1 Commentaire sur la décision M`Boutchou c. Banque de Montréal
Transcription
1 Commentaire sur la décision M`Boutchou c. Banque de Montréal
Commentaire sur la décision M’Boutchou c. Banque de Montréal – Obligation de la banque de vérifier l’identité et l’authentification de son client Résumé L’auteur analyse cette décision dans laquelle la Cour supérieure retient la responsabilité d’une banque au motif que celle-ci a manqué à son obligation de prudence et de diligence lors de l’identification et l’authentification d’un donneur d’ordre d’un transfert électronique de fonds international frauduleux. INTRODUCTION Quel est le standard auquel est tenu le banquier lorsqu’il examine une demande de transfert électronique de fonds? Ce standard, qui se fonde sur l’obligation de moyens, est en quelque sorte évolutif en raison de plusieurs variables, dont les nouvelles technologies et les transactions internationales. Les juges sont aujourd’hui confrontés à des fraudes dont, hier encore, nul n’aurait deviné la teneur en raison du raffinement des arnaques bancaires. À titre d’illustration, les fraudes bancaires se concentrent principalement sur le clonage de cartes de paiement1, sur la falsification de chèques (même certifiés) et de traites bancaires2, sur le blanchiment d’argent par Internet et sur les transferts électroniques de fonds. Dans la décision M’Boutchou c. Banque de Montréal3, le juge Jean-Yves Lalonde indique que « les transactions à distance par messages génèrent un facteur de risque plutôt élevé qui commande aux banques une obligation de prudence et de diligence accrue4 ». Il condamne donc la banque à verser à M. M’Boutchou 60 000 $ en dommages compensatoires et 10 000 $ en dommages moraux pour avoir failli à bien identifier et authentifier le donneur d’ordre d’un virement bancaire international frauduleux. * 1 2 3 4 Me Marc Lacoursière est professeur à la Faculté de droit de l'Université Laval. Ce commentaire a été publié dans Droit civil en ligne : (2009) Repères, EYB2009REP837. Sur cette question, voir généralement Marc LACOURSIÈRE, « Propositions de réforme pour une protection des titulaires de cartes de débit victimes de transferts de fonds non autorisés : perspectives de réforme », (2009) 54 Revue de droit de McGill 3. Banque Nationale du Canada c. Bédard, EYB 2006-112224 (C.S.), conf. par EYB 2008-131360 (C.A.). EYB 2008-150981(C.S.). Ibid., par. 53. 1 I– LES FAITS M. Raphael M’Boutchou est un citoyen canadien d’origine gabonaise. Bien qu’il demeure au Gabon, ses affaires et ses enfants lui offrent l’opportunité de venir régulièrement au Canada. En septembre 2005, il ouvre deux comptes bancaires à la Banque de Montréal (« BMO » ou « la banque »), soit un compte courant et un compte d’épargne. Lors de l’ouverture de ce dernier compte, il y dépose la somme de 178 000 $ en argent canadien. Il effectue par la suite plusieurs transactions dans ses comptes. Le 14 novembre 2005, la banque reçoit par télécopieur une première demande de virement de fonds au profit d’un bénéficiaire thaïlandais. Ce virement provient apparemment de M. M’Boutchou, qui se trouverait présumément au Gabon. Cette demande est refusée par la banque en raison de l’absence de l’autorisation écrite de M. M’Boutchou, celle-ci étant requise dans un formulaire prévu à cette fin (formulaire LF-405). Le donneur d’ordre récidive le 1er décembre suivant en demandant à la banque, par téléphone, de lui faire parvenir une copie de ce formulaire afin qu’il le signe et le lui retourne. La banque donne suite à cette requête. Le 6 décembre en soirée, la banque reçoit une deuxième demande de transfert électronique de fonds de 60 000 $, laquelle est traitée le lendemain matin. Cette demande comporte alors une signature qui paraît identique à celle de M. M’Boutchou. En effet, une employée de la banque compare la signature qui apparaît sur le formulaire LF-405 avec les photocopies du passeport et du permis de conduire de M. M’Boutchou. Afin de s’assurer de son authenticité, elle communique à l’étranger avec le signataire, qu’elle croit être M. M’Boutchou, et lui pose des questions à caractère personnel pour confirmer le tout. L’employée de la banque constate alors que le formulaire LF-405, qui se trouve bien au dossier, identifie bien le donneur d’ordre et son adresse. Le directeur de la succursale contre-vérifie également l’authenticité des signatures. La date de réception du formulaire LF-405 n’est pas indiquée sur celui-ci, mais trois employés de la banque et le directeur présument