Mouvement Desjardins: un autre employé remercié après avoir consulté des donnée
Jean-Michel Genois Gagnon
MISE À JOUR
Le Mouvement Desjardins a de nouveau congédié, ces derniers
mois, un employé ayant consulté des renseignements personnels de «plus
de 1000 clients» sans véritable motif dans le cadre de son travail.
Cette nouvelle, qui a été rapportée au micro de Paul Arcand (98,5), mardi matin, a été confirmée au Journal par la direction de l’institution financière.
Aujourd’hui, Desjardins dit avoir complété son enquête. La
direction refuse toutefois de dévoiler le nom de cette personne, son
poste ainsi que son lieu de travail. Une plainte a été déposée aux
policiers.
Cet ex-employé aurait consulté des dossiers entre 2019 et 2021.
Tous les membres visés auraient reçu une lettre pour les avertir de la
situation.
Desjardins assure que ce travailleur détenait les autorisations
nécessaires pour consulter ce type de dossiers. On retrouvait, dans les
documents des membres visés, des dates de naissance et des coordonnées.
«Cette personne avait accès à ces données. [...] Elle pouvait les
utiliser dans le cadre de son travail, mais elle n’en avait pas besoin.
Cela contrevient à notre politique», a indiqué au Journal la
porte-parole, Chantal Corbeil, ajoutant que l’ex-employé en question a
consulté «un par un», durant ces deux années, ces dossiers et qu’il
«prenait des notes».
Aucun lien avec 2019
L’institution financière de Lévis n’a pas voulu dire depuis combien
de temps cette personne n’est plus dans l’organisation. C’est dans le
cadre du resserrement des mesures de sécurité, depuis le vol de données
de millions de membres en 2019, que Desjardins a découvert cette
pratique.
La direction affirme qu’il n’y a aucun lien entre les deux
événements. Elle n’est toutefois pas en mesure d’expliquer ce qui a
motivé cette personne à regarder ces dossiers. Il n’est pas possible de
savoir, pour le moment, si certaines données sont sorties des murs de
l’institution financière.
«C’est la police qui va faire son enquête», a répondu Mme
Corbeil. «Notre enquête a dévoilé qu’elle avait légitimement accès à
ces données, mais qu’elle ne devait pas les consulter, car elle n’avait
pas reçu de demande», a-t-elle ajouté, précisant qu’il n’y a aucun autre
suspect.
Desjardins a refusé de dire le nombre exact de personnes qui sont touchées par cette nouvelle brèche
Alexa d'Amazon pourrait être un témoin clé dans une affaire de meurtre
;
Un juge a ordonné à Amazon de transmettre les données d'un orateur présent sur les lieux d'un meurtre. Qu'est-ce que cela signifie pour la confidentialité des données?
Par Chavie Lieber @ ChavieLieberChavie.Lieber @ Vox.com
12 novembre 2018, 17 h 00 HNE
Partagez cette histoire
Un Amazon Echo pourrait être un témoin clé dans un procès pour meurtre. Amazone
Cette histoire fait partie d'un groupe d'histoires appelé
Les biens(The Good)
La semaine dernière, un juge du New Hampshire a ordonné à Amazon de remettre les enregistrements d'un haut-parleur intelligent Echo trouvé dans la maison où un double meurtre a eu lieu l'année dernière à Farmington.
Les autorités estiment que les enregistrements peuvent fournir des informations qui pourraient mettre le meurtrier derrière les barreaux.
Si Amazon transmet les données privées de ses utilisateurs aux forces de l'ordre, cela n'impliquera pas seulement la société de technologie dans une affaire de meurtre. Ce sera également le dernier incident à soulever de sérieuses questions sur la quantité de données que les entreprises de technologie de données collectent sur leurs clients avec et sans leur connaissance, comment ces données peuvent être utilisées et ce que cela signifie pour la confidentialité.
Un Amazon Echo pourrait être un témoin clé dans un procès pour meurtre
En janvier dernier, Timothy Verrill a été accusé de meurtre au premier degré par le procureur général du New Hampshire dans la mort de deux femmes, Christine Sullivan et Jenna Pellegrini. La police a retrouvé les corps des femmes dans la cour du petit ami de Sullivan, Dean Smoronk, que les médias locaux du New Hampshire ont rapporté que Verrill connaissait.
Verrill a été repéré sur une vidéo de surveillance à domicile avec Sullivan et Pellegrini.
Il a également été vu en vidéo quelques heures plus tard, achetant des produits de nettoyage dans un magasin et retournant à la maison. Après que Smoronk a appelé le 911 pour signaler la disparition de sa petite amie, la police a retrouvé les corps et saisi un haut-parleur Amazon Echo dans la cuisine, à côté de l'endroit où la police pense que Sullivan a été tué. Vendredi dernier, un juge a ordonné à Amazon de remettre les enregistrements sur l'Echo, ainsi que toutes les informations sur les téléphones portables qui étaient jumelés au haut-parleur à la date du meurtre.
Selon l'Associated Press, les procureurs estiment que l'Echo pourrait avoir des informations utiles pour plaider contre Verrill, dont le procès commence en mai 2019, y compris des détails sur ce qui s'est passé pendant et après le meurtre, tels que «le retrait possible du corps de la cuisine. "
Dans une déclaration à Vox, Amazon a déclaré qu'il ne «divulguerait pas d'informations sur les clients sans une demande légale valide et contraignante qui nous soit correctement servie» et que «Amazon s'oppose à des demandes excessives ou autrement inappropriées, bien entendu.
Il n'a pas précisé si l'entreprise transmettra les données une fois qu'elle aura signifié une requête, ou si elle contesterait la décision.
Bien qu'il soit tout à fait possible que le haut-parleur Echo n'ait rien enregistré concernant le cas, il peut également très bien contenir des informations pertinentes. L'orateur est initié par quatre mots de réveil - «Alexa», «Echo», «ordinateur» et «Amazon» - et enregistre après avoir entendu ces mots, même lorsqu'il n'est pas prononcé. Ces enregistrements sont ensuite stockés sur un serveur Amazon, accessible à l'entreprise, et aux propriétaires via l'application Alexa.
Il existe de nombreuses preuves que les appareils enregistrent plus que ce que dit Amazon. Après qu'une femme de Portland a découvert que son haut-parleur Echo avait enregistré une conversation qu'elle avait eue avec son mari et l'avait envoyée à un contact aléatoire, Amazon a admis que sa technologie Alexa pouvait mal interpréter les bruits domestiques tels que les conversations, les bandes sonores de télévision et la musique comme réveil. appels et démarrez l'enregistrement. L'orateur commence également à enregistrer quelques secondes avant qu'une commande ne soit émise, ce qui signifie qu'il y a probablement plus d'informations privées dans les enregistrements que les clients ne le savent.
Si les procureurs de l'affaire du meurtre de Farmington trouvent effectivement des preuves sur les enregistrements d'Echo, cela soulève une foule d'autres questions: les haut-parleurs intelligents seront-ils considérés comme des témoins oculaires?
La police devrait-elle commencer à saisir tous les gadgets des scènes de crime?
Et devraient-ils être autorisés à utiliser les données si les appareils appartiennent à des particuliers?
La technologie commence à être liée aux affaires pénales
L’ordre du juge du New Hampshire à Amazon de remettre les enregistrements d’Echo de Dean Smoronk n’est pas la première fois qu’une entreprise de technologie - ou même Amazon - est soumise à une enquête criminelle.
L'année dernière, Amazon a été sommé de publier les enregistrements d'un appareil Echo présent dans une maison de l'Arkansas où un meurtre a eu lieu. Amazon a d'abord combattu la commande, affirmant qu'elle violait la liberté d'expression. Une fois que le défendeur a autorisé Amazon à transmettre ses données, le géant de la technologie a publié les enregistrements (les accusations ont finalement été abandonnées).
L'été dernier, lors d'un incident de violence domestique à Albuquerque, les forces de l'ordre ont déclaré qu'un Echo avait appelé la police. Le haut-parleur intelligent aurait entendu un petit ami battre sa petite amie et crier: «Avez-vous appelé le shérif?» ce qui l'a incité à téléphoner au département du shérif. (Amazon et les forces de l'ordre locales ont un stockage en conflit.
Le gendarme financier britannique victime d'une fuite de données
Technologie : Le gendarme
financier britannique a été victime d'une fuite de données.
