État de compte de carte de crédit télécopié par la banque à un imposteur

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-374

[Principes 4.3 et 4.7.1 de l’annexe 1]

Une victime d’un vol d’identité s’est plainte que sa banque n’avait pas protégé ses renseignements personnels en les communiquant de manière inappropriée. La banque a télécopié une copie de son état de compte de carte de crédit à un imposteur.

Bien que la banque ait cru avoir télécopié les renseignements au vrai client, car la personne qui appelait a répondu aux questions de vérification, nous n’avons pas pu déterminer avec certitude quelles questions d’identification ont été posées à l’imposteur. L’appel n’a pas été enregistré et aucune note ne témoigne des questions qui lui ont été posées. Nous avons également remarqué que certaines des questions d’authentification de la banque étaient faibles; d’autres étaient solides. La commissaire adjointe à la protection de la vie privée a donc conclu que les mesures de protection mises en place étaient inadéquates et que la communication des renseignements personnels du plaignant était inappropriée. Pendant l’enquête, la banque a accepté de rehausser ses procédures d’authentification et de garder une piste de vérification des questions posées. Elle a également accepté, lorsqu’un client demande que des renseignements lui soient télécopiés, de poser des questions d’authentification additionnelles.

Voici un résumé de l’enquête et des délibérations de la commissaire adjointe sur ces plaintes fondées et résolues.

Résumé de l’enquête

La banque en question fournit à ses clients des services bancaires par téléphone et Internet. La banque a déclaré qu’une personne affirmant être le plaignant a communiqué avec son centre de service à la clientèle pour demander qu’on lui envoie par télécopieur une copie de l’état de compte du plaignant pour le mois précédent. Selon la banque, cette personne a satisfait aux procédures de vérification et, quelques jours plus tard, l’état de compte lui a été télécopié au numéro qu’elle avait donné. Les notes fournies au Commissariat par la banque n’indiquaient pas les questions exactes qui ont été posées pendant les procédures de vérification et aucun enregistrement de l’appel n’a été effectué.

Plus tard, le jour où l’état de compte a été télécopié, une personne se présentant comme le plaignant a de nouveau téléphoné à la banque, a répondu aux questions de vérification et a demandé qu’un mot de passe soit attribué au compte. (Le plaignant n’avait pas encore attribué de mot de passe à son compte.) Peu après, la banque a reçu un autre appel, demandant cette fois un transfert de fonds. La banque ne traite pas ces transactions à moins que le numéro de carte et le code à l’endos de la carte ne soient fournis. Comme la personne qui appelait a été incapable de fournir ce code et a déclaré ne pas avoir la carte avec elle, l’appel a été transféré au service des fraudes de la banque et a été enregistré. La transaction a été refusée, bien que la personne au téléphone ait été capable de fournir correctement le nom, l’adresse, la date de naissance et le numéro de téléphone du plaignant. L’enregistrement de la conversation contient un bref échange entre l’imposteur et le représentant du service de sécurité de la banque, lequel a informé la personne qui appelait que la banque ne pouvait pas l’aider sans ce code.

Le service des fraudes de la banque a communiqué avec le plaignant à sa résidence et a confirmé qu’il n’avait ni téléphoné pour demander une copie de son état de compte ni demandé un transfert de fonds. La banque a alors fermé le compte, ouvert un compte de remplacement et lui a attribué un mot de passe. Selon les notes de compte fournies au Commissariat par la banque, l’imposteur a tenté à deux reprises d’obtenir des fonds le jour suivant mais n’a pas satisfait aux procédures de vérification parce que le compte avait été signalé pour activité suspecte.

Le Commissariat a examiné les procédures de vérification d’identité de la banque suivies par les représentants du service à la clientèle (RSC). Dans ce cas-ci, l’imposteur aurait dû avoir le numéro de compte du plaignant et être capable de répondre à deux des six questions d’authentification possibles. Certains des renseignements demandés étaient des renseignements que seuls le détenteur de la carte, un de ses proches ou une personne connaissant bien le détenteur de la carte pouvaient vraisemblablement connaître. Deux des questions (date de naissance et adresse de domicile) n’étaient toutefois pas susceptibles d’être connues seulement du détenteur de la carte. En outre, la réponse à une autre question pouvait être obtenue en téléphonant au système de réponse téléphonique automatisée de la banque.