qu’il s’agit du 7 décembre et y indiquent cette date. Puisque le compte courant n’est pas suffisamment provisionné pour que la banque puisse y débiter 60 000 $, cette dernière, sur demande et confirmation par téléphone du donneur d’ordre, c’est-à-dire le fraudeur, accepte de transférer cette somme à partir du compte en banque de M. M’Boutchou à son compte courant. Or, le 6 décembre, soit au moment de l’envoi du formulaire, le demandeur n’était pas à l’étranger, mais bel et bien à Montréal! Le juge note que ce dernier a effectué un retrait de 500 $ 2 au guichet automatisé de la banque à Montréal le 14 novembre, soit la date de la première tentative de virement. Le 7 décembre, M. M’Boutchou s’est même présenté à la succursale de la banque pour y retirer 3 000 $ et effectuer un virement de 5 000 $. M. M’Boutchou constate la fraude vers la fin du mois de décembre, lorsque deux chèques sont refusés au paiement pour cause de fonds insuffisants. Après avoir obtenu de la banque une copie des documents qui ont servi à la fraude, il met la BMO en demeure de le rembourser. La BMO refuse d’acquiescer à cette demande, car elle soutient que M. M’Boutchou a participé à la fraude. De son côté, M. M’Boutchou prétend que la banque a « grossièrement reproduit sa signature sur la convention autorisant les transferts de fonds5 ». II– LA DÉCISION, L’EXPOSÉ DU DROIT ET LE COMMENTAIRE DE L’AUTEUR Avant d’aborder la question de fond, il faut noter que le juge Lalonde rejette les allégations des parties, et ce, tant pour ce qui est de la participation de M. M’Boutchou à la fraude que pour l’imitation de sa signature par la banque. Il conclut donc rapidement que la fraude est « l’œuvre d’un tiers6 ». L’analyse du juge porte donc sur une seule question, à savoir si la banque a agi de manière prudente et négligente dans le traitement du virement de fonds. Cette question requiert l’analyse de l’obligation de la banque lors de l’identification et de l’authentification de son client qui la mandate d’exécuter un ordre de paiement7. Un transfert électronique de fonds constitue un ordre de paiement donné par un donneur d’ordre à sa banque de payer un bénéficiaire. Il s’agit en quelque sorte d’un jeu d’écritures, où la banque du donneur d’ordre débite le compte de son client et où la banque du bénéficiaire crédite le compte du bénéficiaire du virement. Le virement est qualifié de mandat accordé par le donneur d’ordre à sa banque8. L’article 1564, al. 2 C.c.Q. prévoit que, pour être libératoire, le paiement doit avoir été accepté par le créancier (bénéficiaire). Ce type de paiement est un transfert de crédit, car le donneur d’ordre initie le paiement en le « poussant » vers le bénéficiaire. Contrairement au 5 6 7 8 Ibid., par. 54. Ibid., par. 55. Aux fins de ce commentaire de jurisprudence, nous nous concentrerons sur l’obligation de la banque expéditrice dans l’identification et l’authentification de son client. Nous nous abstiendrons donc de discuter de l’obligation de cette banque d’identifier la banque du bénéficiaire et le bénéficiaire, puisque ces questions ne font pas l’objet du débat soulevé par la décision commentée. Nicole L’HEUREUX, Édith FORTIN et Marc LACOURSIÈRE, Droit bancaire, 4e éd., Cowansville, Yvons Blais, 2004, no 3.28, p. 658 et 659. 3 chèque, qui est un transfert de débit réglementé par la Loi sur les lettres de change9, le virement bancaire n’est pas réglementé au Canada. L’assujettissement à cette loi est strictement réservé aux effets de commerce, excluant ainsi les paiements électroniques, et ce, autant en raison de plusieurs exigences, dont une signature manuscrite originale (et non une photocopie) sur l’effet de paiement, que du mécanisme de paiement lui-même, qui doit être un transfert de débit. Au fil des ans, les juges se sont inspirés à la fois des règles du droit commun et de l’article 4A du Uniform Commercial Code des États-Unis pour déterminer les obligations des parties. Cette loi modèle a été codifiée dans le corpus législatif de tous les États aux États-Unis et peu de décisions ont été rapportées par les tribunaux concernant les cas d’erreur ou de fraude par transferts électroniques de fonds10. Lors d’un transfert électronique de fonds non autorisé, la responsabilité est déterminée comme suit. D’abord, la banque est responsable pour le transfert non autorisé. Toutefois, le risque sera transmis au client si la banque a respecté un protocole de sécurité commercialement raisonnable. Le risque pourrait revenir à la banque si la fraude