1 600 citoyens ont vu des données personnelles rendues publiques.
Par
Charlie Osborne
|
Modifié le
Libellés
vol d'identité, vol de donnés, hackers,
La Financial Conduct Authority (FCA), le gendarme financier
britannique, a admis ce mardi avoir laissé fuité des données contenant
des informations confidentielles appartenant à environ 1 600 citoyens
britanniques. L'organisme de surveillance financière a déclaré que
l'exposition des informations s'était produite à la suite de la
publication de données en réponse à une demande de la loi sur la liberté
d'information britannique.
Les demandes concernant cette loi peuvent être effectuées
outre-Manche pour des dossiers détenus par les autorités publiques. La
demande au cœur de la fuite de données a été faite entre le
2 janvier 2018 et le 17 juillet 2019. Lorsque ces dossiers ont été
publiés et mis à disposition sur le site web de la FCA sous la forme
d'un document, les informations confidentielles des plaignants, au
nombre d'environ 1 600 pendant cette période, ont également été rendues
publiques.
« Certaines informations confidentielles sous-jacentes peuvent avoir
été accessibles », indique l'Autorité, qui reconnaît que « la
publication de ces informations était une erreur ». Les noms, les
descriptions des plaintes, les adresses, les numéros de téléphone et
d'autres informations ont été rendues publiques, totalement ou en
partie. Aucune information financière, aucun passeport ou autre document
d'identité n'a en revanche fait l'objet de fuite, comme l'a indiqué
l'Autorité.
publicité
La FCA présente ses excuses
Celle-ci a expliqué avoir désormais retiré les dossiers et est en
train de contacter directement les victimes de ces fuites pour leur
présenter ses excuses. Le bureau du commissaire à l'information du
Royaume-Uni (ICO) a été informé de l'incident, dans lequel la faute de
fonctionnaires de l'autorité de contrôle peut être soulevée. D'autant
plus que l'autorité de contrôle avait précédemment infligé une amende de
16,4 millions de livres sterling à la chaîne de supermarchés
britannique Tesco pour laxisme des normes de sécurité à la suite d'une
cyberattaque contre les clients.
Pour rappel, l'OIC est chargée de mener des enquêtes sur les plaintes
portant sur le RGPD et d'infliger des amendes. Plus de
160 000 notifications de violation de données lui ont été transmises au
cours des 18 derniers mois. « Nous avons pris des mesures immédiates
pour que cela ne se reproduise plus », a déclaré la FCA.
« Nous avons entrepris un examen complet afin de déterminer l'étendue
des informations qui auraient pu être accessibles. Notre principale
préoccupation est d'assurer la protection et la sauvegarde des personnes
qui peuvent être identifiées à partir de ces données », a également
fait savoir l'Autorité.
Alors que les autorités enquêtent sur des systèmes de reconnaissance faciale, La Presse
a appris que Bell voulait vendre cette technologie aux entreprises. Si
le géant des télécommunications va de l’avant, ses clients d’affaires
pourraient utiliser son outil haute performance pour identifier et
surveiller des milliers de visages à la minute – dans des hôtels,
épiceries, boutiques, banques, stades ou lieux de travail.
Marie-Claude Malboeuf La Presse
Un outil pour « surveiller les individus »
Malgré
la controverse croissante entourant cette technologie, Bell veut vendre
aux entreprises un système de reconnaissance faciale capable de
vérifier « instantanément » l’identité des gens, de détecter leurs
comportements et de les « suivre en continu ».
La Presse
a appris que le géant des télécommunications avait suggéré à ses
clients d’affaires de l’utiliser pour surveiller et cibler les personnes
qui entrent dans leurs hôtels, épiceries, boutiques, banques, stades ou
lieux de travail.
Sa
technologie « haute performance » capte les visages à l’aide de caméras
et les compare à « une large banque de données archivées », peut-on
lire sur une page du site web de Bell. Cette page en anglais semble non
indexée et ne nous a pas été accessible à partir d’un moteur de
recherche.
Bell
a refusé de nous accorder une entrevue, mais a répondu par courriel
qu’elle « ne propose pas de services de reconnaissance faciale en ce
moment ». Sa page web a été construite à des fins promotionnelles, pour
« déterminer le niveau d’intérêt potentiel de ce service et s’il
pourrait être un produit viable », a écrit la porte-parole
Caroline Audet.
Bell
est présente en télécommunications, en télévision, en radio et en
affichage, et a encaissé 3,25 milliards de profits sur des revenus de
24 milliards en 2018. Si les nombreuses entreprises qu’elle dessert
achetaient massivement son système de reconnaissance faciale, des
milliers de Canadiens pourraient bientôt être surveillés et reconnus
dans toutes sortes de lieux – sans forcément s’en rendre compte ni en
avoir réellement le choix.
« Même
avec un éclairage de bas niveau et avec des données vidéo de faible
qualité, l’analyse vidéo de Bell est capable de compter et de suivre en
continu les personnes et les objets », précise son site. Le système
d’intelligence artificielle envoie des « alertes instantanées » aux
responsables de la sécurité et permet de « prendre des décisions plus
rapides et intelligentes ».
Repérer les clients riches
La
semaine dernière, les commissaires à la protection de la vie privée du
Canada ont fait état de leurs « préoccupations croissantes quant à
l’utilisation de la reconnaissance faciale » et déclenché une enquête
nationale sur l’une de ces technologies, Clearview AI, utilisée par des
centaines de corps policiers, dont certains canadiens.
D’après
une note en petits caractères, masquée par le signe « + » au pied de sa
page web, Bell cherche de son côté à revendre l’outil d’une immense
société japonaise, NEC, qui a entre autres mis au point un système
appelé NeoFace, dès 2002. Il sera employé aux Jeux olympiques de Tokyo
l’été prochain, et permet d’analyser des milliers de visages par minute
pour faire de la surveillance ou du marketing, selon le site web de NEC.
Sur
son propre site, Bell suggère par exemple aux banques d’utiliser la
reconnaissance faciale pour détecter aussi la présence de « déposants
fortunés » et de « clients VIP » afin de leur offrir des avantages. La
même chose est possible dans les hôtels et les boutiques.
À
l’autre extrême, toujours selon son site, l’outil promu par Bell
« détecte les comportements suspects », « surveille les individus »,
repère les gens inscrits sur une liste noire et envoie des « alertes
instantanées » aux responsables de la sécurité. Les indésirables peuvent
ainsi se voir bloquer l’accès à un commerce ou à un guichet automatique
« pour éviter les vols et les pertes ».
Autres
possibilités : « garde[r] en mémoire le nombre, le mouvement et le
comportement des personnes sur plusieurs sites », automatiser l’accès
aux stades (sans billets), mieux répartir le personnel selon
l’achalandage et les files d’attente, etc.
1/6
Sur son
site, NEC vante le fait que la reconnaissance faciale puisse se faire
« sans interagir avec l’individu en train d’être identifié ».
Ce
sont deux Torontois férus de technologie, Sydney Eatz et Richard Trus,
qui ont déniché la page web de Bell et l’ont transmise à La Presse.
Ils se surnomment « la police de l’internet », parce qu’ils ont dénoncé
plusieurs dérives à des médias torontois depuis deux ans. Sydney Eatz a
aussi déposé un mémoire sur Google devant un comité de la Chambre des
communes.
« Facebook
a dû payer 550 millions de dollars US pour régler hors cours un recours
collectif, après avoir utilisé la reconnaissance faciale aux dépens de
la vie privée, a-t-elle dit à La Presse en entrevue. Ça démontre que faire de la reconnaissance faciale sans obtenir le consentement des gens a un coût. »
Pire que la police
Le projet de Bell inquiète les défenseurs et les experts de la vie privée joints par La Presse.
« Jusqu’à
récemment, l’identification biométrique était limitée à la police dans
le cadre d’enquêtes criminelles, mais maintenant, c’est en train d’être
généralisé un peu partout », dit Dominique Peschard, porte-parole de la
Ligue des droits et libertés.
En
plus de jumeler les visages, le système promu par Bell suggère des
décisions aux employés des entreprises qui en feraient usage. « Mais ces
algorithmes sont secrets et on ne sait pas comment ils fonctionnent,
souligne M. Peschard. La personne ne sait donc pas selon quel critère
elle a été jugée, pourquoi telle décision a été prise. »
Les
commissaires à la vie privée du Canada commencent enfin à se rendre
compte des dangers de ces technologies et à lancer des consultations,
dit-il.
