/ Sécurité numérique / Vol d’identité au Québec : le plan d’action en 24h pour stopper l’hémorragie financière
Publié le 16 mai 2024

En résumé :

  • Agissez immédiatement : la première heure est cruciale pour contenir la fraude.
  • Placez une alerte à la fraude chez Equifax ET TransUnion; ils ne communiquent pas entre eux.
  • Utilisez le verrouillage (gel) de crédit, un outil gratuit et puissant exclusif au Québec.
  • Documentez tout : créez un « journal de crise » avec dates, noms et numéros de dossier.
  • Ne payez jamais un fraudeur qui vous fait chanter. Coupez le contact et signalez-le à la police.

Le sentiment de glace dans les veines. La notification de connexion suspecte, l’appel étrange de votre institution financière, ou pire, la lettre de recouvrement pour un prêt que vous n’avez jamais contracté. Le vol d’identité est une violation profonde qui ne se contente pas de voler votre argent ; il vole votre nom, votre réputation et votre tranquillité d’esprit. Dans la panique des premières heures, la plupart des victimes commettent l’erreur de s’éparpiller, appelant partout sans stratégie. On pense à changer ses mots de passe, à prévenir sa banque, mais on oublie souvent les mécanismes de protection plus profonds et spécifiques au contexte québécois.

La réalité, c’est que les 24 premières heures ne sont pas une simple checklist de tâches administratives, mais une véritable course contre la montre stratégique. Chaque action doit être vue comme l’érection d’une barrière pour contenir et bloquer le fraudeur. La clé n’est pas seulement de réagir, mais de réagir dans le bon ordre et avec les bons outils, en exploitant les protections uniques offertes par la législation québécoise. Il faut passer d’une posture de victime passive à celle d’un gestionnaire de crise méthodique.

Cet article n’est pas une simple liste de conseils. C’est un plan de bataille, un protocole d’urgence structuré pour le contexte québécois. Nous allons vous guider, heure par heure, pour reprendre le contrôle, minimiser les dégâts et poser les fondations de votre reconstruction financière et numérique. Il ne s’agit pas de savoir *quoi* faire, mais *pourquoi* et *comment* le faire efficacement au Québec.

Pour vous aider à naviguer cette situation complexe, nous avons structuré ce guide en actions prioritaires. Le sommaire ci-dessous vous permettra d’accéder directement aux étapes cruciales pour sécuriser votre identité et vos finances.

Sommaire : Vol d’identité au Québec, les étapes pour reprendre le contrôle

Equifax ou TransUnion : pourquoi devez-vous absolument vérifier les deux réguliers ?

C’est la toute première action à poser, et elle est non négociable. Beaucoup pensent qu’alerter une seule agence de crédit suffit. C’est une erreur critique. Equifax et TransUnion sont deux entités commerciales distinctes qui ne partagent pas leurs informations en temps réel. Un fraudeur peut très bien échouer à ouvrir un compte chez un prêteur utilisant Equifax, puis réussir une heure plus tard chez un autre qui utilise TransUnion. Contacter les deux, c’est comme verrouiller la porte d’entrée et la porte arrière de votre maison ; en oublier une rend l’autre inutile.

L’alerte à la fraude est une mention ajoutée à votre dossier qui oblige les prêteurs à prendre des mesures supplémentaires pour vérifier votre identité avant d’accorder du crédit. Au Québec, cette alerte est valide pour une durée de 6 ans, un avantage significatif. L’appel ne prend que quelques minutes et constitue votre première ligne de défense pour empêcher l’ouverture de nouveaux comptes frauduleux. Considérez ces appels comme la fermeture des autoroutes financières pour le voleur.

Plan d’action : Placer une alerte à la fraude sur vos dossiers de crédit

  1. Appelez Equifax Canada au 1-800-465-7166 et demandez explicitement l’activation d’une « alerte à la fraude » valide pour 6 ans.
  2. Contactez immédiatement après TransUnion Canada au 1-877-525-3823 pour activer leur « alerte de fraude potentielle ».
  3. Notez précieusement les numéros de confirmation fournis par chaque agence dans un journal de crise dédié à cet incident.
  4. Programmez un rappel dans votre agenda pour vérifier gratuitement vos deux dossiers de crédit tous les 3 mois afin de détecter toute anomalie.
  5. Si vous êtes client Desjardins, activez la surveillance de crédit Equifax offerte et configurez les alertes par courriel pour être notifié de tout changement.

