Après les arrestations de la police de Laval mercredi, la Sûreté du Québec (SQ) a passé les menottes au suspect numéro un dans l’affaire du vol de données chez Desjardins, Sébastien Boulanger-Dorval. Des accusations visent aussi sept autres personnes dans le cadre du projet Portier sur la fuite de données ayant potentiellement touché 9,7 millions de clients. Deux d’entre elles sont considérées comme « en cavale ».

Sébastien Boulanger-Dorval, 42 ans, est accusé notamment d’avoir « frauduleusement obtenu des services d’ordinateur », d’avoir eu en sa possession des « renseignements sur une autre personne » dans l’intention de commettre un crime, d’avoir retransmis ces données, ainsi que de fraude, entre octobre 2016 et mai 2019.

La SQ a aussi mis la main au collet de Jean-Loup Leullier-Masse, 32 ans, François Baillargeon-Bouchard, 35 ans, Charles Bernier, 31 ans, et Laurence Bernier, 29 ans. Ils doivent comparaître pour répondre des mêmes chefs d’accusation que Boulanger-Dorval, sauf le premier.

Trois suspects recherchés, dont deux « en cavale à l’étranger »

Mathieu Joncas, 38 ans, n’a pas encore été localisé et est recherché par la police.

PHOTO FOURNIE PAR LA SÛRETÉ DU QUÉBEC

Le courtier hypothécaire et prêteur privé Mathieu Joncas, recherché

La SQ a aussi lancé des mandats d’arrêt à l’encontre de Juan Pablo Serrano, 38 ans, et de Maxime Paquette, 38 ans. « En cavale à l’étranger, ces derniers font désormais partie des criminels les plus recherchés au Québec », a déclaré la SQ.

PHOTO TIRÉE DE FACEBOOK

Le fraudeur récidiviste Juan Pablo Serrano, « en cavale »

Ils savaient qu’un jour on les chercherait. Ces gens-là n’ont pas l’intention de revenir au Québec.

Benoît Richard, porte-parole de la SQ

Selon les mandats d’arrêt contre eux, Paquette habite à Playa del Carmen, au Mexique, tandis que le lieu de résidence de Serrano est « inconnu ». Les deux hommes sont accusés de fraude de plus de 5000 $ et d’avoir eu en leur possession des renseignements confidentiels sur autrui dans le but de commettre un crime, de 2017 à 2020.

PHOTO FOURNIE PAR LA SÛRETÉ DU QUÉBEC

Maxime Paquette, « en cavale »

Dans un deuxième mandat, Paquette est aussi accusé d’avoir eu en sa possession de tels renseignements plus tard, en juin 2021.

Le projet Portier a nécessité « plus de 25 perquisitions », « plus de 160 rencontres de témoins » et la saisie de « 120 items informatiques ».

« Vous savez, 9,7 millions de personnes potentiellement fraudées, c’est une enquête de très grande envergure, de très grande complexité pour la SQ », a souligné le porte-parole Benoît Richard, en conférence de presse.

La police a notamment dû traverser un laborieux protocole pour avoir accès à la preuve recueillie dans les locaux mêmes de Desjardins en février 2021, sans compromettre la confidentialité des données des clients ni violer le privilège avocat-client, par exemple.

La SQ a tenu à rappeler que les renseignements dérobés circulent toujours.

Dès que la liste [de données] est disponible et vendue à des tiers, ça devient extrêmement complexe de savoir qui en a pris possession, qui l’a. Au moment où on se parle, il est peu probable que cette liste-là soit un jour sécurisée.

Benoît Richard, porte-parole de la SQ

La police appelle donc la population à « rester vigilante ».

PHOTO EDOUARD PLANTE-FRÉCHETTE, LA PRESSE

Benoît Richard, porte-parole de la SQ, en conférence de presse

Trafic de renseignements

Selon ce que les documents policiers déposés en cour nous ont permis d’apprendre jusqu’à maintenant, Sébastien Boulanger-Dorval a reconnu avoir subtilisé des données sur des clients de Desjardins pendant des mois, lors de l’enquête interne du Mouvement en 2019. Il aurait ensuite vendu les informations volées sur des millions de personnes à Jean-Loup Leullier-Masse, un prêteur privé de Montmagny alors associé en affaires avec Charles Bernier.