En attendant, c’est le “free
for all”, les entreprises profitent du vide. Ça prend un moratoire
jusqu’à ce qu’on ait adapté nos lois pour se protéger contre les abus
potentiels.
Dominique Peschard, porte-parole de la Ligue de protection des droits et libertés
Pour
Dominic Martin, spécialiste de l’éthique de l’intelligence artificielle
et de la gestion de l’éthique en entreprise, « il faut fixer les
conditions d’utilisation et instaurer des moyens de contrôle, parce que
la reconnaissance faciale a le potentiel de mener à des écarts éthiques
importants ». Il faut résoudre plusieurs questions de toute urgence,
précise le professeur de l’Université du Québec à Montréal. Jusqu’où
va-t-on aller dans l’enregistrement des moindres faits et gestes d’un
individu ? Avec quoi va-t-on recouper ces images ? Et à qui on va vendre
le tout ?
Autre
écueil : lors de tests, des outils de reconnaissance faciale ont fait
plus d’erreurs lorsqu’ils analysaient les images de personnes à la peau
foncée. Ce qui augmente le risque de les confondre avec un suspect
fiché – comme un voleur à l’étalage –, avec la discrimination et les
ennuis que cela suppose (1).
L’outil
proposé par Bell s’est classé parmi les plus performants lors de tests
organisés par l’industrie. Mais à Londres, où la police l’utilise depuis
2016 pour filmer les rues et repérer les gens inscrits sur une liste
noire, seulement 19 % des 42 personnes signalées par l’algorithme
correspondaient vraiment à leur « sosie » fiché, selon une étude de
l’Université d’Essex, commandée par le gouvernement britannique et
publiée en 2019.
Plus libres que la police
« Si
on ne fixe pas de limites, les entreprises pourraient devenir des
enquêteurs automatiques, se faire justice à elles-mêmes ou faire
d’immenses parties de pêche. Elles auront les coudées plus franches que
la police, prévient Pierre Trudel, professeur de droit de l’information
et du cyberespace à l’Université de Montréal. Au Canada, la police ne
peut filmer vos allées et venues sans avoir demandé une autorisation
judiciaire ni filmer tout le monde au cas où elle trouverait quelque
chose. »
Le potentiel d’intrusion est
considérable. Le législateur doit courir pour faire du rattrapage, car
il y a un défaut affligeant d’encadrement.
Pierre Trudel, professeur de droit de l’information et du cyberespace à l’Université de Montréal
La
Commission d’accès à l’information du Québec (CAI) dit prendre le
déploiement de la reconnaissance faciale « très au sérieux ». « On suit
la situation de très près et ça fait des années qu’on suggère
d’actualiser la loi pour que la biométrie soit plus balisée », a dit en
entrevue la porte-parole de l’organisme, Isabelle Gosselin.
Quiconque
achèterait la technologie proposée par Bell devrait obligatoirement
s’inscrire au Registre des déclarations des banques de mesures
biométriques de la CAI, précise-t-elle, car la Loi sur les technologies
de l’information l’exige.
Les
fournisseurs doivent pour leur part respecter les lois sur la
protection des renseignements personnels – en obtenant par exemple le
consentement des cibles et en agissant « par nécessité ». « Et on ose
tenir pour acquis qu’ils le font », avance Mme Gosselin.
(1)
Les personnes d’origine afro-américaine ou asiatique ont entre 10 et
100 fois plus de risques d’être reconnues erronément par les algorithmes
de reconnaissance faciale que les Caucasiens, selon un rapport
d’évaluation du National Institute of Standards and Technology, basé sur
des tests réalisés sur 189 logiciels. Le taux d’erreur est encore plus
élevé lorsqu’il s’agit d’Afro-Américaines.
De l’inconnu et des craintes
Comment
se déploie de manière très concrète la reconnaissance faciale dans les
entreprises canadiennes ? Le point en six questions.
Les entreprises doivent-elles obtenir notre consentement pour nous identifier avec des caméras ?
Oui, répond Isabelle Gosselin, porte-parole de la Commission québécoise d’accès à l’information.
Mais
la possibilité de refuser son consentement est souvent « ténue ou
pratiquement inexistante », nuance Dominic Martin, spécialiste de
l’éthique de l’intelligence artificielle et de la gestion de l’éthique
en entreprise.
« Quand
il y a des caméras dans l’environnement, on ne peut pas les éteindre.
Il faudrait carrément cesser de fréquenter certains lieux ou quitter son
emploi pour ne pas faire l’objet d’une surveillance accrue », souligne
le professeur qui enseigne à l’Université du Québec à Montréal.
Combien d'entreprises utilisent la reconnaissance faciale au pays ?
Dans
les autres provinces, on l’ignore. Environ 16 % des magasins Canadian
Tire qui y sont établis s’en servent déjà pour lutter contre le vol à
l’étalage, selon un reportage publié en février 2019 par CTV News. Et
une chaîne d’alimentation présente en Ontario et en Colombie-Britannique
a déclaré en novembre qu’elle ferait payer ses clients avec leur visage
pour accélérer leur passage à la caisse.
Au
Québec, la loi oblige à déclarer toute banque de données biométriques à
la Commission d’accès à l’information, et neuf entreprises ont indiqué
faire de la reconnaissance faciale, révèle l’organisme. La plus connue,
Master Card, dit employer cette technologie pour identifier la
clientèle. Les autres entreprises l’utilisent pour gérer les accès aux
bureaux, les présences ou le traitement de la paie.
Qu'arrive-t-il des données biométriques obtenues ?
Mystère,
puisque ni Québec ni Ottawa n’ont encore adopté de loi sur le sujet,
malgré les pressions croissantes, indique Pierre Trudel, professeur de
droit à l’Université de Montréal.
« Proposera-t-on
ces images à quelqu’un souhaitant nous traquer pour d’autres raisons ?
Les raisons possibles sont infinies, et c’est ça qui devient un gros
enjeu », dit le chercheur, qui s’intéresse entre autres à la loi sur les
télécommunications et aux objets connectés.
« On
ne veut pas qu’un système comme celui-là finisse par servir à des fins
d’assurances. On ne veut pas entendre : “Non, on ne vous assurera pas,
parce que d’après nos données, on vous voit aller dans les bars tous les
soirs et rentrer tard…” »
Comment se défendre en cas d'abus ?
Pour
l’instant, il faudrait invoquer le Code civil du Québec et la Charte
québécoise des droits et libertés, qui interdisent de violer la vie
privée sans motif sérieux, explique le professeur Trudel. Mais les
tribunaux n’ont pas encore établi comment ils s’appliquent aux systèmes
de reconnaissance faciale.
« S’ils
servent à assurer la sécurité dans un évènement public, on pourrait
peut-être argumenter que le motif est raisonnable. Mais si c’est pour
savoir si vous êtes un bon client à l’hôtel, on est plutôt dans le
marketing… »
Il
est souvent possible de filmer pour éviter les vols, à condition que la
surveillance soit annoncée. Mais les caméras n’étaient
traditionnellement pas branchées à un système de reconnaissance
faciale – capable d’entraîner l’exclusion d’un délinquant de toute une
chaîne de magasins, sans pardon possible.
« La
question qui se pose, c’est : est-ce un mécanisme disproportionné
compte tenu de la finalité ? demande M. Trudel. Il va falloir que l’État
intervienne. Le marché joue à l’encontre des droits fondamentaux. »
Que sait-on au sujet de l'outil japonais que Bell a vanté à ses clients ?
Il
n’a pas fait la manchette, mais le système NeoFace, conçu par
l’entreprise japonaise NEC, est partout. Le réseau Star Alliance, auquel
appartient Air Canada, vient de signer un contrat pour le faire
installer et la police de Calgary a indiqué qu’elle l’utilisait déjà,
tout comme des navires de croisière de Disney ou des hôtels en Asie.
Aux
États-Unis, des gouvernements, des universités et des entreprises
l’emploient. Et il permettra d’assurer la sécurité aux Jeux olympiques
de Tokyo.
Est-ce rassurant quant à son déploiement possible au pays ?
