet événement s'est produit, nous sommes entrés en contact avec plusieurs agences des gouvernements fédéral et provincial. Nous avons parlé aux différents ministères des Finances et, je tiens à vous le dire, nous avons senti une bonne collaboration et un bon soutien. M. Bernard Brun pourra confirmer qu'il y a eu des discussions très claires et très franches.
Ce que je constate, c'est que les autorités gouvernementales, tant fédérales que provinciales, veulent rassurer la population. Vous ne savez pas à quel point cela est important pour nous. Parfois, on voit ce qui s'écrit et ce qui se dit, et je comprends que les gens aient des inquiétudes et des questions. Comme députés, vous devez en recevoir beaucoup de vos concitoyens dans vos circonscriptions.
Je constate que les gens des gouvernements fédéral et provincial veulent rassurer les gens et les informer adéquatement. Cela aide beaucoup Desjardins. Il faut dire aux gens de communiquer avec nous afin que nous puissions leur présenter les programmes que nous avons annoncés ce matin. Chaque fois que nous rencontrons les gens, que ce soit dans nos caisses ou dans nos centres de contact avec la clientèle, nous sommes en contact direct et nous les rassurons.
Sans vouloir banaliser la situation, plusieurs études et plusieurs experts qui nous accompagnent actuellement nous disent très clairement qu'il y a une différence entre une fuite de données et ce qui se matérialise en un réel vol de données. Ce n'est pas un cas de « un pour un ». Ce sont des proportions très infimes.
En ajoutant la protection que nous avons annoncée ce matin, à nos yeux, nous venons dire à tous nos membres, y compris les entreprises, de ne pas s'inquiéter. S'il y a un problème, ils doivent appeler Desjardins. Nous nous occupons de les accompagner.
(1605)
M. Pierre Paul-Hus:
Depuis l'incident, vous offrez aux membres touchés un abonnement gratuit de cinq ans aux services d'Equifax. Est-ce que la nouvelle protection annoncée ce matin est un abonnement à vie aux mêmes services, ou s'agit-il d'une nouvelle protection interne?
M. Guy Cormier:
C'est exact, il y a une nouvelle protection interne. Comme je le disais, il s'agit du premier pilier. Si les gens voient une transaction non autorisée passée à leur compte, ils doivent aviser Desjardins. Nous allons ensuite regarder cela avec eux et les rembourser en totalité. Il est important de mentionner qu'il n’y a pas de plafond, que ce soit 10 000 $ ou 100 000 $.
Deuxièmement, s'ils sont victimes d’un vol d’identité, ils doivent communiquer avec nous. Nous allons les accompagner et faire des conférences téléphoniques. Nous offrons même des heures de soutien psychologique, par l'entremise de nos compagnies d'assurance-vie, aux gens qui vivent cette situation avec beaucoup d'émotion.
Troisièmement, il s'agit de la nouvelle protection de 50 000 $ pour les gens qui doivent engager des dépenses personnelles pour restaurer leur identité. Desjardins va assumer ces dépenses. C'est extrêmement important.
Pour ce qui est des services d'Equifax, je répète qu’il est important que les gens victimes de la fuite de données continuent de s'y inscrire activement, car cela leur donne le service d’alerte. Celui-ci pourrait les alerter d'une transaction non autorisée dans les semaines ou les mois suivants, ce qui n’est pas inclus dans le forfait de Desjardins. Le Mouvement Desjardins recommande très fortement aux membres victimes de cette fuite de s’inscrire aux services d'Equifax.
M. Pierre Paul-Hus:
Je suis membre de Desjardins, mais également client de la Banque Royale...
M. Guy Cormier: Merci.
M. Pierre Paul-Hus: La Banque Royale a un système que je ne connaissais pas. Je l'ai appris d'un employé la fin de semaine dernière. Sur son site, il y a un lien vers le site de TransUnion et, en cliquant dessus, mon dossier de crédit et ma cote de crédit apparaissent, et c’est tout à fait gratuit.
Est-ce que Desjardins va offrir un service semblable?
M. Guy Cormier:
Je vais laisser M. Berthiaume répondre à cela. Il va sûrement être très content.
M. Denis Berthiaume (premier vice-président exécutif et chef de l'exploitation, Mouvement Desjardins):
Nous offrons le même type de service avec TransUnion. Sur le Web et sur les appareils mobiles, on peut avoir accès à sa cote de crédit en temps réel. En ce qui a trait au système d’alerte, je pense que nous l'avons bien expliqué. Nous faisons affaire avec Equifax, mais nous considérons également la possibilité d'offrir un système d'alerte avec TransUnion.
M. Pierre Paul-Hus:
Vous avez fait un travail extraordinaire pour mettre tout cela en place. Je vous félicite.
Maintenant, je voudrais parler des citoyens qui ont peur que leurs données qui ont été envoyées quelque part dans le monde soient utilisées pour faire des transactions ou quoi que ce soit. Vous ne pouvez pas être responsables de tout le monde. Vous avez une responsabilité envers vos membres, et 90 % des Québécois sont membres de Desjardins, mais vous ne pouvez pas savoir si une donnée envoyée à l'étranger provient de cette fuite précise.
En d'autres mots, si mes données volées sont envoyées à l’étranger, allez-vous me couvrir quand même, alors qu'elles auraient pu être envoyées par une autre source?
M. Guy Cormier:
Ce n'est pas seulement la situation que nous vivons chez Desjardins qui nous a amenés à faire la proposition de ce matin, mais nous avons certainement accéléré les choses. À chaque début d'année, nous faisons une planification et, en fonction de la sécurité, de nos nouveaux produits et de nos nouvelles offres, nous nous demandons ce qu'il est pertinent d'offrir à nos membres en fonction des besoins.
M. Pierre Paul-Hus:
Je vais vous interrompre, parce que j'ai compliqué les choses inutilement. Ce que je voulais dire, c’est que même s'il y a eu une fuite de données de votre côté, il se pourrait qu'une autre organisation envoie mes informations ailleurs. Dans un tel cas, le gouvernement n’aurait-il pas une certaine responsabilité? On dirait que vous vous occupez des problèmes de tout le monde. À un moment donné, ne devrait-on pas suggérer que le gouvernement du Canada donne un coup de main à tous les citoyens?
M. Denis Berthiaume:
Écoutez, en ce moment, ce qui est important, c'est de rassurer les membres et d'offrir une protection à tout le monde. On ne va pas se mettre à déterminer si une donnée envoyée à l'étranger provient de la fuite de données chez Desjardins ou d'une autre fuite de renseignements dans une autre organisation. Nous voulons couvrir et rassurer nos membres.
Pour répondre à votre question, si une fraude survient dans un compte Desjardins, nous allons couvrir le membre concerné. Comme c'est le cas chez d'autres institutions financières, en cas de tentative de fraude, qu'il s'agisse d'un compte d'opérations courantes, d'un compte de carte de crédit ou d'un autre type de compte, nous n'en tenons pas les membres responsables.
Le président:
Merci, monsieur Paul-Hus.
Monsieur Dubé, vous avez sept minutes.
M. Matthew Dubé:
Merci, monsieur le président.
Messieurs Cormier, Brun et Berthiaume, je vous remercie d’être ici. Vous êtes les bienvenus. Je crois que vous avez très bien saisi notre intention, c'est-à-dire échanger pour rétablir la confiance des personnes qui sont extrêmement inquiètes. Vous l’avez bien dit. Comme vous, nous entendons parler ces gens-là. C’est encore plus intéressant pour nous, puisque nous venons de terminer une étude. En fait, nous avons plutôt ouvert la porte aux députés de la prochaine législature en ce qui concerne la cybersécurité dans le secteur financier. Dans ce contexte-là, cela nous intéresse particulièrement.
Puisqu'on ne l’a pas mentionné encore, je dirais que, comme députés québécois, nous ne sommes pas ici pour faire une chasse aux sorcières. Avec le nombre d'activités auxquelles nous assistons, nous constatons clairement que Desjardins est un partenaire local de la communauté. Nous voulons travailler ensemble, et je pense que votre recommandation d'aujourd’hui va dans ce sens-là. Alors, je vous remercie.
J’aimerais aborder quelques éléments, en espérant que vous puissiez répondre à quelques questions. Je comprends les contraintes sous lesquelles vous vous présentez. La première chose est toute simple et semble niaiseuse, mais il s'agit des services français d'Equifax. Quelques personnes ont signalé qu'elles avaient de la difficulté à obtenir des services en français. Avez-vous collaboré avec eux pour vous assurer que vos membres, dont la très grande majorité est francophone, reçoivent un service en français?
