La banque rehausse ses mesures de sécurité après que les renseignements personnels d’une personne aient été utilisés par un imposteur pour ouvrir un compte de carte de crédit
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-381
[Principes 4.3, 4.6, 4.7, 4.7.1, 4.9.6]
Leçons apprises
- Les représentants du service de crédit d’institutions financières devraient recevoir une formation suffisante pour les mener à rendre compte rapidement à leur service de sécurité de tout soupçon concernant de possibles activités frauduleuses.
- Les procédures d’authentification et de vérification des clients doivent être suffisamment solides pour protéger les renseignements personnels des clients comme il se doit.
- Le personnel de sécurité devrait recevoir régulièrement des mises à jour à sa formation sur la détection d’activités frauduleuses.
Lorsqu’une personne a découvert qu’un imposteur avait ouvert un compte de carte de crédit (offert conjointement avec une banque) en se servant de ses renseignements personnels, elle s’est plainte que la banque n’avait pas bien protégé ses renseignements. Le plaignant s’est inquiété que la banque ait permis l’ouverture du compte et l’accumulation d’une dette par l’utilisation frauduleuse de ses renseignements. Après avoir reçu des appels d’une agence de recouvrement tentant de recouvrer une dette qui n’était pas la sienne, il a avisé la banque et déposé une plainte auprès du Commissariat.
La commissaire adjointe à la protection de la vie privée a conclu que la banque avait omis à de nombreuses occasions de prévenir ces problèmes.
Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.
Résumé de l’enquête
L’imposteur a demandé un compte de carte de crédit de magasin offert conjointement avec une banque. La banque a déclaré que le demandeur avait présenté de fausses pièces d’identité et avait rempli le formulaire de demande. Le formulaire contient un nom, une date de naissance et un NAS qui semblent être ceux du plaignant. De plus, l’adresse fournie était très semblable à celle du plaignant. Le Commissariat a demandé une copie du formulaire de demande, mais ni le magasin, ni la banque n’ont pu la fournir.
La demande initiale a été rejetée quand un analyste de la banque a remarqué que l’adresse inscrite au formulaire était différente de celle du rapport de solvabilité du plaignant. Selon les notes de la banque sur le compte, l’imposteur a confirmé l’adresse de même que des détails supplémentaires contenus sur le formulaire au cours d’une conversation téléphonique avec un représentant de la banque. Quelques jours plus tard, l’imposteur a remplacé l’adresse du compte par une adresse d’une autre ville.
Plus tard le même mois, l’imposteur est retourné au magasin pour effectuer un achat. Le magasin a téléphoné à la banque pour faire autoriser un achat dont le montant obligeait l’acheteur à fournir une pièce d’identité. Selon les notes de la banque sur le compte, le détenteur de la carte a présenté une carte de citoyenneté canadienne. Le représentant du service de crédit de la banque a confirmé tous les renseignements auprès du détenteur de la carte et en a informé le marchand.
La banque affirme que son représentant du service de crédit avait toutefois des doutes et qu’il a alerté le service de sécurité relativement à ce compte. Malgré ces doutes, la banque a autorisé l’achat. Le service de sécurité de la banque a cependant mené une enquête le même jour et a demandé au magasin une copie de la pièce d’identité que le client avait présentée (une carte de citoyenneté canadienne). En examinant une photocopie de la carte de citoyenneté, le Commissariat a découvert une différence de 30 ans entre l’année de naissance indiquée sur la carte de citoyenneté et celle indiquée dans le rapport de solvabilité du client. Cette anomalie n’a pas été relevée par l’enquêteur de la banque en matière de fraudes.
