Une victime de fraude sur carte de crédit reproche à une banque de se fier au courrier de première classe pour protéger les renseignements personnels

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2002-43

[principe 4.7, annexe 1; article 2]

Plainte

Un individu s'est plaint de ce que sa banque continuait de façon inappropriée d'utiliser le courrier de première classe pour livrer des cartes de crédit et des numéros d'identification personnels (NIP) à ses clients, même après avoir été mis au courant d'une série de fraudes par vol de courrier renfermant des cartes ou des NIP. Le plaignant, lui-même victime de la fraude, avait fait valoir que la livraison par courrier recommandé serait une protection plus appropriée pour des renseignements personnels à caractère aussi névralgique.

Résumé de l'enquête

Après enquête, la GRC a conclu que le plaignant avait été une des victimes d'une série de fraudes découlant de vols de cartes de crédit et de NIP pendant la livraison du courrier dans certaines régions du code postal de la province. Aux dires de la GRC, un réseau de fraudeurs avait ciblé les boîtes aux lettres et camions postaux de Postes Canada. Plus tard, la GRC était moins catégorique quant au point auquel le courrier avait été intercepté et à la méthode par laquelle il l'avait été. Dans le cas du plaignant, son dernier rapport portait à croire qu'un ou plusieurs voleurs avaient obtenu un double des clés des boîtes aux lettres des résidents de son immeuble en copropriété. À la fin, la GRC a fermé son enquête sans en venir à une conclusion précise sur la façon dont les vols et la fraude avaient été commis.

La banque en question avait pour politique rigoureuse d'exiger la « diligence raisonnable » de ses détenteurs de cartes de crédit et de supposer, jusqu'à preuve du contraire, que l'individu était responsable de tout vol de carte ou de NIP. En attendant les résultats de l'enquête de la GRC, la banque a continué de tenir le plaignant responsable des frais en question et de lui en réclamer le paiement. La banque a aussi informé les agences d'évaluation du crédit qu'il ne s'était pas acquitté de sa dette.

Sur réception de la conclusion de fraude de la GRC, la banque a reconnu que le plaignant n'était pas responsable, a reconnu sa responsabilité pour la fraude, et a remis en règle le compte du plaignant et rectifié les faits à son sujet auprès des agences d'évaluation du crédit.

Bien que satisfait de ce dénouement, le plaignant a maintenu sa plainte auprès du Commissariat à la protection de la vie privée, par souci que d'autres n'aient pas à souffrir de la même violation de leurs renseignements personnels ni à subir le même traitement de la banque. Sur la foi du rapport initial de la GRC, il avait acquis l'impression que l'utilisation du courrier de première classe avait été un facteur important favorisant la série de vols et de fraudes et s'était donc révélée insuffisante comme mesure de protection des renseignements personnels. Son but était d'obliger sa banque et les autres émetteurs de cartes de crédit à modifier la pratique type de l'industrie consistant à envoyer des cartes et des NIP par courrier de première classe. Il a fait valoir que la livraison par courrier recommandé (aujourd'hui appelé Poste prioritaire) serait une protection plus appropriée pour des renseignements aussi névralgiques.

La banque en est disconvenue, appuyant sa position sur cinq principaux arguments :

1. (1) Il n'y avait pas lieu de considérer les renseignements en question comme des renseignements personnels aux fins de la Loi sur la protection des renseignements personnels et les documents électroniques parce que a) le NIP était généré par la banque à l'aide d'un algorithme lui appartenant en propre et n'était donc pas lié aux renseignements fournis par le plaignant et b) par convention, les NIP et les cartes de crédit appartiennent en propre à la banque.
2. (2) L'envoi de cartes de crédit et de NIP par courrier de première classe est une « pratique courante de l'industrie ».
3. (3) Grâce aux mesures supplémentaires qu'elle prend pour sécuriser les renseignements personnels de ses clients, le taux d'utilisation frauduleuse des cartes de crédit qu'émet la banque est au bas de la gamme des fraudes parmi tous les émetteurs de la carte en question.
4. (4) La banque a pour politique d'assumer la responsabilité des pertes dues à la fraude.
5. (5) L'utilisation du courrier recommandé quintuplerait les frais de poste de la banque, et les augmentations devraient être répercutées sur le consommateur par une majoration des droits d'utilisation ou des taux d'intérêt.

Conclusions du commissaire

Rendues le 4 avril 2002

Compétence : Depuis le 1^er janvier 2001, la Loi s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : L'article 2 définit le renseignement personnel comme « tout renseignement concernant un individu identifiable. » Le principe 4.7, annexe 1, énonce que l'organisation doit protéger les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Le commissaire a établi d'abord que les renseignements en question étaient des renseignements personnels aux fins de la Loi, puisqu'ils permettaient d'identifier clairement des individus. Il a rappelé que la définition de l'article 2 rend effectivement sans objet les questions de propriété. Peu importe à qui l'on peut attribuer la propriété de la carte de crédit et du NIP du plaignant ou la façon dont ils ont été générés, ils deviennent ses renseignements personnels du simple fait qu'ils lui sont attribués et insérés dans des enveloppes qui lui sont adressées.

Au sujet du principe 4.7, le commissaire s'est montré sympathique au plaignant, qu'il a félicité de la manière dont il avait soutenu sa plainte, mais il n'a pas trouvé de preuve permettant de conclure à une violation de la Loi. Il a noté non seulement que l'enquête de la GRC sur la question demeurait non concluante, mais encore que sa propre enquête ne lui avait pas non plus permis d'établir que la situation fâcheuse dans laquelle se trouvait le plaignant venait de ce que la banque avait utilisé le courrier de première classe. Il a aussi noté que le Commissariat avait examiné la pratique de l'industrie et qu'il n'avait là non plus trouvé de preuve que l'utilisation du courrier de première classe était un facteur de la communication inappropriée de renseignements personnels. Il a établi que les faits ne permettaient pas de conclure que le courrier de première classe n'est pas une protection convenable ou que les banques ne devraient pas l'utiliser comme méthode normale de livraison des cartes de crédit et des NIP.

N'ayant pas de motif de conclure que la banque contrevenait au principe 4.7, le commissaire a conclu que la plainte était non fondée.

Autres considérations

1. Suite à la couverture de presse, six autres victimes de la même série de fraudes avaient communiqué avec le plaignant, y compris deux autres clients de la banque en question. Dans la présentation de ses conclusions, le commissaire a été heureux de confirmer que la banque avait aussi indemnisé les autres victimes de leurs pertes et retiré son rapport de crédit négatif à leur sujet. Il a félicité le plaignant du souci qu'il se faisait des autres victimes, souci qui a contribué à la solution de leurs problèmes.
2. En terminant, le commissaire a fait le commentaire suivant :

Néanmoins, j'aurais une mise en garde à faire [à la banque] et à l'ensemble du secteur bancaire. Ma conclusion découle uniquement de l'absence de preuves solides, et non pas des déclarations générales de la banque, que, je dois bien le dire, n'ai pas trouvées suffisamment convaincantes. S'il devait surgir plus tard un autre concours de circonstances où je serais saisi d'une preuve de l'insuffisance du courrier de première classe comme moyen de protéger des renseignements personnels, l'affaire serait bien différente.