(1610)
M. Denis Berthiaume:
Oui. Tout d'abord, nous voulions agir rapidement avec Equifax, et je pense que cela a été le sens de la démarche. Les gens d'Equifax ont été très collaboratifs. Ils ont même ajusté leur offre de service pour nous accommoder à plusieurs égards. Nous avons donc eu une excellente collaboration.
Maintenant, au fil du temps, nous avons réalisé effectivement que la capacité francophone atteignait certaines limites chez Equifax. C'est la raison pour laquelle nous avons apporté un certain nombre de mesures additionnelles. Le président vous a mentionné les quatre initiatives qui ont été mises en place.
Premièrement, les gens peuvent aller, que ce soit sur le Web ou sur leur téléphone cellulaire, s'inscrire directement aux services d'Equifax. Nous nous occupons de les diriger vers ces services, de faire le lien avec Equifax et de faire l'authentification.
Deuxièmement, les gens peuvent obtenir un service francophone en joignant nos centres d'appels AccèsD. Les temps d'attente sont très raisonnables. Nous faisons l'interface, en quelque sorte, entre nos membres et Equifax afin d'améliorer l'expérience. C'est ce que nous avons mis en place au cours des derniers jours et des dernières semaines. Nous croyons que cela a porté ses fruits.
M. Matthew Dubé:
Ce n'est pas nécessairement propre à ce qu'on veut examiner, et cela ne relève pas du mandat du Comité, mais vous comprendrez que je voulais tout de même avoir l'heure juste là-dessus. Merci.
J'aimerais revenir sur la réglementation. On en a un peu entendu parler de la part des représentants du gouvernement qui vous ont précédés. Cela devient-il encombrant pour ce qui est d'atteindre vos objectifs et d'assurer la sécurité des données de vos membres? Vous êtes dans une situation particulière où vous êtes assujettis à la fois à la réglementation du gouvernement du Québec et à celle du gouvernement fédéral. Comparativement aux institutions financières traditionnelles et aux grandes banques, vous êtes dans une situation un peu unique. Vous me pardonnerez la terminologie qui n'est peut-être pas appropriée, mais je pense que vous comprenez ce que je veux dire. Cette situation différente peut-elle causer des ennuis?
Plus simplement, aurait-on intérêt à assurer une meilleure harmonie entre les exigences du gouvernement du Québec et celles du gouvernement fédéral, de sorte que vous n'ayez pas à tourner à gauche et à droite pour vous conformer à deux entités réglementaires différentes?
M. Bernard Brun (vice-président, Relations gouvernementales, Mouvement Desjardins):
Je vous remercie de votre question.
Effectivement, c'est extrêmement pertinent, parce que nous évoluons dans un système bijuridictionnel. Cela dit, dans l'ensemble, Desjardins est parfaitement à l'aise dans le cadre actuel. Évidemment, avec les échanges technologiques, l'interrelation au sein du système financier est de plus en plus manifeste. À ce sujet, il est primordial de ne pas agir en vase clos.
Plus tôt, M. Cormier a souligné que nous avions eu une bonne collaboration. Nous avons pu discuter avec tous les intervenants des gouvernements fédéral et provincial. Nous les incitons beaucoup à travailler ensemble. Nous sentons qu'il y a une collaboration, mais nous insistons pour que les gouvernements eux-mêmes discutent.
Quant au fait qu'une entité comme le Mouvement Desjardins navigue des deux côtés, je ne vois pas cela comme étant un problème. Cependant, nous avons manifestement besoin de soutien à cet égard. Nous le sentons et nous mettons l'accent là-dessus. Cela vient rejoindre notre suggestion de mettre sur pied un comité multipartite avec des gens des différents gouvernements. C'est ce qui nous permettra d'avancer et d'avoir des politiques efficaces qui vont toucher tout le monde.
M. Matthew Dubé:
Merci.
Il sera peut-être plus difficile de répondre à ma prochaine question, puisque l'enquête policière est toujours en cours.
Compte tenu de l'expertise en hausse en matière de cybersécurité, surtout chez les gens qui en font leur travail, croyez-vous qu'il serait approprié de recommander la vérification continue des comportements ou des antécédents d'employés qui ont accès à de l'information sensible et qui sont en mesure d'exploiter les informations d'autres utilisateurs, c'est-à-dire d'autres employés?
Je ne suis pas en train de dire que vous n'avez pas été à la hauteur à cet égard, mais tout le monde commence à reconnaître qu'il y a des personnes qui ont de plus en plus d'expertise. On se sert de leur expertise, mais cela peut aussi avoir des conséquences plus néfastes.
(1615)
M. Guy Cormier:
Mon collègue peut parler de nos pratiques, puis je compléterai ses remarques selon ma perspective.
M. Denis Berthiaume:
La première des choses, c'est qu'il y a des enquêtes de sécurité rigoureuses qui se déroulent chez Desjardins de façon continue. Ensuite, effectivement, les enquêtes sont liées au niveau d'emploi. C'est un élément important.
En ce qui concerne la situation qui nous occupe, on pourrait se demander si on aurait pu détecter quoi que ce soit. J'aime bien rappeler que la fraude interne par un employé malveillant est le risque contre lequel il est le plus difficile de se prémunir. C'est reconnu partout dans l'industrie, et il y a beaucoup de cas patents.
Outre les enquêtes de sécurité, il y avait des mécanismes de sécurité en place. Évidemment, on parle d'un employé malveillant qui a trouvé une façon de contourner toutes les règles et qui a utilisé un stratagème pour exfiltrer les données. Cela dit, je tiens à vous rassurer: il y a des mécanismes de sécurité en place.
M. Guy Cormier:
Est-ce qu'avec le temps nous pourrons aller plus loin en ce qui concerne la situation que nous vivons? Comme je le disais, à l'ère du numérique, des gens manipulent des données personnelles non seulement dans les institutions financières, mais également dans toutes sortes d'entreprises. Aujourd'hui, lorsqu'une personne veut inscrire son enfant à la garderie, elle doit donner son numéro d'assurance sociale, et ce numéro peut demeurer sur la table pendant cinq, dix ou quinze minutes, le temps de l'inscription. C'est la réalité au Canada.
Je crois que toute entreprise où des employés manipulent des renseignements personnels doit s'assurer que ces derniers ont fait l'objet de vérifications.
[Traduction]
Le président:
Nous allons devoir en rester là.[Français]
Merci, monsieur Dubé.
Madame Lapointe, vous avez la parole.
Mme Linda Lapointe:
Merci beaucoup, monsieur le président. Je vais partager mon temps de parole.
Messieurs, je vous remercie beaucoup d'être ici.
Je suis membre de Desjardins depuis 1980 à peu près. Comme mon collègue le disait, Desjardins est partout. Ma circonscription est Rivière-des-Mille-Îles et elle comprend Deux-Montagnes, Saint-Eustache, Boisbriand et Rosemère. Il y a une caisse Desjardins à Deux-Montagnes et une à Thérèse-De Blainville. Ce sont deux grosses institutions dans la région. Il y a deux MRC et deux caisses Desjardins.
M. Guy Cormier:
Il y a M. Bélanger.
Mme Linda Lapointe:
Oui.
Vous avez dit que la fraude interne est la plus difficile à détecter et contre laquelle il est le plus difficile de se prémunir. Un peu plus tôt aujourd'hui, des représentants du ministère des Finances et de l'Agence du revenu du Canada nous ont parlé.
Comment cela fonctionne-t-il à l'interne chez Desjardins? Comment les superviseurs auraient-ils pu repérer cet employé malveillant? Il est clair qu'il a été capable de se faufiler dans le système. Y a-t-il des niveaux d'accès et des captures d'écran? Le système émet-il des alertes s'il repère des choses inhabituelles? Vos employés ont-ils le droit d'avoir leur téléphone cellulaire avec eux lorsqu'ils travaillent sur des données?
Je suis sûre que vous allez réévaluer les mesures en place. Vous avez parlé d'un seul employé malveillant, mais qu'allez-vous faire pour vous prémunir contre d'autres employés malveillants? Quelles sont vos règles? Comment cela fonctionne-t-il?
M. Guy Cormier:
Monsieur Berthiaume, pouvez-vous parler des opérations?
M. Denis Berthiaume:
Oui.
En ce qui concerne les opérations, je tiens d'abord à vous dire que personne, en ouvrant son ordinateur au bureau le matin, n'a accès à toutes les données. Ce n'est pas ainsi que cela fonctionne. Chez Desjardins, les emplois sont catégorisés en fonction des données qui sont nécessaires pour faire le travail. C'est la première chose.
