Si vous croyez que la cybercriminalité augmente, vous avez parfaitement raison. Selon des données obtenues par Avenues.ca auprès du Centre antifraude du Canada, celui-ci a reçu 101 000 signalements en 2020, 50% de plus qu’en 2019. De fait, le système du Centre antifraude est débordé, avec 400 signalements par jour! Les fraudeurs sont les vrais coupables, mais la faiblesse des lois en matière de protection des renseignements personnels leur facilite la vie. À quand des lois avec les dents assez longues et des ressources suffisantes pour endiguer ce fléau qui a notamment submergé le programme de la PCU et pourrait se transformer en cauchemar pour de nombreux contribuables?

Les autorités répertorient une trentaine de catégories de cybercrimes. Ceux-ci vont de l’hameçonnage au rançonnage, en passant par l’usurpation d’identité et les arnaques en tous genres. Mais c’est le vol d’identité qui remporte la palme avec plus de 16 800 signalements en 2020, soit le double de 2019 – une hausse de 100% en un an. Et ce n’est que la pointe de l’iceberg, puisqu’un maximum de 15% des vols d’identité serait rapporté à la police – ce qui est scandaleux.

La vague de cybercriminalité a pris des proportions épidémiques à cause de la COVID. Les mesures sanitaires ont encouragé les citoyens à faire le maximum d’activités et de transactions en ligne. Or, le cadre est absolument déficient. Les lois et règlements sont insuffisants. La police est débordée et ses ressources ont du mal à répondre. Et les citoyens sont souvent insouciants quant à leurs renseignements personnels, ce qui encourage les escrocs et complique la tâche des autorités. Il est impératif que les gouvernements lancent une vraie campagne de sensibilisation des citoyens, donnent des ressources aux policiers et actualisent leurs lois.

La cybercriminalité coûte cher, mais on ne dispose que de données parcellaires. On sait que les entreprises canadiennes et les services publics dépensent 4 milliards $ par an pour des mesures de cyberprotection. En moyenne, ils parviennent à bloquer les tentatives assez rapidement, après avoir subi seulement quelques centaines de dollars de pertes, mais certains citoyens se font frauder pour beaucoup plus. Sans compter les heures passées à corriger leurs dossiers, à prouver que leur identité a été usurpée et à convaincre les autorités qu’un escroc a commis un crime en leur nom. Il faut compter parfois deux semaines avant d’avoir la ligne! 

Un cadre déficient

Le Canada s’est donné une stratégie nationale de lutte contre la cybercriminalité pour 2019-2024, mais ce qui s’est passé en 2020 avec la PCU nous montre quels cordonniers mal chaussés nous gouvernent. Le Centre antifraude du Canada attribue l’augmentation de la hausse des vols d’identité en 2020 à la manière désastreuse dont le gouvernement fédéral aurait géré la PCU.

Les escrocs ont pu, avec une facilité désarmante, usurper l’identité de milliers de Canadiens, et littéralement aspirer toute la PCU qui leur était due. Combien? On ne sait pas au juste, mais il était heureux que le gouvernement ait limité le nombre de paiements. Les plus «chanceux» ont été avisés du vol par l’Agence de revenu du Canada. Des milliers de Canadiens l’apprendront en recevant un T4 pour de la PCU qu’ils n’ont jamais reçue.

L’affaire est au moins aussi grave que le vol d’identité massif commis chez Desjardins en 2019. Car elle met en cause le gouvernement fédéral, qui est censé non seulement avoir une stratégie nationale, mais qui devrait aussi protéger les renseignements personnels qu’il exige. Mais dans l’urgence de la crise sanitaire, on a monté un système de paiement sans tenir compte de la sécurité et les fraudeurs se sont engouffrés dans la brèche.

Le problème ici n’est pas de l’ordre des lois pénales. Le Code pénal prévoit déjà toute une série de punitions et de peines pour le cybercrime et les fraudes en tous genres. Le seul défaut du Code pénal est dans la définition des peines pour la cybercriminalité. Un délinquant qui vole 100$ dans un dépanneur s’expose à cinq ans de prison, alors que le cybercriminel ne risque que quelques mois de prison et de travaux communautaires.

Le problème légal fondamental, actuellement, réside dans la faiblesse des lois en matière de protection des renseignements personnels. Québec et Ottawa ont chacun les leurs, mais celles-ci ont été écrites à l’époque des fax et n’ont pas été mises à jour depuis malgré la stratégie fédérale de 2019. Le gouvernement du Québec, pour sa part, travaille actuellement à moderniser sa loi, mais on ne voit pas autant d’enthousiasme du côté d’Ottawa.

