Fuite de données de l’OCRI : des obstacles à la surveillance du crédit

Certaines personnes dont les renseignements personnels ont été compromis lors de la fuite de données survenue en août dernier à l’Organisme canadien de réglementation des investissements (OCRI) affirment avoir dû composer avec un processus frustrant pour s’inscrire aux services de surveillance du crédit payés par le régulateur.

Le 14 janvier, l’OCRI a indiqué qu’environ 750 000 investisseurs avaient été touchés par l’incident de sécurité détecté le 11 août dernier, et l’organisme a commencé à communiquer avec eux. À l’automne précédent, le régulateur avait informé les personnes inscrites concernées que leurs renseignements personnels avaient été compromis. L’OCRI offre deux années de surveillance du crédit auprès d’Equifax et de TransUnion.

Selon des courriels reçus par Investment Executive (IE) provenant d’investisseurs sans conseiller, l’inscription au service MyTrueIdentity de TransUnion peut nécessiter plusieurs appels téléphoniques, selon les situations.

« Il y a un autre aspect à ce fiasco [de fuite de données] : l’incompétence des personnes chargées de mettre en œuvre les solutions offertes par l’OCRI pour en atténuer les conséquences », a écrit un investisseur en décrivant les nombreux appels qu’il a dû effectuer auprès de TransUnion.

Au cours de ces échanges, l’investisseur affirme qu’on lui a notamment indiqué que le système était en panne, que l’appel avait été interrompu lors d’un transfert ou encore qu’il avait lui-même raccroché en raison d’un bruit de fond excessif ou parce qu’il ne comprenait pas les agents du centre d’appels situés à l’extérieur du Canada.

L’investisseur a expliqué avoir dû contacter le centre d’appels de TransUnion après que son code d’activation eut cessé de fonctionner, son adresse courriel étant associée à un abonnement expiré au service de surveillance du crédit.

TransUnion a refusé une demande d’entrevue. Dans une déclaration transmise par courriel, David Shum, conseiller aux affaires corporatives et aux communications chez TransUnion, a indiqué :
« Dans certains cas, les consommateurs qui détenaient auparavant un compte MyTrueIdentity peuvent avoir besoin d’un nouveau code d’activation ou d’aide pour rétablir leur accès. Notre équipe de soutien peut résoudre rapidement ces situations et peut être jointe au 1-800-663-9980. »
(Ce numéro figure dans les lettres de notification envoyées par l’OCRI aux personnes touchées par la fuite de données.)

« Il y a eu des périodes où le volume d’appels était plus élevé qu’à l’habitude en raison d’un fort intérêt pour le service, ce qui a entraîné des temps d’attente plus longs pour certains consommateurs. Les volumes d’appels sont depuis revenus à la normale et nos équipes continuent de surveiller la qualité et l’accessibilité du service afin de favoriser des interactions claires et efficaces », a précisé David Shum

TransUnion « demeure déterminée à soutenir les Canadiens touchés par cet incident et à s’assurer qu’ils ont accès aux services de protection de l’identité offerts », a ajouté David Shum.

Après le piratage de leurs renseignements personnels, certains investisseurs se montrent toutefois réticents à transmettre de l’information sensible à un centre d’appels, particulièrement lorsque celui-ci est situé à l’extérieur du Canada. Dans un courriel adressé à Investment Executive, un investisseur a ainsi écrit, en référence aux renseignements de vérification demandés par les agents : « Pourquoi leur laisserais-je accès à mes renseignements personnels dans des pays étrangers ? »

Les investisseurs préoccupés doivent toutefois comprendre que les agences d’évaluation du crédit détiennent déjà leurs renseignements personnels, puisqu’elles recueillent ces données afin de constituer les dossiers de crédit des consommateurs. Ces derniers consentent généralement à la collecte de leurs renseignements personnels par l’entremise des clients de ces agences, notamment des entreprises comme les banques et les sociétés émettrices de cartes de crédit.

David Shum a souligné que, comme entreprise mondiale, TransUnion exploite des équipes de soutien à la clientèle dans plusieurs régions.

« L’emplacement d’un agent de soutien ne change en rien la façon dont nous protégeons les renseignements personnels, a-t-il affirmé. Toutes les opérations de soutien à la clientèle, peu importe leur emplacement, respectent les mêmes exigences en matière de sécurité et de protection de la vie privée, notamment des contrôles d’accès fondés sur les rôles, des procédures de vérification d’identité, une surveillance continue et une formation obligatoire. Les agents n’accèdent qu’aux renseignements nécessaires pour aider un consommateur, et nos mécanismes de contrôle sont conçus pour protéger les renseignements personnels en tout temps. »

La politique de confidentialité de TransUnion est accessible en ligne.

La frustration liée aux centres d’appels des agences d’évaluation du crédit ne touche pas uniquement les personnes affectées par la fuite de données de l’OCRI. Elle demeure toutefois compréhensible compte tenu des inquiétudes liées au risque de vol d’identité.

La Société Radio-Canada (CBC/Radio-Canada) a rapporté le long combat d’une victime de fraude pour faire corriger des erreurs dans son dossier de crédit. Selon le diffuseur public, l’affaire a nécessité des mois d’appels auprès d’Equifax ainsi que plusieurs problèmes techniques liés aux services en ligne. À titre de comparaison, le processus de contestation en ligne de TransUnion s’est révélé plus efficace, mais il a tout de même fallu plus d’un an et demi à l’agence pour corriger le dossier de crédit.