Ensuite, notre organisation a mis en place plusieurs mécanismes internes de sécurité et de contrôle, mais nous ne voulons pas en parler publiquement, car même nos employés ne sont pas au courant de ces mécanismes. Je ne peux donc pas donner beaucoup de détails là-dessus.
Quant au cas particulier qui nous intéresse, une enquête policière est en cours, ce qui rend le sujet fort sensible. Honnêtement, nous ne voulons en aucun cas nuire à l'enquête policière en cours.
Comme je viens de le dire, nous ne voulons pas donner de détails sur nos mécanismes de sécurité, car ils sont importants pour éviter que la situation dont il est question aujourd'hui ne se reproduise. Cette situation met en cause un seul employé, mais je peux vous dire que nos mécanismes de sécurité détectent des éléments de fraude externe ou autres. Je réitère qu'il est extrêmement difficile de se protéger complètement d'un employé malveillant.
(1620)
Mme Linda Lapointe:
Allez-vous revoir vos règles internes?
M. Denis Berthiaume:
Concernant les mesures de sécurité, nous sommes en évolution constante. Bon an, mal an, Desjardins investit 70 millions de dollars par année dans la sécurité et la protection des données et des renseignements personnels. Nous nous améliorons continuellement pour nous adapter aux nouvelles technologies qui créent de nouvelles possibilités de fraude. Des gens essaient de créer de nouveaux stratagèmes et nous sommes en évolution constante pour nous permettre de les repérer.
Mme Linda Lapointe:
Merci beaucoup.
Je suis contente que vous ayez parlé des quatre procédures que vous avez mises en place. Mes parents sont des personnes âgées et n'ont pas Internet. Ils se sont rendus en personne à leur caisse Desjardins pour que quelqu'un les aide, et cela n'a pas très bien fonctionné.
M. Guy Cormier:
Dans les premiers jours, l'inscription à Equifax a représenté un défi pour nous.
Mme Linda Lapointe:
Les gens qui n'ont pas accès à Internet ne sont pas capables de s'y inscrire.
M. Guy Cormier:
Nous avons donc pris la décision d'offrir un service aux gens qui n'ont pas accès à Internet. Dès aujourd'hui, les gens qui le souhaitent pourront quand même bénéficier du service d'alerte. Ce service sera pris en charge par Desjardins, qui pourra communiquer avec eux par la suite. Nous avons innové en ce qui concerne Equifax, afin de trouver une solution pour ces gens.
Mme Linda Lapointe:
Merci.
M. Francis Drouin:
Merci beaucoup, monsieur le président.
Monsieur Cormier, vous et moi, comme Mme Lapointe, sommes victimes de cette fuite. Je comprends très bien qu'il soit difficile de contrôler complètement un employé malveillant. C'est quasi impossible.
Cela dit, cette fuite aura diverses répercussions sur les membres de Desjardins. Pour certains, rien ne va arriver, alors que d'autres seront victimes de fraude quelque temps dans le futur. Mes concitoyens m'ont demandé pourquoi vous offrez le service Equifax gratuitement pour 5 ans, et pas pour 10, 15 ou 20 ans.
M. Guy Cormier:
Monsieur Berthiaume, vous pouvez répondre à la question au sujet de la période de cinq ans, puis nous reviendrons à la réponse de ce matin. C'est une question qu'on nous a déjà posée.
M. Denis Berthiaume:
Premièrement, nous avons voulu agir rapidement en offrant une protection de cinq ans. Comme nous n'étions pas satisfaits de cette période de protection, nous avons décidé de la prolonger. Le président a annoncé ce matin que Desjardins s’engage à fournir une protection à vie. Nous ne nous sommes pas contentés d'une période de protection de cinq ans. Nous avons un partenariat avec Equifax pour fournir cette protection, ce qui est important de deux façons.
Nous observons une bonne augmentation des inscriptions à Equifax, mais nous ne sommes pas satisfaits de ce nombre. À en juger par la tendance actuelle, nous craignons que, au bout du compte, seuls 20 % ou 25 % de nos membres s'inscrivent à Equifax. Cela laisse quand même des gens sans couverture et qui choisissent de ne pas bénéficier du système d’alerte, pour des raisons qui leur sont propres. Or nous ne voulons pas laisser 75 % ou 80 % de nos membres sans aucune protection. Nous voulons leur fournir un service d’assistance, s’il arrive quelque chose. C'est ce qui a mené à l’annonce de ce matin. Nous voulons aller au-delà de la protection d’Equifax et offrir à nos membres une couverture parapluie.
M. Francis Drouin:
Hier, j’ai vécu une expérience en communiquant avec Equifax. Son site Web ne fonctionnait pas et j'ai appelé. Finalement, entre 45 minutes et une heure et demie plus tard, j'ai pu m'inscrire.
Dans l’Est de l’Ontario, les caisses du Mouvement Desjardins sont très populaires et très présentes dans les communautés. Les employés sont formés pour aider les personnes âgées qui ne peuvent pas aller sur Internet pour s'inscrire. J’ai la chance d’aller sur Internet et de vérifier mon rapport de crédit chaque jour, mais qu'en est-il pour ma grand-mère, par exemple? Quelqu’un de Desjardins va-t-il l'aviser qu'il y a eu un mouvement sur son rapport de crédit?
M. Denis Berthiaume:
Oui, c’est la nouvelle solution que nous venons de lancer. Nous allons nous organiser pour que les gens puissent s'inscrire à Equifax. Par la suite, plutôt qu'Equifax communique avec la personne par courriel, Desjardins va faire le lien entre Equifax et la personne. Nous allons recevoir les alertes et vérifier qu'elles sont réelles, puis nous allons contacter les membres concernés, comme votre grand-mère, de la façon qui leur convient. C'est ce que nous mettons en place.
M. Francis Drouin:
Merci.
M. Guy Cormier:
J'aimerais souligner brièvement quel est le message important ici. Le Mouvement Desjardins a décidé rapidement d’être transparent et de donner l’information le 20 juin. Quand nous sommes entrés dans les données des 2,7 millions de gens, nous avons réalisé que des personnes n’avaient pas accès à Internet. Il y avait aussi des comptes de succession. Des situations ont émergé et nous avons vu qu’il fallait innover et trouver des solutions pour eux. Jusqu'à maintenant, pour tous ces cas, nous avons une bonne collaboration avec les gens d'Equifax. Ils nous aident à trouver une solution différente, notamment pour des personnes comme votre grand-mère.
(1625)
[Traduction]
Le président:
Merci, monsieur Drouin.
Monsieur Motz, vous avez cinq minutes.
M. Glen Motz:
Merci, monsieur le président.
Merci d'être présents, messieurs.
Si l'on en croit les renseignements que nous avons reçus, environ 200 000 Canadiens à l'extérieur du Québec ont été touchés par cette situation particulière. Savez-vous combien de personnes sont concernées dans chaque province?
[Français]
M. Denis Berthiaume:
Les membres touchés sont principalement au Québec. Il y en a un certain nombre en Ontario et très peu dans les autres provinces. On parle de personnes qui ont sans doute déménagé dans d’autres provinces et qui sont membres de Desjardins. C’est un volet important. Ce sont les membres des caisses Desjardins qui sont touchés.
Les clients de State Farm ou de Patrimoine Aviso, avec qui nous avons un partenariat, ne sont pas touchés. On ne parle que des membres des caisses qui ont pu déménager dans d’autres provinces ou des membres de nos caisses en Ontario.
[Traduction]
M. Glen Motz:
D'accord.
Vous avez mentionné que vous avez acquis State Farm en 2015. Vous dites qu'aucun de ses clients n'est touché.
M. Denis Berthiaume:
Ils n'ont pas du tout été touchés, non.
M. Glen Motz:
En 2017, vous avez créé Aviso Wealth. Il s'agit de la fusion de Credential Financial, de Qtrade Canada et de NEI Investments. Ces entreprises ont toutes été fusionnées.
M. Denis Berthiaume: C'est exact.
M. Glen Motz: Certains de ces clients ont-ils été touchés?
M. Denis Berthiaume:
Ils n'ont pas été touchés du tout en dehors de la portée de ce dont nous avons parlé...
M. Glen Motz:
Qu'en est-il des anciens clients de Desjardins dont les comptes ont été fermés? Certaines de leurs données ont-elles été touchées?
M. Denis Berthiaume:
Je ne suis pas certain que je...
M. Glen Motz:
Ils ont fait partie de vos clients. Conservez-vous toujours leurs données bien que ce ne soit plus le cas? Ces données ont-elles été compromises ?
M. Denis Berthiaume:
Je tiens à me montrer très, très précis. Seuls les membres de notre réseau de caisses sont touchés. Supposons que vous en étiez membre il y a un an et que vous avez fermé votre compte pour une raison quelconque. Si vous ne recevez pas de lettre, vous ne serez pas touché. Il n'y a pas de répercussions. Vous n'avez pas été touché...
