Décision no 117

De : Agence de la consommation en matière financière du Canada

Motifs de la décision du commissaire

Code de pratique canadien des services de cartes de débit

Sections 5 et 6 (Responsabilités en cas de perte pour utilisation non autorisée d'une carte et d'un NIP)

Alinéa 3(2)c) et paragraphe 5(3) de la Loi sur l'Agence de la consommation en matière financière du Canada

La décision est prise sous le régime du Code de pratique canadien des services de cartes de débit (le Code).

Conformément au Cadre de conformité de l'Agence de la consommation en matière financière du Canada (ACFC), j'ai examiné la lettre de non-conformité envoyée à la banque par le directeur, Direction de la conformité et de l'application (DCA), concernant le non-respect du Code par la banque, ainsi que les observations présentées par écrit par la banque, pour arriver à la décision qui suit.

Contexte

En avril 2011, l'ACFC a reçu une plainte d'une consommatrice (aussi appelée « titulaire de carte » ou « cliente ») concernant la responsabilité à l'égard d'une opération non autorisée effectuée au moyen de sa carte de débit.

La cliente a affirmé qu'en mars 2011, après qu'elle ait utilisé sa carte de débit à un dépanneur, elle a été abordée par deux individus et que, pendant l'échange avec eux, son portefeuille a été volé par une troisième personne. Dans les 15 minutes suivant le vol de son portefeuille, la cliente a signalé le vol de sa carte de débit à sa succursale. Après ce signalement, la banque a constaté qu'entre le moment du vol de la carte et le moment du signalement de l'incident par la cliente à la banque, une opération de débit de 401,50 $ a été effectuée au moyen de la carte de débit originale de la cliente (une carte à puce), dès la première tentative, en utilisant le bon numéro d'identification personnel (NIP).

La banque a par la suite informé la consommatrice qu'elle serait tenue responsable de l'opération parce qu'elle avait été effectuée au moyen de la carte à puce de la cliente et du NIP entré correctement à la première tentative, indiquant qu'elle ne devait pas avoir pris les précautions nécessaires pour protéger le NIP de sa carte de débit. La consommatrice a contesté les conclusions de la banque parce qu'elle croyait avoir été victime de « piquage de mot de passe » le jour de l'opération en question.

Dispositions applicables

Aux termes du paragraphe 5(1) de la Loi sur l'Agence de la consommation en matière financière du Canada (la Loi), la commissaire a le mandat d'examiner toutes les questions – et de faire enquête sur elles – liées à l'application de la Loi, y compris, en ce qui concerne les objectifs énoncés à l'alinéa 3(2)c), la surveillance de la mise en œuvre de codes de conduite volontaires adoptés par les institutions financières en vue de protéger les intérêts de leurs clients, et qui sont accessibles au public.

La banque a approuvé le Code à titre de membre de l'Association des banquiers canadiens. Les parties pertinentes du Code indiquent ce qui suit :

« 5. Responsabilités en cas de perte

Le guide d'interprétation de la présente section se trouve à l'annexe A.

...

3. Le titulaire d'une carte n'est pas responsable des pertes attribuables à des situations indépendantes de sa volonté. Ces situations comprennent, par exemple :

a. des défectuosités techniques, des erreurs causées par l'émetteur de la carte ou tout autre problème de fonctionnement du système;

b. l'utilisation non autorisée d'une carte et d'un NIP qu'il incombait à l'émetteur de la carte d'empêcher une telle situation, par exemple à partir du moment où :

le titulaire a signalé la perte ou le vol de sa carte,

la carte est annulée ou périmée,

le titulaire a signalé qu'une autre personne connaît peut-être son NIP

c. une utilisation non autorisée de la carte, lorsque le titulaire a involontairement contribué à une telle utilisation, à la condition qu'il collabore à toute enquête ultérieure.

4. Dans tous les autres cas où le titulaire d'une carte contribue à l'utilisation non autorisée de celle-ci, il est responsable des pertes en résultant...

5. Le titulaire d'une carte contribue à l'utilisation non autorisée :

a. s'il divulgue volontairement son NIP notamment s'il inscrit son NIP sur sa carte ou conserve à proximité de la carte une inscription mal camouflée du NIP;

b. s'il néglige d'aviser, dans un délai raisonnable, l'émetteur de la carte de la perte, du vol ou d'un mauvais usage de sa carte ou de la possibilité que quelqu'un d'autre connaisse son NIP.