est commise par un tiers ou s’il en a été convenu ainsi entre les parties11. Dans la décision commentée, le litige consiste à évaluer le standard requis pour une banque qui doit émettre un ordre de transfert électronique de fonds vers un bénéficiaire situé à l’étranger. À ce sujet, le juge s’exprime comme suit : Il faut se méfier de la vision parfaite (20/20) que procure un examen a posteriori des faits ou celle d’un examen subséquent par un expert. Les événements doivent être examinés comme ils ont été perçus par les employés de la banque à l’époque où l’incident est survenu. L’obligation de vérification, sans être irréprochable, doit être celle d’une personne prudente et soigneuse ayant à cœur l’intérêt du client.12 Comme nous l’avons mentionné plus haut, le juge Lalonde ajoute que « les transactions à distance par messages génèrent un facteur de risque plutôt élevé qui commande aux banques une obligation de prudence et de diligence accrue13 ». Un parallèle doit être dressé entre le litige en l’espèce et la décision Banque Nationale du Canada c. Bédard14. Dans cette cause, la banque n’avait pas retenu les fonds d’une traite 9 10 11 12 L.R.C. (1985), c. B-4. Royal Bank of Canada c. Stangl, [1992] O.J. no 378 (Div. Gén. Ont.). Benjamin GEVA, The Law of Electronic Funds Transfer, New York, LexisNexis, 2008, no 2.05[1], p. 2-77. Par. 46 et 47 de la décision commentée. 4 bancaire de 1,5 million de dollars américains en provenance du Zimbabwe. Lorsque la banque a appris que la traite s’était révélée frauduleuse, elle a débité le compte du client. Le tribunal de première instance, à la décision duquel a concouru la Cour d’appel, a mentionné que le client aurait accepté que la banque retienne les fonds durant quelques jours et que, dans ces circonstances, la préposée de la banque a commis une négligence grave en acceptant le dépôt de cette traite15. Le juge a souligné que l’omission de vérifier l’authenticité de la traite bancaire déposée par le client « a donné à celui-ci un faux sentiment de sécurité en lui indiquant que les fonds étaient immédiatement disponibles16 » (nos italiques). Il ne fait aucun doute qu’il faille conclure que l’intensité de l’obligation de la banque devient plus importante lorsque cette dernière est confrontée à un transfert de fonds international, que ce soit par un effet de commerce ou par un virement électronique17. Partant, les obligations de la banque du donneur d’ordre, parfois appelée banque expéditrice, se résument à ce qui suit18. D’abord, elle doit vérifier l’authenticité du client, c’est-à-dire vérifier qu’il est bien l’expéditeur de l’ordre19. Elle doit également s’assurer que l’ordre ne comporte aucune anomalie et que les chiffres et les lettres concordent. L’ordre doit être exécuté sans erreur et dans un délai raisonnable. Enfin, la banque doit transférer les fonds au véritable bénéficiaire. Il est reconnu que la banque a une obligation de moyens. L’identification et l’authentification du donneur d’ordre par la banque expéditrice devraient être effectuées suivant un protocole bien établi. À cet égard, il convient de souligner les Lignes directrices en matière d’identification et d’authentification établies par le Commissariat à la protection de la vie privée du Canada (« Commissariat ») afin de prévenir le vol d’identité et les conséquences désastreuses qui peuvent en découler20. Ces lignes, proposées conformément à la Loi sur la protection des renseignements personnels et les documents électroniques21, 13 14 15 16 17 18 19 20 21 Ibid., par. 53. Précitée, note 2. Ibid., par. 86. Ibid., par. 101. Voir également Banque de Montréal c. Legault, REJB 2003-39277 (C.A.). Voir généralement Arthur OULAÏ, Contribution à la recherche d’une harmonisation dans le traitement juridique des risques reliés aux transferts électroniques de fonds à caractère commercial, thèse de doctorat, Québec, Faculté de droit, Université Laval, 2002. N. L’HEUREUX, É. FORTIN et M. LACOURSIÈRE, op. cit., note 8, no 3.30(b), p. 663. L’autorisation devrait être effectuée par écrit. Au sujet de l’autorisation verbale, voir El-Zayed c. Bank of Nova Scotia, [1988] N.S.J. no 424, 87 N.S.R. (2d) 171 (N.S. S.C. – T.D.). COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Lignes directrices en matière d’identification et d’authentification, octobre 2006, en ligne : <http://www.priv.gc.ca/information/guide/auth_061013_f.cfm>. L.C. 2000, c. 5, art. 5 et Annexe 1. 