M. Glen Motz:
Pour que ce soit clair, si vous n'avez pas de compte actif chez Desjardins, vous n'avez pas été touché par cette atteinte à la protection des données. Ai-je bien compris?
M. Denis Berthiaume:
Si vous n'avez pas reçu de lettre... La clé est de savoir si vous avez personnellement reçu une lettre. Si vous avez reçu une lettre, cela signifie que vous faites partie des membres qui pourraient être touchés, et nous vous encourageons à vous abonner à Equifax.
M. Glen Motz:
Cela ne répond pas vraiment à ma question. Si j'ai bien compris, il faut avoir un compte actif chez Desjardins pour avoir été touché par cette atteinte à la protection des données. C'est exact?
M. Denis Berthiaume:
Non, parce que vous pourriez être un ancien membre de Desjardins et avoir fermé votre compte il y a un an...
M. Glen Motz:
C'est la question que j'ai posée plus tôt.
M. Denis Berthiaume:
... mais vous pourriez être touché si vous recevez une lettre.
M. Glen Motz:
Je ne me soucie pas de la lettre parce que les Canadiens s'en moquent. Ils veulent savoir si les membres actuels ont été touchés ou non. La réponse est oui. Les clients actuels ou les anciens clients pourraient être touchés.
M. Denis Berthiaume:
Oui
M. Glen Motz:
Si je me souviens bien, en 2018, Desjardins Ontario a fusionné avec environ 11 coopératives de crédit de l'Ontario. Certains de ces clients potentiels seraient-ils touchés par cette atteinte à la protection des données?
M. Denis Berthiaume:
Nous parlons des caisses de l'Ontario...
M. Guy Cormier:
La réponse est oui. Il est possible que certains membres des caisses de l'Ontario, fusionnées ou non, aient été touchés par cette atteinte.
M. Glen Motz:
En 2013, le Mouvement Desjardins a acheté des compagnies d'assurance dans l'Ouest, notamment Coast Capital Insurance, en Colombie-Britannique, First Insurance dans cette même province, Craig Insurance, en Alberta, et Melfort Agencies et Prestige Insurance, en Saskatchewan.
Certains de ces clients pourraient-ils être touchés par l'atteinte à la protection des données survenue chez Desjardins?
M. Denis Berthiaume:
La réponse est non.
M. Glen Motz:
Les téléphones des clients qui utilisent Apple Pay ou Android Pay pour effectuer leurs opérations bancaires peuvent-ils être compromis par cette atteinte à la protection des données, et courent-ils de plus grands risques de recevoir des messages frauduleux pouvant découler de cette situation?
M. Denis Berthiaume:
Les données qui ont été extraites comprennent des numéros de téléphone et des courriels. Pour répondre à votre question, oui, il est possible que ces personnes fassent l'objet d’hameçonnage, mais encore une fois, uniquement s'ils sont membres d'une caisse, pas s'ils sont clients. S'ils sont clients d'Aviso Wealth, s'ils ont eu une assurance dans le passé, s'ils ont une assurance vie et santé, ou s'ils ont une assurance incendie, accidents et risques divers, ils ne sont pas touchés.
(1630)
M. Glen Motz:
Il ne s'agit que de l'aspect financier.
M. Denis Berthiaume:
Il ne s'agit que de membres des caisses.
M. Glen Motz:
Je vais partager mon temps avec M....
Le président:
Vous allez devoir partager six secondes avec lui.
Passons à M. Graham, pour cinq minutes.
[Français]
M. David de Burgh Graham:
Je vais suivre un peu les propos de M. Motz. Parmi ceux qui n'ont pas reçu de lettre, beaucoup s'inquiètent et se demandent s'ils sont touchés ou non.
Peut-on dire clairement à tous ceux qui n'ont pas reçu de lettre qu'ils ne sont pas touchés?
M. Denis Berthiaume:
Selon l'information que nous avons, seulement ceux qui reçoivent une lettre sont touchés.
M. David de Burgh Graham:
Alors si on ne reçoit pas de lettre, on n'est pas touché; c'est bien cela?
M. Denis Berthiaume:
S'ils n'ont pas reçu de lettre, ils ne sont pas touchés.
M. Guy Cormier:
Le 14 juin, nous avons reçu de l'information du corps policier de Laval. C'est grâce à cette information que nos équipes d'investigation informatique ont été capables de nous fournir les chiffres de 2,7 millions de particuliers et de 173 000 entreprises. Ce sont à ces gens-là que nous avons transmis des lettres écrites.
Malgré tout, nous entendons les préoccupations des gens. C'est pourquoi, ce matin, nous avons décidé d'accélérer le lancement de ce programme de protection pour tous les membres, qu'ils soient touchés ou non.
M. David de Burgh Graham:
Cette protection est une bonne chose, mais dans certaines villes de ma circonscription, Laurentides—Labelle, plusieurs gens n'ont pas d'accès à Internet ni de téléphone cellulaire. Ils sont moins nombreux que lorsque je suis arrivé, mais il y en a encore. Plusieurs ont même perdu leur succursale Desjardins. Qu'est-ce que ces gens peuvent faire?
J'ai un compte chez Equifax depuis plusieurs années. Quand il y a un changement, on m'envoie un courriel, mais je dois aller sur le site Web et essayer de comprendre de quoi il s'agit, car ce n'est pas clair du tout. Alors, pour ceux qui ont une connexion Internet, les renseignements d'Equifax ne sont pas clairs, et ceux qui n'ont pas de connexion n'ont rien du tout.
Vous en avez parlé un peu, mais pourriez-vous en parler un peu plus?
M. Guy Cormier:
Il y a deux choses. Premièrement, il est urgent de brancher les citoyens de partout au pays à Internet, si on veut arriver au XXIe siècle. De notre côté, puisque certains de nos membres ne sont pas branchés à Internet — parfois, c'est par choix, parfois, c'est parce qu'ils n'y ont pas accès —, nous avons proposé une solution supplémentaire en partenariat avec Equifax. M. Berthiaume peut l'expliquer.
M. Denis Berthiaume:
Les personnes qui ne vont pas sur le Web et qui n'ont pas nécessairement d'adresse courriel doivent tout de même être jointes. Nous avons donc mis en place un centre d'appels afin qu'elles puissent communiquer avec nous par téléphone. Nous allons nous charger de les inscrire aux services d'Equifax.
Nous avons mis en place une solution innovante avec Equifax, qui va les enregistrer, s'occuper de la surveillance et des alertes, puis nous envoyer les résultats. À ce moment-là, nous nous chargerons de communiquer avec ces personnes qui n'ont pas d'accès à Internet ou au courriel. C'est ce que nous avons mis en place aujourd'hui même.
M. David de Burgh Graham:
Equifax s'occupera donc de l'aspect technique, et non Desjardins.
M. Denis Berthiaume:
Oui. Actuellement, c'est Equifax qui a la capacité de s'occuper des alertes. Comme nous le disions plus tôt, Equifax détient 70 % du marché canadien pour ce qui est des bureaux de crédit et des systèmes de détection et d'alerte. Ce sont donc ses services que nous utilisons pour ce volet.
Encore une fois, nous faisons le lien pour les personnes qui ont plus de difficulté à accéder à Internet ou qui n'ont pas d'adresse courriel. Nous rassurons les gens et, en cas d'alerte, nous prenons contact avec eux.
M. David de Burgh Graham:
D'accord.
Dans votre allocution, vous avez parlé de changer notre système d'identité numérique. Quels exemples voudriez-vous que l'on suive?
M. Guy Cormier:
Loin de moi l'idée de vous donner l'exemple parfait qui devrait être suivi, parce qu'il y aura toujours des lacunes dans les solutions parfaites qu'on pense avoir trouvées. Il y aura toujours des gens malhonnêtes qui essaieront de défaire ces solutions. Toutefois, des pays comme l'Estonie, l'Inde et même certains pays d'Europe ont mis en place des mesures concernant les identifiants uniques ou, à tout le moins, des mesures visant à ce que les cartes émises par le gouvernement, que ce soit les permis de conduire ou les cartes d'assurance-maladie, ne deviennent pas des façons d'identifier les gens. Ces pays avaient pour objectif de rétablir le rôle premier de ces cartes, qui sont devenues des pièces d'identification au fil du temps. Le Canada devrait s'inspirer de ces pays.
(1635)
M. David de Burgh Graham:
D'accord.
J'ai une dernière question. Qu'est-ce que les 2,9 millions de clients de Desjardins touchés avaient en commun? Est-ce qu'on sait pourquoi ils ont été touchés et pas les autres?