En posant ce double verrou, vous gagnez un temps précieux et forcez les fraudeurs à abandonner les tentatives les plus faciles. C’est l’action qui a le plus grand impact dans la toute première heure suivant la découverte du vol.

Pourquoi ne jamais donner votre NAS à un propriétaire de logement (et quoi donner à la place) ?

Comprendre comment vos données ont pu fuiter est essentiel pour évaluer l’étendue du risque. Une situation fréquente et spécifiquement problématique au Québec est la demande du Numéro d’Assurance Sociale (NAS) par un propriétaire potentiel lors d’une enquête de crédit pour la location d’un logement. Il faut être catégorique : cette pratique est non seulement dangereuse, mais aussi illégitime. Votre NAS est la clé maîtresse de votre identité ; le fournir à une personne qui n’est pas légalement tenue de respecter des normes de sécurité strictes, c’est laisser la porte de votre coffre-fort ouverte.

La Commission d’accès à l’information du Québec est très claire à ce sujet. Comme elle le stipule, un propriétaire n’a pas le droit d’exiger cette information.

Un propriétaire ne peut exiger le NAS pour une enquête de crédit. La loi québécoise sur la protection des renseignements personnels ne m’autorise pas à vous fournir mon NAS pour une location.

– Commission d’accès à l’information du Québec, Guide sur la protection des renseignements personnels

Fournir cette information expose à des risques disproportionnés. Plutôt que de refuser sèchement, il existe une approche bien plus stratégique qui protège vos données tout en renforçant votre candidature de locataire.

Mains tenant des documents de location avec cartes d'identité floutées sur table de négociation

Alternative légale : fournir un rapport de crédit auto-généré

Une pratique efficace et de plus en plus courante sur le marché locatif de Montréal et de Québec consiste à prendre les devants. Au lieu de divulguer votre NAS, vous pouvez commander vous-même votre propre dossier de crédit auprès d’Equifax ou TransUnion (pour un coût d’environ 20 $) et le remettre en main propre au propriétaire. Accompagnez ce document d’une lettre de votre employeur confirmant votre poste et votre salaire, de références d’anciens propriétaires et, si nécessaire, d’un relevé bancaire récent où les détails des transactions sont masqués. Cette approche proactive démontre non seulement votre solvabilité, mais vous positionne aussi comme un locataire averti, responsable et respectueux de la protection des données, un atout majeur pour tout propriétaire sérieux.

Comment savoir si quelqu’un utilise vos photos pour créer un faux profil Facebook ?

Le vol d’identité ne se limite pas aux finances. L’usurpation de votre image sur les réseaux sociaux pour créer un faux profil est une forme de violation qui peut nuire à votre réputation personnelle et professionnelle. Le but du fraudeur peut être de contacter vos proches pour leur soutirer de l’argent, de diffuser de fausses informations en votre nom ou de vous harceler. Face à un faux profil, votre objectif est double : le faire supprimer rapidement et constituer un dossier de preuves solide pour une éventuelle action en justice. Les captures d’écran sont vos meilleures alliées.

La fréquence de ce type de fraude est en hausse. Au Canada, on a recensé près de 20 000 signalements de fraude d’identité en 2022, et l’usurpation en ligne en constitue une part croissante. Agir vite permet de limiter la propagation du faux compte et de rassurer votre entourage. Il ne s’agit pas d’une simple nuisance, mais d’un acte qui peut, dans certains cas, être qualifié de harcèlement criminel.

Protocole de documentation légale d’usurpation d’identité en ligne

  1. Commencez par une recherche inversée de vos photos de profil sur des outils comme TinEye ou PimEyes pour détecter leur utilisation non autorisée.
  2. Si un faux profil est trouvé, faites immédiatement des captures d’écran complètes de la page, en vous assurant que l’URL dans la barre d’adresse et l’heure sur votre ordinateur sont visibles.
  3. Documentez tout : capturez la liste d’amis du faux profil, ses publications et tout message qu’il aurait envoyé. Chaque élément est une preuve.
  4. Utilisez l’outil de Facebook pour signaler le profil pour « Usurpation d’identité » en suivant les étapes indiquées dans leur centre d’aide.
  5. Avec votre dossier de preuves, déposez une plainte pour harcèlement criminel auprès de votre service de police local (SPVM, Sûreté du Québec, etc.).
  6. Publiez un message sur votre vrai profil pour avertir vos amis et votre famille, en incluant une capture d’écran du faux compte pour qu’ils puissent le bloquer et le signaler.

