Un ex-employé de Telus âgé de 26 ans fait face à des accusations d’utilisation frauduleuse d’un ordinateur après avoir consulté pendant deux ans et demi les comptes de centaines de policiers québécois et de personnalités publiques, incluant le directeur du Service de police de la Ville de Montréal (SPVM) Fady Dagher, l’ancien directeur du Service de police de Laval Pierre Brochet et l’ex-mairesse de Montréal Valérie Plante.
Cette affaire, qui soulève des questions alarmantes sur la sécurité des données sensibles et les contrôles d’accès au sein des entreprises de télécommunications, révèle qu’un simple employé de succursale a pu fouiller librement dans près de 900 comptes personnels et une soixantaine de comptes d’affaires d’organismes gouvernementaux. L’ampleur de cette violation de la vie privée, qui a causé « une certaine commotion » dans les rangs des corps de police dès l’automne 2023, met en lumière les vulnérabilités criantes des systèmes de protection des renseignements personnels au Canada.
Un accès illimité aux données sensibles
Faisal Hamim, un employé qui aurait travaillé dans une succursale de Telus au Carrefour Laval, a été accusé mercredi au palais de justice de Laval d’utilisation frauduleuse d’un ordinateur et de harcèlement criminel à l’endroit d’une cliente de Telus. Selon les informations obtenues par La Presse, l’homme aurait consulté durant deux ans et demi — entre le 25 octobre 2020 et le 3 mars 2023 — une soixantaine de comptes d’affaires et près de 900 comptes personnels, dont plus de 400 appartenant à des policiers.
Parmi les cibles figurent des noms qui occupent le sommet de la hiérarchie policière québécoise : Fady Dagher, actuel directeur du SPVM et ancien directeur du Service de police de l’agglomération de Longueuil (SPAL), Pierre Brochet, ex-directeur du Service de police de Laval, ainsi que Valérie Plante, ex-mairesse de Montréal. Les comptes institutionnels de la Sûreté du Québec, de la Ville de Montréal, du Directeur des poursuites criminelles et pénales (DPCP), de ministères du gouvernement du Québec et de l’Agence du revenu du Québec auraient également été consultés de manière illégitime.
« Un employé sur le plancher, dans une boutique, ne devrait pas avoir accès comme ça, sans restriction, à toutes ces informations-là », réagit Me Pierre Trudel, professeur émérite à la faculté de droit de l’Université de Montréal. « C’est comme si tous les dossiers des clients étaient sur une tablette à la vue de toute personne qui entre dans la boutique. »
| Type de compte | Nombre consulté | Exemples de cibles | Informations potentiellement accessibles |
| Comptes d’affaires | ~60 | SPVM, SPL, SPAL, SQ, DPCP, ministères, ARQ | Informations limitées, mais menant à comptes personnels |
| Comptes personnels (policiers) | 400+ | Fady Dagher, Pierre Brochet, officiers supérieurs | Informations sensibles personnelles |
| Comptes personnels (autres) | ~500 | Valérie Plante, employés gouvernementaux | Informations sensibles personnelles |
| Total estimé | ~900 | — | — |
Tableau 1. Ampleur des consultations illégitimes de comptes Telus par l’ex-employé accusé (2020-2023).
Un système de sécurité défaillant
L’affaire soulève des questions troublantes sur les protocoles de sécurité en vigueur chez Telus. Selon nos renseignements, les informations auxquelles l’accusé aurait eu accès dans les comptes professionnels auraient été limitées, mais la consultation de ceux-ci l’aurait mené vers d’autres comptes, cette fois-ci personnels, dans lesquels il aurait eu accès à des informations beaucoup plus sensibles.
L’employé aurait effectué ses consultations directement sur les ordinateurs de la succursale du Carrefour Laval, certains comptes ayant été consultés à plusieurs reprises. Cette facilité d’accès révèle une faille majeure dans l’architecture de sécurité de l’entreprise de télécommunications.
« Leurs employés ne peuvent pas se lancer dans des parties de pêche dans les banques de données de renseignements personnels », affirme Me Pierre Trudel. « Et pour ce qui est de l’entreprise, il faudrait que son système soit configuré pour que la consultation soit conditionnelle à une raison légitime d’accéder à cette information, et qu’il soit journalisé, pour que l’on soit capable de justifier chacun des accès. »
Le spécialiste de la protection des renseignements personnels souligne que les employés d’entreprises de télécommunications comme Telus, ainsi que l’entreprise elle-même, sont assujettis aux articles contenus dans l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques du Canada — une législation fédérale qui impose des obligations strictes en matière de protection de la vie privée.
Une enquête qui a pris de l’ampleur
C’est le Service de police de Laval qui a initialement lancé l’enquête, probablement alerté par des signalements suspects ou des anomalies dans les accès aux comptes. Rapidement, l’affaire a été transférée à la Sûreté du Québec, les enquêteurs s’étant rendu compte que des comptes gouvernementaux sensibles auraient été consultés par le suspect.
