Article body

Introduction

Depuis plusieurs siècles, le chèque constitue le principal mode de règlement des transactions financières. Au cours du vingtième siècle et en particulier depuis les années 1960, les nouvelles technologies ont favorisé l’émergence de nouveaux mécanismes de paiement, tant dans le domaine commercial (transfert électronique de fonds de grande valeur) que dans le secteur de la consommation (carte de crédit, carte de débit, paiement préautorisé et paiement par Internet). Le chèque cède donc peu à peu le pas à ces derniers, en particulier dans le domaine de la consommation. À ce jour, seuls les chèques[1] et les cartes de crédit[2] font l’objet d’une protection législative au Canada et au Québec. La relation entre un titulaire québécois d’une carte de débit[3] et un émetteur ou un commerçant n’est régie que par le Code civil du Québec.

En raison de la popularité croissante de la carte de débit, le Groupe de travail sur le transfert électronique de fonds, constitué du ministre de la Consommation (Industrie Canada), de groupes consuméristes, d’institutions financières et de détaillants, a adopté le Code de pratique canadien des services de cartes de débit en mai 1992[4]. Ce code vise principalement à protéger les consommateurs qui font usage de la carte de débit au Canada et à régir la responsabilité des parties lors d’un transfert de fonds non autorisé. Les institutions financières sont assujetties au Code de pratique canadien, mais le premier article de ce code prévoit qu’il est d’application volontaire et non contraignante[5]. Ce code constitue donc un code d’éthique. Vu sa nature non contraignante, les institutions financières ont en général refusé de s’y soumettre au cours des premières années de son existence lorsqu’elles étaient poursuivies par un titulaire de carte de débit, c’est-à-dire un consommateur. Au fil du temps, elles ont partiellement incorporé certaines dispositions du code dans leurs contrats bancaires. Toutefois, ceux-ci constituant des contrats d’adhésion, la protection des consommateurs demeure perfectible.

Le principal objectif de cet article consiste à proposer l’adoption d’une protection législative des droits du titulaire d’une carte de débit victime d’une utilisation non autorisée de sa carte par un tiers, en se fondant sur les risques du système plutôt que sur la responsabilité personnelle de ce titulaire. Notre étude est circonscrite à cette problématique, puisqu’il s’agit du point cardinal du problème lié à ce mode de paiement. Pour atteindre ce but, les objectifs secondaires de l’article visent, d’une part, à analyser le rôle de la régulation dans la conception du Code de pratique canadien et plus largement à établir un encadrement juridique statutaire du titulaire d’une carte de débit et, d’autre part, à vérifier l’adéquation du Code de pratique canadien et des contrats bancaires par rapport à la protection du consommateur titulaire d’une carte de débit.

Notre approche s’inscrit dans le courant protectionniste que préconise généralement le droit de la consommation en raison du déséquilibre contractuel qui existe entre un consommateur et un commerçant et qui se traduit par une panoplie de mesures de protection d’ordre public[6]. Si les rédacteurs français du Code Napoléon ont été confrontés à cette question dès l’élaboration de ce dernier[7], ce dilemme occupe également l’intelligentsia juridique québécoise depuis l’avènement du Code civil du Bas-Canada[8].

Nous examinons en première partie de cette étude l’environnement juridique des cartes de débit au Canada, soit la législation, le Code de pratique canadien et les contrats bancaires. Dans ce dernier cas, nous avons étudié les contrats bancaires de six des principales institutions financières au Canada[9]. Nous concluons de cette analyse que le code, bien qu’incomplet, prévoit certaines protections pour le consommateur. Par contre, les contrats bancaires émis par les institutions financières semblent, à certains égards, avoir dénaturé le code en diminuant la qualité des protections accordées par celui-ci, ce qui risque de porter préjudice au consommateur en cas d’erreurs ou de fraudes. Ceci nous mène, en seconde partie, à proposer une réforme de la réglementation des cartes de débit au Canada, qui ne pourra se produire que par l’intervention du législateur[10]. À cette fin, nous comparons les protections offertes par les États-Unis et par trois pays de l’Union européenne, soit la France, la Belgique et le Luxembourg. Notre démarche s’inscrit dans une recherche de l’équité lors de la formation et de l’exécution des contrats de carte de débit au Canada.

I. L’environnement juridique des cartes de débit au Canada

Une étude de l’environnement juridique des cartes de débit requiert d’examiner en premier lieu la législation de protection du consommateur (A). Devant les hésitations du législateur à protéger statutairement le titulaire d’une carte de débit, l’industrie des services financiers, en collaboration avec des groupes consuméristes, a adopté le Code de pratique canadien en 1992. Nous amorçons l’étude de ce code par une analyse de ses origines pour expliquer par la suite ses caractéristiques liées à l’autorisation des transactions (B). Nous terminons ce premier chapitre par une analyse des contrats bancaires, où nous mettons en relief les nuances entre le code et les dispositions de ces contrats dans les cas d’utilisation non autorisée, ainsi que la responsabilité des acteurs, notamment celle du consommateur (C).

A. Les législations sur la protection du consommateur

La protection juridique des utilisateurs de paiements électroniques s’intéresse principalement aux titulaires de carte de crédit, négligeant les utilisateurs de paiements préautorisés et de paiements par Internet. Cette situation prévaut tant au Canada anglais qu’au Québec où le Code civil s’applique de manière supplétive à tous ces paiements.

1. La législation fédérale

Sur le plan civil[11], le gouvernement fédéral exerce son pouvoir de réglementer les activités des banques par le biais de plusieurs instruments, dont la Loi sur les banques et l’Association canadienne des paiements.

a. La Loi sur les banques

La Loi sur les banques prévoit la possibilité pour les banques d’émettre des cartes de débit[12] et d’en faire la publicité[13]. La réglementation concerne principalement la divulgation des renseignements par la banque au titulaire de la carte[14] et la mise en oeuvre d’une procédure d’examen des réclamations relatives au traitement des frais à payer pour leur carte de débit[15]. La loi n’aborde donc pas la question des obligations de la banque lors des transactions, notamment en cas d’erreur ou de fraude.

Dans son budget de 2005-2006, le gouvernement fédéral a suggéré de réfléchir à la possibilité de partager les pertes en cas de pertes financières[16]. Plus précisément, il soulignait ceci :

À l’heure actuelle, les associations d’émetteurs de cartes de crédit souscrivent volontairement à un régime de responsabilité zéro en cas de perte, tandis que l’utilisation des cartes de débit est régie par un code volontaire, le Code de pratique canadien des services de cartes de débit, qui a reçu l’aval des associations sectorielles intéressées et de leurs membres. Puisque les Canadiens effectuent de plus en plus d’opérations électroniques diverses, les associations de consommateurs et d’autres groupes estiment qu’il y a peut-être lieu de préciser les responsabilités des parties en cas de perte financière, de manière à protéger les consommateurs.