Verrouillage de crédit : est-ce une bonne idée si vous ne prévoyez pas emprunter bientôt ?

Si l’alerte à la fraude est un cadenas, le verrouillage de crédit (ou « gel de crédit ») est un mur de briques. Cette mesure de sécurité, plus radicale, empêche quiconque, y compris vous-même, d’ouvrir un nouveau compte de crédit. La grande nouvelle est que, depuis février 2023, le Québec est la seule province canadienne où le verrouillage et le déverrouillage de votre dossier de crédit sont entièrement gratuits. C’est un avantage majeur pour les Québécois, transformant cet outil en une protection accessible à tous.

Alors, faut-il l’activer ? La réponse dépend de votre situation. Si vous n’avez aucune intention de demander un nouveau prêt, une carte de crédit ou une hypothèque dans les mois à venir, la réponse est un oui retentissant. C’est la protection la plus forte disponible. Le gel de crédit ajoute une barrière technique que les fraudeurs ne peuvent simplement pas contourner. Comme le résume un expert, l’objectif est d’augmenter la difficulté pour que le criminel abandonne. Cependant, si vous êtes en plein processus d’achat immobilier, le déverrouillage constant pourrait devenir un irritant. L’arbre de décision ci-dessous vous aidera à faire le bon choix.

Le tableau suivant vous offre un guide de décision rapide pour déterminer si le verrouillage de crédit est la bonne stratégie pour votre situation personnelle.

Arbre de décision : Verrouiller ou non votre crédit
Votre situation Recommandation Action à prendre
Perte de portefeuille avec permis et carte RAMQ Verrouillez immédiatement Activez le gel sur Equifax ET TransUnion
En processus d’achat de maison Ne verrouillez pas Privilégiez l’alerte à la fraude (6 ans gratuit)
NAS potentiellement compromis Verrouillez Gel + surveillance payante recommandée
Retraité sans besoin de crédit Verrouillez Protection maximale sans inconvénient
Travailleur autonome changeant souvent de fournisseurs Alerte seulement Le déverrouillage fréquent serait contraignant

L’erreur de payer le fraudeur qui menace de publier vos données volées

C’est l’un des scénarios les plus angoissants : un fraudeur vous contacte, affirmant détenir des informations sensibles sur vous (photos, messages, données personnelles), et menace de les publier si vous ne payez pas une rançon. La première réaction, poussée par la peur et la honte, est souvent de vouloir payer pour que le problème disparaisse. C’est la pire erreur que vous puissiez faire. Payer un criminel ne garantit absolument rien. Au contraire, cela confirme deux choses à ses yeux : vous êtes une cible réceptive et vous avez les moyens de payer. Vous ne faites que vous inscrire sur une liste de victimes « rentables » qui seront très probablement ciblées à nouveau.

La seule stratégie gagnante est de couper toute communication et de reprendre le contrôle de la situation. Vous devez passer d’une position de défense à une contre-attaque méthodique. Chaque interaction avec le fraudeur lui donne plus de pouvoir. En refusant de jouer son jeu, vous le privez de son arme principale : votre peur. L’ampleur de la fraude au Canada est stupéfiante, avec des pertes qui se chiffrent en centaines de millions. En 2024, selon le Centre antifraude du Canada, l’usurpation d’identité est la fraude la plus signalée, contribuant à des pertes records. Ne devenez pas une statistique en finançant les criminels.

Plan de contre-attaque face à l’extorsion par données

  1. Coupez immédiatement toute communication. Bloquez le numéro, l’adresse courriel, le profil. Ne répondez plus. C’est la règle d’or.
  2. Documentez la menace. Faites des captures d’écran de tous les messages de chantage, en vous assurant que les dates et heures sont visibles.
  3. Signalez l’incident à votre service de police local pour extorsion et obtenez un numéro de dossier. Ce document est crucial.
  4. Rapportez la tentative au Centre antifraude du Canada (1-888-495-8501). Même si vous n’avez pas perdu d’argent, votre signalement aide à dresser un portrait national de la criminalité.
  5. Prévenez votre cercle social proche (famille, amis intimes) de la situation. Expliquer la menace en amont neutralise son pouvoir si le fraudeur la met à exécution.
  6. Sécurisez tous vos comptes importants avec de nouveaux mots de passe uniques et activez l’authentification à deux facteurs partout où c’est possible.