...

6. Dans le cas où les résultats de l'enquête amènent l'émetteur de NIP à ne pas rembourser le montant complet au titulaire de la carte, l'émetteur de NIP a la responsabilité de démontrer que, selon la prépondérance des probabilités, le titulaire de la carte a contribué à l'utilisation non autorisée de celle-ci, sous réserve des dispositions énoncées à la section 5 du présent code. »


En outre, l'annexe A du Code, « Guide d'interprétation de la section 5 : Responsabilités en cas de perte » (le Guide) indique ce qui suit en ce qui concerne la clause 5 de la section 5 (ci-dessus) :

Le titulaire d'une carte n'est pas considéré comme ayant divulgué « volontairement » le NIP, si le NIP a été obtenu par contrainte, supercherie, force ou intimidation.

Cela inclut les situations où quelqu'un relève le NIP du client à un terminal de point de vente.

Constatations de la DCA

Tel qu'indiqué dans la lettre de non-conformité, la DCA a conclu que la banque n'avait pas, conformément au Code, démontré selon la prépondérance des probabilités que la consommatrice avait contribué à l'utilisation non autorisée de la carte avant de tenir celle-ci responsable de l'opération. La DCA a plutôt établi que la banque avait fondé sa décision de tenir la consommatrice responsable de l'opération sur le fait que le NIP de la carte à puce a été entré correctement à la première tentative. La banque n'a pas pris en considération le fait que la titulaire de la carte n'a pas divulgué son NIP volontairement, ni que le NIP a vraisemblablement été obtenu par supercherie — qui selon le Guide inclut les situations où quelqu'un relève le NIP du client à un terminal de point de vente (c.‑à‑d. « piquage de mot de passe »). La banque a confirmé cette position en réponse à l'enquête de l'ACFC faisant suite au dépôt de la plainte auprès de l'ACFC par la consommatrice. La DCA a conclu que la banque n'avait pas respecté le Code.

La lettre de non-conformité a également soulevé la préoccupation selon laquelle la banque semble adopter une approche systémique consistant à tenir les titulaires de cartes responsables des opérations non autorisées par carte de débit lorsqu'une carte à puce est utilisée avec succès à la première tentative, plutôt que d'entreprendre une enquête exhaustive et de tenir compte de tous les éléments du Code à la lumière d'une situation donnée. Il a été demandé à la banque d'examiner ses politiques et procédures régissant ses processus d'examen des plaintes de consommateurs concernant des opérations de débit non autorisées et de détermination de la responsabilité en cas de perte pour veiller à ce que tous les éléments du Code et du Guide soient correctement cités et pris en considération.

Observations de la banque

Dans ses observations, la banque a accepté les conclusions de non-conformité de l'ACFC. Elle a indiqué que l'opération non autorisée avait été entièrement remboursée à la cliente avant que la DCA ne demande à la banque de mener une enquête relativement à la plainte de la cliente. La banque a déclaré qu'elle était d'accord avec la conclusion de l'ACFC selon laquelle le fait que la cliente ait informé la succursale qu'elle pourrait avoir été victime de « piquage de mot de passe » ne constituait pas une preuve que la cliente avait volontairement divulgué son NIP à un tiers. La banque a convenu que, selon la prépondérance des probabilités, la cliente n'avait pas contribué à l'utilisation non autorisée de sa carte de débit et que sa demande de remboursement n'aurait pas dû être refusée.

La banque a aussi joint des extraits de sa [politique interne].

La banque soutient que la succursale en question n'a pas respecté la politique interne de la banque dans ce cas. Dans de telles situations, la politique interne de la banque exigeait que la banque prouve que, selon la prépondérance des probabilités, la cliente a contribué à l'utilisation non autorisée et que la [décision] de refuser la demande de la cliente soit [approuvée par la direction régionale]. En réponse à la préoccupation de la DCA selon laquelle la banque semble adopter une approche systémique consistant à tenir les titulaires de cartes responsables des opérations non autorisées par carte de débit lorsqu'une carte à puce est utilisée avec succès à la première tentative, la banque soutient que bien que de tels renseignements constitueraient des éléments importants à prendre en considération dans le cadre de l'enquête, toutes les situations sont examinées au cas par cas.