Le gouvernement sollicite des avis sur la meilleure façon d’aborder les questions de la divulgation de renseignements et de la détermination de la responsabilité pour toutes les formes d’opérations électroniques[17].

Dans le Livre blanc de 2006, le gouvernement fédéral a annoncé qu’il «favorisera[it] l’adoption d’un régime volontaire de protection des consommateurs qui couvrira des formes additionnelles d’opérations électroniques, et s’appuiera sur les travaux menés pour établir le Code relatif aux cartes de débit»[18]. Cette prise de position fait écho à une recommandation de l’Association des banquiers canadiens, qui visait l’établissement d’un seul code portant sur les opérations électroniques, c’est-à-dire incluant non seulement les paiements par carte de débit, mais également les autres formes de paiements électroniques, comme le paiement par Internet[19].

b. L’Association canadienne des paiements

L’Association canadienne des paiements (ACP) est une entité créée par le gouvernement fédéral et qui a pour mission d’organiser le système national de compensation interbancaire au Canada depuis 1980[20]. Son conseil d’administration a le pouvoir d’adopter des règlements administratifs pour assurer le bon fonctionnement du système des paiements[21]. Outre un règlement d’application générale du système automatisé de compensation et de règlement[22], l’ACP a adopté la Règle E1 destinée à la compensation et au règlement des cartes de débit[23]. En ce qui concerne la protection du titulaire de la carte, cette règle prévoit que l’adhérent expéditeur, soit la banque du titulaire, doit protéger la confidentialité du numéro d’identification personnel (NIP)[24], sinon il engage sa responsabilité[25]. Il doit d’ailleurs «respecte[r] le caractère personnel et la confidentialité des renseignements personnels du titulaire de carte»[26]. L’adhérent expéditeur doit également décider de refuser ou d’accepter l’opération. Il est réputé avoir accepté l’effet de paiement dès l’autorisation[27]. Ces règles s’appliquent entre les membres de l’ACP et rien n’est prévu pour gouverner les relations entre le titulaire et sa banque[28].

2. La législation provinciale

À l’instar du législateur fédéral, les provinces n’ont pas légiféré sur l’utilisation des cartes de débit, laissant le tout aux tribunaux et au droit commun. Nous examinons brièvement le droit canadien-anglais et le droit québécois.

a. Le droit canadien-anglais

Les législations de protection des consommateurs varient sensiblement selon les provinces canadiennes-anglaises et les territoires, mais elles contiennent une approche commune en ce qui concerne la protection des consommateurs lors de paiements. Si elles gouvernent l’usage des cartes de crédit, à des degrés différents, elles demeurent silencieuses au sujet des autres formes de paiements électroniques. Selon Tom Onyshko et Richard Owens, les législations de protection du consommateur de l’Île-du-Prince-Édouard[29] et de la Saskatchewan[30] pourraient s’appliquer à la réglementation des cartes de débit[31]. Toutefois, dans l’affaire Plater, où une carte de crédit permettant le retrait d’argent dans un guichet bancaire automatisé et son NIP avaient été volés, le tribunal a jugé qu’en l’espèce, cette carte avait été utilisée pour ses fonctions de carte de débit et était donc soustraite à la loi et à la protection de 50$ en cas de fraude[32]. Cette décision a été rendue en vertu de la loi sur la protection du consommateur de la Colombie-Britannique de 1979[33], qui prévoyait une définition de la carte de crédit similaire à celles des lois de l’Île-du-Prince-Édouard et de la Saskatchewan. La nouvelle définition de la carte de crédit donnée par la loi de la Colombie-Britannique dans sa version de 2004 est très explicite et ne contient aucune référence au retrait d’argent[34]. Il est raisonnable de croire que les lois de l’Île-du-Prince-Édouard et de la Saskatchewan seront interprétées à la lumière de la décision Plater. Ainsi, les titulaires de cartes de débit ne font pas l’objet d’une protection statutaire dans ces juridictions, étant protégés principalement par le contrat bancaire et, en cas de silence ou d’ambiguïté, par les règles de la common law[35].

b. La Loi sur la protection du consommateur du Québec

La Loi sur la protection du consommateur encadre le crédit variable depuis la première version de la loi, en 1971[36]. Cette version interdisait la sollicitation non autorisée de carte de crédit, mais elle ne prévoyait pas de limite de responsabilité du titulaire en cas de perte ou de vol. Dans la refonte de 1978, la loi reprend ces protections et inclut la responsabilité en cas de vol, en plus de traiter du prêt à la consommation et de la vente à tempérament[37]. Cette loi s’intéresse donc au crédit à la consommation et ne prévoit aucune protection pour les autres mécanismes de paiements électroniques, que ce soit les paiements préautorisés, les paiements par Internet ou les cartes de débit[38]. Le ministre de la Justice a toutefois annoncé une mise à jour de ce volet de la loi en 2006[39], mais aucun projet de loi n’a encore été présenté en ce sens. L’Office de la protection du consommateur a récemment entrepris une consultation à ce sujet.

Contrairement au droit canadien-anglais, un tribunal québécois a conclu, dans l’affaire Soucy, que les retraits d’argent effectués au moyen d’une carte de crédit et d’un NIP volés avec un portefeuille étaient couverts par le contrat de crédit variable et, ainsi, assujettis à la L.p.c.[40]. En fait, la juge a souligné dans cette affaire qu’«[e]n vertu du “Contrat de crédit variable” les retraits effectués dans un guichet automatique, au moyen d’une carte de crédit et d’un NIP, sont considérés comme des avances de fonds et portent intérêts à compter de leur date d’inscription au relevé»[41]. Bien qu’il soit intéressant, ce point de vue mérite d’être considéré avec une certaine retenue, puisque la juge n’a pas retenu contre la demanderesse le fait que son NIP, similaire à celui de ses deux cartes de débit, était constitué des cinq derniers chiffres de son numéro d’assurance-sociale, lequel se trouvait également dans le portefeuille volé[42].