Pourquoi ignorer ces 3 notifications de connexion est dangereux pour votre sécurité physique ?

Dans le chaos d’un vol d’identité, on a tendance à se concentrer sur les alertes des banques et des comptes de messagerie. Cependant, il y a trois types de notifications de connexion suspecte qu’il est extrêmement dangereux d’ignorer, car elles font le pont entre le risque numérique et une menace physique bien réelle. Il s’agit des alertes provenant de vos comptes d’applications de transport (comme Uber ou Eva), de livraison de nourriture (comme Uber Eats ou Doordash) et de services publics (comme Hydro-Québec ou Hilo).

Pourquoi sont-elles si critiques ? Parce que ces comptes contiennent une information que vos comptes bancaires n’ont pas : votre adresse domiciliaire et vos habitudes de vie. Un fraudeur qui accède à votre compte Uber voit instantanément l’historique de vos déplacements, incluant votre domicile, votre lieu de travail et les endroits que vous fréquentez. Un accès à votre compte Hydro-Québec ou à une application de domotique comme Hilo peut révéler vos heures de présence et d’absence, une information en or pour un cambrioleur. Le vol d’identité n’est plus seulement une question de fraude financière ; il peut devenir un outil de repérage pour des crimes physiques.

Main tenant un smartphone avec notifications floues dans environnement urbain québécois au crépuscule

Traiter ces alertes avec la plus haute priorité est donc impératif. La procédure est simple et doit être exécutée sans délai.

  1. Changez immédiatement le mot de passe du compte concerné.
  2. Activez l’authentification à deux facteurs (MFA) si ce n’est pas déjà fait.
  3. Dans les paramètres de sécurité, utilisez la fonction « Déconnecter de tous les appareils » pour expulser l’intrus.
  4. Vérifiez l’historique d’activité du compte pour toute action non autorisée (course commandée, changement d’adresse, etc.).
  5. Si vous suspectez que votre adresse a été compromise, contactez le poste de police de votre quartier pour signaler une potentielle menace et les informer de la situation.
  6. Documentez tout avec des captures d’écran (l’alerte, l’heure, l’activité suspecte) pour un éventuel rapport de police.

YubiKey ou Google Titan : est-ce nécessaire pour un particulier non célèbre ?

Après avoir contenu l’attaque initiale, l’étape suivante est de renforcer vos défenses pour l’avenir. Vous avez probablement activé l’authentification à deux facteurs (MFA ou 2FA) par SMS ou via une application comme Google Authenticator. C’est bien, mais ce n’est pas infaillible. Le « SIM swapping », une technique où un fraudeur convainc votre opérateur de transférer votre numéro de téléphone sur une nouvelle carte SIM, peut lui donner accès à vos codes SMS. Les applications d’authentification sont plus sûres, mais restent vulnérables si votre téléphone est volé et déverrouillé.

C’est là qu’interviennent les clés de sécurité physiques comme la YubiKey ou la Google Titan. Ces dispositifs, qui ressemblent à de petites clés USB, représentent le plus haut niveau de sécurité accessible au grand public. Pour vous connecter, vous devez non seulement entrer votre mot de passe, mais aussi insérer physiquement la clé dans votre appareil et la toucher. Il est quasiment impossible pour un fraudeur à distance de contourner cette protection. Mais est-ce nécessaire pour tout le monde ? Pas forcément. Cependant, pour certains profils à risque au Québec, l’investissement d’environ 70 $ est une assurance très peu coûteuse. Cela inclut : les investisseurs en cryptomonnaie, les travailleurs autonomes gérant des données sensibles, et surtout, les victimes précédentes de vol d’identité.

Le tableau suivant schématise la hiérarchie des méthodes de double authentification pour vous aider à choisir le niveau de protection adapté à chaque type de compte.