Pas
forcément. « Bell doit bien saisir que si elle vend cette solution-là à
des clients, ils vont pouvoir l’utiliser de toutes sortes de façons
après », prévient le professeur d’éthique des affaires Dominic Martin.
Le
géant des télécommunications s’associe à des tiers pour offrir des
services spécialisés, parce que son « objectif premier est la
connectivité réseau », selon un courriel que sa porte-parole Caroline
Audet a envoyé à La Presse.
Le
professeur Martin s’interroge néanmoins : « À la place de Bell, je me
demanderais jusqu’à quel point ça cadre dans mon modèle d’affaires,
sachant que de gros joueurs comme Google et Facebook ont officiellement
mis la pédale de frein à cause des possibles débordements éthiques de
cette technologie-là. »
CyberVols, image, reconnaissance faciale, vol d'identité, vol de donnés,
Le New York Times s'est intéressé au cas inquiétant de
Clearview AI, une startup qui a créé un
outil de reconnaissance
faciale... à partir de millions d'images trouvées sur le web.
L'application, sortie
des pires scénarios de science-fiction, convainc
les utilisateurs, mais s'affranchit de plusieurs barrières légales.
Peut-elle s'installer dans les usages, alors qu'elle se confronte aux
lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600
autorités publiques, des petites polices locales jusqu’au FBI, la
réponse est oui. Elles sont états-uniennes, canadiennes ou encore
indiennes et utilisent l’application de reconnaissance faciale de
Clearview AI, sur laquelle le New York Times
a enquêté. Créée en 2016, cette entreprise a constitué une base de
données de milliards d’images, en aspirant les données de Facebook,
Twitter ou encore YouTube. Sans aucune considération pour la
loi.
Grâce à une technologie développée en interne, elle relie ensuite les
images similaires entre elles
pour former des albums photos de
personnes aléatoires. Chaque image est reliée à sa source (Facebook, par
exemple). Un utilisateur de l’application peut donc retrouver
l’identité d’une personne, voire son adresse, s’il dispose d’une seule
photo qu’il a lui-même prise. Clearview
dispose ainsi d’une sorte de
Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le
commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public. Pour l’instant, la technologie de Clearview n’est accessible qu’aux forces de l’ordre. // Source : Capture d’écran du site de Clearview
La meilleure technologie pour retrouver un criminel ?
Clearview dispose d’un avantage concurrentiel exceptionnel : son
application peut, en théorie, identifier une personne même si elle porte
un chapeau ou des lunettes, quel que soit l’angle de la
prise de vue. À
l’heure actuelle, les logiciels autorisés aux États-Unis, en Inde ou au
Canada ne contiennent que des photos officielles, c’est-à-dire des
photos au format portrait, de face, prises
pour créer des papiers
d’identité ou de lors d’arrestations. Comme tout service par abonnement,
Clearview propose une offre d’essai de 30 jours, pour convaincre ses
utilisateurs de la supériorité
de sa technologie.
« La technologie pour résoudre les crimes les plus compliqués », lit-on sur le site de Clearview AI.
La startup, qui compile aussi des images de personnes sans casier
judiciaire, permet de retrouver des criminels en tout genre : du voleur
de magasin filmé par un passant à un meurtrier filmé par une caméra de
surveillance, en passant par un fraudeur bancaire trop peu prudent. Le Times
relaie de nombreux témoignages d’utilisateurs plus que satisfaits de
l’efficacité de la technologie, dont l’utilisation a commencé sans
consultation du public.
Pourtant, le débat autour de la reconnaissance faciale émerge aux États-Unis comme en France, et laisse déjà entrevoir de fortes oppositions. Il en est de même dans de nombreux pays, à part quelques exceptions, comme la Chine, où le gouvernement se sert de la technologie pour imposer une surveillance d’État.
Pour éviter de se retrouver au centre de l’attention, Clearview a
donc opéré sous le radar : son site, très pauvre en information, n’a été
réellement lancé que début 2020, alors que son business était
déjà bien
installé.
L’aspiration illégale de données au centre de la technologie
L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping.
Le principe est simple : un logiciel aspire de façon automatique
le
contenu des pages web. Dans le cas de Smartcheckr, toutes les images
accessibles librement y passent. Profils et photos publics sur Facebook,
Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre
employeur sont autant de sources d’images pour l’application. Même si
ces sites écrivent de façon explicite dans leurs conditions générales
d’utilisation (CGU) qu’ils interdisent
cette pratique. Résultat,
alimenter constamment la base de donnée ne coûte presque rien à
Clearview, puisqu’elle se sert librement. Ces économies lui permettent
de proposer un prix d’abonnement
annuel à son service compris entre 2
000 et 10 000 dollars par an, une bouchée de pain pour sa cible de
clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique
chez Aurore Légal.
5 an de prison, 500 000 euros d’amende
La juriste énumère l’immense arsenal légal français et européen qui
pourrait, sous condition d’apports de preuves, qualifier les pratiques
de Clearview : concurrence déloyale et parasitisme, extraction
non-autorisée, fraude informatique, vol d’information, violation du
contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des
simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500
000 euros d’amende. « En théorie, les procédures sont cumulables,
mais dans le cas de contentieux complexes comme celui-ci, le choix des
voies judiciaires peut être subtil », précise-t-elle. De l’autre
côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a
par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par
le New York Times, ne semble pas se soucier de cette épée de Damoclès :
« Je suis arrivé à la conclusion que puisque le volume
d’informations augmente constamment, il n’y aura jamais de respect de la
vie privée. Les lois doivent déterminer ce qui est légal, mais ne
peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un
futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le
bannir. »
Le RGPD protège l’Europe contre l’utilisation de Clearview
Si les sites sont déjà lourdement armés pour se protéger contre
Clearview devant les tribunaux aux États-Unis, les utilisateurs
disposent d’armes supplémentaires en Europe. « Puisque dans
le cas de ces images, il s’agit de données personnelles, le règlement
général européen sur la protection des données offre tout un arsenal
supplémentaire. Or, si le traitement des données est fait en Europe ou
concerne des personne situées sur le territoire européen, alors le RGPD
s’applique », rappelle Sabine Marcellin. Voici probablement une
des raisons pour lesquelles Clearview a des clients en
Inde, aux
États-Unis et au Canada, mais pas en Europe.
En France, la Cnil contrôle les usages de la reconnaissance faciale
En cas de non-respect du RGPD, les entreprises s’exposent à une
amende du plus haut montant entre de 20 millions d’euros et 4 % du
chiffre d’affaires annuel mondial de l’entreprise. « On oublie
souvent que le RGPD permet aussi des sanctions administratives qui
peuvent aller jusqu’à l’interdiction de l’utilisation des données
concernées », rajoute la juriste. De quoi anéantir pour de bon un logiciel comme celui de Clearview, en cas de condamnation.
Aujourd’hui, la reconnaissance faciale n’est pas encore inscrite dans les textes en France, mais la Cnil et ses homologues européennes veulent déjà encadrer son usage. Après le débat autour de l’application d’identification Alicem,
l’autorité française a renouvelé, dans un guide sur le sujet, la
nécessité d’obtenir sa validation pour lancer une expérimentation. Si
les forces de l’ordre françaises veulent utiliser une technologie
similaire à celle de Clearview, elles devront donc passer par la Cnil.
« C’est sûrement la plus grande différence entre les systèmes européens et américains », estime l’avocate.
Porte ouverte aux abus
En mettant son application sur le marché, Clearview AI a franchit une
barrière jusque-là respectée. Facebook, Amazon ou Google, avec leurs
compétences et leurs grands volumes de données auraient pu créer un tel
outil bien avant la startup. Mais même ces géants de la tech ont mis
l’usage de la reconnaissance faciale à des fins sécuritaires de côté.
Ils se sont contentés de créer des technologies voisines de
reconnaissance d’image, qui permettent par exemple le tag automatique
sur les publications, ou de classer les albums photos par personne.
Clearview ouvre donc la boîte de
Pandore et laisse entrevoir un futur
dystopique imaginé par la science-fiction.
Mais si l’application Smartcheckr est aussi problématique, c’est
surtout parce qu’elle n’a pas été contrôlée par une autorité tierce
indépendante. En conséquence, rien ne garantit son efficacité, ni sa
sécurité. Pourtant, les technologies de reconnaissance faciale sont
régulièrement épinglées pour leurs biais discriminatoires.