Le titulaire d’une carte de débit peut, dans certains cas, tenter d’invoquer le Code civil du Québec, qui s’applique de manière supplétive. Les dispositions qui concernent les clauses externes (article 1435), les clauses abusives (article 1437) et les clauses illisibles ou incompréhensibles (article 1436) peuvent être pertinentes. Si ces clauses ont été plaidées avec succès dans les litiges concernant des cartes de crédit[43], la jurisprudence se montre très réticente à la réception de ces arguments dans le cas des cartes de débit. Dans la décision Laberge c. Caisse populaire Desjardins de Cowansville[44], la titulaire alléguait que la clause de son contrat bancaire imposant la confidentialité du NIP était abusive. En réponse à cette affirmation, le tribunal a souligné l’importance et la nécessité que le titulaire n’utilise pas un numéro facile à deviner et a mentionné que :

[l]es conditions du contrat [...] qui traitent de la confidentialité du NIP [...] ne sont pas des clauses qui désavantagent le consommateur d’une manière excessive ou déraisonnable car elles sont là simplement pour avertir l’adhérent qu’il a assumé le risque de l’utilisation d’une carte de débit avec NIP et que la Caisse populaire [...] se dégage de toute responsabilité pour ceux qui choisissent un [NIP] trop facile à discerner[45].

Cette décision rejoint le point de vue des tribunaux canadiens-anglais[46].

Toutefois, dans une autre décision, une personne âgée n’avait inscrit nulle part son NIP, mais avait été victime d’une fraude[47]. Le tribunal n’a discuté aucunement de la possibilité que le NIP soit un numéro lié à sa date de naissance, ou un autre numéro qui l’identifie, mais a souligné :

[qu’i]l n’est pas exclu qu’un individu, par des moyens frauduleux, obtienne la carte et le NIP correspondant. Ainsi, cette dernière constitue un moyen d’accès au compte bancaire moins sécuritaire que la signature et un moyen faillible d’identification de l’opérateur. Dès lors, pourquoi le titulaire de la carte devrait-il supporter tous les risques d’un instrument dont la sécurité n’est pas absolue?

Le Tribunal estime que la clause non négociée du contrat d’adhésion qui fait supporter la totalité de la perte au titulaire de la carte débit [...] est abusive[48].

Cette décision est certainement une décision d’équité et le fondement juridique est faible. Cet argument ne tient pas compte du fait que l’accès au compte s’effectue par l’utilisation conjointe de la carte et du NIP et que ce moyen est de loin plus sécuritaire que le chèque, qui porte une signature manuscrite et dont les possibilités de fraude sont plus importantes. D’ailleurs, la juge dans l’affaire Bourque a rendu un jugement en ce sens dans une décision subséquente où le titulaire s’était fait subtiliser sa carte et son NIP[49].

Outre ces dispositions, le second alinéa de l’article 1564 du Code civil du Québec concerne indirectement le paiement par carte de débit. Celui-ci prévoit que :

[le créancier] est aussi libéré par la remise de la somme prévue au moyen d’un mandat postal, d’un chèque fait à l’ordre du créancier et certifié par un établissement financier exerçant son activité au Québec ou d’un autre effet de paiement offrant les mêmes garanties au créancier, ou, encore, si le créancier est en mesure de l’accepter, au moyen d’une carte de crédit ou d’un virement de fonds à un compte que détient le créancier dans un établissement financier.

Dans les cas de virements de fonds, cet alinéa a été interprété comme signifiant que le créancier doit avoir à la fois la volonté, implicite ou explicite, et la possibilité technique de l’accepter[50]. Cette question ne soulève aucun problème lors d’un paiement par carte de débit, car il est manifeste que le créancier, c’est-à-dire le marchand, consent à l’acceptation de ce mode de paiement et possède l’infrastructure nécessaire. Toutefois, cet article ne peut être appliqué lors d’une utilisation non autorisée de la carte de débit, cette situation n’étant alors régie que par le Code de pratique canadien et le contrat bancaire.

B. Le Code de pratique canadien des services de cartes de débit

La régulation, traditionnellement associée au maintien de la concurrence, trouve également son importance dans la prévention des risques. La présence de plus en plus imposante de l’autorégulation dans le secteur des services financiers, notamment par l’adoption de lignes directrices telles que le Code de pratique canadien et le Code canadien de pratiques pour la protection des consommateurs dans le commerce électronique[51], soulève la question de l’adéquation de cette forme d’autorégulation et de la protection du consommateur, habituellement un adhérent dans les circonstances. Cette question est d’autant plus importante que, dans le Livre blanc de 2006, le gouvernement fédéral a annoncé sa volonté d’encourager l’adoption d’un régime volontaire de protection des consommateurs[52]. Une telle décision est-elle susceptible d’engendrer certains risques pour le consommateur ? Cette question nécessite une analyse à la fois des origines et du caractère non coercitif du Code de pratique canadien.

1. Les sources du code

Au Canada, la mutation des paiements traditionnels de consommation vers les effets électroniques a pris forme au cours des années 1960 avec l’avènement de la carte de crédit[53]. Le succès de cette initiative a ouvert la voie à une nouvelle forme de carte de paiement au début des années 1980 : la carte de débit. À l’instar de toute nouvelle innovation technologique, l’utilisation de cette carte était réglementée au Canada presque exclusivement par le contrat bancaire[54], malgré le développement des guichets automatisés à partir de 1980 et le lancement du réseau Interac en 1986. Les problèmes engendrés par l’utilisation des guichets automatisés et les nombreuses plaintes adressées au sujet des transactions, des erreurs et des utilisations non autorisées ont incité le gouvernement fédéral à créer le Groupe de travail sur le transfert électronique de fonds en 1989, constitué du ministre de la Consommation (Industrie Canada), de groupes consuméristes[55], d’institutions financières[56] et de détaillants[57]. Ce groupe de travail avait pour mandat d’élaborer un code de pratique pour gouverner les transactions par carte de débit.

La relative nouveauté des cartes de paiement, et plus généralement des instruments de paiements électroniques, a poussé le Groupe de travail à militer principalement en faveur de leur régulation par la voie d’un code de conduite. Cette décision est également due à des facteurs politiques. D’abord, l’industrie canadienne des services financiers constitue un lobby proportionnellement plus puissant et mieux organisé que son homologue états-unien, en partie en raison du décloisonnement des services financiers[58]. Ensuite, les groupes consuméristes canadiens ne possèdent pas une expertise aussi développée qu’aux États-Unis[59]. Enfin, comme le rapporte un auteur, il est possible que le contexte temporel ait également joué :

[o]ne will recall that American regulations with respect to debit cards were introduced after various high-profile credit card incidents that were reported in the media shook consumer confidence in the ability of issuers to safeguard consumer interests. The Canadian Debit Code was promulgated before any high-profile reports appeared in Canada[60].

