1 Commentaire sur la décision M`Boutchou c. Banque de Montréal

Commentaire sur la décision M’Boutchou c. Banque de Montréal – Obligation de la
banque de vérifier l’identité et l’authentification de son client
Résumé
L’auteur analyse cette décision dans laquelle la Cour supérieure retient la responsabilité d’une
banque au motif que celle-ci a manqué à son obligation de prudence et de diligence lors de
l’identification et l’authentification d’un donneur d’ordre d’un transfert électronique de fonds
international frauduleux.
INTRODUCTION
Quel est le standard auquel est tenu le banquier lorsqu’il examine une demande de transfert
électronique de fonds? Ce standard, qui se fonde sur l’obligation de moyens, est en quelque
sorte évolutif en raison de plusieurs variables, dont les nouvelles technologies et les
transactions internationales. Les juges sont aujourd’hui confrontés à des fraudes dont, hier
encore, nul n’aurait deviné la teneur en raison du raffinement des arnaques bancaires. À titre
d’illustration, les fraudes bancaires se concentrent principalement sur le clonage de cartes de
paiement1, sur la falsification de chèques (même certifiés) et de traites bancaires2, sur le
blanchiment d’argent par Internet et sur les transferts électroniques de fonds. Dans la décision
M’Boutchou c. Banque de Montréal3, le juge Jean-Yves Lalonde indique que « les transactions
à distance par messages génèrent un facteur de risque plutôt élevé qui commande aux
banques une obligation de prudence et de diligence accrue4 ». Il condamne donc la banque à
verser à M. M’Boutchou 60 000 $ en dommages compensatoires et 10 000 $ en dommages
moraux pour avoir failli à bien identifier et authentifier le donneur d’ordre d’un virement bancaire
international frauduleux.
*
1
2
3
4
Me Marc Lacoursière est professeur à la Faculté de droit de l'Université Laval. Ce commentaire a été publié
dans Droit civil en ligne : (2009) Repères, EYB2009REP837.
Sur cette question, voir généralement Marc LACOURSIÈRE, « Propositions de réforme pour une protection
des titulaires de cartes de débit victimes de transferts de fonds non autorisés : perspectives de réforme »,
(2009) 54 Revue de droit de McGill 3.
Banque Nationale du Canada c. Bédard, EYB 2006-112224 (C.S.), conf. par EYB 2008-131360 (C.A.).
EYB 2008-150981(C.S.).
Ibid., par. 53.
1
I– LES FAITS
M. Raphael M’Boutchou est un citoyen canadien d’origine gabonaise. Bien qu’il demeure au
Gabon, ses affaires et ses enfants lui offrent l’opportunité de venir régulièrement au Canada. En
septembre 2005, il ouvre deux comptes bancaires à la Banque de Montréal (« BMO » ou « la
banque »), soit un compte courant et un compte d’épargne. Lors de l’ouverture de ce dernier
compte, il y dépose la somme de 178 000 $ en argent canadien. Il effectue par la suite plusieurs
transactions dans ses comptes.
Le 14 novembre 2005, la banque reçoit par télécopieur une première demande de
virement de fonds au profit d’un bénéficiaire thaïlandais. Ce virement provient apparemment de
M. M’Boutchou, qui se trouverait présumément au Gabon. Cette demande est refusée par la
banque en raison de l’absence de l’autorisation écrite de M. M’Boutchou, celle-ci étant requise
dans un formulaire prévu à cette fin (formulaire LF-405). Le donneur d’ordre récidive le 1er
décembre suivant en demandant à la banque, par téléphone, de lui faire parvenir une copie de
ce formulaire afin qu’il le signe et le lui retourne. La banque donne suite à cette requête. Le 6
décembre en soirée, la banque reçoit une deuxième demande de transfert électronique de
fonds de 60 000 $, laquelle est traitée le lendemain matin. Cette demande comporte alors une
signature qui paraît identique à celle de M. M’Boutchou.
