Une banque est jugée non responsable après qu’un nouveau compte a été ouvert au moyen de l’identité d’autrui

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-012

[Article 3; principe 4.6]

Un fraudeur s’est servi des pièces d’identité falsifiées d’un particulier pour ouvrir un compte bancaire au nom de ce dernier. Une fois la fraude découverte, la victime a réalisé que le fraudeur avait également utilisé une adresse et un numéro de téléphone invalides au moment de la demande d’ouverture du compte. Elle a déclaré que la banque aurait pu éviter la fraude et ses conséquences sur sa cote de solvabilité en vérifiant les renseignements personnels avant d’ouvrir le compte.

La commissaire adjointe a conclu que la plainte n’était pas fondée puisque la banque avait respecté les exigences relatives à la collecte de renseignements personnels au moment de l’ouverture de comptes pour de nouveaux clients, comme le prévoit la Loi sur les banques. La collecte et la vérification de l’adresse et du numéro de téléphone du demandeur ne sont pas exigées dans des circonstances normales. La banque aurait pu vérifier les renseignements, mais elle n’avait aucune raison, dans les circonstances, de se douter que les pièces d’identité fournies par le fraudeur étaient falsifiées.

Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

Un fraudeur a ouvert un compte bancaire dans une succursale d’une banque à charte canadienne en présentant comme pièces d’identité un passeport, une carte de citoyenneté et d’immigration, et une carte d’assurance sociale. Ces trois documents étaient falsifiés et chacun portait une fausse signature du plaignant. Le passeport et la carte de citoyenneté et d’immigration comportaient aussi une photo du fraudeur. De plus, sur la demande d’ouverture de compte de la banque, ce dernier avait fourni une fausse adresse et deux faux numéros de téléphone.

Après que la banque a ouvert le compte au nom du plaignant, le fraudeur a emprunté de l’argent au moyen de l’autorisation de découvert liée au compte et, ensuite, n’a pas versé les paiements requis. En communiquant avec le plaignant à ce sujet, la banque a découvert que les pièces d’identité fournies pour ouvrir le compte étaient fausses et qu’il ne s’agissait pas du compte du plaignant. L’incident a été signalé à la police et la banque a immédiatement communiqué avec les agences d’évaluation du crédit en vue de corriger les rapports de solvabilité du plaignant. Elle a aussi aidé ce dernier à obtenir un nouveau numéro d’assurance sociale.

Le plaignant a reconnu avoir perdu le contenu de son portefeuille plusieurs années auparavant sans jamais l’avoir retrouvé. En ce qui a trait à la situation actuelle, il était d’avis que la banque n’avait néanmoins pas fait d’efforts raisonnables pour vérifier l’exactitude des renseignements personnels et des pièces d’identité lorsqu’elle a ouvert le compte en son nom. Pour sa part, la banque affirme qu’elle était également victime de la fraude et que les pièces d’identité présentées par le fraudeur s’avéraient conformes à ses exigences relatives à l’ouverture de compte aux termes de la Loi sur les banques. Le Règlement sur l’accès aux services bancaires de base (DORS/2003‑184) établi en vertu de la Loi sur les banques précise les pièces d’identité qu’une banque doit exiger afin d’ouvrir un compte de dépôt. L’alinéa 4(1)a) stipule ce qui suit :

a) il doit produire :

(i) soit une pièce d’identité parmi celles énumérées à la partie A de l’annexe et une autre pièce d’identité parmi celles énumérées aux parties A et B de l’annexe,

(ii) soit une pièce d’identité parmi celles énumérées à la partie A de l’annexe, pourvu que son identité soit aussi confirmée par un client en règle de la banque membre ou un particulier jouissant d’une bonne réputation dans la communauté où la banque membre est située;

La partie A énumère dix pièces d’identité acceptables, toutes émises par un organisme gouvernemental canadien provincial ou fédéral. La partie B, quant à elle, énumère cinq autres pièces d’identité acceptables émises par d’autres organisations précises ou par un gouvernement étranger.

Le passeport canadien et la carte d’assurance sociale présentés par le fraudeur appartiennent au groupe de pièces d’identité acceptables selon la partie A.

Selon la partie C, une adresse peut satisfaire aux exigences de la réglementation si elle est transmise oralement ou par écrit. Le fraudeur a fourni une adresse par écrit.

Bien que les formulaires de demande de compte de la banque contiennent une case pour y inscrire les numéros de téléphone, le règlement d’application de la Loi sur les banques n’oblige pas les banques à les recueillir ni à les vérifier.

Conclusions

Rendues le 24 août 2009

Application : L’article 3 énonce que la présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Le principe 4.6 précise que les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

• Les renseignements et pièces d’identité recueillis au sujet du demandeur correspondaient aux normes de l’industrie et à la réglementation (c.‑à‑d. le règlement d’application de la Loi sur les banques). La banque a recueilli la quantité et le type appropriés de renseignements personnels à des fins d’ouverture de compte. Toutefois, le Commissariat reconnaît que, dans les cas où l’on soupçonne des activités frauduleuses réelles ou potentielles, les institutions financières peuvent exiger davantage de renseignements personnels qu’elles ne le font normalement.
• Même si la commissaire adjointe a reconnu les conséquences fâcheuses découlant du vol d’identité, elle est d’avis que la mise en cause ne peut, dans les circonstances, être tenue responsable de vérifier des renseignements personnels qui n’avaient encore jamais été consignés ou qui ne donnaient pas l’apparence d’avoir été falsifiés. Ni le plaignant ni le fraudeur n’était connu dans cette banque et les documents requis fournis par ce dernier à des fins d’identification portaient tous la même signature. Les photos ressemblaient à la personne qui s’était présentée pour ouvrir le compte. Par conséquent, les renseignements transmis au moyen de ces documents inciteraient quiconque à conclure qu’ils appartenaient au demandeur du compte.
• L’objet de la LPRPDE est d’assurer un équilibre entre le droit des personnes à la vie privée en ce qui a trait à leurs renseignements personnels et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. La banque aurait pu tenter de vérifier de manière indépendante l’adresse et les numéros de téléphone transmis par le fraudeur si elle avait des motifs raisonnables de soupçonner une fraude. Or, aucune raison apparente ne lui permettait de juger les circonstances suspectes.
• Enfin, la commissaire adjointe a noté que la banque avait immédiatement coopéré et offert son aide au plaignant lorsqu’il a constaté l’utilisation frauduleuse de ses renseignements personnels ainsi que l’atteinte à sa vie privée.

Conclusion

La commissaire adjointe a conclu que la plainte n’était pas fondée.