M. Denis Berthiaume:
À ce sujet, nous n'avons rien de concluant. Nous nous sommes basés sur les données que les services de police nous ont fournies. Nous n'avons pas de données concluantes sur ce qui fait que quelqu'un est sur la liste ou non. Nous n'avons pas cette information.
M. David de Burgh Graham:
Merci.
[Traduction]
Le président:
Nous allons passer à M. Clarke.
[Français]
M. Alupa Clarke:
Monsieur Cormier, je voudrais simplement réitérer ce que mon collègue a dit. L'objectif fondamental de la réunion d'aujourd'hui, pour nous les conservateurs, était de déterminer ce que le gouvernement, ses agences et ses institutions pouvaient faire pour vous aider et, par ricochet, pour aider les membres de Desjardins, ce qui est le plus important. Ce sont des citoyens canadiens et québécois.
Par ailleurs, vous n'êtes pas sans savoir que j'ai joint les trois directeurs des caisses Desjardins de ma circonscription pour leur exprimer mon soutien.
Le ministère de l'Emploi et du Développement social du Canada a-t-il pris contact avec vous pour obtenir la liste des 2,9 millions de citoyens? C'est une question très importante.
M. Guy Cormier:
Le ministère est en contact avec nous et collabore avec nous. Cela fait plus de deux semaines que nous discutons directement avec ses représentants, que ce soit au sujet des numéros d'assurance sociale ou de la situation que vit Desjardins.
Je ne crois pas que la demande de transmission de l'information ait été faite, du moins sur le plan opérationnel. Je n'ai pas cette information. Je ne sais pas si M. Brun ou M. Berthiaume en savent plus, mais je ne pense pas.
M. Alupa Clarke:
Quand vous aurez la réponse, pourriez-vous la donner aux analystes ou au greffier? Ce serait important pour nous de le savoir. S'il se trouve que la demande a été faite, pourriez-vous fournir la liste de ces Canadiens? Nous, nous cherchons à savoir ce que le gouvernement peut faire, mais il faudrait d'abord qu'il sache de qui il est question. Alors, seriez-vous en mesure d'envoyer cette liste au gouvernement canadien? Malheureusement, il s'agirait encore d'envoyer des données, mais le destinataire serait le gouvernement.
M. Denis Berthiaume:
Il faudrait voir si cela est possible. D'un point de vue juridique, je n'en suis pas certain.
M. Alupa Clarke:
Ensuite, j'aimerais savoir si un membre du Cabinet actuel vous a contactés depuis le 20 juin.
M. Guy Cormier:
Lorsque vous parlez du Cabinet actuel, vous parlez du Cabinet...
M. Alupa Clarke:
Je parle du Cabinet fédéral. Ce serait donc un ministre.
M. Guy Cormier:
Oui, tout à fait. J'ai eu une discussion avec le ministre Morneau sur la situation. Il m'a offert son soutien pour voir comment le gouvernement fédéral pouvait accompagner Desjardins dans cette situation.
M. Alupa Clarke:
D'accord.
Dans votre introduction, vous avez mentionné très humblement et respectueusement que vous aviez quelques questions. Personnellement, j'aurais aimé connaître vos réponses en tant qu'expert dans votre domaine. Je ne me souviens pas très bien de votre première question, mais c'était quand même intéressant. Vous vous demandiez si le Canada avait un système adéquat en ce qui a trait aux numéros d'assurance sociale, par exemple. J'aimerais connaître votre perspective là-dessus.
M. Guy Cormier:
La première question était de savoir si le Canada est bien outillé pour encadrer le développement technologique, qui est plein de promesses, mais qui comporte aussi des risques nouveaux.
Y a-t-il lieu d'adapter nos systèmes d'identification?
M. Alupa Clarke:
J'aimerais avoir vos réponses sur les deux points.
M. Guy Cormier:
Mes deux réponses sont simples: je pense que le statu quo n'est pas une option. Le statu quo, actuellement, au Canada, n'est pas suffisant à l'ère du numérique, à l'ère du 5G qui s'en vient et à l'ère de réflexions sur le monde des services financiers, notamment les services financiers ouverts. Sur ces deux questions, je pense qu'on ne doit pas se satisfaire du statu quo.
C'est pour cela que nous proposons, humblement, la création d'un comité composé de plusieurs parties prenantes, y compris des citoyens, des gouvernements, des entreprises — pas seulement les institutions financières, mais les entreprises qui traitent des données —, pour réfléchir à ces questions et voir si, au moyen d'exemples d'autres pays du monde, on peut continuer d'être des leaders.
Comme je l'ai mentionné au début, je pense qu'en intelligence artificielle, le Canada est en train de prendre une position de leadership importante dans le monde. Parallèlement, il faut avoir la même ambition en ce qui a trait aux renseignements personnels et à la protection des données. Ma réponse tourne autour de ces points-là.
M. Alupa Clarke:
J'ai une question supplémentaire, qui sera probablement la dernière. Je m'adresse ici à M. Cormier, le citoyen.
Vous avez fait une annonce fort importante ce matin. Vous dites que la protection s'applique à l'ensemble des membres, qu'ils soient touchés ou non par ce malheureux événement. Vous avez dit qu'ils n'ont qu' à vous appeler pour que vous vous occupiez d'eux. Vous allez établir les contacts, prendre les mesures et entreprendre les démarches qui s'imposent.
Pensez-vous que ce soit exactement ce genre d'attitude que le gouvernement, l'État fédéral, devrait avoir en ce moment envers les 2,9 millions citoyens canadiens?
On demande aux citoyens de prendre contact avec nous, or je pense que c'est le gouvernement fédéral qui devrait prendre contact avec les citoyens. Disons que les citoyens entrent en communication avec le gouvernement fédéral, ce dernier ne devrait-il pas avoir la même approche que vous et dire qu'il s'occupe de tout?
La représentante d'Emploi et Développement social Canada disait que, si l'on changeait les numéros d'assurance sociale des citoyens, ceux-ci devraient appeler tous leurs anciens employeurs. Ce n'est pas ce que vous faites. Vous, incroyablement, vous dites que vous allez vous occuper de tout le monde à la dernière minute.
En tant que citoyen, aimeriez-vous que le gouvernement fédéral agisse de la même façon envers les membres touchés?
(1640)
M. Guy Cormier:
Je dirais, en tant que citoyen, que les élus sont élus, justement, pour assurer un encadrement et adopter des lois. Dans la situation qu'on vit actuellement à l'ère du numérique, il faut mettre en place des paramètres réglementaires qui protègent les citoyens à cet égard. C'est mon message, comme citoyen.
C'est aussi pourquoi, malgré le fait que nous trouvions cette réunion prématurée, nous avons quand même pris la décision d'être présents. Nous sentons que cette situation tire une sonnette d'alarme et qu'il y a une prise de conscience et une réelle volonté de la part des élus de se pencher sur cette question. Nous voulions apporter notre point de vue sur ce sujet.
[Traduction]
Le président:
Merci, monsieur Clarke.
Nous allons passer à M. Dubé pour trois minutes, puis à M. Fortin pour trois minutes.
[Français]
M. Matthew Dubé:
Merci, monsieur le président.
J'avais une question qui rejoint un peu ce que M. Graham disait par rapport à l'accès à Internet et au téléphone. Les personnes âgées ont des besoins particuliers.
Veille-t-on à cela également?
M. Denis Berthiaume:
C'est ce que je disais. Souvent, les personnes âgées n'ont pas nécessairement une connexion Internet ou une adresse courriel. Nous nous occupons d'elles. Ces personnes peuvent nous téléphoner. Nous allons prendre la situation en charge à partir de ce moment et ferons office d'intermédiaires avec Equifax concernant le système d'alerte et ce que ces personnes vont recevoir comme message.
M. Matthew Dubé:
Il y a un article intéressant dans La Presse d'aujourd'hui, si je ne me trompe pas. On y parle de la façon dont sont réglementées les agences de surveillance de crédit, soit les compagnies comme Equifax, et que cette réglementation porte davantage sur des questions liées aux consommateurs.
C'est peut-être trop de spéculation pour ce dont vous êtes à l'aise de parler aujourd'hui, mais, étant donné la relation un peu symbiotique qu'elles entretiennent avec les institutions financières et la brèche dont Equifax a été victime, croyez-vous qu'il serait pertinent, à l'ère numérique, de revoir la façon dont ces agences sont réglementées?
C'est devenu un plus important que la protection des consommateurs; elles ont maintenant une responsabilité au regard du maintien des données. On voit qu'il y a des conséquences importantes.
Devrait-on revoir cela dans le contexte de tous ces changements auxquels vous avez fait allusion?