En effet, une employée de la banque compare la signature qui apparaît sur le formulaire
LF-405 avec les photocopies du passeport et du permis de conduire de M. M’Boutchou. Afin de
s’assurer de son authenticité, elle communique à l’étranger avec le signataire, qu’elle croit être
M. M’Boutchou, et lui pose des questions à caractère personnel pour confirmer le tout.
L’employée de la banque constate alors que le formulaire LF-405, qui se trouve bien au dossier,
identifie bien le donneur d’ordre et son adresse. Le directeur de la succursale contre-vérifie
également l’authenticité des signatures. La date de réception du formulaire LF-405 n’est pas
indiquée sur celui-ci, mais trois employés de la banque et le directeur présument qu’il s’agit du 7
décembre et y indiquent cette date.
Puisque le compte courant n’est pas suffisamment provisionné pour que la banque puisse
y débiter 60 000 $, cette dernière, sur demande et confirmation par téléphone du donneur
d’ordre, c’est-à-dire le fraudeur, accepte de transférer cette somme à partir du compte en
banque de M. M’Boutchou à son compte courant.
Or, le 6 décembre, soit au moment de l’envoi du formulaire, le demandeur n’était pas à
l’étranger, mais bel et bien à Montréal! Le juge note que ce dernier a effectué un retrait de 500 $
2
au guichet automatisé de la banque à Montréal le 14 novembre, soit la date de la première
tentative de virement. Le 7 décembre, M. M’Boutchou s’est même présenté à la succursale de
la banque pour y retirer 3 000 $ et effectuer un virement de 5 000 $.
M. M’Boutchou constate la fraude vers la fin du mois de décembre, lorsque deux chèques
sont refusés au paiement pour cause de fonds insuffisants. Après avoir obtenu de la banque
une copie des documents qui ont servi à la fraude, il met la BMO en demeure de le rembourser.
La BMO refuse d’acquiescer à cette demande, car elle soutient que M. M’Boutchou a
participé à la fraude. De son côté, M. M’Boutchou prétend que la banque a « grossièrement
reproduit sa signature sur la convention autorisant les transferts de fonds5 ».
II– LA DÉCISION, L’EXPOSÉ DU DROIT ET LE COMMENTAIRE DE L’AUTEUR
Avant d’aborder la question de fond, il faut noter que le juge Lalonde rejette les allégations des
parties, et ce, tant pour ce qui est de la participation de M. M’Boutchou à la fraude que pour
l’imitation de sa signature par la banque. Il conclut donc rapidement que la fraude est « l’œuvre
d’un tiers6 ».
L’analyse du juge porte donc sur une seule question, à savoir si la banque a agi de
manière prudente et négligente dans le traitement du virement de fonds. Cette question requiert
l’analyse de l’obligation de la banque lors de l’identification et de l’authentification de son client
qui la mandate d’exécuter un ordre de paiement7.
Un transfert électronique de fonds constitue un ordre de paiement donné par un donneur
d’ordre à sa banque de payer un bénéficiaire. Il s’agit en quelque sorte d’un jeu d’écritures, où la
banque du donneur d’ordre débite le compte de son client et où la banque du bénéficiaire crédite
le compte du bénéficiaire du virement. Le virement est qualifié de mandat accordé par le donneur
d’ordre à sa banque8. L’article 1564, al. 2 C.c.Q. prévoit que, pour être libératoire, le paiement doit
avoir été accepté par le créancier (bénéficiaire). Ce type de paiement est un transfert de crédit,
car le donneur d’ordre initie le paiement en le « poussant » vers le bénéficiaire. Contrairement au
5
6
7
8
Ibid., par. 54.
Ibid., par. 55.
