Vous vous êtes connecté à votre compte bancaire avec un téléphone infecté par un virus. Le numéro d’identification personnel (NIP) de votre carte de débit est votre date de naissance. Vous avez répondu à un courriel qui vous demandait des renseignements personnels et avez ensuite été fraudé.

Et votre tablette n’est pas protégée par un code de verrouillage.

Beaucoup de consommateurs et d’entreprises l’ignorent, mais ces quatre raisons, et des centaines d’autres consignées dans de longues pages de « conditions d’utilisation » consultées par La Presse, peuvent être invoquées par les institutions financières pour refuser un dédommagement si vous deviez être victime d’une fraude.

Et ce n’est pas que théorique : de nombreuses causes, des petites créances jusqu’en Cour supérieure, font état de « manquements » reprochés aux consommateurs qui se disaient victimes de fraude (voir autre onglet « Est-ce votre faute ? »). Il s’agit souvent d’accusations de négligence dans la conservation d’une carte de débit, du manque de protection du NIP et d’un comportement plus vaguement jugé « imprudent ».

Services en ligne et complexité

Le portrait n’est pas complet : on estime qu’une grande partie des litiges sont réglés hors tribunaux, notamment auprès d’un ombudsman. La jurisprudence, quant à elle, est nuancée : les tribunaux donnent raison parfois au consommateur, parfois à l’institution financière.

« Ça va dépendre évidemment du contexte et de la personne », résume Nicolas Vermeys, professeur et spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal. En règle générale, le consommateur pourra être indemnisé s’il arrive à démontrer qu’il n’a pas été négligent. Il s’agit pour le consommateur de prouver qu’il est « une personne raisonnablement prudente et diligente ».

À l’inverse, l’institution financière relèvera des comportements qu’elle estime imprudents et qui contreviennent aux conditions d’utilisation de ses services.

« La jurisprudence est assez constante à ce chapitre depuis plusieurs années », note le professeur Nicolas Vermeys.

Pour la carte de débit, les exigences sont relativement simples. Mais les choses se sont compliquées depuis une vingtaine d’années avec les services bancaires en ligne, rappelle Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs. « Ces contrats ont maintenant toutes sortes d’obligations contractuelles, qui peuvent être très larges en matière de sécurité pour le consommateur. »

PHOTO CATHERINE LEFEBVRE, ARCHIVES COLLABORATION SPÉCIALE

Alexandre Plourde, avocat et analyste à l’organisme Option consommateurs

Quelques exigences

M. Plourde a épluché quelques-uns de ces contrats et ne souhaite pas épingler une institution financière en particulier. « Sincèrement, c’est pas mal du même acabit d’une banque à l’autre. Il n’y a pas tellement de différence : ça peut être formulé de façon différente, mais ça revient essentiellement au même. »

Beaucoup d’exigences des institutions financières concernent la sécurité informatique. Voici quelques conditions d’utilisation répertoriées par La Presse. Rappelons que le défaut de respecter une de ces clauses peut être présenté comme une négligence.

Quelques conditions d’utilisation répertoriées

  • Ne pas prêter, donner ou vendre sa carte de débit, et protéger la confidentialité du NIP.
  • Récupérer sa carte et le reçu dès qu’un paiement est effectué.
  • Ne pas utiliser un ordinateur public, dans un cybercafé ou une bibliothèque.
  • Utiliser sa propre connexion sans fil, jamais un réseau sans fil public.
  • Supprimer toute information bancaire avant tout transfert ou mise au rebut d’un téléphone ou d’une carte SIM.
  • Passer régulièrement en revue les relevés de compte et signaler rapidement toute irrégularité.
  • Installer un logiciel antivirus efficace.

Selon le profil

Chez Desjardins, on apporte une nuance : il ne suffit pas d’enfreindre une seule règle pour être qualifié d’imprudent. « C’est du cas par cas, affirme Jean-Benoit Turcotti, porte-parole. On pourrait transposer dans le domaine de l’assurance : si tu laisses ta voiture, portières débarrées, et que tu as été volé, tu as été négligent. J’ai barré mes portières, ma clé sans contact était à l’intérieur de mon domicile et grâce à des outils technologiques, on a intercepté le code de déverrouillage de mon auto… Je n’aime pas le terme “indulgence”, mais il va y avoir une plus grande compréhension de la situation par nos équipes de fraude. »

PHOTO MARTIN CHAMBERLAND, LA PRESSE

Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins

« On dit souvent que la plus grande menace pour notre propre sécurité, c’est probablement nous-même », renchérit Valérie Parente, conseillère principale en prévention de la fraude chez Desjardins. Elle donne en exemple deux profils d’utilisateur. Le premier « protège ses données, navigue prudemment sur le web, va s’assurer que toutes ses transactions sont légitimes, fait des recherches sur les entreprises ». Le second est « conquis par les réseaux sociaux, sur lesquels il va mettre photos et vidéos, va jouer à des jeux en ligne, va discuter avec plusieurs personnes de sa vie privée, sa famille, va donner des informations ».

« Quel est le profil qui est le plus susceptible finalement d’être la cible d’un fraudeur ? demande Mme Parente. Le second, évidemment. C’est un exemple poussé à l’extrême, mais le message de prévention est là. Il faut prendre les mesures nécessaires pour se protéger. »

Harmonisation demandée

Pour Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply, il est clair qu’on assiste depuis quelques années à un « déplacement de la responsabilité sur le consommateur ». « On dirait que, de plus en plus, les banques se déresponsabilisent. Elles vont se servir de toutes les petites excuses de leur politique, que malheureusement très peu de gens vont prendre la peine de lire, pour essayer de se dédouaner. »

PHOTO FOURNIE PAR GEOCOMPLY

Simon Marchand, vice-président, produits et risques, à la firme de cybersécurité GeoComply

Le consommateur est peu au courant de cette tendance, note-t-il, parce qu’il croit généralement que ses services bancaires bénéficient de la même protection qu’avec les cartes de crédit. Pour celles-ci, le montant maximal pour une utilisation qu’il n’a pas autorisée est de 50 $, et les institutions financières sont réputées pour leur grande compréhension à rembourser la victime.

Aucune limite du genre n’existe pour les cartes de débit et les services bancaires en ligne, une situation dénoncée de longue date par Option consommateurs.

« C’est ça, le problème, actuellement, affirme Alexandre Plourde. Ça fait des décennies qu’on demande d’harmoniser la protection des consommateurs en matière de paiement, qui s’appliquerait à tous les modes, que les services en ligne prévoient des règles uniformes, des protections aussi élevées que ce qu’on trouve pour les cartes de crédit. »

Les institutions financières ont peu d’intérêt à étendre les protections offertes pour l’utilisation des cartes de crédit, estime Nicolas Vermeys. « Elles remboursent assez facilement pour les cartes de crédit, évidemment, parce que le poids financier est sur le commerçant. Il est facile alors d’annuler une transaction. »