Desjardins : 200M$ pour une fuite évitable444 incidents déclarés à la CAI en un an+469% d'incidents depuis la Loi 25Meta, Tim Hortons, RBC : nommés par la CAISun Life : 7 fuites en 2 ansAmendes : jusqu'à 25M$ ou 4% du CA mondial1M de Québécois sur le dark web en 20251000$ minimum par victime de fuite25% des fuites causées par des cyberattaquesLa CAI reçoit un signalement par jourVotre PME est-elle conforme?Desjardins : 200M$ pour une fuite évitable444 incidents déclarés à la CAI en un an+469% d'incidents depuis la Loi 25Meta, Tim Hortons, RBC : nommés par la CAISun Life : 7 fuites en 2 ansAmendes : jusqu'à 25M$ ou 4% du CA mondial1M de Québécois sur le dark web en 20251000$ minimum par victime de fuite25% des fuites causées par des cyberattaquesLa CAI reçoit un signalement par jourVotre PME est-elle conforme?
Blogue
Cas réel8 min de lecture31 mars 2026

Desjardins : 200M$ pour une fuite évitable

En 2019, un employé marketing de Desjardins a exfiltré les données personnelles de 9,7 millions de personnes pendant 26 mois. La Commission d'accès à l'information (CAI) a conclu que Desjardins n'avait pas pris les mesures nécessaires pour protéger ces données. Le résultat : un règlement de 200 millions de dollars en action collective et des leçons que chaque PME devrait connaître.

Ce qui s'est passé

Un seul employé a pu accéder aux données personnelles de 9,7 millions de membres — noms, dates de naissance, numéros d'assurance sociale, adresses, profils bancaires. L'accès n'était pas limité, les données de 4 millions de dossiers inactifs n'avaient pas été détruites, et la sécurité interne était insuffisante.

Deux fraudeurs ont ensuite utilisé ces données pour voler 9 millions de dollars. Ils ont été condamnés à six et quatre ans de prison respectivement.

Les conséquences financières

  1. 1

    Règlement de 200 millions de dollars en action collective

  2. 2

    Plus de 30 000 réclamations de victimes

  3. 3

    168 millions alloués pour « perte de temps »

  4. 4

    32 millions alloués pour vol d'identité

  5. 5

    Coûts de remédiation et de surveillance de crédit non chiffrés publiquement

Le retour du cauchemar en 2025

En octobre 2025, les données de plus d'un million de clients Desjardins réapparaissent sur le dark web. Le groupe Coinbase Cartel exige une rançon et menace de publier les 9,7 millions de dossiers complets. Un expert qualifie ces données de « kit de démarrage parfait du fraudeur ».

La leçon est brutale : les données volées ne disparaissent jamais. Six ans après la fuite, elles sont toujours exploitées.

La leçon pour votre PME

Desjardins avait des politiques de sécurité, des équipes informatiques, un budget cybersécurité. Ça n'a pas suffi. Si un géant avec des milliers d'employés tombe, une PME sans registre d'incidents, sans politique de gouvernance et sans contrôle d'accès aux données n'a aucune chance.

  • Limitez l'accès aux données au strict nécessaire

  • Détruisez les données dont vous n'avez plus besoin

  • Documentez vos pratiques dans une politique de gouvernance

  • Maintenez un registre des incidents à jour

  • Hébergez vos données au Canada — au Québec idéalement

Vos données sont-elles à risque?

La première étape, c'est de savoir où vous en êtes. Notre audit éclair évalue votre conformité Loi 25 en 10-15 questions et vous donne un portrait clair de vos lacunes.

Évaluez votre conformité

Audit éclair à partir de 149$. Score de conformité, rapport PDF, recommandations concrètes.

Lancer l'audit

Respect de votre vie privée

Ce site utilise des témoins de connexion (cookies) strictement nécessaires à son fonctionnement. Les témoins analytiques et marketing sont désactivés par défaut et ne sont activés qu'avec votre consentement explicite.