Aux fins de ce commentaire de jurisprudence, nous nous concentrerons sur l’obligation de la banque
expéditrice dans l’identification et l’authentification de son client. Nous nous abstiendrons donc de discuter de
l’obligation de cette banque d’identifier la banque du bénéficiaire et le bénéficiaire, puisque ces questions ne
font pas l’objet du débat soulevé par la décision commentée.
Nicole L’HEUREUX, Édith FORTIN et Marc LACOURSIÈRE, Droit bancaire, 4e éd., Cowansville, Yvons Blais,
2004, no 3.28, p. 658 et 659.
3
chèque, qui est un transfert de débit réglementé par la Loi sur les lettres de change9, le virement
bancaire n’est pas réglementé au Canada. L’assujettissement à cette loi est strictement réservé
aux effets de commerce, excluant ainsi les paiements électroniques, et ce, autant en raison de
plusieurs exigences, dont une signature manuscrite originale (et non une photocopie) sur l’effet de
paiement, que du mécanisme de paiement lui-même, qui doit être un transfert de débit. Au fil des
ans, les juges se sont inspirés à la fois des règles du droit commun et de l’article 4A du Uniform
Commercial Code des États-Unis pour déterminer les obligations des parties. Cette loi modèle a
été codifiée dans le corpus législatif de tous les États aux États-Unis et peu de décisions ont été
rapportées par les tribunaux concernant les cas d’erreur ou de fraude par transferts électroniques
de fonds10.
Lors d’un transfert électronique de fonds non autorisé, la responsabilité est déterminée
comme suit. D’abord, la banque est responsable pour le transfert non autorisé. Toutefois, le
risque sera transmis au client si la banque a respecté un protocole de sécurité
commercialement raisonnable. Le risque pourrait revenir à la banque si la fraude est commise
par un tiers ou s’il en a été convenu ainsi entre les parties11.
Dans la décision commentée, le litige consiste à évaluer le standard requis pour une
banque qui doit émettre un ordre de transfert électronique de fonds vers un bénéficiaire situé à
l’étranger. À ce sujet, le juge s’exprime comme suit :
Il faut se méfier de la vision parfaite (20/20) que procure un examen a posteriori des
faits ou celle d’un examen subséquent par un expert. Les événements doivent être
examinés comme ils ont été perçus par les employés de la banque à l’époque où
l’incident est survenu.
L’obligation de vérification, sans être irréprochable, doit être celle d’une personne
prudente et soigneuse ayant à cœur l’intérêt du client.12
Comme nous l’avons mentionné plus haut, le juge Lalonde ajoute que « les transactions à
distance par messages génèrent un facteur de risque plutôt élevé qui commande aux banques
une obligation de prudence et de diligence accrue13 ».
Un parallèle doit être dressé entre le litige en l’espèce et la décision Banque Nationale du
Canada c. Bédard14. Dans cette cause, la banque n’avait pas retenu les fonds d’une traite
9
10
11
12
L.R.C. (1985), c. B-4.
Royal Bank of Canada c. Stangl, [1992] O.J. no 378 (Div. Gén. Ont.).
Benjamin GEVA, The Law of Electronic Funds Transfer, New York, LexisNexis, 2008, no 2.05[1], p. 2-77.
Par. 46 et 47 de la décision commentée.
4
bancaire de 1,5 million de dollars américains en provenance du Zimbabwe. Lorsque la banque a
appris que la traite s’était révélée frauduleuse, elle a débité le compte du client. Le tribunal de
première instance, à la décision duquel a concouru la Cour d’appel, a mentionné que le client
aurait accepté que la banque retienne les fonds durant quelques jours et que, dans ces
circonstances, la préposée de la banque a commis une négligence grave en acceptant le dépôt
de cette traite15. Le juge a souligné que l’omission de vérifier l’authenticité de la traite bancaire
déposée par le client « a donné à celui-ci un faux sentiment de sécurité en lui indiquant que les
fonds étaient immédiatement disponibles16 » (nos italiques).