5 prévoient quelques balises pour aider les entreprises lors de l’identification et l’authentification de leurs clients22. Le Commissariat indique ce qui suit : Les discussions sur l’authentification portent souvent sur ces trois facteurs de base (c’està-dire sur les trois types d’éléments d’information qui peuvent servir à authentifier une personne) : quelque chose que la personne connaît (par exemple, un mot de passe, un numéro d’identification personnel ou NIP, un numéro de compte, une couleur préférée, le nom du premier animal de compagnie); quelque chose que la personne possède (par exemple, une carte bancaire, un jeton d’authentification, une carte d’identité, un certificat d’utilisateur numérisé); quelque chose qui fait partie de la personne (par exemple, un trait biométrique comme son visage, sa rétine ou sa voix) ou que seule cette personne peut faire (comme sa signature). 23 (En italique et caractère gras dans l’original) La gestion du risque est fondamentale à toute entreprise. Celle-ci doit évaluer la probabilité que ce risque survienne et, le cas échéant, en prévoir la gravité. L’identification et l’authentification d’un client constituent un élément de plus en plus important qu’une entreprise doit considérer pour gérer efficacement son risque. La sensibilité des informations à protéger détermine le nombre de facteurs requis pour la protection des renseignements personnels afin d’éviter le risque d’usurpation d’identité. Le Commissariat note que « [d]es services financiers qui permettent de donner des directives de paiement et de transférer des sommes importantes à des tiers peuvent exiger un processus d’authentification à deux facteurs24 ». À première vue, le comportement de la banque en l’espèce semble respecter les liges directrices du Commissariat, puisque la préposée a vérifié les documents personnels et les signatures du client et qu’elle lui a posé des questions à caractère personnel (croyant à tort qu’il s’agissait de M. M’Boutchou). Toutefois, il est instructif d’observer qu’aux États-Unis, le Uniform Commercial Code (UCC) prévoit expressément un protocole exprimé dans un manuel de procédure interne de la banque et qui exige que les banques suivent une procédure de sécurité commercialement 22 23 24 Les lignes directrices mentionnent que l’identification signifie simplement donner son nom, alors que l’authentification consiste à vérifier cette déclaration. Op. cit., note 20, p. 1. Ibid. Préc., note 20. 6 raisonnable lors de l’identification d’un client qui ordonne un transfert de fonds. Ce concept, qui se retrouve aux articles 4A-20125 et 4A-202 du UCC26, est d’origine américaine et a été importé par l’Association canadienne des paiements dans la Règle H1. Nous examinerons maintenant le droit américain et sa transposition dans la Règle H1 pour voir ensuite de quelle manière ces dispositions législatives sont susceptibles d’aider à cerner cette obligation d’identification et d’authentification dans la décision examinée en l’espèce. L’article 4A-201 indique que la simple comparaison de signature ne constitue pas en soi une procédure de sécurité, mais que la banque doit utiliser d’autres méthodes, comme les mots d’identification, le cryptage de données ou, encore, le rappel téléphonique. L’article 4A-202(b) oblige la procédure de sécurité utilisée par la banque à être « commercialement raisonnable » pour contrer les transferts de fonds non autorisés. Le paragraphe (c) précise que ce concept est une question de droit qui doit être déterminée par « the wishes of the customer expressed to the bank, the circumstances of the customer known to the bank, including the size, type, and 25 26 L’article 4A-201 (Security Procedure) mentionne ce qui suit : ‘’ Security procedure ‘’ means a procedure established by agreement of a customer and a receiving bank for the purpose of (i) verifying that a payment order or communication amending or cancelling a payment order is that of the customer, or (ii) detecting error in the transmission or the content of the payment order or communication. A security procedure may require the use of algorithms or other codes, identifying words or numbers, encryption, callback procedures, or similar security devices. Comparison of a signature on a payment order or communication with an authorized specimen signature of the customer is not by itself a security procedure. L’article 4A-202 (Authorized and Verified Payment Orders) mentionne ce qui suit : (a) A payment order received by the receiving bank is the authorized order of the person identified as sender if that person authorized