Par exemple, les risques de faux positifs pourraient être plus élevées
pour les personnes noires, déjà discriminés dans le système judiciaire
actuel.
Clearview convainc les investisseurs
Ensuite, les autorités qui utilisent la technologie peuvent
télécharger dans la base de données de Clearview des preuves
essentielles à des enquêtes confidentielles … parfois sans en avoir
conscience. Pire, si des acteurs malveillants découvraient une fuite ou
exploitaient une faille dans
les serveurs de Clearview, ils
disposeraient de tout un éventail d’outil : harcèlement, chantage,
traque, extraction de preuves… Sans contrôle extérieur, l’entreprise
pourrait enfin tout à fait manipuler les résultats qu’elle présente à la
police.
Jusqu’où ira-t-elle avant d’être épinglée par le système judiciaire ?
Vu la décontraction dans les propos des dirigeants, ils ne semblent
guère s’inquiéter. Pas d’inquiétude non plus du côté des investisseurs :
la startup a levé 9 millions de dollars en juin 2019, un montant
relativement conséquent pour un premier tour.
fuite, vol d'identité, vol de donnés, banques, hackers
Après le Mouvement Desjardins, c’est au tour d’Industrielle Alliance
au Québec d’être la cible de fraudeurs. Les renseignements personnels
d’environ 3000 clients québécois ont été exposés au cours de l’été.
Selon l’assureur, la première tentative d’hameçonnage est survenue
le 20 juin. Deux autres stratagèmes similaires ont été effectués le 8
juillet et le 11 juillet.
Au total, trois représentants du réseau de vente de iA Groupe
financier au Québec ont été victimes d’hameçonnage. Il s’agirait de
trois incidents distincts aucunement liés entre eux. Une enquête a été
ouverte par la compagnie.
«Lors de chaque incident, une personne externe à l’organisation a
réussi à prendre momentanément le contrôle des boîtes de courriel d’un
représentant et a ainsi eu l’opportunité d’accéder à l’ensemble de ses
courriels», explique le porte-parole de l’organisation, Pierre Picard.
«À l’heure actuelle, rien n’indique que les données auraient été
utilisées à des fins malveillantes ni qu’elles auraient été vendues à
des tiers», dit-il
Selon l'Industrielle Alliance Groupe financier, trois des
représentants de son réseau de vente ont été victimes d'hameçonnage en
juin et juillet derniers. Les trois incidents ne sont pas liés entre
eux, mais dans chaque cas un pirate informatique a pris le contrôle de
la boîte courriel de l'employé. Il n'est pas impossible que l'auteur de
l'intrusion informatique ait pu mettre la main sur des informations
personnelles concernant certains des clients.
Selon la société, qui compte plus de 4 millions de
clients au pays et dont le siège social est à Québec, rien n'indique à
l'heure actuelle que des données aient été utilisées à des fins
malveillantes ou qu'elles aient été vendues à des tiers.
Dans une lettre envoyée le mois dernier aux clients touchés, la compagnie présente ses excuses et assure prendre la situation très au sérieux.
Des mesures additionnelles ont été rapidement mises en place pour renforcer la protection des renseignements personnels.
Industrielle Alliance propose à ses 2864 clients touchés
par l'intrusion informatique un abonnement de cinq ans au service de
surveillance de crédit et d'assurance contre le vol d'identité de
l'agence de crédit Equifax.
Elle a aussi mis à leur disposition un service à la clientèle pour répondre à leurs questions.
Des règles à revoir
Pour
l'expert en cybersécurité Steve Waterhouse, l'accumulation d'histoires
semblables à celle d'Industrielle Alliance devrait inciter les autorités
à prendre encore plus au sérieux la sécurité des données personnelles.
Steve Waterhouse, expert en cybersécurité.
Les commissaires à la vie privée du Québec et du Canada n'ont toujours pas de mordant pour faire une intervention légale, dit Steve Waterhouse, c'est-à-dire porter des accusations à partir d'enquêtes.
Les
enquêtes prennent souvent trop de temps à être réalisées pour être
capables de faire quelque chose qui a du sens ou qui peut réellement
faire un changement positif, ajoute-t-il.
Selon le ministre des Finances du Québec, Eric Girard, un projet de loi qui est en cours d’écriture devrait certainement être déposé lors de cette session parlementaire afin d’aider à résoudre le problème.
Je me suis engagé à
déposer un projet de loi pour légiférer sur les agences de crédit. […]
Je suis au travail là-dessus depuis la mi-juin.
Selon
le ministre Girard, le projet de loi encadrant les agences de notation
de crédit permettra de bloquer les tentatives de fraude.
Photo : Radio-Canada
Le
ministre souligne toutefois que la protection des renseignements
personnels est d’abord la responsabilité des entreprises concernées.
Pour sa part, le député libéral Gaétan Barrette estime
une fois encore qu’il faut saisir cette occasion pour élargir le mandat
de la commission parlementaire sur les fuites de données personnelles.
La
sécurité, ce n'est pas seulement une question physique, c'est aussi une
question de protocoles de logiciels, de structure d'organisation des
ressources humaines, et cela exige qu'on soit, nous parlementaires,
informés pour débattre de façon informée et transparente de ce sujet, a déclaré Gaétan Barrette.
Les données, qu'elles
soient au public ou au privé, c'est la même procédure et le même
environnement. En ce qui me concerne, il faut tout traiter d'un coup
maintenant.
Industrielle Alliance a signalé l'événement à l'Autorité des marchés financiers et à la Commission d'accès à l'information.
« Tentez de gagner cette magnifique Aire de jeux contenant une
cabane, toboggan, mur d’escalade et autres ! Livrée et montée
directement chez vous! [...] Partager maintenant cette photo et écrire "
je participe " dans les commentaires. Mettre un “like” sur cette page.
Envoyer “Fait” en message privé. »
Voici
un exemple de concours que vous pouvez voir sur une page Facebook. Mais
ce qui semble en apparence banal peut servir à voler vos données
personnelles.
Selon
une enquête des Décrypteurs de Radio-Canada, il y aurait pas moins de
17 pages francophones qui partagent des concours identiques depuis un
bon moment. Certaines pages ont plusieurs dizaines de milliers
d'abonnés.
Des
francophones de tous les coins du monde dont des Canadiens répondent à
ces concours qui sont gérées depuis la France, la Belgique et l'Espagne.
Selon les Décrypteurs de Radio-Canada, plus de 20 000 Canadiens ont
potentiellement mis leurs données personnelles en danger ces dernières
semaines en participant à ces concours.
Dans les commentaires, on peut voir des gens dénoncer le fait qu'il n'y a « jamais de gagnants » ou qu'ils ont été arnaqués.
Mandy, une femme de Charleville-Mézières, en France, a participé à l'un des concours de la page Hot Deals
«
Vu que c'était en période de Noël et que je suis seule avec ma fille,
j'y ai cru », a-t-elle confié à l'équipe de Radio-Canada.
Quand
Mandy a reçu un message pour lui apprendre qu'elle avait gagné, on lui a
dit qu'elle devait composer plusieurs fois un numéro de téléphone pour
obtenir un code de validation. Des appels factués à 100 euros. On lui a
aussi demandé d'envoyer des photos de ses pièces d'identification pour
valider son identité.
Mandy
a porté plainte à la police... après avoir fourni toutes les
informations qu'on lui avait demandées. Les policiers lui ont confirmé
que les arnaqueurs avaient tout ce dont ils avaient besoin pour faire
une demande de carte de crédit en son nom. Les
journalistes de Radio-Canada ont aussi tenté de participer à un
concours. Ils ont reçu un lien imitant l'habillage de Facebook et dans
lequel ils devaient fournir nom, adresse courriel, mot de passe, date de
naissance et adresse. Des informations permettant ensuite de procéder à
un vol d'identité numérique. Après avoir entré de fausses informations,
les journalistes ont été redirigés vers un autre site demandant un
numéro de carte de crédit pour « valider leur âge ». En tout petits
caractères au bas du site, il était possible de lire que la personne
allait souscrire automatique à un abonnement à 60 $ par mois.
« Une personne qui entre toutes ces données pourrait se mettre dans
la merde », a confirmé Jean-Philippe Décarie-Mathieu, chef de la
cybersécurité aux Commissionnaires du Québec.