Il ne fait aucun doute qu’il faille conclure que l’intensité de l’obligation de la banque
devient plus importante lorsque cette dernière est confrontée à un transfert de fonds
international, que ce soit par un effet de commerce ou par un virement électronique17. Partant,
les obligations de la banque du donneur d’ordre, parfois appelée banque expéditrice, se
résument à ce qui suit18.
D’abord, elle doit vérifier l’authenticité du client, c’est-à-dire vérifier qu’il est bien
l’expéditeur de l’ordre19. Elle doit également s’assurer que l’ordre ne comporte aucune anomalie
et que les chiffres et les lettres concordent. L’ordre doit être exécuté sans erreur et dans un
délai raisonnable. Enfin, la banque doit transférer les fonds au véritable bénéficiaire. Il est
reconnu que la banque a une obligation de moyens.
L’identification et l’authentification du donneur d’ordre par la banque expéditrice devraient
être effectuées suivant un protocole bien établi. À cet égard, il convient de souligner les Lignes
directrices en matière d’identification et d’authentification établies par le Commissariat à la
protection de la vie privée du Canada (« Commissariat ») afin de prévenir le vol d’identité et les
conséquences désastreuses qui peuvent en découler20. Ces lignes, proposées conformément à
la Loi sur la protection des renseignements personnels et les documents électroniques21,
13
14
15
16
17
18
19
20
21
Ibid., par. 53.
Précitée, note 2.
Ibid., par. 86.
Ibid., par. 101. Voir également Banque de Montréal c. Legault, REJB 2003-39277 (C.A.).
Voir généralement Arthur OULAÏ, Contribution à la recherche d’une harmonisation dans le traitement juridique
des risques reliés aux transferts électroniques de fonds à caractère commercial, thèse de doctorat, Québec,
Faculté de droit, Université Laval, 2002.
N. L’HEUREUX, É. FORTIN et M. LACOURSIÈRE, op. cit., note 8, no 3.30(b), p. 663.
L’autorisation devrait être effectuée par écrit. Au sujet de l’autorisation verbale, voir El-Zayed c. Bank of Nova
Scotia, [1988] N.S.J. no 424, 87 N.S.R. (2d) 171 (N.S. S.C. – T.D.).
COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Lignes directrices en matière
d’identification
et
d’authentification,
octobre
2006,
en
ligne :
<http://www.priv.gc.ca/information/guide/auth_061013_f.cfm>.
L.C. 2000, c. 5, art. 5 et Annexe 1.
5
prévoient quelques balises pour aider les entreprises lors de l’identification et l’authentification
de leurs clients22. Le Commissariat indique ce qui suit :
Les discussions sur l’authentification portent souvent sur ces trois facteurs de base (c’està-dire sur les trois types d’éléments d’information qui peuvent servir à authentifier une
personne) :
 quelque chose que la personne connaît (par exemple, un mot de passe, un numéro
d’identification personnel ou NIP, un numéro de compte, une couleur préférée, le nom
du premier animal de compagnie);
 quelque chose que la personne possède (par exemple, une carte bancaire, un jeton
d’authentification, une carte d’identité, un certificat d’utilisateur numérisé);
 quelque chose qui fait partie de la personne (par exemple, un trait biométrique comme
son visage, sa rétine ou sa voix) ou que seule cette personne peut faire (comme sa
signature). 23
(En italique et caractère gras dans l’original)
La gestion du risque est fondamentale à toute entreprise. Celle-ci doit évaluer la
probabilité que ce risque survienne et, le cas échéant, en prévoir la gravité. L’identification et
l’authentification d’un client constituent un élément de plus en plus important qu’une entreprise
doit considérer pour gérer efficacement son risque. La sensibilité des informations à protéger
détermine le nombre de facteurs requis pour la protection des renseignements personnels afin
d’éviter le risque d’usurpation d’identité. Le Commissariat note que « [d]es services financiers
qui permettent de donner des directives de paiement et de transférer des sommes importantes
à des tiers peuvent exiger un processus d’authentification à deux facteurs24 ». À première vue,
le comportement de la banque en l’espèce semble respecter les liges directrices du
Commissariat, puisque la préposée a vérifié les documents personnels et les signatures du
client et qu’elle lui a posé des questions à caractère personnel (croyant à tort qu’il s’agissait de
