Sylvie de Laval reçoit un avis de Revenu Canada. Une déclaration de revenus a été soumise en son nom — 12 000$ de remboursement réclamés. Elle n’a rien soumis.
Elle pense à une erreur. Elle rappelle. Ce n’est pas une erreur.
Son NAS a été volé dans une fuite de données d’une PME locale l’an dernier. Elle ne le savait même pas. Pendant des mois, quelqu’un avait ses informations complètes : NAS, date de naissance, ancienne adresse. Assez pour se faire passer pour elle auprès du gouvernement.
Ça lui a pris 11 mois pour régler le dossier avec Revenu Canada. Et encore, elle a eu de la chance — certains cas prennent 2 ans.
Ce qui suit, c’est le protocole exact. Dans le bon ordre. Ce que Sylvie aurait voulu avoir le jour où elle a reçu cette lettre.
Les 7 signes que ton identité a été volée
Le vol d’identité ne s’annonce pas. Il se découvre — souvent trop tard. Voici les signaux d’alarme à reconnaître :
1. Des factures pour des achats que vous n’avez pas faits. Relevé de carte de crédit avec des transactions inconnues, ou pire, une facture pour une carte de crédit que vous n’avez jamais demandée.
2. Des appels de recouvrement pour des dettes inconnues. Un agent d’une agence de recouvrement vous appelle pour une dette que vous ne reconnaissez pas. Attention : les arnaqueurs font aussi semblant d’être des agences de recouvrement. Demandez toujours le nom de l’agence, recherchez-la en ligne, et rappellez-les vous-même.
3. Un refus de crédit inexpliqué. Vous demandez un prêt auto, une carte de crédit, un bail — refusé. La raison : votre dossier de crédit montre des dettes que vous n’avez jamais contractées.
4. Une déclaration de revenus déjà soumise. Comme Sylvie. Revenu Canada ou Revenu Québec vous dit qu’une déclaration a déjà été produite pour cette année. Quelqu’un a utilisé votre NAS pour réclamer un remboursement.
5. Des demandes de réinitialisation de mot de passe que vous n’avez pas faites. Un email vous dit qu’une réinitialisation a été demandée sur votre compte — banque, gouvernement, email. Quelqu’un essaie d’entrer.
6. Des adresses inconnues dans votre dossier de crédit. Quand vous consultez votre rapport Equifax ou TransUnion, vous voyez des adresses que vous n’avez jamais habitées. C’est signe que quelqu’un a ouvert des comptes en utilisant votre identité avec une autre adresse.
7. Votre NAS dans une fuite connue. Si vous étiez client Desjardins en 2019, ou si haveibeenpwned.com montre votre email dans des fuites récentes, traitez votre NAS comme compromis — préventativement.
Marc-André, gérant d’entrepôt à Longueuil, a découvert que son identité avait été volée six mois après le fait. La banque l’a appelé pour une demande de prêt hypothécaire de 340 000$ en son nom. Il n’avait jamais fait de demande.
Le plan d’action — les 48 premières heures
Chaque heure compte. Voici ce que vous faites, dans cet ordre exact.
Dans les 15 premières minutes — Vérifiez
Avant de paniquer, confirmez que c’est réel.
Vérifiez votre dossier de crédit gratuitement :
- Equifax Canada : equifax.ca → “Obtenir mon rapport de crédit gratuit”
- TransUnion Canada : transunion.ca → “Rapport de crédit gratuit”
Ces rapports sont réellement gratuits. Vous n’avez pas besoin de vous abonner à quoi que ce soit. Cherchez : des comptes que vous n’avez pas ouverts, des enquêtes de crédit (hard pulls) que vous n’avez pas autorisées, des adresses inconnues dans votre historique.
Passez aussi en revue les 90 derniers jours de transactions sur tous vos comptes bancaires et cartes de crédit.
Dans l’heure — Bloquez les dégâts
Appelez votre banque. Toutes. Desjardins, BMO, TD, RBC, Banque Nationale — peu importe lesquelles vous avez. Demandez :
- Un gel de tout nouveau crédit ouvert à votre nom
- Un examen des transactions récentes suspectes
- De nouvelles cartes si une carte est compromise
- Un mot de passe téléphonique sur votre compte (pour que personne ne puisse vous impersoner par téléphone)
Placez une alerte à la fraude chez Equifax et TransUnion.
Appelez Equifax : 1-800-465-7166 et demandez explicitement une “alerte à la fraude” sur votre dossier. Notez le numéro de dossier qu’on vous donne.