L’absence de réglementation des cartes de débit permettait au gouvernement canadien d’éviter la question constitutionnelle. Malgré l’opposition de certains représentants des consommateurs[61], Industrie Canada désirait obtenir un consensus des groupes consuméristes, comme des autres acteurs, pour l’adoption du code par le Bureau de la consommation, laquelle a eu lieu en mai 1992[62]. La révision du code en 2002 fut très importante, car elle a ajouté un guide d’interprétation à sa disposition fondamentale, l’article 5 («Responsabilité en cas de perte»). Ce guide est destiné à aider les consommateurs, les juristes et le personnel des institutions financières en leur fournissant des précisions additionnelles à l’égard de l’interprétation des questions relatives à la responsabilité en cas de perte lors d’opérations non autorisées. En 2004, le code fut réexaminé à nouveau pour préciser la procédure de prise en compte des opérations non autorisées et d’autres problèmes relatifs aux opérations autorisées[63].

Alors que le but recherché par l’élaboration du Code de pratique canadien était de protéger les consommateurs, ces derniers se sont tout de même sentis défavorisés avant même son adoption, considérant leur force d’influence relativement inférieure à celle des institutions financières et des représentants de l’industrie. Le gouvernement devra certainement tenir compte de ce facteur s’il désire légiférer sur les cartes de débit. Toutefois, outre les raisons mentionnées plus haut, la stratégie du gouvernement de confier à l’industrie l’élaboration de cet outil s’inscrit dans une pratique maintenant courante d’élaboration de la législation et de privatisation du droit[64].

2. Le caractère non coercitif du code

Par sa nature intrinsèque, le code constitue une mesure volontaire non coercitive. Ceci est confirmé par l’article 1(1) du code, qui traite du «présent code de pratique volontaire», et implicitement par l’article 1(3), qui prévoit que «[l]es organismes qui auront entériné le présent Code devront assurer une protection du consommateur égale ou supérieure à celle établie dans ledit Code. Le Code n’exclut pas la protection prévue par les lois et normes en vigueur».

L’application des dispositions du code tient à la coopération des institutions financières. Nous avons mentionné en introduction que notre hypothèse repose sur le fait que ces dernières offrent une protection moindre que celle qui est prévue au code, allant à l’encontre de l’article 1(3). Les premières années du code ont été particulièrement difficiles pour les consommateurs, puisque les institutions financières ont généralement refusé de se soumettre à ses dispositions. À cette époque, et même avant l’avènement du Code de pratique canadien, les cartes de débit faisaient l’objet de contrats bancaires moins étoffés qu’aujourd’hui. Au cours des années qui ont suivi, les institutions financières ont raffiné leurs contrats bancaires en incorporant certains éléments du code, les rendant plus complets et, surtout, plus équitables. Malgré cette heureuse évolution, l’analyse des contrats bancaires sous étude démontre toujours une protection généralement moindre que celle suggérée par le code.

C. Le contrat bancaire

Comme nous l’avons mentionné en introduction, notre étude s’attarde aux contrats bancaires de cartes de débit de six des principales institutions financières au Canada. Nous analysons l’adéquation de l’approche proposée par ces contrats, qui s’inspirent substantiellement du Code de pratique canadien, avec l’émission de la carte de débit, laquelle représente une étape préalable à l’autorisation des opérations.

1. L’émission de la carte et du NIP

L’émission de la carte doit être accompagnée du NIP et de la remise d’une copie de l’entente, rédigée en langage usuel[65], qui lie le titulaire à l’émetteur[66]. Le troisième paragraphe de l’article 3 du Code de pratique canadien précise que cette entente doit contenir des rubriques qui concernent les définitions, le règlement de différends, la responsabilité, la perte ou le vol de la carte, la confidentialité du NIP, les frais de service et la résiliation de l’entente. Le code prévoit également que «[l]es titulaires d’une carte doivent être informés : (a) dès que les modalités et les conditions d’une entente les liant sont modifiées ; (b) de l’endroit où ils peuvent se procurer une copie des changements ou une version révisée de l’entente»[67]. Cette disposition n’oblige pas explicitement les émetteurs à expliquer au titulaire les obligations contenues dans ce code, mais plusieurs y procèdent de leur plein gré, notamment en ce qui concerne l’obligation de conserver la confidentialité du NIP.

Le code prévoit la possibilité que deux organisations distinctes puissent émettre la carte de débit et le NIP, ce qui explique que la responsabilité prévue à l’article 2 soit séparée pour chacune de ces situations[68]. En pratique, toutefois, il n’existe aucune situation de ce genre au Canada, puisque l’Association Interac et le réseau canadien The Exchange[69] imposent le statut d’établissement financier à leurs membres[70].

Il est de pratique courante que la carte soit émise en succursale lorsque le titulaire en fait la demande[71]. Devant le silence du législateur face aux cartes de débit, il n’est pas interdit d’offrir une carte non sollicitée au consommateur. Toutefois, ceci est moins fréquent que dans le cas d’une carte de crédit, en raison de la nécessité que le titulaire demande un NIP par écrit pour activer le compte[72]. Les conventions bancaires sont également silencieuses à ce sujet.

L’article 2(3)(a) du Code de pratique canadien impose l’obligation à l’émetteur de renseigner le titulaire sur les frais d’utilisation, sur l’objet et l’utilité de la carte, sur l’obligation du titulaire de la carte d’en assurer la sécurité et sur les conséquences possibles d’un manquement à cette obligation. L’émetteur doit également informer le titulaire de la manière d’éviter l’utilisation non autorisée de sa carte et de l’étendue des pertes qui pourraient résulter d’une telle utilisation non autorisée. Enfin, il doit délivrer la carte au titulaire. Cette obligation de renseignement est généralement bien respectée dans les contrats bancaires.