Voici
les pages identifiées par les Décrypteurs comme faisant partie de ce
vaste réseau de fraudeurs : Concessionnaire MultiMarque, Buco Offers,
StiffStake, Pyjama Party, Rising Curve, Soaring Deals, 1Day1Deal, Summer
Deals, Best Deals Club, Like Deals, Love Deals, Sunny Deals, Summer
Concours, Leo Concours, Funny Deals, Hot Concours, Hot Deals et Le Génie
du high tech.
Capital
One a été la cible d'un des plus importants piratages informatiques
visant une grande banque américaine. L'institution a annoncé lundi que
les renseignements personnels de 106 millions de ses clients
nord-américains, dont 6 millions de Canadiens, avaient été dérobés par
un pirate informatique, qui a déjà été arrêté par le FBI.
D'après
le communiqué publié par Capital One Canada, le piratage a été commis
les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non
autorisé [à notre réseau] et a obtenu certaines informations
personnelles », indique la banque.
Capital One, qui a confirmé le piratage le 19 juillet
dernier, deux jours après qu'un chercheur en sécurité externe lui eut
signalé une vulnérabilité du système, dit avoir colmaté la brèche
« immédiatement ».
La voleuse de données, qui a profité d'une faille dans un
serveur d'informatique dématérialisée (cloud) de la banque, aurait
principalement eu accès aux informations de consommateurs et de petites
entreprises ayant soumis une demande pour une carte de crédit entre 2005
et le début de 2019 : noms, adresses, numéros de téléphone, adresses
courriel, revenus et date de naissance, etc.
D'autres informations, comme les cotes de crédit, les
limites de crédit, les soldes et les habitudes de paiement, ont aussi
été piratées, ainsi que certaines données sur des transactions
effectuées sur un total de 23 jours de 2016 à 2018.
Au Canada, le numéro d'assurance sociale d'environ 1 million de clients a aussi été compromis.
Capital One – le cinquième émetteur de cartes de crédit
bancaire aux États-Unis – dit poursuivre son enquête, mais se fait
rassurante. « Selon l’analyse que nous avons effectuée à ce jour, nous
estimons qu’il est peu probable que l’individu ait utilisé les
renseignements à des fins frauduleuses ou qu’il les ait disséminés »,
dit-elle dans son communiqué.
« Ni les numéros de compte de carte bancaire ni les
informations pour se connecter à des comptes bancaires n'ont été volés.
Et plus de 99 % des numéros de sécurité sociale n'ont pas été
compromis », ajoute-t-elle.
La banque indique qu'elle offrira sans frais aux
Américains et aux Canadiens touchés des services de surveillance du
crédit et une assurance contre le vol d’identité. Elle ne précise pas
pour l'instant lesquels de ses clients ont été touchés. Au Canada,
Capital One émet notamment des cartes de crédit pour Costco et pour La
Baie d'Hudson.
Arrestation rapide
« Capital
One a informé rapidement les autorités compétentes du vol de données, ce
qui a permis au FBI de retrouver la trace de l'intrus », a expliqué
Brian Moran, le représentant du département de la Justice dans l'État de
Washington, dans un communiqué.
Selon la plainte déposée par le département de la
Justice, la personne accusée dans cette affaire est Paige Thompson,
domiciliée à Seattle, dans l'État de Washington.
Sous le pseudonyme Erratic, Mme Thompson s'est targuée
d'être l'auteure de cette fraude sur les réseaux sociaux. Elle y a
notamment déclaré « qu'elle détenait des informations de Capital One, et
qu'elle reconnaissait avoir enfreint la loi », peut-on lire dans la
plainte du FBI.
L'arrestation de Mme Thompson survient quelques jours
après qu'Equifax, l'agence de crédit américaine, eut été contrainte de
payer une amende de 700 millions de dollars américains pour le vol de données de plus de 150 millions de clients en 2017.
Récemment, 2,9 millions de membres de Desjardins ont aussi été victimes d'un vol de données.
Capital One : un suspect arrêté par le FBI pour le piratage d’une banque canadienne
Les données bancaires de 6 millions de canadiens et d’un peu plus de 100
millions de résidents américains sont concernées par le piratage. Le
suspect a utilisé Tor et un VPN pour camoufler ses agissements.Paige A. Thompson, 33 ans, était une ingénieure ayant travaillé dans
plusieurs secteurs informatiques et a notamment été employée pendant
deux ans pour la société Cloud Computing Company, un prestataire
informatique travaillant pour Capital One.
La banque Capital One a été victime d’un piratage d’ampleur, mais le principal suspect a déjà été appréhendé. Lundi, la banque canadienne a publié un communiqué indiquant
avoir été victime d’un piratage. L’auteur du piratage aurait accédé aux
données de la banque suite à une erreur de configuration dans l’un des
pare-feu d’application web (Web application Firewall, WAF) de la société
ayant permis d’accéder aux données personnelles des clients de la
banque. Les informations collectées par l’attaquant étaient issues des
fichiers de demande de carte bancaire des clients.
Parmi les
informations exposées, on retrouve ainsi des noms, adresses postales,
numéros de téléphone, adresses email, dates de naissance et revenus
déclarés par les clients. En plus de ces données personnelles, la banque
précise que 140 000 numéros de sécurité sociale ainsi que les numéros
de comptes de 80 000 clients ont été exposés, ainsi qu’un million de
numéros d’assurance sociale appartenant à des résidents canadiens. La
banque précise également que les informations de comptes de ses clients
(Historique de paiement, score de crédits, etc.) ont été exposées ainsi
que des historiques de transactions.
Les vols de données auraient eu lieu entre mars et avril, mais
n’ont été découverts par la banque que le 17 juillet grâce à un
chercheur en sécurité ayant alerté la société. La banque a depuis
corrigé le problème de configuration à l’origine de la fuite de donnée.
La faute aux réseaux sociaux
Dans un communiqué publié par le FBI,
on en apprend un peu plus sur le suspect interpellé par les autorités
américaines suite à ce piratage. Paige A. Thompson, 33 ans, était une
ingénieure ayant travaillé dans plusieurs secteurs informatiques et a
notamment été employée pendant deux ans pour la société Cloud Computing
Company, un prestataire informatique travaillant pour Capital One.
Thompson
était parvenue à accéder aux données et avait pris ses précautions afin
de ne pas se faire repérer, en se connectant notamment à travers le
réseau Tor et en utilisant un VPN afin de dissimuler ses traces.
Malheureusement pour elle, elle s’est un peu trop épanchée sur les
réseaux sociaux et a notamment publié plusieurs informations volées sur
le réseau social Github ainsi que sur plusieurs channels Slack, où un
chercheur en sécurité a repéré les informations et contacté la banque
concernée. REF.:
Comme c’est généralement le cas aux Etats-Unis suite à un
piratage informatique, une plainte en recours collectif (class action) a été
déposée dans la foulée de l’affaire Capital One. La semaine dernière, la banque
canadienne révélait avoir été victime d’une
attaque informatique au cours de laquelle les données personnelles (noms, adresses
postales, numéros de téléphone, adresses email, dates de naissance, revenus
déclarés) de 106 millions de clients ont été exposées. Une plainte déposée en
Californie vise non seulement Capital One mais également Github.
La plateforme
d'hébergement de code source est accusée de négligence. Le pirate, qui a été
appréhendé avant que l’affaire ne soit rendue publique, a publié des
informations sur son attaque via GitHub, ce qui conduit les plaignants à
estimer que “les décisions de la direction de GitHub (...) ont permis que les
données piratées soient publiées, affichées, utilisées et/ou autrement
disponibles." Les informations étaient disponibles sur le site entre le 21
avril et la mi-juillet. GitHub est accusé d’avoir enfreint la loi fédérale sur
les écoutes (Wiretap Act).