Appelez séparément TransUnion : 1-877-713-3393. Les deux agences ne se transmettent pas automatiquement l’information — vous devez contacter les deux.
Une alerte à la fraude oblige tout prêteur à vous appeler directement avant d’ouvrir un nouveau compte à votre nom. C’est votre verrou principal. C’est gratuit. Valide 6 ans au Canada.
Ce soir — Documentez tout
Créez un dossier — physique ou numérique — avec :
- La date et l’heure de chaque appel
- Le nom complet de la personne à qui vous avez parlé
- Le numéro de dossier ou de référence obtenu à chaque étape
- Copies de tout document suspect (relevés, lettres de recouvrement, avis gouvernementaux)
Ce dossier est votre preuve. Sans lui, chaque institution vous demandera de recommencer. Ne rien jeter.
Geler ton crédit chez Equifax et TransUnion — comment faire
Au Canada, vous ne pouvez pas “geler” votre crédit de la même façon qu’aux États-Unis. Mais vous pouvez faire mieux qu’une simple alerte à la fraude — voici la différence :
Alerte à la fraude (gratuite, 6 ans) : Le prêteur doit vous appeler avant d’ouvrir un compte. Mais il peut quand même procéder si vous ne rappellez pas ou si le processus est mal appliqué.
Protection contre la fraude Equifax (payante) : Equifax offre un service de surveillance continue qui vous alerte en temps réel de toute nouvelle demande de crédit. Environ 19,95$/mois. Utile si vous êtes en situation active de récupération.
Dispute/contestation (pour les comptes frauduleux existants) : Pour chaque compte ouvert frauduleusement, vous pouvez soumettre une contestation directement sur les portails d’Equifax et TransUnion. Joignez une copie de votre rapport de police — ça accélère le traitement.
En pratique :
- Allez sur equifax.ca → “Contester une information de mon dossier”
- Sur transunion.ca → “Contester mon rapport”
- Décrivez le compte frauduleux, joignez le rapport de police et la pièce d’identité
- Délai légal de réponse : 30 jours
Signaler à qui — liste complète Canada + Québec
Signalez à toutes ces instances. Chacune sert à quelque chose de différent.
Centre antifraude du Canada
1-888-495-8501 | antifraudcentre-centreantifraude.ca
Formulaire en ligne ou par téléphone. Vous recevrez un numéro de plainte. Notez-le. Il sert de référence pour les démarches suivantes et contribue aux statistiques nationales qui aident à attraper les fraudeurs.
Police locale
Allez au poste le plus proche ou appelez la ligne non-urgence. Expliquez la situation. Demandez un numéro de rapport de police. C’est le document que tout le monde va vous demander — banque, Equifax, Revenu Canada. Sans ce numéro, les démarches seront beaucoup plus longues.
Si vous êtes à Québec : Service de Police de la Ville de Québec → 418-641-SPVQ (7778) Si vous êtes à Montréal : SPVM → 514-280-2222 (non-urgence) Ailleurs : composez le numéro non-urgence de votre service local.
Revenu Canada (si déclaration frauduleuse)
En ligne via Mon Dossier sur canada.ca, ou téléphone : 1-800-959-8281. Signalez spécifiquement une “activité de compte suspecte” ou une déclaration produite sans votre autorisation.
Revenu Québec (si déclaration provinciale frauduleuse)
En ligne via Mon Dossier Revenu Québec, ou téléphone : 1-800-267-6299.
Service Canada — Pour votre NAS
Si votre NAS a été utilisé frauduleusement, contactez Service Canada : 1-800-622-6232. Ils peuvent placer un indicateur d’alerte sur votre dossier et, dans les cas graves, émettre un nouveau NAS (procédure longue mais possible).
Votre assureur
Si vous avez une assurance habitation, vérifiez si elle inclut une protection contre le vol d’identité — plusieurs polices au Québec le couvrent maintenant.
Restaurer son identité — les semaines suivantes
La phase initiale d’urgence est passée. Maintenant commence le vrai travail — plus lent, plus administratif, mais tout aussi important.
Pour chaque compte ouvert frauduleusement à votre nom :
Étape 1 : Contactez l’institution directement par écrit (pas juste par téléphone). Expliquez la fraude. Fournissez le numéro de rapport de police, une copie de votre pièce d’identité, et votre numéro de dossier Equifax/TransUnion.
Étape 2 : Demandez explicitement et par écrit la fermeture du compte frauduleux, la suppression de toute dette associée de votre dossier, et une confirmation écrite de la fermeture.