En ce qui a trait à l’émission d’un NIP, le code prévoit que celui-ci doit d’abord être demandé par écrit[73]. L’émetteur doit permettre au titulaire de choisir le compte auquel le NIP choisi lui permettra d’accéder, ainsi que d’autres caractéristiques, telle la protection contre les découverts. L’émetteur doit renseigner le titulaire sur son «obligation [...] d’assurer la confidentialité de son NIP et les conséquences possibles d’un manquement à cette obligation»[74]. Au surplus, l’émetteur doit «veiller à ce que le NIP ne soit divulgué qu’au titulaire de la carte ou qu’il soit choisi seulement par cette personne»[75]. Enfin, il est primordial que l’émetteur «informe[ ] le titulaire [...] de la façon d’éviter l’utilisation non autorisée de sa carte et de son NIP, notamment des combinaisons de NIP à éviter, pour des raisons de sécurité, au moment de choisir son NIP», ainsi que des pertes qui peuvent en résulter[76]. Cette obligation de conserver la confidentialité du NIP constitue la pierre angulaire des dispositions qui régissent la carte de débit. Pour cette raison, les explications de l’émetteur au sujet de la nécessité de conserver le NIP confidentiel et, plus généralement, l’éducation et la sensibilisation des consommateurs à ce sujet, sont donc ici essentielles.

Les contrats bancaires insistent particulièrement sur la nécessité pour le titulaire de bien choisir un NIP et d’en préserver le caractère confidentiel en énumérant des situations que le titulaire doit nécessairement éviter. Notons un extrait du contrat bancaire d’une institution financière, qui mentionne : «[n]ous vous montrerons comment choisir votre NIP et comment le modifier. Nous vous indiquerons également quels sont les comptes auxquels vous pouvez accéder avec votre Carte-client et votre NIP» [nos italiques]. Cette clause, qui n’existait pas dans les anciens contrats de cette institution financière, pourrait être interprétée comme signifiant que le banquier a l’obligation d’expliquer verbalement au titulaire la manière de choisir un NIP, en plus de lui remettre un document écrit. Cette démarche, absente des autres conventions bancaires étudiées, est certainement judicieuse pour aider le titulaire à éviter une utilisation non autorisée de sa carte.

2. L’autorisation des opérations

Un transfert électronique de fonds effectué par une carte de débit ne sera valide qu’à la condition que le titulaire ait consenti à cette transaction, que celle-ci soit effectuée par lui-même ou par son mandataire. Selon les règles générales de la formation des contrats, le consentement doit être libre et éclairé[77]. Dans le cadre de l’utilisation d’une carte de débit, le consentement s’exprime par le NIP, qui fait office de signature[78]. En vertu du Code de pratique canadien, l’article 5(1) énonce le principe fondamental, selon lequel «[l]e titulaire d’une carte est responsable de toute utilisation autorisée de sa carte valide». Il est également responsable des erreurs qu’il commet ou des «dépôt[s] frauduleux ou sans valeur»[79]. Cette obligation est tout à fait raisonnable à nos yeux, mais il faut la replacer dans son contexte : le contrat bancaire étant un contrat d’adhésion, les tribunaux l’interprètent restrictivement[80]. Cette obligation est sujette à plusieurs exceptions et au fardeau de la preuve qui incombe au titulaire.

a. L’utilisation non autorisée

Un transfert de fonds non autorisé effectué au moyen d’une carte de débit peut survenir par l’entremise d’une erreur de la part de la banque ou, ce qui est habituellement le cas, découler d’un geste frauduleux posé par un tiers, soit à la suite d’un ordre de paiement donné par un mandataire du titulaire, déclaré ou apparent, soit par un tiers inconnu du titulaire. En cas de transfert non autorisé, qui du titulaire ou de l’émetteur doit supporter la fraude ? Cette question est au coeur des transferts de fonds depuis l’existence des systèmes de paiement. Contrairement au droit cambiaire, qui est codifié et dont les règles prétoriennes ont été élaborées au fil des derniers siècles, les transferts électroniques de fonds par carte de débit sont principalement régis par le contrat bancaire[81]. Plus précisément, comme nous l’avons déjà mentionné, ces contrats reprennent l’essence du Code de pratique canadien en y apportant quelques variantes, ajouts ou omissions. Dans les paragraphes qui suivent, nous discutons des diverses situations auxquelles peut être confronté un titulaire et nous analysons la conformité des contrats bancaires avec le Code de pratique canadien.

L’élément cardinal de l’autorisation repose sur la notion de divulgation du NIP. L’article 5(4) du Code de pratique canadien mentionne que «[d]ans tous les autres cas où le titulaire d’une carte contribue à l’utilisation non autorisée de celle-ci, il est responsable des pertes en résultant» [nos italiques]. Cette disposition doit être lue conjointement avec l’article 5(5), qui mentionne que «[l]e titulaire d’une carte contribue à l’utilisation non autorisée [...] s’il divulgue volontairement son NIP, notamment s’il inscrit son NIP sur sa carte ou conserve à proximité de la carte une inscription mal camouflée du NIP».

Afin de favoriser une meilleure compréhension de l’article 5 du code, le Groupe de travail y a ajouté un guide d’interprétation en 2002. En vertu de ce guide, la divulgation doit être volontaire et ne peut résulter de «contrainte, supercherie, force ou intimidation. Cela inclut les situations où quelqu’un relève le NIP du client à un terminal de point de vente»[82]. L’interprétation no 4 du guide précise que le NIP d’un titulaire sera divulgué volontairement lorsqu’il est «constitué d’une combinaison basée sur son nom, son numéro de téléphone, sa date de naissance, son adresse ou son numéro d’assurance sociale». Toutefois, l’interprétation no 7 tempère cette interdiction en précisant :

[qu’u]n NIP est camouflé de manière réfléchie s’il est dissimulé sur un document, par exemple, en modifiant l’ordre des chiffres ou en les remplaçant par d’autres chiffres ou symboles, ou si l’on fait en sorte qu’il ressemble à un autre type de numéro en l’entourant d’autres chiffres ou symboles.

Cette question prend son importance en considérant la difficulté pour certains, notamment les personnes âgées, à mémoriser leur NIP[83]. Enfin, le guide d’interprétation prévoit que le NIP est mal dissimulé s’il est inscrit sur la carte ou si le titulaire n’a fait aucun effort pour le cacher. Ceci survient lorsque le NIP est perdu ou volé au même moment que la carte, c’est-à-dire s’il est dissimulé dans un portefeuille, un sac à main, etc.[84].

Le code précise que le camouflage de l’inscription demeure une question de fait, qui s’évalue selon le critère de la personne raisonnable placée dans les mêmes circonstances et «non du point de vue du voleur ou du représentant officiel de l’émetteur de la carte qui, par expérience, en sont venus à connaître bon nombre de types de camouflage ainsi que leurs forces et faiblesses»[85].

Les contrats bancaires régissent plus sévèrement la question de l’obligation de divulgation que le Code de pratique canadien. D’abord, tous les contrats prévoient que le NIP ne doit jamais être révélé à qui que ce soit, y compris à un membre de la famille ou à un ami proche[86]. Ensuite, certains contrats interdisent d’une manière générale le choix d’un NIP qui peut être deviné facilement, sans toutefois fournir d’illustrations. D’autres sont plus explicites, en interdisant, à titre d’exemples, la date de naissance, l’adresse, le numéro de permis de conduire ou le numéro de téléphone. Dans tous les cas, aucune nuance n’est apportée quant à la possibilité pour le titulaire de camoufler les numéros, comme en modifiant l’ordre des chiffres, contrairement à ce qui est prévu par le Code de pratique canadien[87].

La jurisprudence canadienne s’est prononcée à quelques reprises sur la notion de divulgation. Elle interprète très restrictivement le contrat bancaire, puisqu’il est d’adhésion, mais elle le valide lorsqu’il est clair et limpide[88]. D’abord, la jurisprudence entérine les contrats bancaires qui, à l’instar du Code de pratique canadien, interdisent la conservation du NIP à proximité de la carte[89]. La notion de proximité réfère au fait que l’inscription du NIP doit être physiquement près de la carte, à titre d’exemple dans le portefeuille ou le sac à main. Dans l’affaire Fabre c. Banque de Montréal, groupe financier BMO[90], la détentrice s’était fait voler son sac à main, qu’elle avait caché dans son bureau et qui contenait à la fois sa carte de débit et son NIP. Malgré ses explications à l’effet qu’elle avait écrit le NIP sur un papier parce qu’elle n’utilisait que rarement ce compte bancaire, destiné aux besoins de sa fille mineure, le juge a considéré que le NIP était à proximité de la carte et a tenu la titulaire responsable, ce qu’avait d’ailleurs déjà décidé l’Ombudsman des services bancaires et d’investissements en l’espèce[91].

Dans la décision Couture c. Caisse populaire de Bathurst ltée[92], le demandeur avait perdu son portefeuille lors d’une excursion de pêche, lequel contenait la carte et le NIP inscrit sur un papier. Malgré une négligence de l’institution financière, qui avait oublié de débiter le montant d’un emprunt hypothécaire à partir du compte courant auquel le demandeur avait accès avec sa carte de débit, la Cour d’appel a décidé en faveur de l’institution financière. Elle a ainsi renversé un jugement de première instance, où le magistrat mentionnait qu’«[e]n mettant en service des guichets automatiques, les institutions financières ont assumé certains risques, dont l’un est que certains titulaires de cartes et de NIP ne s’en serviront peut-être pas fréquemment»[93]. Le juge de première instance poursuivait en ajoutant :

[qu’i]l n’est que raisonnable de présumer que ces personnes écriront leur numéro quelque part pour pouvoir le trouver si elles en ont besoin. Il est également raisonnable de supposer que des portefeuilles seront perdus avec les cartes de débit qu’ils contiennent. Cette perte en elle-même, à mon avis, ne constitue pas une négligence[94].

Bien que favorable aux consommateurs, ce point de vue ne doit pas être retenu lorsque le contrat est clair et non équivoque, car il est important que le titulaire agisse avec prudence en ne laissant pas le NIP près de la carte. Dans la décision Devarenne, toutefois, le contrat n’interdisait pas que le code secret puisse se trouver à proximité de la carte[95]. Le juge y a mentionné que «le simple fait pour le client d’avoir son code ou son NIP dans son portefeuille ne le rend pas responsable de violation de la disposition de la convention relative à la confidentialité du code»[96]. Malgré cette interprétation restrictive en faveur du titulaire, celui-ci a tout de même ultimement été tenu responsable, puisque le contrat bancaire prévoyait clairement la responsabilité du client avant la notification de la perte ou du vol[97].

Contrairement aux cartes de paiement françaises, les cartes de crédit canadiennes ne contiennent que rarement un NIP, n’exigeant qu’une signature manuscrite sur une facturette. Le titulaire obtient toutefois un NIP lorsque cette carte donne accès à un retrait d’argent à un guichet bancaire automatisé[98]. La décision Gill c. Red River Cooperative Ltd. présente à ce sujet un intérêt particulier[99]. Dans cette affaire, une carte de crédit commerciale bilatérale contenant un NIP avait été accordée par un émetteur à une entreprise. Lorsque la carte était insérée dans le lecteur d’une pompe à essence automatisée, celle-ci s’activait pour remplir le réservoir et, par la suite, le compte du débiteur était débité. Le titulaire avait accordé une seconde carte à un employé, qui avait inscrit le NIP à l’endos de celle-ci. L’employé a perdu la carte et le titulaire a, par la suite, été victime d’une fraude. Le contrat bancaire prévoyait explicitement que «[t]he Customer must not disclose its security (PIN) number. The Customer agrees it will not write the PIN number on the Card»[100]. Le tribunal a donné raison à l’émetteur, en fondant sa décision sur deux points importants. Il a considéré que la loi avait préséance sur le contrat bancaire[101], «[m]algré toute stipulation contenue dans une convention ou un contrat conclus avant ou après l’entrée en vigueur de la présente partie»[102]. Il a aussi noté que la carte ne permettait pas le retrait d’argent, comme cela est le cas pour une carte de débit, mais seulement de payer pour un bien, soit de l’essence[103].

La jurisprudence valide également les contrats bancaires qui interdisent le choix d’une adresse, d’une date de naissance ou d’un numéro de téléphone, ce qui est également interdit par le Code de pratique canadien. Dans la décision Laberge[104], la demanderesse avait perdu son portefeuille qui contenait ses cartes de crédit et sa carte de débit, mais aucune inscription du NIP à proximité. Le NIP correspondait à la date de naissance de la titulaire et les registres informatisés de la défenderesse ont montré qu’il n’y a eu aucun rejet de la carte. Le tribunal a jugé que la clause contenue dans le contrat bancaire empêchant le choix de la date de naissance était justifiée et qu’elle ne constituait ni une clause externe ni une clause abusive[105].

Comme le mentionne le professeur Benjamin Geva, l’interdiction d’utiliser un code qui s’inspire de la date de naissance, du numéro de permis de conduire ou d’autres numéros personnels se fonde sur la présomption que la carte de débit sera conservée à proximité d’autres documents d’identification[106]. Ainsi, il serait injustifié de tenir le titulaire de la carte de débit responsable si tel n’est pas le cas, car le fraudeur n’a alors aucun moyen de deviner le NIP. Toutefois, la décision Laberge est entièrement justifiée, puisque le titulaire avait utilisé sa date de naissance pour choisir son code secret, ce qui va à l’encontre non seulement du contrat bancaire, mais également du Code de pratique canadien.