Le Canada est très en retard sur l’Union européenne en la matière. Quand votre fureteur tombe sur le site web d’une entreprise européenne, celle-ci a l’obligation d’obtenir un véritable consentement des consommateurs, qui inclut l’option de refuser certaines utilisations des renseignements personnels. Bien des entreprises canadiennes et américaines adoptent les procédés européens, mais la mesure demeure cosmétique tant que les entreprises canadiennes ne seront pas soumises aux tribunaux canadiens sur ces questions.

Au Canada, comme aux États-Unis, la loi permet aux entreprises d’exiger des contrats de service parapluie, qui incluent la gestion des renseignements personnels. Dans les faits, ces ententes ont une très, très large portée. Par exemple, dans le cas des populaires agences de généalogie génétique, les consommateurs consentent même à l’usage libre de leur ADN! Et la loi n’oblige pas les entreprises à rendre aucun compte ni à prendre des mesures pour que les tierces parties fassent de même quand elles achètent vos renseignements personnels.

Il ne s’agit pas ici à proprement parler de cybercrime. C’est légal. Mais la nonchalance des législateurs canadiens et américains crée une immense zone grise où des milliers sinon des millions d’entreprises fonctionnent dans un flou complet. L’effet psychologique de ce laisser-aller réglementaire est énorme. Il a complètement désensibilisé des populations entières à la protection de leurs données personnelles. Des millions d’entreprises ne voient même pas le problème. Et quand des escrocs tombent dans ce pactole, ils mettent la main sur des quantités fabuleuses d’informations, souvent mal protégées, et que les entreprises n’auraient jamais dû pouvoir accumuler au premier chef.

Et la police?

Mais que fait la police pour appliquer les lois existantes en matière de cybercriminalité? Elle fait son possible, car les ressources sont insuffisantes. Le Service de police de la Ville de Montréal et la Sûreté du Québec n’aiment pas donner de détails. Pour la Gendarmerie royale du Canada: son nouveau Groupe national de coordination de la cybercriminalité (GNC3) compte 60 employés, coordonne le travail de 90 organismes, principalement d’autres corps de police. Mais les ressources des corps de police n’augmentent pas de manière proportionnelle à la hausse à laquelle on assiste.

Les quelques spécialistes en cybersécurité affirment tous que les ressources policières peinent à suivre. Au centre antifraude du Canada, qui fait partie du GNC3, on admet que tout le système de signalement est à revoir, car on ne répond pas à la demande.

Se prendre en main

Outre les carences des lois et des ressources policières, il ne fait aucun doute que la désinvolture des citoyens constitue une déficience majeure. Mais attention: Benoît Dupont, titulaire de la Chaire de recherche du Canada en cybercriminalité à l’Université de Montréal, répète sur toutes les tribunes que ce serait une erreur de remettre toute la responsabilité de la solution sur les épaules des citoyens. Il appartient au gouvernement de lancer des campagnes de sensibilisation pour informer et outiller les citoyens devant une criminalité de nature complexe et pour mieux financer les services de police, afin qu’ils puissent appliquer les lois existantes, même si ces lois doivent être améliorées.

Personne n’éteint ses appareils électroniques la nuit; le wifi reste allumé; tout le monde consent à donner ses renseignements personnels à tout venant et beaucoup de victimes de cyberfraude ne portent pas plainte

Comme citoyens, nous devons apprendre à suivre les mesures de prévention recommandées. Chacun devrait également être parcimonieux avec ses informations personnelles. Les interactions sur les réseaux sociaux sont une mine de renseignement pour les fraudeurs, en particulier pour les dates de naissance, les noms des enfants, l’année de naissance des parents, leurs prénoms – qui permettent au premier escroc venu d’usurper votre identité.

Et les gouvernements doivent publiciser ce que les citoyens doivent faire s’ils sont victimes. L’État doit s’assurer de mettre en place des canaux clairement identifiés pour leur permettre de se plaindre formellement aux entreprises qui profitent de leur position dominante pour exiger des consentements et des informations inutiles, voire qu’elles n’ont pas le droit de demander.

Et les citoyens auraient raison d’inonder d’appels leurs élus pour leur demander d’agir sans délai. Car l’action citoyenne ne donnera rien sans une action cohérente et proportionnée des gouvernements pour contenir le fléau de la cybercriminalité… et pour que le cybercrime cesse de payer!