La banque a confirmé qu'elle a informé la direction de la question et a entrepris un examen de sa politique interne. Après l'examen, la banque communiquera avec les employés de première ligne pour leur rappeler l'importance de la politique et leur transmettre tout changement apporté.

Analyse

Pour se conformer au Code, lorsqu'il fait enquête pour déterminer s'il y a eu une utilisation non autorisée d'une carte de débit, l'émetteur de NIP doit établir si le titulaire de carte a contribué à l'utilisation non autorisée en réalisant les activités énoncées à la clause 5 de la section 5 du Code, y compris s'il a divulgué « volontairement son NIP ». Comme l'indique le Guide, le titulaire d'une carte n'est pas considéré comme ayant divulgué volontairement le NIP si le NIP a été obtenu par contrainte, supercherie, force ou intimidation, y compris les situations où quelqu'un relève le NIP du client à un terminal de point de vente. De plus, s'il est décidé par suite d'une enquête de ne pas rembourser le titulaire de carte, l'émetteur de NIP a la responsabilité de démontrer que, selon la prépondérance des probabilités, le titulaire de carte a contribué à l'utilisation non autorisée de la carte.

J'accepte ici les conclusions de la DCA, telles qu'admises par la banque, que la décision de la banque de tenir la titulaire de carte responsable n'était pas fondée sur une démonstration que, selon la prépondérance des probabilités, la titulaire de carte a contribué à l'opération, comme l'exige le Code. Dans le cas en question, la consommatrice a immédiatement informé la banque du vol de sa carte de débit et du fait qu'elle croyait avoir été victime de « piquage de mot de passe » immédiatement avant que sa carte de débit ne soit volée, et elle a collaboré à l'enquête de la banque.

Le fait que le NIP de la consommatrice pour sa carte à puce ait été entré correctement à la première tentative n'est pas suffisant pour établir que la titulaire de carte a contribué à l'utilisation non autorisée de la carte — particulièrement dans des cas comme celui-ci, où la banque ne réfute pas l'allégation de la titulaire de carte selon laquelle le NIP n'a pas été divulgué volontairement. Par conséquent, je suis d'accord avec les conclusions de la DCA, telles qu'admises par la banque, que la décision de la banque de tenir la titulaire de carte responsable de l'opération non autorisée n'était pas conforme au Code.

Enfin, bien que je convienne que la succursale a omis de respecter la politique interne de la banque dans ce cas, je partage la préoccupation de la DCA selon laquelle la réponse initiale de la banque à la demande de renseignements de l'ACFC démontre une approche systémique consistant à tenir les titulaires de cartes responsables des opérations non autorisées par carte de débit lorsqu'une carte à puce est utilisée avec succès à la première tentative. En réponse à la demande de renseignements de l'ACFC, la banque a initialement confirmé les conclusions de la succursale, soit que selon la prépondérance des probabilités, la titulaire de carte a contribué à l'utilisation non autorisée de la carte et doit avoir été négligente quant à la protection de son NIP et de sa carte. Le raisonnement de la banque était que l'opération contestée avec la carte à puce avait réussi à la première tentative, et que la titulaire de la carte avait admis avoir été victime de « piquage de mot de passe ». La position de la banque indique qu'au-delà du niveau de la succursale en question, elle interprète sa politique interne de la même façon que la succursale et que pour appliquer sa politique interne, elle ne considère pas tous les éléments du Code à la lumière des circonstances du cas.

Étant donné ces préoccupations, pour faire en sorte que les situations semblables puissent être évitées à l'avenir, je demande que la banque examine sa politique interne. Je demande également que la banque assure le suivi avec tous les employés qui prennent part aux enquêtes concernant les opérations de débit non autorisées pour veiller à ce que l'évaluation de la responsabilité dans le cas des plaintes de consommateurs liées à des opérations de débit non autorisées soit menée en conformité avec tous les éléments du Code. Une fois cet examen terminé, la banque devrait transmettre à l'ACFC des copies de toute documentation fournie au personnel de la banque.

Conclusion

Ce dossier est fermé et porte la mention d'un constat de non-conformité au Code. Cette conclusion ne fait pas partie des antécédents de la banque en matière de conformité aux fins de l'article 20 de la Loi sur l'ACFC.

Ottawa, le 5 novembre 2012

Ursula Menke

Commissaire

Agence de la consommation en matière financière du Canada

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :