Les Canadiens utilisent de plus en plus des outils technologiques, comme les ordinateurs portables, les tablettes et les téléphones intelligents, pour effectuer des opérations financières en ligne. Or, ils ne bénéficient actuellement d’aucune protection législative ou réglementaire, applicable à l’échelle nationale, qui limiterait leur responsabilité en cas de transactions non autorisées associées à leur compte bancaire, à la différence du régime juridique applicable aux cartes de crédit.
Tendances récentes en matière de fraude bancaire en ligne au Canada
À l’ère du numérique, la fraude bancaire en ligne est devenue un véritable fléau pour les consommateurs. Ces derniers sont de plus en plus exposés à des arnaques et à des supercheries sophistiquées ou faisant appel à l’intelligence artificielle, comme les techniques d’hypertrucage (deepfake).
La fraude bancaire peut prendre différentes formes : invitations à cliquer sur des liens douteux, hameçonnage, appels par de faux représentants bancaires, publicités frauduleuses sur les plateformes de médias sociaux, etc.
Selon le Centre antifraude du Canada (CAFC), les pertes liées à la fraude ont représenté plus de 638 millions de dollars en 2024. Or, le montant réel de ces pertes pourrait s’avérer nettement plus élevé, considérant que seulement 5 à 10 % des victimes signalent les cas de fraude aux autorités [en anglais]. Dans son Rapport annuel de 2024, l’Ombudsman des services bancaires et d’investissement (OSBI) rapporte que la fraude représente le principal motif de plainte des consommateurs à l’égard de leurs institutions financières, soit 38 % des dossiers de plainte relatifs aux services bancaires. Il note également l’augmentation considérable du nombre de plaintes des consommateurs victimes de fraudes par transfert électronique et d’autres fraudes numériques.
De manière plus globale, la fraude ne semble pas viser uniquement les personnes aînées ou d’autres personnes vulnérables, bien qu’elles continuent d’être les plus touchées. En effet, selon le CAFC, en 2022, tous les groupes d’âge ont été ciblés par les fraudeurs.
Cadre juridique canadien
La protection des consommateurs dans le secteur bancaire relève à la fois de la compétence exclusive du Parlement du Canada de légiférer sur les banques et de la compétence des législatures provinciales en matière de propriété et de droits civils, ce qui permet aux provinces d’adopter des lois concernant la protection des consommateurs.
À l’échelon fédéral, les relations entre les banques et leurs clients sont régies par la partie XII.2 de la Loi sur les banques et le Règlement sur le régime de protection des consommateurs en matière financière, avec les nouvelles règles introduites par le Cadre de protection des consommateurs de produits et services financiers du Canada, entré en vigueur le 30 juin 2022. L’Agence de la consommation en matière financière du Canada est l’organisme fédéral responsable de veiller à l’application des dispositions prévues dans les lois, règlements, codes de conduite et engagements publics, visant les consommateurs de produits et services financiers, et de la supervision des activités des institutions financières sous règlementation fédérale.
Or, ce cadre juridique ne contient pas de dispositions visant à protéger les consommateurs des transactions non autorisées associées à leur compte de dépôt (généralement appelé « compte bancaire »).
En effet, pour les opérations liées à un compte bancaire, les consommateurs doivent plutôt s’en remettre au cadre normatif et contractuel qui régit les droits et responsabilités des institutions financières et de leurs clients, notamment en vertu du Code de pratique canadien des services de cartes de débit (le Code), du contrat bancaire et des politiques internes propres à chaque institution financière.
Un régime différent s’applique aux utilisateurs de carte de crédit. L’article 627.33 de la Loi sur les banques limite la responsabilité des titulaires de cartes de crédit à 50 $ en cas d’utilisation non autorisée, sauf s’il y a eu négligence grave de leur part (au Québec, faute lourde) dans la protection de la carte, des renseignements ou de l’authentifiant. Certaines lois provinciales sur la protection des consommateurs prévoient également une limitation similaire, comme l’article 99 de la Business Practices and Consumer Protection Act [en anglais] de la Colombie-Britannique. Les compagnies de cartes de crédit, comme Visa, Mastercard ou American Express, offrent par ailleurs des protections comme la politique « zéro responsabilité » en cas de fraude.
Au Québec, le 7 novembre 2024, l’Assemblée nationale a adopté à l’unanimité le projet de loi no 72, la Loi protégeant les consommateurs contre les pratiques commerciales abusives et offrant une meilleure transparence en matière de prix et de crédit. Cette loi prévoit l’ajout de deux dispositions (art. 65.1 et 65.2 – entrée en vigueur à prévoir par décret) à la Loi sur la protection du consommateur du Québec, qui visent à limiter la responsabilité du consommateur pour une utilisation non autorisée et autorisée liée à un compte de dépôt, à l’instar des protections législatives offertes aux détenteurs de cartes de crédit.
