Décision no 22693-776Q307

De : Agence de la consommation en matière financière du Canada

Dossier : 22693-776Q307

Décision du commissaire

Question de conformité

Code de conduite — Code de conduite canadien des services de cartes de débit (2002) — Défaut de conformité à un code de conduite volontaire relativement à des opérations par carte de débit non autorisées

Loi sur l'Agence de la consommation en matière financière du Canada, alinéa 3(2)(c)^{Footnote 1}

Code de pratique canadien des services de cartes de débit (2002), alinéa 5(3)(c)

Un consommateur s'est plaint à l'Agence de la consommation en matière financière du Canada (ACFC) d'avoir été tenu responsable d'opérations non autorisées imputées sur son compte bancaire, et effectuées au moyen de sa carte de débit qui lui a été volée. Les opérations non autorisées en question ont eu lieu tôt le matin, et le consommateur s'est adressé à la banque pour les contester le jour même, affirmant qu'elles avaient été effectuées avec sa carte de débit volée et n'avaient pas été autorisées, et demandant qu'on le rembourse^{Footnote 2} . Le consommateur a également signalé l'incident à la police sans tarder.

Les preuves recueillies laissent à penser que le consommateur a collaboré sans réserve avec la banque et la police aux fins des enquêtes qu'ils ont menées ultérieurement. Pendant la durée des deux enquêtes, le consommateur a soutenu qu'il n'avait jamais divulgué son numéro d'identification personnel (NIP) à un tiers. Toutefois, on a découvert ultérieurement, par vidéosurveillance, qu'une personne connue du client avait volé la carte de ce dernier. Qui plus est, on a constaté que cette personne avait inscrit le NIP du consommateur sans faire d'erreur, dès le premier essai.

Le cas est régi par la version de 2002 du Code de pratique canadien des services de cartes de débit. Le Code énonce l'obligation des banques, dans certaines circonstances, de rembourser les consommateurs qui ont subi des pertes à l'issue d'opérations non autorisées.

Après avoir enquêté sur l'affaire, la banque a établi que le consommateur était responsable des opérations effectuées, car le NIP avait été inscrit correctement, ce qui laisse à penser que la personne ayant volé la carte connaissait le NIP du consommateur ou y avait accès.

Par ailleurs, étant donné que le consommateur a prétendu qu'il n'avait jamais divulgué son NIP à un tiers, la banque est arrivée à la conclusion que le NIP devait être une combinaison de caractères facile à associer au titulaire de la carte et, ce faisant, que le NIP ne satisfaisait pas aux conditions énoncées à la clause (5)4 de l'annexe A du Code. Selon cette clause, le titulaire d'une carte est considéré comme ayant divulgué volontairement son NIP s'il utilise un NIP constitué d'une combinaison basée sur son nom, son numéro de téléphone, sa date de naissance, son adresse ou son numéro d'assurance sociale.

Par conséquent, la banque en a déduit que le consommateur avait contribué à l'utilisation non autorisée de sa carte de débit, et qu'il devait être tenu responsable de la perte financière qui en a découlé. Toutefois, la banque a finalement remboursé le consommateur, invoquant des raisons liées au service à la clientèle.

L'alinéa 5(3)(c), Responsabilités en cas de perte, du Code (version de 2002) énonce que les titulaires de cartes ne sont pas responsables des pertes attribuables à des situations indépendantes de leur volonté. Ces situations comprennent par exemple l'utilisation non autorisée de la carte, lorsque le titulaire a involontairement contribué à une telle utilisation, à la condition qu'il collabore à toute enquête ultérieure.

Compte tenu de l'information fournie par le consommateur et la banque pendant l'enquête menée par l'ACFC, la Direction de la conformité et de l'application de l'ACFC est arrivée à la conclusion qu'on avait affaire à un cas de non-conformité au Code (version de 2002). Une lettre de non-conformité a donc été adressée à la banque, dans laquelle on indiquait qu'aucun élément de preuve probant ne portait à croire que le client avait contribué à l'utilisation non autorisée de sa carte de débit. La lettre indiquait également que la banque semblait avoir omis de tenir compte pleinement du contexte dans lequel les opérations non autorisées avaient eu lieu, y compris le fait que le consommateur a pu être victime « de piquage de mot de passe », c'est-à-dire la technique qui consiste à espionner par-dessus l'épaule d'une personne lorsqu'elle entre son NIP sur le clavier du terminal de point de vente.

Décision prise

Après avoir examiné le dossier et les observations de la banque en réponse à la lettre de non-conformité, le commissaire par intérim a déterminé qu'il ne s'agissait pas d'un cas de non-conformité au Code (version de 2002).