Pyramide de la double authentification (MFA) pour les Québécois
Niveau de sécurité Méthode Vulnérabilité Coût Recommandé pour
❌ Faible SMS SIM swapping facile Gratuit Comptes peu sensibles
✓ Bon Google Authenticator/Authy Vol de téléphone Gratuit Majorité des comptes
✓✓ Excellent YubiKey/Google Titan Quasi-impossible à contourner 70-100 $ Crypto, bancaire, courriel principal

À retenir

  • Votre plan d’action immédiat doit inclure l’alerte aux deux agences de crédit (Equifax et TransUnion) et le signalement aux autorités.
  • Le gel de crédit est un outil de protection majeur, gratuit et exclusif au Québec, à utiliser si vous ne prévoyez pas emprunter à court terme.
  • Documentez absolument tout : les communications, les alertes, les numéros de dossier. Ce journal de crise est votre meilleur atout juridique.

Pourquoi le propriétaire est-il responsable par défaut s’il ne nomme personne ?

Dans le contexte du vol d’identité, il est crucial de comprendre que vos données ne sont pas seulement chez les géants du web, mais aussi chez le petit commerçant, le garage local ou votre comptable. Avec l’entrée en vigueur de la Loi 25 au Québec, la protection de vos renseignements personnels est devenue une responsabilité légale pour toutes les entreprises, peu importe leur taille. Une disposition clé de cette loi est particulièrement importante : la désignation d’un Responsable de la protection des renseignements personnels.

Ce que beaucoup ignorent, c’est que si une entreprise ne nomme personne officiellement pour ce rôle, la responsabilité retombe par défaut sur la personne ayant la plus haute autorité. Dans une PME, il s’agit souvent du propriétaire ou du PDG. Cette personne devient alors personnellement responsable en cas d’incident de confidentialité.

La personne ayant la plus haute autorité au sein d’une entreprise doit veiller à assurer le respect et la mise en œuvre de la Loi 25. Si elle ne délègue pas cette fonction par écrit, elle demeure personnellement responsable de la protection des renseignements personnels.

– Commission d’accès à l’information du Québec, Guide d’application de la Loi 25

Cette règle a des implications majeures. Elle signifie que vous avez le droit de savoir qui est responsable de vos données dans chaque entreprise avec qui vous faites affaire. En cas de fuite, c’est cette personne que vous ou les autorités contacterez. Les sanctions en cas de non-conformité sont dissuasives, pouvant atteindre un montant maximal de 25 millions de dollars ou 4% du chiffre d’affaires mondial. Avant de partager vos informations avec une nouvelle entreprise, surtout une plus petite, prenez l’habitude de vérifier la présence d’une politique de confidentialité claire et les coordonnées de ce responsable sur leur site web. C’est un excellent indicateur du sérieux de l’entreprise en matière de cybersécurité.

Avoir traversé l’épreuve d’un vol d’identité est une expérience traumatisante, mais elle peut aussi être le catalyseur d’une nouvelle approche, plus forte et plus consciente, de votre sécurité numérique. La clé du succès ne réside pas dans une seule action, mais dans l’application méthodique et stratégique d’un plan d’action. En suivant ces étapes, vous ne faites pas que réparer les dégâts ; vous construisez une forteresse numérique pour l’avenir.

Rédigé par Marc-André Cloutier, Expert en cybersécurité et conformité numérique, certifié CISSP et CISA, avec 12 ans d'expérience auprès des PME québécoises. Il est spécialisé dans l'audit de réseaux, la protection des données selon la Loi 25 et la sécurisation des objets connectés (IoT).
Loi 25 au Québec : pourquoi votre PME risque 10 millions $ d’amende sans ce document ?
Dernières publications
Caméras dans les lieux publics : sommes-nous trop surveillés ou pas assez protégés au Québec ?
Trousse 72 heures : qu’est-ce qui vous a manqué le plus lors de la crise du verglas (et qu’il faut avoir maintenant) ?
Parents-Secours et surveillance de quartier : ces programmes existent-ils encore et sont-ils efficaces ?
911, 811 ou 311 : quel numéro composer pour une urgence non vitale au Québec ?
Le Québec est-il sécuritaire : comparaison des taux de criminalité avec les autres provinces canadiennes ?
Articles similaires
Authentification à deux facteurs (2FA) : pourquoi le SMS est-il moins sécuritaire qu’une application ?
Pare-feu matériel ou logiciel : lequel est indispensable pour une entreprise de moins de 10 employés ?
Pourquoi vos employés sont-ils la plus grande faille de sécurité de votre entreprise ?
Rançongiciel : devez-vous payer les pirates si toutes vos données sont chiffrées ?