Étape 3 : Envoyez par courrier recommandé si nécessaire. Conservez la preuve d’envoi.
Étape 4 : Vérifiez 30 jours plus tard que la correction est bien apparue dans votre dossier Equifax et TransUnion. Si ce n’est pas le cas, relancez.
Lettre type à envoyer aux institutions :
“Je vous contacte pour signaler une fraude d’identité commise à mon nom. Le [date], j’ai découvert qu’un compte [type de compte] a été ouvert en mon nom sans mon autorisation. J’ai déposé un rapport de police (#[numéro]) et placé une alerte à la fraude auprès d’Equifax et TransUnion (dossier #[numéro]).
Je vous demande de fermer immédiatement ce compte frauduleux, d’annuler toute dette associée, et de transmettre une correction à Equifax et TransUnion dans les 30 jours.
Je vous fournis ci-joint : copie du rapport de police, copie de ma pièce d’identité, preuve de l’alerte à la fraude.”
Adaptez selon la situation et envoyez par recommandé.
Prévenir une récidive — les mesures durables
Une fois la crise gérée, vous ne voulez pas revivre ça. Voici ce qui protège vraiment.
Surveillance de crédit régulière. Vérifiez votre dossier Equifax et TransUnion au moins tous les 3 mois. C’est gratuit sur leurs portails. Vous cherchez des nouvelles enquêtes de crédit ou des nouveaux comptes que vous ne reconnaissez pas.
haveibeenpwned.com. Entrez votre adresse email. Le site vous dit dans quelles fuites de données connues votre email est apparu. Gratuit, sans compte. Si votre email y figure, changez les mots de passe des comptes concernés.
Activez les alertes de transactions. Toutes vos institutions financières offrent des notifications par texto ou email pour chaque transaction. Activez-les toutes. Une transaction frauduleuse détectée en 10 minutes fait infiniment moins de dommages qu’une détectée en 6 mois.
Gestion de vos mots de passe. Utilisez un gestionnaire de mots de passe (Bitwarden est gratuit et open-source). Chaque compte a un mot de passe unique et fort. Si une fuite expose un mot de passe, les autres restent intacts.
Activez le 2FA par application. Sur votre email, votre gestionnaire de mots de passe, vos comptes gouvernementaux. Pas par SMS — par application (Aegis sur Android, Raivo sur iPhone). Un arnaqueur qui a votre NAS mais pas accès à votre téléphone ne peut pas entrer.
Protégez votre NAS physiquement. Ne le portez pas dans votre portefeuille. Ne l’écrivez pas dans vos emails. Ne le donnez qu’aux entités qui en ont légalement besoin (employeur pour déductions fiscales, gouvernement, certaines institutions financières). Méfiez-vous des formulaires en ligne ou par téléphone qui le demandent.
Pour les victimes Desjardins 2019. Si vous étiez client Desjardins avant 2019, considérez votre NAS comme compromis de façon permanente. Les données de cette fuite circulent encore en 2026. Agissez en conséquence : alerte à la fraude permanente chez Equifax et TransUnion, vérification trimestrielle du crédit, NIP de sécurité ajouté chez votre opérateur mobile.
Ce que les Québécois ne réalisent pas
La fuite Desjardins de 2019 a exposé les données de 4,2 millions de membres. NAS, date de naissance, adresse, informations d’emploi. Ces données ne changent jamais. Elles circulent encore en 2026 sur des forums privés et des marketplaces du dark web.
Ce n’est pas une information rassurante, mais c’est la réalité. La fuite a eu lieu il y a 7 ans. Si vos données y étaient, elles y sont toujours. Et quelqu’un peut les utiliser aujourd’hui, demain, dans 5 ans.
La protection contre le vol d’identité n’est pas un événement — c’est une habitude. Vérification régulière, mots de passe uniques, 2FA par application, alertes actives. Ce n’est pas compliqué, et ça prend 2 heures à mettre en place.
Sylvie, aujourd’hui, vérifie son dossier de crédit chaque trimestre. Elle a un NIP de sécurité chez son opérateur mobile. Elle a le 2FA par app sur son compte Mon Dossier Service Canada. Elle n’attend plus une lettre de Revenu Canada pour réagir.
Vous avez reçu quelque chose de suspect, vous pensez que votre identité a été compromise, ou vous voulez vérifier votre exposition réelle ? Contactez-nous ou — on regarde ça avec vous.
À lire aussi :