M. Guy Cormier:
Je vous l'ai dit il y a quelques minutes: je pense que le statu quo n'est pas une option. C'est la raison pour laquelle nous comparaissons devant vous aujourd'hui. Desjardins sera très honoré de participer aux réflexions, le cas échéant.
Je crois qu'il faut rassembler les parties prenantes qui travaillent dans le domaine des données au Canada pour réfléchir à la façon dont on veut faire évoluer la situation. Parfois, il pourrait s'agir de réglementation, parfois, de processus d'affaires, ou, parfois, de façons de travailler ensemble. Je pense que le statu quo n'est pas une option.
M. Matthew Dubé:
Il me reste une minute. J'aimerais vous dire, en terminant, que nous sommes heureux de votre présence ici. Nous comprenons que c'est une situation difficile. J'apprécie le fait que vous comprenez la raison pour laquelle nous avons le devoir de faire cela.
Des citoyens nous interpellent. Cela les touche, ils sont inquiets. Notre objectif n'est pas uniquement de les rassurer dans le cas présent, mais aussi de nous assurer qu'eux et d'autres citoyens qui sont des clients d'autres institutions financières ne vivent pas la même chose. Vous partagez votre expérience, ce qui est très utile non seulement aujourd'hui, mais aussi pour une prochaine législature. Nous voulons quand même mettre en place une feuille de route dans ce domaine qui évolue rapidement.
M. Guy Cormier:
C'est pour cela que nous avons accepté l'invitation.
M. Matthew Dubé:
C'est très apprécié, merci.
Le président:
Monsieur Fortin, vous avez trois minutes, s'il vous plaît.
M. Rhéal Fortin:
Merci, monsieur le président.
Messieurs Cormier, Brun et Berthiaume, je vais commencer par vous féliciter moi aussi. J'avoue qu'en arrivant ici ce matin, j'avais des questions et des inquiétudes, auxquelles vous avez répondu. Je pense que votre déclaration de ce matin est tout à l'avantage de Desjardins. Moi aussi, je suis affecté par ce qui s'est passé chez Desjardins, et j'apprécie les mesures que vous avez prises.
Il y a environ deux ou trois semaines, la Banque du Canada a mis en place le Groupe sur la résilience du secteur financier, afin de contrer les menaces informatiques. À ce que je sache, le Mouvement Desjardins n'a pas été invité à se joindre à ce groupe. On a invité des banques à charte, entre autres, et celles qui sont d'importance systémique.
D'abord, pouvez-vous me confirmer que le Mouvement Desjardins n'a pas été invité? Ensuite, considérez-vous qu'il serait opportun qu'il participe à un tel groupe de travail?
M. Guy Cormier:
Monsieur Brun, je sais que vous avez discuté avec ce groupe. Pouvez-vous donner l'heure juste à ce sujet?
M. Bernard Brun:
Je vous remercie de cette question bien pertinente.
La Banque du Canada a, évidemment, un rôle extrêmement important à jouer pour assurer la stabilité financière. Récemment, elle a annoncé la constitution d'un comité pour faire évoluer la supervision et revoir un peu l'encadrement en échangeant avec toutes sortes de partenaires. Naturellement, elle s'est tournée vers les grandes banques et le régulateur. Nous avons eu des discussions avec des gens de la Banque et nous sentons qu'ils ont une ouverture pour explorer cela.
Comme on l'a déjà évoqué, le système financier est extrêmement interrelié. Tous les acteurs de ce secteur ont des enjeux, une réglementation et des régulateurs, mais il faut qu'ils soient capables de travailler ensemble, d'aller au-delà de cela et de discuter. Nous avons certainement un grand intérêt à participer à tout cela. Nous avons senti qu'il y avait une ouverture en ce sens et nous attendons de voir comment ce sera articulé.
C'est sûr que le Mouvement Desjardins est une institution financière canadienne et québécoise d'importance systémique. S'il y a des discussions, il faudrait que nous y participions.
(1645)
M. Rhéal Fortin:
Vous avez l'appui du Bloc québécois là-dessus. J'espère que mes collègues d'en face y donneront suite et proposeront à la Banque du Canada de vous inviter.
Présentement, il y a des discussions sur l'établissement d'un système national de validation de l'identité. Avant, le numéro d'assurance sociale était utilisé dans les relations entre l'employeur et les employés et le gouvernement. Or maintenant, on voit qu'il est utilisé à presque toutes les sauces. On ne sait plus trop comment se comporter relativement à cela, mais il est clair que le simple numéro d'assurance sociale ne suffit plus à assurer une certaine sécurité des citoyens.
À votre avis, un système de validation de l'identité, qui inclurait un NIP, une empreinte ou je ne sais quoi, serait-il utile dans une situation comme celle que vous avez vécue?
M. Guy Cormier:
C'est pour cela que nous nous permettons humblement de faire une recommandation au Comité aujourd'hui.
Au Canada, il y a 30, 40 ou 50 ans, on a mis en place certains mécanismes, qui, aujourd'hui, ne servent plus à ce pour quoi ils ont été créés. Il est temps que les acteurs de l'industrie s'assoient ensemble pour relancer une réflexion, qui, comme je le vois très bien, a déjà débuté, et essaient de s'inspirer des meilleures pratiques partout dans le monde.
[Traduction]
Le président:
Merci, monsieur Fortin.
Je tiens à remercier les témoins de leur présence ici. Je suis heureux de constater que l'annonce de votre ensemble de mesures a coïncidé avec votre comparution ici. C'est assez heureux. Quatre ou cinq membres de ce comité sont particulièrement vulnérables en tant que membres de votre association. Je me demande si leurs vulnérabilités uniques en tant que personnalités publiques sont couvertes par l'annonce que vous faites aujourd'hui.
M. Guy Cormier:
Tous les renseignements, selon l'annonce que nous avons faite ce matin, de l'ensemble des personnes qui figuraient sur la liste des membres qui ont été touchés par cette atteinte à la sécurité des données seront pris en charge par ce programme. Qu'il s'agisse d'activités financières sur leurs comptes, de l'obtention d'une aide pour récupérer leur identité ou de problèmes relativement à certains frais liés à la récupération de leur identité, ils pourront se prévaloir de ce programme de protection.
Le président:
J'en ai pris note, car vous l'avez mentionné plus tôt. Cependant, je me réfère à la vulnérabilité unique des titulaires de charges publiques. Si cette vulnérabilité se manifeste, sera-t-elle traitée par cet ensemble de mesures particulier?
M. Guy Cormier:
C'est quelque chose que nous examinons actuellement dans nos dossiers. Nous cherchons actuellement à savoir si parmi ces 2,7 millions de personnes, certaines sont plus vulnérables que d'autres. Vous avez probablement lu des articles sur des policiers, des juges, des gens comme des titulaires de charges publiques. C'est quelque chose que nous sommes en train d'examiner. Notre priorité était d'envoyer les lettres pour prendre contact avec les gens. Nous étudions maintenant ce qui pourrait constituer une autre vulnérabilité à laquelle nous devrions faire plus attention...
Le président:
Donc, pas nécessairement dès le début.
M. Guy Cormier:Oui. Nous allons l'examiner.
Le président: Ma question concerne le fait que nous faisons cela depuis un certain temps déjà et que l'une des normes de protection de référence est ce qu'on appelle la « confiance zéro », qui a été mentionnée par un témoin précédent, qui a dit « repérez et protégez les biens essentiels. Sachez où se trouvent vos données clés, protégez-les, surveillez leur protection et soyez prêts à réagir. »
Pensez-vous que Desjardins a appliqué le principe de la confiance zéro qui semble être la norme de référence en matière de protection des données?
M. Denis Berthiaume:
Lorsque nous utilisons le terme « confiance zéro », nous devons définir ce dont nous parlons. Confiance zéro, certaines personnes ont accès aux données. Ils en ont besoin pour faire leur travail. Avec la confiance zéro, nous voulons clairement nous assurer d'avoir mis en place des mécanismes de sécurité qui visent à appliquer le principe de la confiance zéro. Cependant, il existe parfois une différence entre la théorie et ce que vous pouvez vraiment faire dans la pratique. L'objectif est de s'assurer que les données qui nous sont fournies par nos clients sont entièrement sécurisées. C'est notre objectif.
(1650)
Le président:
C'est l'objectif.
Sur ce, je tiens à vous remercier encore une fois pour votre présence ici. Nous allons suspendre la séance pendant quelques minutes, puis nous reprendrons avec les fonctionnaires et nous terminerons notre série de questions avec eux. Je vous remercie. (1650)
(1650)
Le président:
Reprenons nos travaux. Merci à tous les fonctionnaires de leur patience. Nous étions au milieu de la période des questions, et je crois que la parole est à M. Graham pour cinq minutes, s'il vous plaît.