Une autre forme de divulgation interdite survient lorsque le titulaire de la carte agit avec imprudence en composant son NIP. À titre d’illustration, soulignons une affaire où un client s’est présenté au comptoir d’une pharmacie pour payer au moyen de sa carte de débit[107]. Malgré la file d’attente derrière lui, il a poinçonné son code secret sur le clavier à la vue des gens et sans tenter de se cacher. Il avait également choisi une date en rapport avec un fait historique survenu lors de la Seconde Guerre mondiale pour le choix de son NIP, laquelle coïncidait avec sa date de naissance. Le juge n’a aucunement retenu le fait que le NIP correspondait à la date de naissance du demandeur, mais a plutôt relevé sa négligence lors de la composition de son NIP devant des étrangers :

[t]he Plaintiff was not missing his wallet or any other documents from which someone could deduce his PIN. Rather, the Plaintiff used his PIN in full sight of strangers. He also lost possession of the card either by carelessness or by a combination of carelessness and theft. The Plaintiff contributed to someone else’s unauthorized use of his Card and PIN. He is liable up to his daily limit[108].

Également, la remise de la carte et du NIP à une tierce personne, habituellement le conjoint, sera considérée comme une négligence entraînant la responsabilité du titulaire[109], à la condition qu’il existe un lien de causalité entre la faute de ce dernier et les transactions frauduleuses[110]. La vente de la carte et du NIP à quelqu’un est également considérée comme une négligence, même si le geste est commis par un mineur[111].

L’article 5(3) du Code de pratique canadien énonce les situations où le titulaire de la carte de débit n’est pas responsable d’une utilisation non autorisée. La clause 5(3)(a) mentionne que le titulaire ne doit pas être responsable pour les défectuosités techniques, les erreurs qui sont causées par l’émetteur ou pour tout autre type de problèmes de fonctionnement. Cette disposition s’inscrit dans la pensée du professeur Luc Thévenoz, qui affirme, à juste titre, que «the banks who design, operate, and supervise the system are in the best position to make the optimal decision about the efficient level of precautions at which the marginal cost of any improvement exceeds the marginal gain in reduced losses»[112]. La plupart des contrats bancaires respectent cette exigence, par l’entremise d’une clause rédigée d’une manière similaire à ce que propose le Code de pratique canadien[113]. Cependant, certaines institutions financières s’exonèrent d’une manière importante de leur responsabilité en pareilles situations. Il est intéressant de se pencher sur le contrat d’une grande banque canadienne. Dans une de ses clauses, il stipule que le titulaire n’est pas responsable d’une utilisation non autorisée «en raison de circonstances indépendantes de [sa] volonté», ce qui peut être le cas lors d’«un problème technique ou [d’un] mauvais fonctionnement d’équipement». Cette clause entre en contradiction avec la clause suivante du même contrat bancaire :

Nous déclinons toute responsabilité pour tout retard, tout dommage, toute perte ou tout inconvénient que vous, ou toute autre personne, pouvez subir lorsque vous êtes incapable d’accéder aux [s]ervices bancaires automatisés du fait d’une panne pour toute raison, quelle qu’elle soit, ou si nous ne recevons pas vos instructions pour quelque raison que ce soit, ou en cas de retard dans le traitement d’une [transaction], ou si nous refusons de donner suite à vos instructions, pour quelque raison que ce soit.

[...] Nous déclinons toute responsabilité pour toute perte ou pour tout dommage que vous pouvez subir lors de l’utilisation de tout logiciel ou service fourni par d’autres entreprises que nous mettons à votre disposition de temps à autre [nos italiques].

Cette clause est susceptible d’être considérée comme étant abusive au sens de l’article 1437 C.c.Q. En effet, la banque s’exonère pour les faits et les actes qui sont sous son contrôle, soit l’incapacité d’accéder à un site en raison d’une panne «pour toute raison, quelle qu’elle soit» et pour les pertes et les dommages qui découlent de l’utilisation d’un logiciel d’une entreprise que cette banque «met[] à [la] disposition [du titulaire] de temps à autre». Ceci va clairement à l’encontre de la théorie du professeur Thévenoz, selon laquelle il n’existe aucun fondement pour tenir le titulaire responsable d’une situation hors de son contrôle et sous celui de la banque.

L’article 5(3)(b) du Code de pratique canadien prévoit que le titulaire n’est pas responsable pour :

l’utilisation non autorisée d’une carte et d’un NIP lorsqu’il incombait à l’émetteur de la carte d’empêcher une telle situation, par exemple à partir du moment où : le titulaire a signalé la perte ou le vol de sa carte, la carte est annulée ou périmée[] [et] le titulaire a signalé qu’une autre personne connaît peut-être son NIP [...].

Les contrats bancaires sous étude stipulent unanimement que le titulaire cesse d’être responsable dès qu’il a averti l’émetteur de la perte ou du vol de la carte ou d’un doute quant à la divulgation du NIP. Ceci est conforme à la clause 5(5)(b) du Code de pratique canadien, qui prévoit que «[l]e titulaire d’une carte contribue à l’utilisation non autorisée : [...] s’il néglige d’aviser, dans un délai raisonnable, l’émetteur de la carte de la perte, du vol ou d’un mauvais usage de sa carte ou de la possibilité que quelqu’un d’autre connaisse son NIP» [nos italiques].

La plupart des contrats exigent que cette dénonciation survienne dans les plus brefs délais. Dans l’un des contrats sous étude, il est nécessaire d’aviser la banque par téléphone dans un délai fixe de vingt-quatre heures qui suit la découverte de l’événement, à moins de démontrer des «circonstances exceptionnelles» pour le défaut d’aviser dans le délai prescrit. L’imposition d’un tel délai va à l’encontre du Code de pratique canadien, qui suggère un «délai raisonnable». Un avis de vingt-quatre heures est-il raisonnable et une telle mention expresse devrait-elle être favorisée par rapport à l’énoncé d’un «délai raisonnable» dans le Code de pratique canadien ? Le principe d’un délai fixe à partir du moment de la découverte nous paraît certes préférable, vu la nature des contrats bancaires, dans le but d’éliminer les aléas laissés à la discrétion judiciaire. Ceci est d’ailleurs en accord avec la réglementation états-unienne qui prévoit un délai minimal de quarante-huit heures[114]. Toutefois, il est incertain si une telle clause prévoyant un délai de vingt-quatre heures réussirait le test de la clause abusive[115]. Un délai d’au moins quarante-huit heures, à la lumière de l’expérience états-unienne, nous apparaît plus raisonnable.