Selon la banque, son service de sécurité a tenté de téléphoner à la personne en utilisant le numéro contenu au dossier. Ces tentatives se sont avérées vaines. De toute évidence, le numéro fourni par l’imposteur était faux. La banque a gelé le compte pour qu’aucun autre achat ne soit autorisé. Aucune correspondance de suivi n’a été envoyée, bien que des états de compte mensuels aient été envoyés à l’adresse figurant au dossier. Une instruction à l’égard du compte original prévoyait le transfert de tous les appels concernant ce compte au service de sécurité. La banque a indiqué que cette note ne visait pas le nouveau compte créé quand le compte original a été fermé en raison du non‑paiement de la carte de crédit. (La création d’un compte de remplacement est pratique courante à cette banque.)
Comme la note demandant d’acheminer tous les appels au service de sécurité concernait le compte original et non le compte de remplacement, le compte de remplacement a été traité par le système comme tout compte régulier pour lequel les paiements n’ont pas été effectués. Le compte a fini par être confié à une agence de recouvrement. La banque allègue avoir fourni de bonne foi à l’agence de recouvrement les renseignements personnels contenus dans la demande de crédit, sans savoir que la demande n’avait pas été faite par le plaignant.
La banque a fourni ses procédures en cas de fraude au Commissariat. Elles décrivent les étapes suivies par les enquêteurs lorsqu’il est établi qu’un compte a été ouvert ou utilisé de manière frauduleuse. Toutefois, il ne semble pas que le service de sécurité ait conclu à la fraude avant que le compte ne soit transféré à une agence de recouvrement.
Quelques mois après l’achat, le plaignant a été avisé par le système d’alerte crédit d’une autre banque que quelqu’un avait volé son identité et utilisé ses renseignements personnels pour ouvrir un compte de carte de crédit de magasin avec lequel plus de 9 000 $ de marchandises avaient été achetées. Le plaignant a communiqué avec la banque pour l’informer de la carte non autorisée et pour signaler la fraude. La banque a immédiatement mené une enquête et a signalé le compte comme frauduleux. Elle a aidé le plaignant en lui fournissant les coordonnées de deux agences de crédit afin que celles-ci puissent marquer son dossier comme un cas de fraude. La banque a également assumé la perte financière du solde du compte.
Quelques semaines plus tard, le plaignant a contacté la banque pour l’aviser qu’il avait reçu des appels d’une agence de recouvrement tentant de recouvrer la dette portée à la carte de crédit. Le jour suivant, la banque a communiqué avec l’agence de recouvrement pour reprendre d’urgence le dossier, car il s’agissait de fraude.
Le plaignant tient la banque responsable d’avoir permis à une personne d’obtenir une carte de crédit de magasin à son nom sans procéder aux vérifications d’usage. Il croit également que la banque a communiqué ses renseignements personnels de manière inappropriée à l’agence de recouvrement, laquelle, allègue-t-il, l’a harcelé en tentant de recouvrer une dette dont il n’était pas responsable.
Conclusions
Rendues le 15 mars 2007
Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.6 prévoit que les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise ce point en stipulant que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :
- Le Commissariat ne sait pas avec certitude quelle pièce d’identité a été présentée au moment de la demande de carte de crédit. Il sait que le nom, la date de naissance et le NAS qui ont été fournis sont ceux du plaignant. La banque a d’abord rejeté la demande, car l’adresse fournie par la personne ne concordait pas avec celle indiquée dans le rapport de solvabilité. Après avoir parlé avec l’imposteur, qui a fourni les bons renseignements, la banque a approuvé l’émission de la carte de crédit.
- Plus tard, lorsque l’imposteur a désiré effectuer un achat, le magasin a communiqué avec la banque pour obtenir son autorisation. Bien que le représentant du service de crédit de la banque ait eu des soupçons suffisants sur le détenteur de la carte pour signaler ce compte au service de sécurité, il a néanmoins autorisé l’achat. En ne signalant pas ses soupçons immédiatement et en autorisant l’achat, la transaction de 9 000 $ au nom du plaignant a été traitée.
- Le service de sécurité de la banque a mené sa propre enquête au moment de l’achat de 9 000 $, enquête au cours de laquelle il a obtenu une copie de la carte de citoyenneté présentée au magasin par l’acheteur. Les enquêteurs du service des fraudes n’ont pas remarqué qu’il y avait une différence de 30 ans entre l’année de naissance indiquée sur la carte de citoyenneté et celle du rapport de solvabilité du plaignant.