[Français]
M. David de Burgh Graham:
Merci.
Madame Boisjoly, vous avez entendu les gens de Desjardins tout à l’heure parler du besoin de repenser le système du numéro d’assurance sociale. Est-ce qu’on fait des recherches pour savoir quel est le futur du numéro d’assurance sociale?
Mme Elise Boisjoly:
Je vous remercie de votre question.
Comme vous le savez, le numéro d’assurance sociale est un identifiant parmi tant d’autres. Comme nous l'avons déjà dit, sur notre site Web, nous indiquons aux citoyens qu'ils ne devraient donner leur numéro d’assurance sociale que dans des circonstances très limitées. Cela leur est expliqué. Nous leur disons de ne pas donner leur numéro d’assurance sociale à des organismes qui ne peuvent pas légalement le demander. Par contre, selon ce que nous entendons, les citoyens le donnent souvent volontairement à des organismes qui ne sont pas habilités à le prendre.
C'est certain que nous entendons les discussions. Nous regardons toujours ce que nous pouvons faire pour améliorer la protection de nos systèmes et de nos pratiques liées au numéro d’assurance sociale.
Nous souhaitons entendre les recommandations ou voir le rapport que va publier ce comité ainsi que d'autres rapports.
Je peux vous assurer que nous travaillons régulièrement à augmenter la sécurité de nos systèmes. Je sais que le Conseil du Trésor travaille aussi très activement à des projets sur l’identité numérique. Nous participons à ces discussions pour voir comment on peut améliorer l’identité numérique des citoyens sur le territoire du Canada.
(1655)
M. David de Burgh Graham:
Parmi les données qui sont sorties, on sait qu'il y avait beaucoup d'informations, et pas seulement des numéros d'assurance sociale. Il y avait aussi des adresses, des numéros de téléphone, notamment. Vous avez parlé à plusieurs reprises d'informations supplémentaires pour authentifier le numéro d'assurance sociale. Toutes ces informations figurent-elles parmi les données qui sont sorties?
Mme Elise Boisjoly:
Le numéro d'assurance sociale est un identifiant qui permet d'avoir accès à des programmes et à des services fédéraux, ainsi qu'aux systèmes de revenus et d'impôts. Dans le cas qui occupe le gouvernement fédéral, en ce qui a trait aux prestations, par exemple, mon collègue a expliqué qu'à l'Agence du revenu du Canada il faut poser une question supplémentaire, secrète, pour identifier les personnes, tel que le montant inscrit à une certaine ligne de la déclaration de revenus. Dans le cas de l'assurance-emploi, un code d'accès au programme est donné aux participants, et ceux-ci doivent donner deux chiffres de ce code afin d'avoir accès aux informations privées liées au programme de l'assurance-emploi.
Le numéro d'assurance sociale est un identifiant, mais il est accompagné d'autres questions afin de valider l'identité de la personne avec qui nous faisons affaire.
M. David de Burgh Graham:
Il y a des agents de Service Canada dans toutes les villes. Si des gens se présentent à leur bureau afin de savoir ce qu'ils doivent faire relativement à la situation actuelle, quelles instructions recevront-ils?
Mme Elise Boisjoly:
Je vous remercie de votre question.
Tous nos centres d'appels, les bureaux de Service Canada et nos agents ont reçu des instructions très claires. Nos centres d'appels et les bureaux de Service Canada ont répondu aux questions d'environ 1 500 citoyens. Ils ont informé ces derniers des mesures à prendre, notamment de prendre contact avec un bureau de crédit, de vérifier leurs transactions financières et bancaires et de redoubler de vigilance relativement aux transactions qu'ils font. S'ils repèrent des activités qui ne sont pas liées avec leurs transactions, ils doivent communiquer avec la police, les bureaux de Service Canada et les différentes institutions pour que nous puissions régler la situation. À ce jour, aucune fraude n'a été signalée.
M. David de Burgh Graham:
La fuite est toutefois récente.
Mme Elise Boisjoly:
Comme je le disais, malgré la quantité de fuites détectées depuis quelques années, il y a environ 60 cas par année exigeant un changement du numéro d'assurance sociale.
M. David de Burgh Graham:
Existe-t-il une manière d'indiquer quelque part que le numéro d'assurance sociale n'est plus valide et alors retirer la responsabilité qui y est liée?
Si je fais changer le numéro d'assurance sociale et que je suis toujours responsable de l'ancien, à mon avis, cela n'a pas entièrement d'allure. Pouvez-vous nous en dire plus à ce sujet?
Mme Elise Boisjoly:
Une des raisons est que nous ne savons pas à qui un citoyen a donné son numéro d'assurance sociale. Le numéro d'assurance sociale doit être utilisé seulement comme un identifiant pour relier certaines informations afin de donner des prestations. Les individus sont les seuls à savoir à qui ils ont donné leur numéro d'assurance sociale et à quelle fin. On peut donner son numéro d'assurance sociale pour des pensions privées, des assurances ainsi que des locations ou des achats de voitures, par exemple.
Le numéro d'assurance sociale ne devrait pas être utilisé pour identifier la personne. Il s'agit d'un numéro qui permet de relier certains dossiers. Nous avons besoin de ce numéro pour relier les informations. Nous relions maintenant les deux numéros d'assurance sociale dans nos systèmes, mais le premier ne devrait plus jamais être utilisé par l'individu.
(1700)
[Traduction]
Le président:
Merci, monsieur Graham.
Monsieur Clarke, vous avez cinq minutes.
[Français]
M. Alupa Clarke:
Merci, monsieur le président.
Bonjour à tous.
Je vous remercie d'avoir patienté et d'être demeurés sur place.
Madame Boisjoly, vous êtes la sous-ministre adjointe au ministère de l'Emploi et du Développement social du Canada. Est-ce que votre ministre vous a donné la directive d'obtenir la liste? J'ai posé la même question à M. Cormier. Avez-vous reçu la directive ministérielle d'obtenir la liste des 2,9 millions de Canadiens touchés par la fuite de données massive chez Desjardins?
Mme Elise Boisjoly:
Vous soulevez une question intéressante.
Selon la Loi sur la protection des renseignements personnels et les documents électroniques, la première chose à faire est d'informer les tierces parties. Comme vous l'avez entendu, Desjardins a communiqué avec nous pour s'assurer que nous fournirons l'information et que nous aiderons les caisses Desjardins à obtenir le plus de renseignements pertinents possible pour aider leurs membres. Dans ce cas-ci, nous avons donné beaucoup d'informations sur la façon de protéger leurs membres.
M. Alupa Clarke:
Donc, il n’y a pas eu de directives. Autrement dit, vous êtes réactifs. Je ne parle pas de vous, bien entendu. Vous suivez les ordres politiques, et nous comprenons cela. En ce moment, tout est réactif et absolument rien n'est proactif.
Vous avez dit avoir reçu 1 500 demandes ou appels au sujet du numéro d’assurance sociale. Notre objectif est de savoir comment le gouvernement peut aider les gens de façon proactive. Comme vous ne savez pas quels Canadiens sont touchés, vous devez nécessairement attendre qu’ils communiquent avec vous. C’est ce qui se passe en ce moment. Vous attendez que les gens touchés prennent contact avec vous, et non l’inverse. C’est impossible, parce que vous n’avez pas les données. M. Cormier, de Desjardins, semblait dire qu’eux seraient prêts à envoyer ces données. Je sais que je vous demande d'émettre une opinion politique, mais que vous ne le pourrez pas.
Je dois exprimer quelque chose qui écœure royalement les gens de ma circonscription. J’ai fait beaucoup de porte-à-porte la semaine dernière et l'autre avant. Les gens m'ont dit systématiquement qu'ils doutaient que le gouvernement puisse faire quelque chose. Cela m’a beaucoup attristé. Comment est-ce possible? Moi, je voudrais briser le cynisme et écouter les gens. Les gens versent 50 % de leurs revenus à l’État canadien. Nous, les conservateurs, voulons que le gouvernement travaille pour les citoyens, et non l’inverse.
M. Cormier a dit que, quand une personne appelle chez Desjardins, ils sont proactifs et ils s'occupent de choses pour elle.
Nous avons appris quelque chose de très important aujourd’hui. En fait, nous le savions déjà parce que cela avait été ébruité ici et là. J'ai appris d’un officiel comme vous qu’on peut changer de numéro d’assurance sociale. Je sais que c'est complexe et que, même si on le changeait, il faudrait tout de même joindre une myriade d’institutions, ses anciens employeurs, et ainsi de suite. Or c’est le gouvernement qui oblige le citoyen à avoir un numéro d’assurance sociale. C'est un système qui devrait peut-être même être remis en cause et nous en discutons aujourd’hui, en quelque sorte.