M. M’Boutchou).
Toutefois, il est instructif d’observer qu’aux États-Unis, le Uniform Commercial Code
(UCC) prévoit expressément un protocole exprimé dans un manuel de procédure interne de la
banque et qui exige que les banques suivent une procédure de sécurité commercialement
22
23
24
Les lignes directrices mentionnent que l’identification signifie simplement donner son nom, alors que
l’authentification consiste à vérifier cette déclaration. Op. cit., note 20, p. 1.
Ibid.
Préc., note 20.
6
raisonnable lors de l’identification d’un client qui ordonne un transfert de fonds. Ce concept, qui
se retrouve aux articles 4A-20125 et 4A-202 du UCC26, est d’origine américaine et a été importé
par l’Association canadienne des paiements dans la Règle H1. Nous examinerons maintenant
le droit américain et sa transposition dans la Règle H1 pour voir ensuite de quelle manière ces
dispositions législatives sont susceptibles d’aider à cerner cette obligation d’identification et
d’authentification dans la décision examinée en l’espèce.
L’article 4A-201 indique que la simple comparaison de signature ne constitue pas en soi
une procédure de sécurité, mais que la banque doit utiliser d’autres méthodes, comme les mots
d’identification, le cryptage de données ou, encore, le rappel téléphonique. L’article 4A-202(b)
oblige la procédure de sécurité utilisée par la banque à être « commercialement raisonnable »
pour contrer les transferts de fonds non autorisés. Le paragraphe (c) précise que ce concept est
une question de droit qui doit être déterminée par « the wishes of the customer expressed to the
bank, the circumstances of the customer known to the bank, including the size, type, and
25
26
L’article 4A-201 (Security Procedure) mentionne ce qui suit :
‘’ Security procedure ‘’ means a procedure established by agreement of a customer and a receiving bank for
the purpose of (i) verifying that a payment order or communication amending or cancelling a payment order is
that of the customer, or (ii) detecting error in the transmission or the content of the payment order or
communication. A security procedure may require the use of algorithms or other codes, identifying words or
numbers, encryption, callback procedures, or similar security devices. Comparison of a signature on a
payment order or communication with an authorized specimen signature of the customer is not by itself a
security procedure.
L’article 4A-202 (Authorized and Verified Payment Orders) mentionne ce qui suit :
(a) A payment order received by the receiving bank is the authorized order of the person identified as sender if
that person authorized the order or is otherwise bound by it under the law of agency.
(b) If a bank and its customer have agreed that the authenticity of payment orders issued to the bank in the
name of the customer as sender will be verified pursuant to a security procedure, a payment order received by
the receiving bank is effective as the order of the customer, whether or not authorized, if (i) the security
procedure is a commercially reasonable method of providing security against unauthorized payment orders,
and (ii) the bank proves that it accepted the payment order in good faith and in compliance with the security
procedure and any written agreement or instruction of the customer restricting acceptance of payment orders
issued in the name of the customer. The bank is not required to follow an instruction that violates a written
agreement with the customer or notice of which is not received at a time and in a manner affording the bank a
reasonable opportunity to act on it before the payment order is accepted.
(c) Commercial reasonableness of a security procedure is a question of law to be determined by considering
the wishes of the customer expressed to the bank, the circumstances of the customer known to the bank,
including the size, type, and frequency of payment orders normally issued by the customer to the bank,
alternative security procedures offered to the customer, and security procedures in general use by customers
and receiving banks similarly situated. A security procedure is deemed to be commercially reasonable if (i) the
security procedure was chosen by the customer after the bank offered, and the customer refused, a security
procedure that was commercially reasonable for that customer, and (ii) the customer expressly agreed in
writing to be bound by any payment order, whether or not authorized, issued in its name and accepted by the
bank in compliance with the security procedure chosen by the customer.