- Le service de sécurité de la banque a gelé le compte et tenté, en vain, de communiquer avec le détenteur de la carte. Selon la banque, le compte a été gelé parce que la séquence d’événements était suspecte (un changement d’adresse effectué peu après l’ouverture du compte, rapidement suivi d’un achat important). La commissaire adjointe a présumé que la différence entre les dates de naissance n’était pas une des raisons qui ont motivé le gel du compte.
- La banque a admis que la note placée par le service de sécurité dans le compte original, indiquant que tous les appels concernant ce compte devaient être acheminés au service de sécurité, n’apparaissait pas dans le compte de remplacement créé lorsque le compte original a été fermé pour cause de non‑paiement. La commissaire adjointe a tenu le raisonnement que si une telle note avait été insérée, quelqu’un aurait pu être sensibilisé au fait que ce compte semblait louche et pouvait impliquer de la fraude. Plus encore, si le service de sécurité de la banque avait remarqué la différence entre la date de naissance indiquée sur la carte de citoyenneté et celle contenue dans le rapport de solvabilité, il aurait vraisemblablement considéré ce compte comme ayant été ouvert de manière frauduleuse et le compte n’aurait pas été envoyé à l’agence de recouvrement.
- Quant au transfert des renseignements personnels du plaignant à une agence de recouvrement, le plaignant y a fait référence comme étant une « communication ». La commissaire adjointe a fait observer que ce n’était pas là une « communication » au sens que lui attribue le Commissariat, mais plutôt une « utilisation », car la banque était encore responsable de la dette.
- La banque a allégué que les mesures prises concernant le traitement du compte et son transfert à une agence de recouvrement ont été faites de bonne foi, ne croyant pas qu’il s’agissait d’un cas de vol d’identité. La commissaire adjointe a toutefois souligné que, d’après la séquence des événements, la banque a omis au moins à deux reprises de mieux protéger les renseignements personnels du plaignant et d’en empêcher l’utilisation non autorisée. Premièrement, elle a autorisé un achat de 9 000 $ malgré les soupçons du représentant du service de crédit. Le représentant aurait dû refuser l’achat. Selon la banque, ses représentants devraient maintenant acheminer immédiatement tout appel du genre au service de sécurité. Deuxièmement, pendant sa propre enquête, la banque aurait dû remarquer que les renseignements fournis par l’imposteur étaient incorrects (année de naissance). La commissaire adjointe a conclu qu’en manquant ces deux occasions, la banque n’avait pas protégé les renseignements personnels du plaignant et les avait transmis à l’agence de recouvrement à son insu et sans son consentement pour recouvrer une dette qui n’était pas la sienne. Pour ces raisons, les principes 4.3, 4.6, 4.7 et 4.71 ont été enfreints.
- La commissaire adjointe a recommandé que la banque fournisse une formation additionnelle à son personnel sur les processus de vérification afin qu’il puisse mieux détecter les cas de fraude. En raison de la différence entre l’année de naissance indiquée sur la carte de citoyenneté et celle contenue dans le rapport de solvabilité, des mesures doivent être prises pour prévenir la répétition de ce type de cas.
- La banque a resserré ses procédures d’authentification et de vérification des clients. Elle a de plus entrepris d’examiner les Lignes directrices en matière d’identification et d’authentification du Commissariat pour déterminer si d’autres changements s’avéraient nécessaires. La banque a également dispensé une formation additionnelle à son personnel à l’égard de ces procédures.
Convaincue que la banque avait respecté ses obligations en vertu de la Loi, la commissaire adjointe a conclu que les plaintes étaient fondées et résolues.
Voir aussi
#374 État de compte de carte de crédit télécopié par la banque à un imposteur
#27 Un homme conteste en principe le programme d’identification de la banque
- Date de modification :