Lorsque les premières informations sur ces fuites ont commencé à filtrer à l’automne 2023, elles ont causé « une certaine commotion » dans les rangs des corps de police concernés, notamment au SPVM. La perspective que des informations personnelles de centaines d’officiers — incluant des enquêteurs travaillant sur des dossiers sensibles — aient pu être compromises a soulevé des préoccupations majeures en matière de sécurité opérationnelle.
Telus a congédié son employé en mars 2023, soit près de trois mois après la fin présumée des consultations illégitimes. L’accusé, qui n’a pas d’antécédent criminel, est actuellement en liberté provisoire sous plusieurs conditions. Sa cause a été reportée au 15 avril 2026.
| Période | Événement | Corps policier/Organisme impliqué |
| 25 oct. 2020 – 3 mars 2023 | Consultations illégitimes de comptes (chef d’utilisation frauduleuse) | Telus, SPVM, SPL, SPAL, SQ, organismes gouvernementaux |
| 14 nov. 2020 – 23 août 2023 | Harcèlement criminel présumé d’une cliente | Telus, SPL (enquête initiale) |
| Mars 2023 | Congédiement de l’employé par Telus | Telus |
| Automne 2023 | Premières fuites d’information, « commotion » dans les corps policiers | SPVM, autres corps policiers |
| Date non précisée | Transfert de l’enquête du SPL à la SQ | SPL, SQ |
| 19 fév. 2026 | Accusations portées au palais de justice de Laval | Justice du Québec |
| 15 avril 2026 | Prochaine comparution prévue | Palais de justice de Laval |
Tableau 2. Chronologie de l’affaire de consultation illégite de données chez Telus (2020-2026).
Un comportement troublant sur les réseaux sociaux
Un élément troublant de l’affaire est le comportement de l’accusé sur les réseaux sociaux. Selon nos informations, Faisal Hamim relayait et commentait régulièrement des publications faites par des corps de police, dont certaines publiées par Fady Dagher et Pierre Brochet eux-mêmes — deux des hauts dirigeants policiers dont il aurait consulté les comptes personnels.
Cette interaction publique avec ses cibles présumées soulève des questions sur les motivations de l’accusé. S’agissait-il d’une fascination pour le monde policier ? D’une tentative de se rapprocher de ces personnalités ? Ou d’un comportement plus inquiétant lié à une forme d’obsession ?
Nos sources précisent que rien dans l’enquête ne démontrerait que les informations des comptes professionnels et personnels de policiers auraient été utilisées à mauvais escient. Cependant, ce ne serait pas le cas pour la victime présumée concernée par le chef de harcèlement criminel — une cliente de Telus qui aurait fait l’objet d’un ciblage spécifique. Nos sources ignorent si d’autres clientes de Telus ont pu être ciblées de manière similaire.
La réponse insuffisante de Telus
Interrogée par La Presse, Jacinthe Beaulieu, directrice des communications de Telus au Québec, a déclaré : « Nous prenons la confidentialité et la sécurité de l’information de nos clients très au sérieux, et nous n’avons aucune tolérance pour tout accès non autorisé aux données des clients. Depuis cet incident, nous avons mis en place des mesures de protection additionnelles et avons renforcé nos contrôles d’accès internes. »
La porte-parole n’a toutefois pas voulu préciser la nature des mesures de protection adoptées depuis les évènements, invoquant des raisons de sécurité. Elle a conclu en affirmant que l’entreprise « continue à coopérer pleinement avec les forces de l’ordre et dans le cadre du processus judiciaire ».
Cette réponse corporative standard laisse de nombreuses questions sans réponse. Comment un employé de succursale a-t-il pu accéder pendant plus de deux ans à des comptes aussi sensibles sans déclencher d’alerte ? Pourquoi les systèmes de journalisation et de détection d’anomalies n’ont-ils pas identifié plus tôt ces consultations massives et répétées ? Quelles notifications ont été envoyées aux victimes pour les informer de la compromission de leurs données personnelles ?
Des implications juridiques et de sécurité nationale
Au-delà des préoccupations en matière de vie privée, cette affaire soulève des enjeux de sécurité opérationnelle pour les forces de l’ordre québécoises. Les informations personnelles de centaines de policiers — numéros de téléphone, adresses, contacts d’urgence, habitudes de communication — pourraient théoriquement être exploitées par des organisations criminelles ou des individus mal intentionnés.
Me Pierre Trudel insiste sur la responsabilité légale de Telus dans cette affaire : « Les employés d’entreprises de télécommunications comme Telus, mais aussi l’entreprise elle-même, sont assujettis aux articles contenus dans l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques du Canada. »
Cette législation impose aux entreprises de :
- Limiter l’accès aux renseignements personnels aux seuls employés qui en ont besoin pour accomplir leurs tâches
- Mettre en place des mesures de sécurité appropriées pour protéger les renseignements personnels
- Établir des procédures pour détecter et prévenir les utilisations non autorisées
L’affaire pourrait donc avoir des répercussions juridiques qui vont bien au-delà des accusations criminelles portées contre Faisal Hamim. Telus pourrait faire face à des sanctions réglementaires, à des poursuites civiles de la part des victimes, et à une enquête du Commissariat à la protection de la vie privée du Canada.