(d) The term ”sender” in this Article includes the customer in whose name a payment order is issued if the
order is the authorized order of the customer under subsection (a), or it is effective as the order of the
customer under subsection (b).
(e) This section applies to amendments and cancellations of payment orders to the same extent it applies to
payment orders.
(f) Except as provided in this section and in Section 4A-203(a)(1), rights and obligations arising under this
section or Section 4A-203 may not be varied by agreement.
7
frequency of payment orders normally issued by the customer to the bank, alternative security
procedures offered to the customer, and security procedures in general use by customers and
receiving banks similarly situated ».
Dans la décision Regatos c. North Fork Bank27, le donneur d’ordre brésilien a transmis un
ordre de paiement de 600 000 $ directement par télécopieur à la North Fork Bank de Sao Paolo
(Brésil) et a ensuite confirmé le tout par téléphone. Cette banque a fait suivre l’ordre par
télécopieur à la succursale de Long Island (N.Y.) avec la signature manuscrite qui apparaissait
sur le télécopieur. Le donneur d’ordre a allégué un transfert non autorisé. Le tribunal de
première instance a jugé que la procédure était sécuritaire et commercialement raisonnable. En
outre, l’ordre était valide et conforme à la procédure sécuritaire, car il était signé, il y avait eu un
appel téléphonique de confirmation et la comparaison des signatures était positive. Le juge
ajoute que la préposée de la banque pouvait reconnaître la voix du client. La Cour d’appel du 2e
Circuit a infirmé cette décision sur une question de procédure, en mentionnant que le délai pour
porter plainte, délai fixé à un an, ne pouvait être réduit à 15 jours. Étrangement, cette cause a
fait jurisprudence aux États-Unis. Dans la décision Braga Filho c. Interaudi Bank28, la Cour du
district de New York a considéré comme des mesures commercialement raisonnables
l’identification du donneur d’ordre par un télécopieur, la comparaison des signatures, la
confirmation par un appel téléphonique du client, soit la réponse de ce dernier à des questions
d’ordre personnel (c’est-à-dire le nom de jeune fille de la mère) ou un numéro d’identification et
le dernier dépôt effectué. Comme l’affirme la Cour, ces mesures ressemblaient à celles de la
décision Regatos, mais l’appel téléphonique de confirmation effectué par le client devait être fait
à un employé de la banque préalablement identifié, afin que ce dernier puisse plus facilement
reconnaître la voix du client en cas de différend.
Le Commentaire n° 4 sous-jacent aux articles 4A-202/4A-203 mentionne ce qui suit :
It is appropriate to make the finding concerning commercial reasonability a matter of law
because security procedures are likely to be standardized in the banking industry and a
question of law standard leads to more predictability concerning the level of security that a
bank must offer to its customers.
(Nos italiques)
Si la qualification des mesures de sécurité commercialement raisonnables en tant que
question de droit tient à l’importance d’obtenir des standards certains et prévisibles, il faut
27
257 F. Supp. 2d 632 (S.D.N.Y., 2003).
8
néanmoins souligner que la conformité de la banque à son protocole, soit à ses mesures de
sécurité, constitue plutôt une question de fait29. À l’instar du professeur Benjamin Geva30, nous
doutons fortement que les mesures de sécurité dans Regatos et dans Braga Filho aient été
véritablement sécuritaires, puisqu’aucun mot de passe n’était exigé.