the order or is otherwise bound by it under the law of agency. (b) If a bank and its customer have agreed that the authenticity of payment orders issued to the bank in the name of the customer as sender will be verified pursuant to a security procedure, a payment order received by the receiving bank is effective as the order of the customer, whether or not authorized, if (i) the security procedure is a commercially reasonable method of providing security against unauthorized payment orders, and (ii) the bank proves that it accepted the payment order in good faith and in compliance with the security procedure and any written agreement or instruction of the customer restricting acceptance of payment orders issued in the name of the customer. The bank is not required to follow an instruction that violates a written agreement with the customer or notice of which is not received at a time and in a manner affording the bank a reasonable opportunity to act on it before the payment order is accepted. (c) Commercial reasonableness of a security procedure is a question of law to be determined by considering the wishes of the customer expressed to the bank, the circumstances of the customer known to the bank, including the size, type, and frequency of payment orders normally issued by the customer to the bank, alternative security procedures offered to the customer, and security procedures in general use by customers and receiving banks similarly situated. A security procedure is deemed to be commercially reasonable if (i) the security procedure was chosen by the customer after the bank offered, and the customer refused, a security procedure that was commercially reasonable for that customer, and (ii) the customer expressly agreed in writing to be bound by any payment order, whether or not authorized, issued in its name and accepted by the bank in compliance with the security procedure chosen by the customer. (d) The term ”sender” in this Article includes the customer in whose name a payment order is issued if the order is the authorized order of the customer under subsection (a), or it is effective as the order of the customer under subsection (b). (e) This section applies to amendments and cancellations of payment orders to the same extent it applies to payment orders. (f) Except as provided in this section and in Section 4A-203(a)(1), rights and obligations arising under this section or Section 4A-203 may not be varied by agreement. 7 frequency of payment orders normally issued by the customer to the bank, alternative security procedures offered to the customer, and security procedures in general use by customers and receiving banks similarly situated ». Dans la décision Regatos c. North Fork Bank27, le donneur d’ordre brésilien a transmis un ordre de paiement de 600 000 $ directement par télécopieur à la North Fork Bank de Sao Paolo (Brésil) et a ensuite confirmé le tout par téléphone. Cette banque a fait suivre l’ordre par télécopieur à la succursale de Long Island (N.Y.) avec la signature manuscrite qui apparaissait sur le télécopieur. Le donneur d’ordre a allégué un transfert non autorisé. Le tribunal de première instance a jugé que la procédure était sécuritaire et commercialement raisonnable. En outre, l’ordre était valide et conforme à la procédure sécuritaire, car il était signé, il y avait eu un appel téléphonique de confirmation et la comparaison des signatures était positive. Le juge ajoute que la préposée de la banque pouvait reconnaître la voix du client. La Cour d’appel du 2e Circuit a infirmé cette décision sur une question de procédure, en mentionnant que le délai pour porter plainte, délai fixé à un an, ne pouvait être réduit à 15 jours. Étrangement, cette cause a fait jurisprudence aux États-Unis. Dans la décision Braga Filho c. Interaudi Bank28, la Cour du district de New York a considéré comme des mesures commercialement raisonnables l’identification du donneur d’ordre par un télécopieur, la comparaison des signatures, la confirmation par un appel téléphonique du client, soit la réponse de ce dernier à des questions d’ordre personnel (c’est-à-dire le nom de jeune fille de la mère) ou un numéro d’identification et le dernier dépôt effectué. Comme l’affirme la Cour, ces mesures ressemblaient à celles de la décision Regatos, mais l’appel téléphonique de confirmation effectué par le client devait être fait à un employé de la banque préalablement identifié, afin que ce dernier puisse plus facilement reconnaître la voix du client en cas de différend. Le Commentaire n° 4 sous-jacent aux articles 4A-202/4A-203 mentionne ce qui suit : It is appropriate to make the finding concerning commercial reasonability a matter of law because security procedures are likely to be standardized in the banking industry and a question of law standard leads to more predictability concerning the level of security that a bank must offer to its customers. (Nos italiques) Si la qualification des mesures de sécurité commercialement raisonnables en tant que question de droit tient à l’importance d’obtenir des standards certains et prévisibles, il faut 27 257 F. Supp. 2d 632 (S.D.N.Y., 2003). 