La fraude d’identité et la protection des renseignements personnels dans un organisme public

Abstract

Au 21e siècle, les renseignements personnels sont devenus des outils indispensables afin de gérer efficacement les programmes sociaux. Cependant, pour les organisations, la conservation, le traitement et la communication d’une quantité sans cesse grandissante de renseignements personnels représentent des enjeux légaux, notamment en matière de protection à la vie privée, et économiques, complexes. Au cours des dernières années, de nombreux incidents impliquant la perte ou la communication non autorisée de renseignements personnels ont été rendus publics et ils ont mis à jour les difficultés qu’éprouvent les organisations à maintenir la confidentialité des informations qu’elles détiennent.

Dans cette optique, cette recherche permet d’identifier les caractéristiques du phénomène de communication non autorisée de renseignements personnels vécu par un organisme public. Supporté par une base empirique unique comprenant 1 355 cas de tentatives non autorisées d’obtention de renseignements personnels documentés et des rencontres réunissant 19 employés de l’organisation, ce projet présente et analyse les techniques utilisées lors de communication téléphonique par les présumés fraudeurs à la recherche d’informations confidentielles. Concrètement, la communication non autorisée signifie que des personnes prétendant être des clients de l’organisation, des employés, des policiers, des avocats tentent d’obtenir des renseignements précis sur des individus ayant un dossier dans l’organisation.

Loin d’être anodine, la création d’une base de données et l’élaboration de dossiers d’enquête ont permis à la Sûreté du Québec d’arrêter en 2009 une dame qui revendait les renseignements obtenus dans l’organisation à de tierces personnes (avocat, prêteur usuraire, agence de recouvrement). Ces informations préliminaires nous permettent d’avancer qu’il ne s’agit pas d’événements isolés, mais bien de tentatives récurrentes d’obtention illégale de renseignements personnels. Ayant un accès privilégié à ces informations, il nous apparait essentiel d’examiner en profondeur les caractéristiques de ce phénomène pour en comprendre les dynamiques. Par contre, notre projet ne se contente pas d’illustrer la relation binaire entre les présumés fraudeurs et le personnel de l’organisation, mais il cherche à comprendre quels sont les impacts des dynamiques organisationnelles qui caractérisent les centres d’appels sur la structure du phénomène.

À la suite de cette recherche, nous sommes en mesure de dire que les fraudeurs qui parviennent à créer un lien de confiance suffisant, notamment en adoptant une attitude sympathique avec l’agent, ont davantage de succès. Pour y arriver, les présumés fraudeurs utilisent de nombreuses identités; plus de 14 ont été recensés, et plusieurs d’entre elles visent à utiliser une figure d’autorité. Étonnamment, l’utilisation de titres tels qu’avocat ou policier crée l’effet contraire chez les agents. En effet, ces derniers sont plus attentifs et méfiants face à la demande. Enfin, nos résultats semblent indiquer que la pression vécue par les agents liée à la productivité dans les centres d’appel a un impact important sur la protection des renseignements personnels.

In the 21st century, personal information has become an essential tool in efficiently managing social programs. However, for the organizations, the conservation, the treatment and the communication of this critical and personal information constantly increases which brings considerable legal stakes, notably in terms of private life protection and economics complex. Over the past years, many incidents involving loss or non-authorized communication of personal information have been publicized. These events illustrate how much difficulty the organizations have in keeping to themselves the confidential information that is given to them.

From this point of view, this research allows to identify the characteristics of the non-authorized communication of personal information phenomenon experienced by a public organism. Indeed, supported by a unique empirical basis containing 1 355 cases of non-authorized attempts to obtain documented personal information and meetings reuniting 19 employees from the organization, this project presents and analyzes the techniques that are used during phone communications by alleged swindlers who were looking for confidential information.

In concrete terms, non-authorized communication means that people pretending to work for the organization, employees, police man, lawyers try to obtain precise information on individuals who have a folder in the organization.

Far from being insignificant, the creation of a data base and the development of an investigative folder allowed the Sûreté du Québec to arrest, in 2009, a woman who was reselling information obtained in the organization to third-parties (lawyer, loaner, and recovery agency). This preliminary information allows us to conclude that these events are not isolated, but recurrent attempts of obtaining illegally personal information. Since we have a privileged access to such information, it appears that it is essential to deeply examine the characteristics of this phenomenon to understand its dynamics. However, our project not only illustrates the binary relation between the alleged swindlers and the organization personnel, but it also tries to understand what the dynamic organizational impacts are on the phenomenon structure.

As a result of this research, we can affirm that the swindlers, who are able to create a sufficient trustworthy connection, notably by adopting a pleasant attitude with the agent, most likely will have success. To achieve that, the alleged swindlers use many identities, over 14 have been counted, and many of them aim to use authority figure. Astonishingly, the use of titles such as lawyers or police man appears to have the opposite effect on the agents while they are the ones who are more attentive and suspicious to the demand. Finally, the results seem to indicate that the pressure lived by the agents related to the productivity of the call centers has an important impact on the protection of personal information.