Points à examiner

Lorsqu'elle a donné suite à la lettre de non-conformité, la banque a souligné le fait que le consommateur avait déclaré qu'il pensait qu'une tierce partie avait deviné son NIP. La banque a rétorqué que le fait que le consommateur admette que son NIP avait été deviné par une tierce partie prouvait que la combinaison du NIP était facilement reconnaissable.

La banque a également indiqué que pendant son enquête elle avait envisagé la possibilité que le consommateur ait été victime de piquage de mot de passe, mais avait finalement conclu que ce n'était pas le cas. Qui plus est, pendant l'enquête le consommateur n'a jamais fait allusion à une telle éventualité.

La version révisée de 2002 du Code n'exige pas que l'émetteur du NIP démontre, selon la prépondérance des probabilités, que le titulaire de la carte a contribué à l'utilisation non autorisée de la carte. Après avoir examiné le cas, le commissaire par intérim a convenu qu'il était très peu probable qu'une telle situation ait pu se produire sans une certaine forme de participation volontaire de la part du consommateur, dans la mesure où le NIP de ce dernier a été deviné par une tierce partie qu'il connaissait, que le NIP avait été inscrit correctement dès le premier essai et que le risque de piquage de mot de passe n'était pas envisagé.

Néanmoins, dans sa décision, le commissaire par intérim a indiqué très clairement qu'il ne pensait pas que la clause (5)4 de l'annexe au Code était structurée ou libellée d'une manière lui donnant l'apparence d'une liste d'exemples de NIP non acceptables, ni d'un énoncé sans restriction permettant d'envisager d'autres combinaisons inacceptables du NIP. Qui plus est, le commissaire par intérim a jugé que la banque ne pouvait se fonder sur cette clause pour porter un jugement et/ou vérifier la mesure dans laquelle le consommateur avait appliqué une norme « raisonnable » pour choisir la combinaison de son NIP.

Mesures prises par l'institution financière

Durant l'étude du cas, la banque a informé la Direction de la conformité et de l'application de l'ACFC qu'elle avait décidé de rembourser le consommateur, pour des raisons liées au service à la clientèle, et non pas parce qu'elle se sentait obligée de le faire en vertu du Code.

Résultats

L'ACFC surveille les institutions financières sous réglementation fédérale pour s'assurer qu'elles se conforment à certains codes de conduite et engagements publics adoptés pour protéger les intérêts des consommateurs. L'ACFC rend compte chaque année au Parlement du niveau de conformité des institutions financières aux codes et aux engagements, ainsi que de la nature et du nombre de plaintes reçues.

Le Code de pratique canadien des services de cartes de débit a pour objectif de protéger les consommateurs canadiens qui utilisent ces services. Il énonce les pratiques de l'industrie et les responsabilités des consommateurs et de l'industrie en ce qui concerne les opérations faites par carte de débit et la responsabilité qui s'y rattache. Des enquêtes approfondies doivent être menées pour s'assurer que les codes volontaires comme celui-ci fonctionnent dans l'intérêt des consommateurs.

Dans le cas présent, après avoir examiné les observations de la banque, le commissaire par intérim a convenu que les circonstances entourant le cas ne démontraient pas que le consommateur n'avait pas contribué à l'utilisation non autorisée de sa carte de débit, comme on le décrit dans la version révisée de 2002 du Code^{Footnote 3} . Néanmoins, la banque a décidé de rembourser le consommateur en invoquant des raisons liées au service à la clientèle.

Notes de bas de page 1

En ce qui touche la conformité d'une institution financière à ses engagements publics ou codes de conduite volontaires, le pouvoir de l'ACFC se limite à la surveillance. L'ACFC ne peut prendre aucune mesure d'exécution, mais elle rend compte chaque année au Parlement du niveau de conformité des institutions financières à leurs codes et à leurs engagements, ainsi que de la nature et du nombre de plaintes qu'elle reçoit.

Retour à la référence de la note de bas de page1

Notes de bas de page 2

Les consommateurs qui demandent réparation sont priés de suivre la procédure de traitement des plaintes de leur institution financière et, au besoin, de s'adresser à l'Ombudsman des services bancaires et d'investissement (OSBI).

Retour à la référence de la note de bas de page2

Notes de bas de page 3

Le cas est régi par la version de 2002 du Code. Le Code a été de nouveau révisé en 2004 et il est entré en vigueur le 30 septembre 2005. L'article 6 du Code révisé en 2004 stipule que lorsque les résultats de l'enquête amènent l'émetteur du NIP à ne pas rembourser le montant complet au titulaire de la carte, l'émetteur du NIP a la responsabilité de démontrer que, selon la prépondérance des probabilités, le titulaire de la carte a contribué à l'utilisation non autorisée de celle-ci, sous réserve des dispositions énoncées à l'article 5 du Code.

Retour à la référence de la note de bas de page3

Détails de la page

Date de modification :: 2017-01-26

Sélection de la langue

Recherche