8 néanmoins souligner que la conformité de la banque à son protocole, soit à ses mesures de sécurité, constitue plutôt une question de fait29. À l’instar du professeur Benjamin Geva30, nous doutons fortement que les mesures de sécurité dans Regatos et dans Braga Filho aient été véritablement sécuritaires, puisqu’aucun mot de passe n’était exigé. Au Canada, la Règle H1 – Débits préautorisés de l’ACP a récemment été modifiée pour définir la notion de mesures de sécurité commercialement raisonnables31. Cette règle vise spécifiquement les débits préautorisés et ne s’applique pas aux transferts électroniques de fonds internationaux. Le principe sous-jacent à cette disposition peut toutefois être utile pour analyser les mesures de sécurité prises par la banque. L’article 5(a) de cette règle définit une autorisation comme suit : Signature, ratification ou adoption assimilée par un payeur, y compris, sans limitation, utilisation d’une combinaison d’ID d’utilisateur/mot de passe ou d’une autre méthode commercialement raisonnable, dont l’objet est de signifier le consentement et/ou l’accord du payeur conformément aux lois pertinentes; « autorisé » a le sens correspondant. (Nos italiques). Il n’existe aucune interprétation prétorienne de cette disposition, mais une analyse de texte laisse croire que l’expression « autre méthode commercialement raisonnable » pourrait signifier que les méthodes énumérées doivent également être commercialement raisonnables. Pour saisir la nuance, il faut lire l’alinéa (e)(2) de l’article 5 qui définit comme suit l’expression « commercialement raisonnable » : Terme servant à décrire certaines procédures de sécurité, et plus particulièrement la vérification de l’identité d’une personne, dont le caractère raisonnable peut, en définitive, être établi par une cour de justice à la lumière des objets de la procédure et des circonstances commerciales existant au moment où la procédure a été utilisée, y compris, sans limitation (...) (Nos italiques) Ainsi, la méthode commercialement raisonnable vise « certaines procédures de sécurité » et inclut la vérification de l’identité d’une personne, c’est-à-dire le donneur d’ordre. 28 29 30 31 2008 WL 1752693 (S.D.N.Y.), 65 UCC Rep. Serv. 2d 1038. Centre-Point Merchant Bank c. American Express Bank, 2000 WL 1772874, 43 UCC Rep. Serv. 2d 372 (S.D.N.Y., 2000). B. GEVA, préc., note 11, no 2.05[4], p. 2-82.16. ACP, Règle H1 – Débits préautorisés, 2008, en ligne : <http://www.cdnpay.ca/rules/pdfs_rules/rule_h1_fr.pdf>. 9 L’alinéa (e)(2) fournit une énumération de quelques exemples non limitatifs de méthodes commercialement raisonnables de vérification : i. la demande de plusieurs formes de renseignements sur l’identité, et la confirmation de ces renseignements dans les bases de données des clients; ii. l’obtention de renseignements des bases de données de bureaux de crédit ou de tiers, suivie de la demande au payeur de répondre à certaines questions tirées de ces bases de données; iii. l’envoi au payeur d’un élément d’information particulier à une adresse vérifiée de façon indépendante, soit en direct soit en différé, suivi d’une demande au payeur de confirmer ce renseignement; iv. l’utilisation de l’identification du demandeur (au téléphone); et v. l’utilisation de méthodes biométriques comme la reconnaissance de la voix. L’affaire Regatos rappelle la décision qui fait l’objet du présent commentaire. Les mesures de sécurité avaient trait à l’appel téléphonique de confirmation, à la comparaison des signatures et à la reconnaissance de la voix par une employée de la banque. Il faut se rappeler que, selon l’article 4A-201, la comparaison des signatures n’est pas une méthode de sécurité commercialement raisonnable en soi. Dans la décision de première instance de cette cause, infirmée en appel sur une question de procédure, il a été jugé que l’appel téléphonique