Au Canada, la Règle H1 – Débits préautorisés de l’ACP a récemment été modifiée pour
définir la notion de mesures de sécurité commercialement raisonnables31. Cette règle vise
spécifiquement les débits préautorisés et ne s’applique pas aux transferts électroniques de
fonds internationaux. Le principe sous-jacent à cette disposition peut toutefois être utile pour
analyser les mesures de sécurité prises par la banque. L’article 5(a) de cette règle définit une
autorisation comme suit :
Signature, ratification ou adoption assimilée par un payeur, y compris, sans limitation,
utilisation d’une combinaison d’ID d’utilisateur/mot de passe ou d’une autre méthode
commercialement raisonnable, dont l’objet est de signifier le consentement et/ou l’accord
du payeur conformément aux lois pertinentes; « autorisé » a le sens correspondant.
(Nos italiques).
Il n’existe aucune interprétation prétorienne de cette disposition, mais une analyse de
texte laisse croire que l’expression « autre méthode commercialement raisonnable » pourrait
signifier que les méthodes énumérées doivent également être commercialement raisonnables.
Pour saisir la nuance, il faut lire l’alinéa (e)(2) de l’article 5 qui définit comme suit l’expression
« commercialement raisonnable » :
Terme servant à décrire certaines procédures de sécurité, et plus particulièrement la
vérification de l’identité d’une personne, dont le caractère raisonnable peut, en définitive,
être établi par une cour de justice à la lumière des objets de la procédure et des
circonstances commerciales existant au moment où la procédure a été utilisée, y compris,
sans limitation (...)
(Nos italiques)
Ainsi, la méthode commercialement raisonnable vise « certaines procédures de sécurité »
et inclut la vérification de l’identité d’une personne, c’est-à-dire le donneur d’ordre.
28
29
30
31
2008 WL 1752693 (S.D.N.Y.), 65 UCC Rep. Serv. 2d 1038.
Centre-Point Merchant Bank c. American Express Bank, 2000 WL 1772874, 43 UCC Rep. Serv. 2d 372
(S.D.N.Y., 2000).
B. GEVA, préc., note 11, no 2.05[4], p. 2-82.16.
ACP, Règle H1 – Débits préautorisés, 2008, en ligne : <http://www.cdnpay.ca/rules/pdfs_rules/rule_h1_fr.pdf>.
9
L’alinéa (e)(2) fournit une énumération de quelques exemples non limitatifs de méthodes
commercialement raisonnables de vérification :
i. la demande de plusieurs formes de renseignements sur l’identité, et la
confirmation de ces renseignements dans les bases de données des clients;
ii. l’obtention de renseignements des bases de données de bureaux de crédit ou de
tiers, suivie de la demande au payeur de répondre à certaines questions tirées
de ces bases de données;
iii. l’envoi au payeur d’un élément d’information particulier à une adresse vérifiée de
façon indépendante, soit en direct soit en différé, suivi d’une demande au payeur
de confirmer ce renseignement;
iv. l’utilisation de l’identification du demandeur (au téléphone); et
v. l’utilisation de méthodes biométriques comme la reconnaissance de la voix.
L’affaire Regatos rappelle la décision qui fait l’objet du présent commentaire. Les mesures
de sécurité avaient trait à l’appel téléphonique de confirmation, à la comparaison des signatures
et à la reconnaissance de la voix par une employée de la banque. Il faut se rappeler que, selon
l’article 4A-201, la comparaison des signatures n’est pas une méthode de sécurité
commercialement raisonnable en soi. Dans la décision de première instance de cette cause,
infirmée en appel sur une question de procédure, il a été jugé que l’appel téléphonique de
confirmation et la reconnaissance de la voix par la préposée constituaient une méthode
commercialement raisonnable et suffisante. Le client transmettait ses ordres de transferts de
fonds par télécopieur et confirmait ensuite par téléphone. Il est donc fort possible que la
préposée de la banque ait pu reconnaître la voix de Regatos, surtout que celui-ci procédait
régulièrement de cette façon. Cette histoire, qui s’est déroulée en 2001, laisse perplexe si l’on
tient compte qu’aucun mot de passe n’était exigé, et ce, malgré les avancés technologiques du
début des années 200032. En l’espèce, rien dans la décision n’indique que M. M’Boutchou
effectuait régulièrement ses opérations en personne ou par téléphone. De plus, il serait
surprenant que la préposée ait pu se souvenir de sa voix. Dans son jugement, le juge Lalonde
mentionne ce qui suit :
32
Le juge de première instance avait d’ailleurs souligné cet aspect.