Des porte-parole de Capital One et de GitHub ont déclaré à
nos confrères de ZDNet.com que les données téléchargées sur GitHub par le
pirate ne contenaient aucune information personnelle. (Eureka Presse)
Il s’agit du juge Marc Bisson,.....le juge "la 64FFE" nommé en 2003 par le ministre de la Justice Marc Bellemare.L'ex-ministre de la Justice Marc Bellemarre, a allégué que les juges étaient nommés de façon partisane.Marc Bellemare affirme ignorer les détails bureaucratiques entourant la
nomination du juge Marc Bisson. Il soutient simplement que Jean Charest
lui a dit de le nommer parce que Franco Fava l'encourageait à le faire.D'ailleurs, les événements entourant la nomination de Marc Bisson ne
sont pas nécessairement favorables à la version de Marc Bellemare, car
l'ancien ministre de la Justice prétend que le choix de Marc Bisson a
été confirmé le 2 septembre 2003 lors d'une rencontre avec le premier
ministre Jean Charest.Et la commission Bastarache devrait expliquer pourquoi elle n'a pas jugé
utile, dans l'intérêt de la vérité et de la bonne conduite de son
mandat, d'interroger Michel Gagnon sur les circonstances de la
nomination du juge Marc Bisson.Et dans le cas des juges de paix : ils ont signé 98,6 % des mandats demandés par le SPVM depuis trois ans,assez facile a convaincre.Le SPVM a ainsi cherché à identifier les interlocuteurs au sein même de
ses forces parlant au journaliste indépendant Fabrice de Pierrebourg,
anciennement à La Presse, à Félix Séguin, du Bureau d'enquête du Journal de Montréal et à Monic Néron, du 98,5 FM.Or, dans le cas présent, ce sont plutôt les registres téléphoniques des
employés du SPVM qui ont été épluchés, afin de savoir si certains
avaient contacté ces trois journalistes. Le tout dans un contexte de
chasse aux sources au SPVM. En effet, la section des Enquêtes spéciales
de la police, chargée de réprimer le crime au sein même des forces de
l'ordre, cherche à savoir qui, à l'interne, parle aux journalistes.Au moins 24 mandats de surveillance concernant le téléphone ont été accordés,et c'est la juge de paix Josée de Carufel, de Montréal, qui a autorisé la majorité des mandats de surveillance.M. Lagacé juge que les raisons invoquées par le SPVM, à savoir faire
avancer une enquête interne, ne sont pas crédibles. «Il y a un contexte
de chasse aux sorcières à la police de Montréal, où elle cherche à
savoir qui parle à des journalistes, estime-t-il. Je crois que dans une
des enquêtes criminelles sur un policier, on a soupçonné que ce policier
parlait à un journaliste, et que le SPVM a vu là un prétexte
fantastique pour espionner un journaliste. Et ils ont trouvé une juge
qui a été assez stupide pour émettre un mandat et leur permettre de
faire ça.»M. Lagacé rappelle qu'il n'est pas un journaliste d'enquête: il écrit
des chroniques et critique des institutions. «S'ils ont fait ça à un
journaliste qui ne fait pas d'enquête, imaginez ce qu'ils font à des
vrais journalistes d'enquête», Alain Gravel(rendu depuis ce tamps a la radio de RC "Gravel le matin") et Marie-Maude Denis ,Isabelle Richer d'Enquête,,a-t-il dit.Le Service de police de la Ville de Montréal (SPVM) m'avait donc déjà
espionné en décembre 2014, dans une affaire distincte de celle de 2016,
révélée la semaine dernière par La Presse. Et cette fois, l'histoire implique Denis Coderre arrêté avec son auto avec des plaques non payées et que Pat Lagacé demanda si le ticket de 444$ avait été payé.Le bureau du maire Coderre, irrité,car supposément deux policiers soupçonnés d'avoir remis une copie du constat
d'infraction à M. Lagacé ont vu leurs déplacements à l'intérieur des
locaux de police vérifiés grâce aux registres d'utilisation des cartes
magnétiques., et Coderre a appelé le chef de police. À
l'époque, Marc Parent chef du SPVM. L'actuel chef, Philippe
Pichet, était son chef de cabinet. Costa Labos était chef des Affaires
internes. Et quelqu'un a décidé que c'était bien correct d'espionner un
journaliste, en tout cas plus facile!On va le dire et on va le répéter : en démocratie, ces intrusions de
l'État dans les données téléphoniques des journalistes sont rarissimes
et universellement condamnées. Aux États-Unis, quand le Department of
Justice a fait le coup à 20 journalistes de l'Associated Press,
l'affaire a fait scandale, en 2013. Il s'agissait, au moins, de
reportages liés à une opération antiterroriste. Pas à une question sur
le ticket d'un politicien.
Bien sûr, si on prend la voie criminelle, on a un prétexte
extraordinaire pour aller espionner en douce les données téléphoniques
d'un journaliste...
Bien sûr, si on prend la voie criminelle, on envoie aussi un signal bien clair aux troupes : parlez, et vous allez souffrir.
La beauté de l'affaire, ici, c'est que les policiers qui ont fait
l'objet d'une enquête criminelle n'ont jamais été accusés. Je dis « la
beauté de l'affaire » parce que jamais l'enquêteur Borduas ou son boss
Labos n'auront à se justifier en cour : les policiers n'ont jamais été
accusés ! Partie de pêche gratuite.Il y a trop de proximité entre le maire Coderre et « sa » police. Le
bien public commande d'ériger un mur plus haut entre le SPVM et le
bureau de notre maire hyperactif et contrôlant.«Patrick Lagacé a simplement fait son travail de journaliste : poser des questions sur un sujet d'intérêt public.»Mais ça prouve que tous les autres autour de ce dossier sont des pourris.
juge Marc Bisson
Quand le sergent-détective Normand Borduas et son partenaire Iad
Hanna ont décidé qu’ils avaient besoin d’une autorisation judiciaire
pour obtenir le droit d’intercepter mes conversations téléphoniques si
nécessaire, ils sont allés voir un juge.
Ils avaient déjà en main
mes relevés téléphoniques d’une bonne partie de l’année 2015 et les
métadonnées de mon téléphone cellulaire. Les métadonnées, ce sont les
numéros de téléphone, sans le contenu : quel numéro m’appelle, à quel
numéro j’envoie un texto, par exemple.
Les policiers Borduas et Hanna voulaient savoir si un certain policier me refilait des informations.
La
police est donc allée voir le juge Marc Bisson, à Longueuil (pourquoi
Longueuil, au fait, Montréal manque de juges prêts à autoriser des
mandats ?), pour le convaincre d’aller un peu plus loin dans la
surveillance de ma personne et de mon travail en autorisant ce mandat
d’interception de mes conversations.
Pour le convaincre, Normand
Borduas a signé une déclaration sous serment. Il a expliqué au juge un
tas de choses que je ne peux pas vous dire, parce que ces déclarations
sous serment sont l’objet d’un interdit de publication jusqu’au 4
janvier prochain, au moins.
Mais je les ai lus, les soupçons du
sergent-détective Borduas. Je brûle de vous dire les liens présentés par
l’enquêteur au juge, à partir d’échanges entre appareils téléphoniques…
Mais je ne peux pas. Pas avant le 4 janvier, au moins.
Ce que je peux vous dire, c’est que j’ai super hâte qu’arrive janvier. J’ai super hâte de l’écrire, cette chronique.
Parce
que d’un bord, il y a ce que le sergent-détective Borduas a raconté au
juge à propos de la signification de mes interactions avec certaines
personnes. Et de l’autre bord, il y a la réalité.
Je veux dire que
là où – lisant savamment dans une masse de numéros de téléphone – la
police a vu un Yéti, il peut y avoir quelque chose de bien moins
effrayant… Une oie, disons.
Ça ne ressemble pas au Yéti, une oie.
Ça fait moins peur, mettons. Je vous dirai pourquoi je parle d’une oie
quelque part en janvier.
Et cette oie qui ressemble à un Yéti
quand on la dessine avec des métadonnées, elle s’est retrouvée dans le
98,6 % des mandats présentés par le SPVM et qui ont été approuvés par
des juges qui devraient googler la traduction française de « rubber
stamping »…
Où m’en vais-je avec mes skis, mon oie et mon Yéti ?
Dans
les pages d’un rapport de la Commission de la sécurité publique de la
Ville de Montréal sur l’espionnage de mon travail et de ma personne par
le SPVM.
La Commission d’Anie Samson a mené ses travaux à huis
clos. Seuls les boss du SPVM ont témoigné. Aucun expert n’a été
sollicité pour contextualiser, nuancer ou contredire les dires des boss
de la police aux élus chargés d’encadrer le SPVM.
La vue de ces
gradés impeccables dans leurs costumes d’apparat a dû beaucoup
impressionner les élus de l’Équipe Coderre, parce qu’ils ont accouché
d’un rapport d’une complaisance totale. Projet Montréal a offert une
saine et lucide dissidence.