de confirmation et la reconnaissance de la voix par la préposée constituaient une méthode commercialement raisonnable et suffisante. Le client transmettait ses ordres de transferts de fonds par télécopieur et confirmait ensuite par téléphone. Il est donc fort possible que la préposée de la banque ait pu reconnaître la voix de Regatos, surtout que celui-ci procédait régulièrement de cette façon. Cette histoire, qui s’est déroulée en 2001, laisse perplexe si l’on tient compte qu’aucun mot de passe n’était exigé, et ce, malgré les avancés technologiques du début des années 200032. En l’espèce, rien dans la décision n’indique que M. M’Boutchou effectuait régulièrement ses opérations en personne ou par téléphone. De plus, il serait surprenant que la préposée ait pu se souvenir de sa voix. Dans son jugement, le juge Lalonde mentionne ce qui suit : 32 Le juge de première instance avait d’ailleurs souligné cet aspect. 10 Deux méthodes semblent se démarquer avec comme objectif de sécuriser le processus d’identification et de transmission des données par la technologie internaute. Il s’agit de l’identification biométrique (qui se rapporte aux caractéristiques d’une personne) et la cryptographie à clé publique (technique qui assure la sécurité durant la transmission de l’information). Bien sûr, ce serait placer la barre trop haute que d’exiger, en l’instance, que BMO ait été munie de cette technologie en 2005. Mais à l’aube d’une économie instable, d’une période de resserrement du crédit et de difficultés financières, ne serait-il pas approprié que le plus haut niveau de sécurité protège les transactions électroniques faites par les clients des institutions financières?33 Tout en reconnaissant les bienfaits de l’identification biométrique, le juge refuse donc d’accorder le statut de standard bancaire à une histoire qui s’est déroulée en 2005. En se questionnant s’il est maintenant approprié de hausser le niveau de sécurité, il faudrait se rappeler l’article 5(e)(2)(v) de la Règle H1, qui indique que « l’utilisation de méthodes biométriques comme la reconnaissance de la voix » est commercialement raisonnable, reconnaissant ainsi implicitement que les développements technologiques permettent maintenant de rehausser le standard de vérification de l’identité du donneur d’ordre d’un virement de fonds. En l’espèce, le protocole de la banque permettait-il de bien identifier le client qui ordonne un transfert de fonds international? La banque a-t-elle suivi son protocole? Selon les faits exposés dans le jugement, la démarche nécessaire à cette fin consiste à obtenir l’ordre de virement (par télécopieur), un formulaire signé, une vérification de la signature, une vérification téléphonique au moyen de questions à caractère personnel et une contre-vérification par un supérieur. Comme le fait remarquer le juge, aucune vérification des transactions survenues dans le compte en banque du client n’est exigée et rien ne permet de s’assurer que le bénéficiaire soit bien identifié. Le jugement est silencieux au sujet de l’identification de la banque du bénéficiaire, puisque ce point n’a pas soulevé de problème. La décision Braga Filho a soulevé l’idée que la banque demande au client de confirmer les informations pertinentes sur le dernier dépôt effectué, sous-entendant ainsi qu’elle a rapidement accès à l’historique du compte du client. Cette mesure, en plus de celle suggérée par le juge Lalonde, permettrait de rehausser la qualité de la vérification en dépit de l’absence d’identification biométrique. 33 Par. 50 et 51 de la décision commentée. 11 CONCLUSION Les institutions financières doivent être de plus en plus vigilantes lors de l’identification et de l’authentification de leurs clients, en particulier lors de transactions internationales. Les criminels usent d’escroqueries de plus en plus raffinées pour atteindre leurs fins. Dans M’Boutchou, le juge Lalonde a souligné avec raison que la banque a fait défaut de respecter son obligation de prudence et de diligence, puisqu’elle n’a pas réalisé que le client ne pouvait ordonner un transfert de fonds à partir du Gabon alors qu’il se trouvait au même moment au guichet automatisé de la succursale de la banque à Montréal… La prise en compte des Lignes directrices en matière d’identification et d’authentification établies par le Commissariat à la protection de la vie privée du Canada et des articles 4A-201 et 4A-202 du UCC pourrait aider les institutions financières à mieux gérer le risque d’usurpation d’identité. 12