Un précédent inquiétant
Cette affaire n’est pas sans rappeler d’autres incidents impliquant des employés d’entreprises de télécommunications ayant abusé de leur accès aux données clients. En 2014, un ancien employé de Telus avait été accusé d’avoir espionné les messages textes de collègues dans une succursale de Saint-Laurent, au Québec, créant « une moquerie de leur vie personnelle » devant d’autres employés.
Plus récemment, en 2023, Telus avait dû lancer une enquête après que des données d’employés et du code source auraient été volés et mis en vente sur le « dark web » — un incident distinct de celui impliquant Faisal Hamim, mais qui révèle la vulnérabilité persistante des systèmes de l’entreprise.
Aux États-Unis, des cas similaires ont touché AT&T, T-Mobile et Verizon, où des employés ou des contractants ont été accusés d’avoir accédé illégalement à des informations de célébrités, de politiciens ou de journalistes. Ces incidents révèlent une problématique systémique dans l’industrie des télécommunications : l’équilibre précaire entre la nécessité d’un accès rapide aux données clients pour le service à la clientèle, et l’impératif de protéger ces mêmes données contre les abus internes.
Que faire pour prévenir de tels incidents ?
Selon les experts en sécurité informatique, plusieurs mesures pourraient réduire considérablement le risque de tels incidents :
- Principe du moindre privilège : Les employés ne devraient avoir accès qu’aux informations strictement nécessaires à leur fonction.
- Authentification à deux facteurs : Tout accès aux données sensibles devrait requérir une authentification renforcée.
- Journalisation et audit : Chaque consultation de données devrait être enregistrée et faire l’objet d’audits réguliers automatisés et humains.
- Détection d’anomalies : Des systèmes algorithmiques devraient détecter les patterns de consultation inhabituels (volume, fréquence, horaires) et déclencher des alertes.
- Séparation des accès : Les employés de succursale ne devraient pas pouvoir accéder aux mêmes systèmes que les équipes d’assistance téléphonique ou les centres de services.
- Formation et sensibilisation : Une formation régulière sur les obligations légales et éthiques en matière de protection des renseignements personnels.
- Conséquences claires : Une politique de tolérance zéro clairement communiquée avec des conséquences criminelles et civiles.
« Il faudrait que son système soit configuré pour que la consultation soit conditionnelle à une raison légitime d’accéder à cette information, et qu’il soit journalisé, pour que l’on soit capable de justifier chacun des accès », conclut Me Pierre Trudel.
Une confiance ébranlée
Au-delà des accusations criminelles qui pèsent contre Faisal Hamim, cette affaire ébranle la confiance que les Québécois — et particulièrement les membres des forces de l’ordre — peuvent avoir envers leur fournisseur de services de télécommunications. Comment peut-on confier ses informations les plus sensibles à une entreprise dont les employés de succursale peuvent apparemment fouiller à volonté dans les comptes de centaines de clients pendant des années sans déclencher d’alerte ?
La réponse de Telus, qui se limite à affirmer avoir « mis en place des mesures de protection additionnelles » sans en préciser la nature, est loin d’être rassurante. Les victimes — qu’elles soient policiers en première ligne, hauts dirigeants de corps policiers ou simples citoyens — méritent mieux qu’une déclaration corporative standard.
Alors que le procès de Faisal Hamim se prépare, c’est toute l’industrie des télécommunications canadiennes qui devra rendre des comptes sur ses pratiques de protection des renseignements personnels. Car si un employé de 26 ans travaillant dans une succursale de centre commercial a pu espionner impunément des centaines de personnes pendant deux ans et demi, que peuvent faire des acteurs malveillants plus sophistiqués — organisations criminelles, États hostiles ou espions industriels — avec les mêmes vulnérabilités systémiques ?
Note sur ce contenu
Cet article a été rédigé par une intelligence artificielle expérimentale spécialisée, puis révisé par un membre de notre équipe. Bien que nous visions la plus grande précision, des erreurs peuvent subsister. Votre vigilance est précieuse : si quelque chose vous semble incorrect, merci de nous le signaler.
Références
[1] La Presse. (2026, 20 février). Un ex-employé de Telus aurait consulté les dossiers de centaines de policiers et personnalités. La Presse. https://www.lapresse.ca/actualites/justice-et-faits-divers/2026-02-20/utilisation-frauduleuse-d-un-ordinateur/un-ex-employe-de-telus-aurait-consulte-les-dossiers-de-centaines-de-policiers-et-personnalites.php
[2] Global News. (2023, 25 février). Telus says it’s investigating claims employee information was posted to ‘dark web’. Global News. https://globalnews.ca/news/9509601/telus-employee-data-breach-claims/
[3] Radio-Canada. (2017, 25 août). Telus a offert les noms et adresses de ses clients aux policiers sans mandat. ICI Radio-Canada. https://ici.radio-canada.ca/nouvelle/1026646/telus-informations-nominatives-clients-policiers-sans-mandat-autorisation-judiciaire
[4] Global News. (2012, 15 juin). Montreal police database hacked; personal information posted online. Global News. https://globalnews.ca/news/394649/montreal-police-database-hacked-personal-information-posted-online/