Bien qu’il soit possible que l’imposteur dans ce cas ait possédé de nombreux renseignements personnels sur le plaignant, on ne sait pas quelles questions lui ont été posées. Nous n’avons donc pas pu établir lesquels de ces renseignements l’imposteur avait en sa possession.

Certains des renseignements sur un compte de carte de crédit sont accessibles par l’entremise du système de réponse téléphonique automatisée (par exemple, le solde du compte, la date d’échéance du paiement, les transactions récentes). Les renseignements suivants apparaissent sur l’état de compte, mais ne sont pas fournis par le système de réponse téléphonique automatisée :

• Messages concernant le statut du compte;
• Promotions et changements récents;
• Numéro de référence des transactions;
• Numéro du compte;
• Limite de crédit;
• Adresse du client.

Bien que le plaignant soit d’avis que la télécopie de son état de compte ait entraîné une fraude contre lui et d’autres institutions, il n’a pas pu être établi avec certitude que tel était le cas. Deux de ces renseignements (renseignements promotionnels et numéro de référence) ne sont pas des renseignements personnels. L’imposteur possédait déjà le numéro de compte, ce qui ne laissait que le statut du compte, la limite de crédit et l’adresse comme renseignements qu’il ne possédait peut-être pas. Comme les procédures de vérification pour recevoir un état de compte par télécopieur prévoient des questions sur la limite de crédit et l’adresse, il est probable que l’imposteur était déjà en possession de ces renseignements. L’enquête a de plus établi que l’adresse du plaignant pouvait être obtenue en faisant une recherche par son nom sur le site de Canada411.

Les appels au service à la clientèle sont enregistrés de façon aléatoire par la banque. Lorsque le service à la clientèle reçoit un appel concernant un compte signalé pour activité suspecte, cet appel est transféré au service des fraudes de la banque, lequel enregistre tous les appels.

La banque fait une surveillance aléatoire des appels au service à la clientèle, et les employés qui omettent de procéder à une vérification complète sont passibles de mesures disciplinaires. La banque a remarqué que les auteurs de vol d’identité possèdent souvent les renseignements qui leur permettent de satisfaire aux procédures de vérification. Dans les cas où la personne qui appelle a suffisamment de renseignements pour se déclarer être la cliente ou le client, il est difficile pour la banque d’éviter de communiquer des renseignements. Ces communications, allègue la banque, sont faites de bonne foi, car la banque est convaincue de traiter avec le vrai client et elle lui offre alors la qualité de service qu’il espère recevoir.

Le plaignant était très préoccupé du fait que la banque ait télécopié son état de compte à un numéro qui ne figurait pas dans ses coordonnées. La banque a déclaré que la télécopie des renseignements personnels des clients n’est pas une politique ou une pratique habituelle, mais qu’elle en envoie à l’occasion afin de mieux répondre aux besoins des clients. La banque ne recueille pas le numéro de télécopieur des détenteurs de cartes dans le profil du client parce qu’elle ne croit pas qu’il existe une raison d’affaires de le faire, et elle ne veut pas recueillir plus de renseignements que nécessaire pour un compte de carte de crédit. Comme la télécopie n’est pas envoyée régulièrement et comme tous ses clients n’ont pas de télécopieur, la banque a déclaré qu’il n’est pas utile de recueillir couramment ces renseignements. Si un détenteur de carte demande que son état de compte lui soit télécopié, il recevra cette information à condition de répondre aux questions de vérification et de satisfaire le RSC qu’elle ou il traite avec le vrai client.

Le Commissariat a comparé les procédures de vérification d’identité de la banque à celles d’une autre banque de même type. Les pratiques des deux banques se sont révélées similaires. Bien que l’autre banque télécopie elle aussi les états de compte demandés par le client, pourvu que ce client ait satisfait aux procédures de vérification d’identité, elle ne recueille pas couramment le numéro de télécopieur du client dans son profil. Comme la banque qui fait l’objet de la plainte, elle exige le code inscrit à l’endos de la carte pour les transactions au comptant, mais pas pour les télécopies.

