Avec ce dernier, une lettre qui explique comment activer ce dossier et des explications, tres tres tres sommaires sur les origines de l'incident.
Premièrement je comprends que la société a voulue etre aussi transparente que possible avec la situation telle qu'elle le pouvait.
De mon côté je me suis dit, qu'il fallait attendre de voir comment la société allait changer et quoi elle allait changer pour que je puisse me faire une opinion.
Et nous voici.
Je n'ai malheureusement pas de louanges à faire et quelques reproches, justement, parce que du changement, on ne nous en a proposé aucun.
Avec toute les informations et communications, publiques et privées que j'ai vues, il n'y a eu aucune admission de faute de sa part. Même si c’était que pour se protéger de litiges légaux, le fait que l'incident a pu se produire, il serait raisonnable qu'une évaluation et peut-être un changement s'en suivrait. Et c'est mon premier reproche.
D'admettre qu'une amélioration doit s'en suivre, n'est pas autant ouvrir au litige que de dire que l'amélioration continu, c'est une chose courante dans l'organisation. Clairement ce n'a pas fait partie d'aucune communication. C'est navrant.
Seconde, l'inscription à Equifax, est un abonnement OVERT mas gratuit pendant soixante mois. Et comme Equifax nous le mentionne, l'abonnement restera ouvert et facturable à taux de xx$ par mois après le 60e. Le mécanisme pour arrêter l'abonnement est flou et semble orienté pour s'assurer une clientèle payante si elle n'est pas diligente dans ses actions.
Bref si on oublie cette affaire, il vont faire de l'argent sur notre dos. Ce ne serait pas le premier modèle d'affaire que je connaisse qui se sert de l'apathie des gens, pour l'enrichissement.
C'est un à côté, toutefois, du deuxième reproche, que je voulais faire. C'est que cet incident, et la gestion de notre dossier de crédit, reste au final, notre responsabilité. Je n'ai pas vu aucune mention que Desjardins se mettait la tête sur le bloc, si un pépin arrivait à notre dossier de crédit.
L'engagement d'assurance, de responsabilité fiscale, est, on ne peut plus floue.
En public il disent qu'il vont offrir une police d'assurance que notre risque est assuré. Mais en privé, c'est beaucoup moins clair et rassurant. On nous communique: "Voici un abonnement, surveille tes affaires". Si il y a une problématique, voici un numéro "1-800" mais on vous en dit pas plus.
Ce qui sous-entend, on la limiter notre engagement et on espère qu'un appel téléphonique est le pire qui en ressortira. Un engagement de responsabilité, clair et écrit, c'est pas pour tout de suite, sinon jamais.
Il y a eu une opportunité de manqué, de briller dans cette affaire. Et à la place on nous offre du brouillard. Dans un post, subséquent, je vous partagerai le document (anonymisé).
Finalement, ce que j'aurais aimé, c'est qu'ils allaient garder mes (nos) données comme dans un silo nucléaire. Qu'a chaque étape à franchir, pour accéder à mes (nos) données, qu'il doit y avoir deux personnes qui se regardent dans les yeux, et qui se mettent d'accord pour un accès légitime à ceux ci.
Ainsi, on ne pourra pas parler "d'un seul individu" qui agissait avec malice. Qu'il y aura une responsabilité claire, organisationnelle, sur l'accès aux données sensibles. Plutôt que la bonne foi des individus et des principes holocratiques.
Pour être complètement transparent, j'ai une vision bien pratique et opérationnelle (SecDevOps) sur la gestion des projets TI en entreprise et l'intégration des bonnes pratiques sur la sécurité.
Peut-être que cette vision me rend un peu plus critique, mais je vais laisser le soin à me co-opératifs fiscaux ou mes co membres Desjardins, d'en juger la sévérité.
No comments:
Post a Comment