Ne serait-il pas de votre devoir de prendre contact avec les 2,9 millions de personnes? Le gouvernement libéral devrait faire cela pour être proactif. Il connaît ces personnes. Par exemple, à la Pizzeria D'Youville où je travaillais en 2004 quand j’avais 17 ans, c'est le patron qui s’occupait d'envoyer la TPS au gouvernement fédéral. Toutes ces choses sont très connues. Vos ministères pourraient facilement relier ces informations et changer le numéro d’assurance sociale, peut-être pas de manière exhaustive, mais il devrait épauler le citoyen dans ce très lourd travail qui consiste à joindre tous ses anciens employeurs ou les agences gouvernementales.
C’est ce qui me déplaît énormément. Je sais que ce n’est pas votre faute. Vous avez des directives politiques qui viennent du gouvernement libéral, mais on n'est pas proactif en ce moment. Cela me déplaît énormément. Que pouvez-vous dire à ce sujet?
Mme Elise Boisjoly:
Dans l'optique des multiples fuites qui peuvent survenir, le but est de s’assurer de toujours protéger les citoyens et les prestations qui leur sont dues, que ce soit des remboursements d'impôt ou d'autres prestations. C’est pour cela que nous avons travaillé très étroitement avec Desjardins pour définir quelles mesures nous permettraient de l'épauler dans ses relations avec les citoyens touchés.
Desjardins a mis des mesures en place. Quand il y a eu des fuites au niveau fédéral, on a pris des mesures très similaires relativement aux bureaux de crédit, parce que c’est vraiment le meilleur moyen de protéger les citoyens contre la fraude. Nous continuons à travailler avec Desjardins. Si un échange d’information s’avérait une bonne solution, nous l'envisagerions. Par contre, à ce stade-ci, les mesures mises en place sont les meilleures qu'on aurait pu prendre.
(1705)
M. Alupa Clarke:
Merci, madame Boisjoly.
[Traduction]
Le président:
Y a-t-il des questions ici? Non.
Monsieur Dubé, vous avez trois minutes.
[Français]
M. Matthew Dubé:
Merci, monsieur le président.
J’aimerais revenir à la question que j’ai posée, à savoir si on souhaite tenir des séances d’information dans les grands centres au Québec, entre autres. Je sais qu’il y a des gens à l’extérieur du Québec qui sont aussi touchés, mais c'est au Québec que la fuite a eu le plus gros impact. Il faut renseigner la population.
J’ai oublié ce que c’était, mais j’ai déjà reçu une lettre par la poste concernant un changement de politique fédérale. J’ose croire qu'il est possible d’envoyer des lettres par la poste à la population du Québec pour l'informer de l'horaire des consultations publiques ou des séances d’information qui auront lieu dans les deux prochains mois. Vous nous donnez de l'information aujourd'hui et je pense que les gens nous écoutent, bien entendu. Il faudrait néanmoins s'assurer de joindre le plus de gens possible. Malgré l’omniprésence des médias sociaux, je ne suis pas convaincu que cette réponse est adéquate.
Est-ce une chose à laquelle vous êtes ouverts? Je crois que le ministère des Finances et l’Agence du revenu du Canada ont aussi un rôle à jouer.
Mme Elise Boisjoly:
Absolument.
De façon proactive, nous avons mis de l'information supplémentaire sur notre site Web. Nous avons diffusé des communiqués. Nous avons utilisé les médias sociaux, comme vous le disiez. Nous tenons des ateliers sur le numéro d'assurance sociale, et ce, dans plusieurs communautés. Ce sont des ateliers qui sont donnés de façon régulière et je ne verrai pas pourquoi nous ne pourrions pas utiliser ce moyen aussi.
Alors, merci de la recommandation. Nous allons la prendre en considération.
M. Matthew Dubé:
Parfait. Nous vous en remercions parce qu'effectivement, il s'agit de circonstances particulières, et quand il y a des catastrophes naturelles, par exemple, le gouvernement de proximité — que ce soit les municipalités ou le gouvernement du Québec — répond toujours.
Comme mes collègues le disaient, et ce n'est pas pour insulter qui que ce soit, le fédéral est le plus loin. Dans le cas qui nous concerne, il y a des répercussions réelles sur la vie des gens.
Quoi qu'il en soit, si nous-mêmes — je parle juste de moi pour l'instant — ne savons pas nécessairement comment naviguer dans le système de numéro d'assurance sociale alors que nous sommes législateurs au fédéral, je ne pense pas que cela soit dû à notre propre ignorance. C'est simplement un système très complexe. C'est pour cela que vous êtes là aujourd'hui, et ce serait des connaissances qu'il vaudrait la peine de transmettre.
Je vous remercie de votre ouverture. Cela complète mes questions.
Le président:
D'accord.
Vous avez deux minutes, monsieur Fortin.
M. Rhéal Fortin:
Merci, monsieur le président.
Je vais commencer avec Mme Boisjoly.
Si l'on considère que le numéro d'assurance sociale a été créé en 1964 pour régir les relations employeurs-employés et avec l'État, on voit qu'il est utilisé à toutes les sauces maintenant, mais en tout cas, beaucoup plus largement qu'auparavant.
N'y aurait-il pas lieu de revoir les règles de sécurité concernant son utilisation? Par exemple, avoir un NIP assorti à la carte d'assurance-maladie, à des empreintes ou autres données, par exemple.
À votre avis, y a-t-il quelque chose à faire avec cela?
Mme Elise Boisjoly:
C'est une excellente question.
Comme je le dis toujours, il est important, quand on a des situations comme cela, de revoir et de repenser certaines choses.
En ce qui concerne le numéro d'assurance sociale, comme je l'ai dit, c'est un identifiant parmi plusieurs. Nous, au fédéral — et bien sûr à plusieurs endroits —, les gens sont invités à ajouter des questions secrètes auxquelles eux seuls peuvent répondre. Ce n'est pas un NIP, mais ce sont des façons supplémentaires d'assurer la sécurité et d'identifier la bonne personne.
M. Rhéal Fortin:
Corrigez-moi si je me trompe, mais le numéro d'assurance sociale est valide, peu importe qu'on ait ou non des questions assorties.
On me demande mon numéro d'assurance sociale pour une transaction, quelle qu'elle soit, avec une banque, ou peu importe. Je n'ai pas de NIP. J'ai juste le numéro.
Mme Elise Boisjoly:
Vous avez absolument raison. Vous n'avez pas de NIP.
Est-ce quelque chose que l'on pourrait considérer? Peut-être. Ce qu’il est important de dire, c'est que, pour avoir accès à un service, vous devez donner d'autres identifiants comme la ligne...
M. Rhéal Fortin:
Cela dépend des entreprises à qui l'on demande des services, mais, j'en conviens, vous avez raison.
N'y aurait-il pas lieu d'imposer une pénalité? On voit que des commerçants ou des banques demandent fréquemment les numéros d'assurance sociale, et cela n'est pas toujours nécessaire. N'y aurait-il pas lieu d'instaurer un système de pénalités pour ceux qui font une demande de numéro d'assurance sociale alors qu'ils n'en ont pas besoin?
(1710)
Mme Elise Boisjoly:
C'est une question intéressante. Je ne sais pas si des prédécesseurs se sont penchés sur cette question.
Actuellement, nous avons une liste très claire énumérant qui peut le faire. Nous avons des instructions très claires pour les citoyens. Lorsque quelqu'un leur demande un numéro d'assurance sociale et que cela ne fait pas partie de la liste des gens qui devraient le leur demander, ils ont des recours auprès du commissaire à la protection de la vie privée du Canada.
M. Rhéal Fortin:
Ne pourrait-on pas inclure à la Loi des dispositions pénales pour cela, que ce soit une amende ou autre?
Mme Elise Boisjoly:
Oui, ce serait quelque chose qu'il faudrait vérifier, pour lequel je n'ai pas d'information aujourd'hui.
M. Rhéal Fortin:
D'accord. Parfait.
J'ai une dernière question si vous...
Le président:
C'est fini, malheureusement, monsieur Fortin.[Traduction]
Cela conclut notre période des questions.
Au nom du Comité, je tiens à remercier les fonctionnaires non seulement d'avoir témoigné au début, mais de l'avoir fait aussi plus tard et d'avoir attendu les autres témoins.
Nous allons suspendre la séance et poursuivre à huis clos. Nous prendrons quelques minutes pour vider la salle.
[La séance se poursuit à huis clos.]
|