On a demandé aux élus de se pencher sur le cas du SPVM et c’est ce qu’ils ont fait, se pencher… servilement.
Je
cite le rapport de la Commission : « Les commissaires constatent ainsi
que la très grande majorité des mandats et ordonnances demandés ont été
acceptés, ce qui témoigne à première vue de la reconnaissance par le
juge de la rigueur avec laquelle les enquêtes sont menées et de la
pertinence des mandats réquisitionnés… »
Ma réponse à ça, c’est que j’ai bien hâte au mois de janvier, quand l’interdit de publication sera levé.
J’ai
bien hâte de parler de la « rigueur » de l’enquête qui a été menée et
qui est venue fouiller dans mes bobettes, dans cette partie de pêche
inusitée qui a fini par mener, quand on a su que d’autres journalistes
avaient aussi été espionnés, à une commission d’enquête publique
ordonnée par Québec.
J’ai bien hâte de parler de la « pertinence »
de ce que les fins limiers du SPVM ont présenté au juge Bisson, au
début de 2016, pour justifier mon espionnage.
Le sergent-détective Normand
Borduas est ce policier qui enquête sur ses collègues du SPVM. C'est lui
qui, en 2014, en 2015 et en 2016, dans deux affaires différentes, a
obtenu le droit inusité dans ce pays d'espionner un journaliste... Moi.
C'est un drôle de sentiment de lire la prose de M. Borduas me
concernant, dans ces « affidavits » qu'il a soumis à des juges pour
justifier mon espionnage - ou celui d'autres personnes - en traquant le
policier Fayçal Djelidi.
Tout ce qu'il voit, c'est que j'ai reçu un appel ici, que j'ai envoyé un
texto là. L'enquêteur ignore le contenu de ces communications. C'est ce
qu'on appelle des métadonnées : le contenant, pas le contenu des
communications.
Alors Normand Borduas fait des liens avec tous ces numéros de téléphone.
Le 20 décembre, j'y allais d'une image, dans « Journal d'un
espionné (1) » : avec ces métadonnées, l'enquêteur a dessiné pour les
juges un yéti, quelque chose d'effrayant...
Tenez, M. Borduas écrit dans un affidavit que le 26 décembre 2015, à
11 h 25, « un message texte est reçu sur le (514) 239-XXXX, de Fayçal
Djelidi, en provenance du numéro de cellulaire appartenant au
journaliste Patrick Lagacé... »
Suit une note : « L'affiant rappelle au juge autorisateur que
l'interrogatoire mené par Fayçal Djelidi avec le suspect [du vol de
données confidentielles dans l'auto d'un commandant de la police] a eu
lieu le 24 décembre 2015... »
Voyez ? M. Borduas donne un sens sinistre à ce texto, un peu comme une
diseuse de bonne aventure qui voit une ligne de vie trop courte dans
votre main : si Djelidi a interrogé un suspect le 24 et que j'envoie un
texto à Djelidi le 26, il y a forcément un lien avec l'article qui parle
de ce vol, le 7 janvier suivant...
Même si cet article est sorti dans le Journal de Montréal, et pas dans La Presse... où j'écris depuis 2006.
***
Parlant de scoop, j'en ai un, pour l'enquêteur Borduas : je l'ai, le texto, du 26 décembre.
Et voici ce que je disais à Fayçal Djelidi, le 26 décembre 2015 à
11 h 25 : Hey ! Joyeux Noël en retard ! T'as été malade en même temps
que moi, selon mes sources.
Voyez ?
C'est vertigineux, les métadonnées. On ne voit pas le contenu. Alors on
peut dessiner ce qu'on veut avec cet amas de chiffres, avec les
contenants... Y compris un yéti, qui est une bête bien effrayante, Votre
Honneur...
Dans sa trame narrative des Fêtes de 2015 soumise à la juge, le
sergent-détective Borduas introduit soudainement le journaliste Fabrice
de Pierrebourg.
Pourquoi ?
Sais pas !
Fabrice n'est pourtant l'auteur d'aucun scoop cité par l'enquêteur pour
justifier mon espionnage ou celui d'autres personnes. Le
sergent-détective signale seulement à la juge que le 27 décembre, « Il y
a eu cinq appels téléphoniques » entre mon téléphone et celui de
Fabrice, qu'il décrit (faussement) comme un « journaliste à La Presse » (il a quitté le journal en 2014).
Mais c'est vrai, Fabrice et moi avons dû échanger quelques appels, le 27
décembre 2015 : ce soir-là, Fabrice organisait son souper annuel des
Fêtes, chez lui, avec des amis. Je ne le nie pas.
J'ai dû l'appeler pour lui demander l'heure des agapes.
Il a dû me rappeler pour me demander quel cadeau acheter pour mon fils.
J'imagine que je l'ai appelé, la dernière fois, pour lui demander le numéro de buzzer de son condo : j'oublie tout le temps...
Ce soir-là, on a mangé du foie gras confectionné par Fabrice lui-même.
En voici une photo exclusive, que j'ai envoyée à Vincent Larouche
(absent pour cause de souper dans sa belle-famille) pour lui montrer ce
qu'il manquait (pardonnez le T*****K, j'ignorais devoir un jour publier
ce message).
Comme je vous disais, dans « Journal d'un espionné (1) », il y a
quelques semaines : là où l'inspecteur Borduas a dessiné un yéti aux
juges, il y avait souvent quelque chose de bien moins effrayant, comme
une oie.
Ou son foie.
Qu'on a mangé, chez Fabrice, le 27 décembre 2015, jour où je l'ai appelé cinq fois.
***
Je lis les parties des affidavits me concernant et je comprends un peu mieux la game, remarquez : il faut impressionner les juges, leur faire comprendre l'urgence de signer les mandats.
Et le juge signe, presque toujours.
Dans le cas des juges de paix : ils ont signé 98,6 % des mandats
demandés par le SPVM depuis trois ans, alors on voit bien qu'ils ne sont
pas difficiles à impressionner. On se dit que c'est pas la peine de
leur présenter un yéti, une oie ferait l'affaire...
Reste que c'est quelque chose de solennel, un affidavit soumis à un
juge. Un policier ne peut pas mentir, dans un affidavit. C'est flirter
avec le parjure, affirmer quelque chose de faux, dans un affidavit.
Parjure, c'est une des accusations qui pèse sur les deux policiers arrêtés par M. Borduas dans le projet Escouade, d'ailleurs...
***
Dans la trame narrative qu'il soumet à la juge pour prouver que quand A
parle à B qui parle à C, un article sur le SPVM apparaît dans les
médias, Normand Borduas lui signale que j'ai appelé Vincent Larouche le 5
janvier 2016, un appel de 35 secondes.
Il note ceci : « les deux n'avaient pas communiqué à l'aide de ces appareils depuis le 13 décembre 2015 ».
Sauf que c'est faux.
Le lecteur attentif aura noté que j'ai envoyé un texto à Larouche le 27
décembre 2015. J'ai vérifié : nous avons aussi échangé d'autres textos
les 19 et 28 décembre.
C'est quand même formidable : le sergent-détective Borduas, qui a
demandé la permission inusitée d'obtenir toutes mes communications,
n'est même pas foutu de les présenter correctement à la juge !
Omission volontaire ou oubli ?
Je l'ignore : M. Borduas a décliné ma demande d'entrevue, hier. Le SPVM
ne veut pas commenter cette information fausse soumise à une juge par
son enquêteur.
Dans les deux cas de figure, le résultat est le même : on a présenté une
fausseté à une juge, en appui à des faits gonflés à l'hélium, pour les
faire entrer dans une théorie du complot sur les fuites médiatiques.
Au final, M. Borduas a échoué dans ce pan de son enquête : Djelidi n'a
pas été accusé d'avoir transmis de l'information aux médias. Le mal est
ailleurs : le SPVM, dans ces deux enquêtes signées M. Borduas en 2014,
2015 et 2016, a pu espionner toutes mes communications pendant plus d'un
an.
Dans une prochaine chronique, j'aborderai d'autres déductions saugrenues
de Normand Borduas à l'appui de ses fabulations sous serment touchant
les médias, dans ses enquêtes.
Dans l'intérêt de la justice, j'espère que le reste de son enquête du
projet Escouade est plus solide que les parties touchant ma personne et
mon travail.