Code de pratique canadien des services de cartes de débit
Le Code, adopté en 1992 et révisé pour la dernière fois en 2004, est un instrument normatif d’adhésion volontaire pour les institutions financières. Il a été préparé par le Groupe de travail sur le transfert électronique de fonds, composé de représentants d’organisations de consommateurs, d’institutions financières, de détaillants, ainsi que de représentants du gouvernement fédéral et de gouvernements provinciaux. Comme le confirme l’engagement de l’Association des banquiers canadiens au nom de ses membres, ce Code s’applique aux transactions en ligne liées aux comptes de dépôt des clients.
Selon la clause 5(3) du Code, le titulaire d’une carte de débit n’est pas responsable en cas de fraude, lorsque les pertes sont attribuables à des « situations indépendantes de sa volonté », comme « une utilisation non autorisée de la carte, lorsque le titulaire a involontairement contribué à une telle utilisation, à la condition qu’il collabore à toute enquête ultérieure ». Le Code précise également que lorsque le numéro d’identification personnelle (le NIP) a été obtenu par contrainte, supercherie, force ou intimidation, le titulaire n’est pas considéré comme l’ayant divulgué « volontairement » et donc contribué à l’utilisation non autorisée de sa carte de débit (Annexe A du Code, clause 5).
Contrat bancaire et politiques internes
Depuis l’élaboration initiale du Code, les institutions financières ont incorporé ses règles, en tout ou en partie, dans leurs contrats bancaires avec leurs clients.
Pour avoir droit à un remboursement en cas de fraude, les victimes doivent se référer aux dispositions contractuelles applicables, dont la procédure d’enquête prévue par le contrat bancaire et les politiques internes propres à chaque institution financière. En cas de différend, la décision de ne pas procéder au remboursement peut être contestée devant l’OSBI. Cet organisme indépendant, qui traite les plaintes des consommateurs depuis 1996, est devenu, le 1er novembre 2024, le seul organisme externe de traitement des plaintes désigné au Canada. Malgré l’existence de ce recours, en 2023, « environ un cas de fraude sur cinq a donné lieu à un règlement ou à une recommandation d’indemnisation du consommateur ». Tel que le souligne l’OSBI, il ne lui est pas possible de dépasser la portée des dispositions contractuelles applicables, en l’absence d’une base légale ou réglementaire pour le faire.
Développements récents pour une meilleure protection des victimes de fraude bancaire
En 2024, le gouvernement du Canada a lancé la troisième phase d’une consultation portant sur les lois qui régissent les institutions financières sous réglementation fédérale. Cette phase était axée sur la recherche de propositions visant à renforcer le secteur financier du Canada, notamment en ce qui concerne la prévention de la fraude financière.
Dans son mémoire présenté dans le cadre de cette consultation, un organisme voué à la défense des intérêts des consommateurs, Option consommateurs, milite pour « l’établissement d’un cadre légal de protection contre la fraude uniforme pour tous les modes de paiement qui ferait reposer une responsabilité plus grande sur les banques ». En revanche, l’Association des banquiers canadiens s’oppose à l’imposition d’un seuil de responsabilité, craignant notamment la désensibilisation du public dans la prévention et le signalement des actes frauduleux. Enfin, l’OSBI souligne que l’accroissement des obligations des institutions financières engendra un coût financier, qui se répercutera vraisemblablement sous forme de frais pour les consommateurs.
D’autres solutions ont été avancées pour contrer le fléau de la fraude bancaire en ligne, à savoir :
- le renforcement des mesures de sécurité des systèmes internes des institutions financières afin de prévenir, détecter ou empêcher des transactions frauduleuses;
- une sensibilisation accrue des consommateurs au sujet des tendances émergentes en matière de fraude financière;
- une meilleure collaboration entre les secteurs public et privé, ainsi que d’autres intervenants comme les gouvernements fédéral, provinciaux et territoriaux, les institutions financières, les organismes de protection des consommateurs, les forces de l’ordre, les fournisseurs de télécommunications et les plateformes numériques (médias sociaux).
En matière de protection des victimes de fraude bancaire, le Royaume-Uni semble avoir fait un pas en avant avec l’instauration d’un régime d’indemnisation pour les transactions « autorisées », soit les escroqueries de type « APP » [en anglais] (Authorized Push Payment), pour un montant maximal de 85 000 £, dans des situations où la victime a été poussée à faire un virement bancaire au fraudeur, à moins qu’elle ait fait preuve de négligence grossière. Cette dernière exception ne s’applique pas aux personnes vulnérables. Ces protections sont en vigueur depuis le 7 octobre 2024.
Par Iryna Zazulya, Bibliothèque du Parlement