Conclusions

Rendues le 23 mars 2007

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.7.1 précise que des mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

• Il ne fait aucun doute que les renseignements personnels du plaignant ont été communiqués à une personne se faisant passer pour lui. La banque a déclaré avoir télécopié l’état de compte de bonne foi à une personne qu’elle croyait être le plaignant, car la personne qui appelait a réussi la vérification;
• La question est donc de savoir s’il était approprié de télécopier l’état de compte à un numéro non indiqué dans le profil du client et si les mesures de vérification d’identité de la banque étaient suffisamment adéquates pour prévenir la communication;
• Bien que la banque prétende n’utiliser le télécopieur qu’à titre de courtoisie envers le client, la commissaire adjointe est d’avis que cette pratique comporte certains risques. Le numéro de télécopieur n’étant pas inscrit dans le profil du client; elle a donc trouvé difficile de comprendre pourquoi la banque a accepté d’envoyer les renseignements personnels d’un client à un numéro qu’elle n’avait pas au dossier. Les demandes de copie d’états de compte devraient être postées à l’adresse indiquée au dossier;
• La banque a indiqué qu’elle envoie la télécopie si elle croit télécopier les renseignements au vrai client. Elle arrive à cette conclusion par ses procédures d’authentification. Dans ce cas, comme il n’y a eu aucun enregistrement de l’appel entre la banque et l’imposteur, il a été impossible de confirmer les questions qui ont été posées à la personne prétendant être le plaignant par le représentant du service à la clientèle;
• En examinant les procédures, la commissaire adjointe a remarqué que certaines des procédures actuelles semblent satisfaisantes dans la mesure où certains des renseignements demandés ne sont généralement connus que du détenteur de la carte. Toutefois, elle a également fait observer que la date de naissance et l’adresse résidentielle étaient des renseignements qui pouvaient être connus de nombreuses personnes et non seulement de la cliente ou du client. De plus, un imposteur pouvait répondre à une des questions s’il avait accès au système de réponse téléphonique automatisée;
• Bien que la banque ait cru envoyer les renseignements au véritable détenteur de la carte, les questions d’authentification comportent certaines faiblesses; en conséquence, sans transcription de l’appel ou sans autre preuve des questions posées, la commissaire adjointe n’a pu savoir avec certitude si le représentant du service à la clientèle a posé les bonnes questions pour s’assurer qu’il traitait avec le vrai client;
• Elle a donc conclu que les mesures de sécurité de la banque ne satisfaisaient pas aux exigences du principe 4.7.1 et que les renseignements personnels du plaignant ont été indûment communiqués, contrevenant ainsi au principe 4.3;
• Pour réduire les risques inhérents à la télécopie, la banque a décidé de prendre des mesures additionnelles d’authentification pour s’assurer que la télécopie est envoyée au vrai client. Elle a également accepté de corriger les faiblesses de ses procédures d’authentification actuelles et d’enregistrer dans le compte du client les questions de vérification d’identité posées par ses représentants au service à la clientèle.

Compte tenu de ce qui précède, la commissaire adjointe a conclu que les plaintes étaient fondées et résolues.

Autres considérations

La commissaire adjointe a également consulté les nouvelles Lignes directrices en matière d’identification et d’authentification. Ces lignes directrices sont conçues pour aider les organisations à établir des méthodes d’identification et d’authentification des clients par des moyens qui respectent les pratiques équitables de traitement des renseignements en vertu de la Loi. Elles visent divers types d’authentification, d’évaluation du risque, du rôle de la personne, de même que l’importance de la formation de l’employé.

Voir aussi

#381 La banque rehausse ses mesures de sécurité après que les renseignements personnels d’une personne ont été utilisés par un imposteur pour ouvrir un compte de carte de crédit

#27 Un homme conteste en principe le programme d’identification de la banque