PHOTO FOURNIE PAR LA SÛRETÉ DU QUÉBEC

Charles Bernier

Leullier-Masse aurait ensuite revendu une partie des informations à Mathieu Joncas, un courtier hypothécaire déjà condamné en 2022 par le chien de garde de la profession à des amendes totalisant 36 000 $ et 420 jours de suspension. L’homme d’affaires, qui est aussi prêteur privé, a admis avoir acquis des renseignements sur « 150 000 à 200 000 » clients de Desjardins devant le comité de discipline de l’Organisme d’autoréglementation du courtage immobilier du Québec (OACIQ).

PHOTO ARCHIVES LA PRESSE

Le courtier en assurances François Baillargeon-Bouchard

Son associé, le courtier en assurances François Baillargeon-Bouchard, a écopé d’amendes totales de 40 000 $ pour le rachat de données sur 40 000 clients et entrave à une enquête de l’Autorité des marchés financiers.

Quant à Juan Pablo Serrano, fraudeur récidiviste, la SQ le soupçonne d’avoir réalisé des fraudes à l’aide de renseignements volés à Desjardins, avec la complicité de Maxime Paquette, son colocataire à l’époque, selon des documents policiers déposés en cour pour obtenir des mandats de perquisition ces dernières années.

En septembre 2019, la police a saisi chez eux un ordinateur contenant pas moins de 3,85 millions de lignes de données sur des clients de Desjardins.

En point de presse, la SQ a précisé que le vol de données avait permis des fraudes de « plusieurs millions ».

Arrestations lavalloises

Mercredi, le Service de police police de Laval a d’ailleurs annoncé l’arrestation de trois personnes en lien avec des fraudes totalisant 8,9 millions, réalisées par AccèsD grâce à des informations issues du vol de données, dans le cadre de son projet Glaive. Il est à l’origine de l’enquête principale Portier de la SQ, qui s’occupe du vol de données en lui-même. Une quatrième personne était toujours recherchée au moment de la conférence de presse sur cette opération.

Ce sont les premiers développements majeurs après l’annonce d’un vol massif de données chez Desjardins, le 20 juin 2019.

Le Mouvement avait d’abord annoncé s’être fait dérober des données sur 2,9 millions de clients. Il a ensuite revu ce chiffre à la hausse plusieurs fois. En décembre 2020, les commissions de protection des renseignements personnels ont conclu que le vol avait potentiellement touché 9,7 millions d’individus et d’entreprises.

Desjardins salue le travail des policiers, a dit le porte-parole Jean-Benoît Turcotti. « Nous tenons à assurer aux autorités qu’elles bénéficient de notre entière collaboration dans la suite des procédures. »

Le vol de données chez Desjardins, en dates

  • Novembre 2016 – Le suspect principal dans l’enquête Portier de la Sûreté du Québec (SQ), l’employé de Desjardins Sébastien Boulanger-Dorval, commence à « s’approprier de manière illégitime » des données sur des clients, selon des documents policiers déposés en cour.
  • Automne 2018 – Desjardins est mis au fait de retraits frauduleux et porte plainte à la police de Laval.
  • Mai 2019 – Desjardins procède à de premières fouilles au bureau de Sébastien Boulanger-Dorval et le rencontre.
  • 6 juin 2019 – La police de Laval fait des perquisitions à Montmagny, en Chaudière-Appalaches, dans les bureaux et à la résidence du prêteur privé Jean-Loup Leullier-Masse, aujourd’hui soupçonné d’avoir récupéré des données volées.
  • 20 juin 2019 – Desjardins annonce avoir subi un vol de données, précisant à ce moment-là qu’il touchait 2,9 millions de clients, un chiffre qui grimpera à plusieurs reprises. La SQ prend l’enquête en main.
  • Décembre 2020 – Dans un rapport commun accablant pour Desjardins, la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada estiment à 9,7 millions le nombre de personnes et d’entreprises potentiellement touchées.
  • Février 2021 – La SQ mène une perquisition de quatre jours dans les bureaux de Desjardins pour récupérer la preuve que le Mouvement a recueillie auprès de son employé Sébastien Boulanger-Dorval.
  • Juin 2022 – La Cour supérieure du Québec entérine une entente de 200 millions entre Desjardins et les victimes du vol de données.