10
Deux méthodes semblent se démarquer avec comme objectif de sécuriser le
processus d’identification et de transmission des données par la technologie
internaute.
Il
s’agit
de
l’identification
biométrique
(qui
se
rapporte
aux
caractéristiques d’une personne) et la cryptographie à clé publique (technique qui
assure la sécurité durant la transmission de l’information). Bien sûr, ce serait placer
la barre trop haute que d’exiger, en l’instance, que BMO ait été munie de cette
technologie en 2005. Mais à l’aube d’une économie instable, d’une période de
resserrement du crédit et de difficultés financières, ne serait-il pas approprié que le
plus haut niveau de sécurité protège les transactions électroniques faites par les
clients des institutions financières?33
Tout en reconnaissant les bienfaits de l’identification biométrique, le juge refuse donc
d’accorder le statut de standard bancaire à une histoire qui s’est déroulée en 2005. En se
questionnant s’il est maintenant approprié de hausser le niveau de sécurité, il faudrait se
rappeler l’article 5(e)(2)(v) de la Règle H1, qui indique que « l’utilisation de méthodes
biométriques comme la reconnaissance de la voix » est commercialement raisonnable,
reconnaissant ainsi implicitement que les développements technologiques permettent
maintenant de rehausser le standard de vérification de l’identité du donneur d’ordre d’un
virement de fonds.
En l’espèce, le protocole de la banque permettait-il de bien identifier le client qui ordonne
un transfert de fonds international? La banque a-t-elle suivi son protocole? Selon les faits
exposés dans le jugement, la démarche nécessaire à cette fin consiste à obtenir l’ordre de
virement (par télécopieur), un formulaire signé, une vérification de la signature, une vérification
téléphonique au moyen de questions à caractère personnel et une contre-vérification par un
supérieur. Comme le fait remarquer le juge, aucune vérification des transactions survenues
dans le compte en banque du client n’est exigée et rien ne permet de s’assurer que le
bénéficiaire soit bien identifié. Le jugement est silencieux au sujet de l’identification de la
banque du bénéficiaire, puisque ce point n’a pas soulevé de problème.
La décision Braga Filho a soulevé l’idée que la banque demande au client de confirmer
les informations pertinentes sur le dernier dépôt effectué, sous-entendant ainsi qu’elle a
rapidement accès à l’historique du compte du client. Cette mesure, en plus de celle suggérée
par le juge Lalonde, permettrait de rehausser la qualité de la vérification en dépit de l’absence
d’identification biométrique.
33
Par. 50 et 51 de la décision commentée.
11
CONCLUSION
Les institutions financières doivent être de plus en plus vigilantes lors de l’identification et de
l’authentification de leurs clients, en particulier lors de transactions internationales. Les criminels
usent d’escroqueries de plus en plus raffinées pour atteindre leurs fins. Dans M’Boutchou, le
juge Lalonde a souligné avec raison que la banque a fait défaut de respecter son obligation de
prudence et de diligence, puisqu’elle n’a pas réalisé que le client ne pouvait ordonner un
transfert de fonds à partir du Gabon alors qu’il se trouvait au même moment au guichet
automatisé de la succursale de la banque à Montréal… La prise en compte des Lignes
directrices en matière d’identification et d’authentification établies par le Commissariat à la
protection de la vie privée du Canada et des articles 4A-201 et 4A-202 du UCC pourrait aider
les institutions financières à mieux gérer le risque d’usurpation d’identité.
12