En vertu de l’interprétation no 1(b) de l’article 5(3) du guide d’interprétation annexé au Code de pratique canadien, le titulaire est exonéré pour les gestes posés par des employés ou des agents de l’institution financière. Parmi les contrats bancaires étudiés, plusieurs sont silencieux à cet égard, tandis que quelques-uns exonèrent l’institution financière en cas de bris pouvant survenir à la suite d’une grève ou d’un lock-out.

L’article 5(3)(c) du code exonère le titulaire lors d’«une utilisation non autorisée de la carte, lorsqu[’il] a involontairement contribué à une telle utilisation, à la condition qu’il collabore à toute enquête ultérieure». Selon l’interprétation no 1(g), cette situation traite des agissements du titulaire sous la contrainte physique, l’intimidation ou la supercherie. Cette clause est prévue dans la plupart des contrats bancaires, bien que certains ne traitent que partiellement ou aucunement de la contrainte[116]. Lorsque le titulaire a été victime d’une utilisation non autorisée de sa carte de débit et de son NIP, le Code de pratique canadien et les contrats bancaires l’obligent à collaborer avec les autorités policières. La jurisprudence exonère toutefois le titulaire en l’absence d’enquête ou devant un délai trop long[117]. Concrètement, outre son avantage à corroborer la crédibilité du titulaire, cette collaboration est susceptible de procurer une utilité plutôt limitée si l’utilisation est indépendante de la volonté du titulaire. Le professeur Geva remet d’ailleurs en question l’intérêt de cette obligation[118].

En outre, il faut mentionner que le Code de pratique canadien et les contrats bancaires ne prévoient pas l’obligation pour l’émetteur d’offrir un environnement sécuritaire au guichet bancaire, comprenant à tout le moins un service téléphonique gratuit et un système de surveillance par vidéo. La seule obligation de l’émetteur à cet égard consiste en une obligation de sécurité prévue par la jurisprudence. Cette lacune du Code de pratique canadien et des contrats devrait certainement être comblée par le législateur[119].

b. Le fardeau de preuve qui incombe au titulaire

Le fardeau de preuve requis de la part du consommateur pour démontrer ses allégations est habituellement très difficile à surmonter lors d’une utilisation non autorisée de sa carte de débit[120]. Comme le mentionne la professeure M.H. Ogilvie, «[s]ince the customer is required to keep the card and P.I.N. separateindeed, customers are recommended to memorize their P.I.N.unauthorized use resulting from the simultaneous theft of both is virtually impossible to excuse legally»[121]. Lorsque la banque ne peut détecter la présence d’un réseau de criminels organisés, le consommateur arrive rarement à convaincre un tribunal ou un ombudsman bancaire qu’il a été victime d’une fraude. Le Code de pratique canadien et les contrats bancaires ne traitent ni de l’intensité du fardeau de la preuve qui doit être surmonté par le titulaire ni du degré de négligence à démontrer. Quid de la négligence grossière versus la simple négligence ? Ce silence pourrait être interprété comme une référence implicite aux règles générales des obligations et de la preuve, soit la simple négligence. Le titulaire se voit donc dans l’obligation de démontrer ses affirmations selon le fardeau de la preuve civile[122]. En pratique, la crédibilité du titulaire s’oppose à la présomption de fiabilité des documents informatisés de l’émetteur. D’ailleurs, les contrats stipulent que le titulaire de la carte reconnaît l’exactitude des opérations enregistrées et des montants débités par la banque pour chaque opération. Certaines ententes précisent toutefois un délai pour l’examen du relevé et la dénonciation de toute erreur[123]. Les tribunaux sont relativement discrets sur cette question, se contentant d’alléguer qu’une négligence du titulaire relativement à la divulgation du NIP est habituellement fatale, lorsque le contrat est clair et non ambigu[124].

Un renversement du fardeau de la preuve en faveur du titulaire (la victime) serait plus juste dans les circonstances, comme le prévoient les recommandations et les directives européennes[125]. Toutefois, dans certains cas, le renversement permet difficilement à un titulaire ayant divulgué son code secret, que ce soit en le conservant à proximité de sa carte, en choisissant un numéro interdit ou en omettant de camoufler le NIP lors de sa composition à un terminal, d’obtenir gain de cause. Sur ce point, nous réitérons qu’une meilleure éducation des consommateurs doit être entreprise par les institutions financières et par les groupes consuméristes. Dans l’hypothèse où un titulaire a respecté ses obligations, ce renversement atteint certainement l’équité dans la relation contractuelle et pourrait lui être favorable lors d’un recours judiciaire. En outre, l’évaluation de la preuve devrait se faire conformément au guide d’interprétation no 6 de l’article 5 du Code de pratique canadien[126].

c. Les dommages

Une carte de débit donne accès non seulement au compte en banque, mais également à une protection en cas de découvert bancaire, à d’autres comptes en banque, à une marge de crédit et, dans certains cas, à la marge disponible d’une carte de crédit. Les pertes et les dommages subis à la suite d’une utilisation non autorisée de la carte de débit peuvent donc dépasser de loin le montant disponible au(x) compte(s) en banque au(x)quel(s) la carte donne accès[127], en particulier si l’avis de perte ou de vol est donné tardivement. Outre l’accès aux divers comptes bancaires, les fraudeurs déposent parfois des enveloppes vides pour ensuite retirer l’argent, ce qui peut également engendrer la responsabilité du titulaire[128].

L’interprétation no 1 de l’article 5(4) du Code de pratique canadien explique que la plupart des émetteurs de cartes limitent les montants qui peuvent être débités quotidiennement, tant pour les retraits à un guichet automatisé qu’à un terminal de point de vente, afin de limiter la perte que subit le titulaire. À titre d’exemple, il est mentionné que l’émetteur peut limiter quotidiennement à 1 000$ les retraits en espèces à un guichet bancaire automatisé, et à 2 000$ pour un achat à un terminal de point de vente, pour une responsabilité quotidienne de 3 000$. Malheureusement, le Code de pratique canadien ne suggère pas aux institutions financières d’imposer une limite de retrait. Si la limite est augmentée par l’institution financière, le client doit en être averti, sinon il ne sera pas responsable des dommages excédentaires[129]. Il est toutefois possible pour le client de demander à son institution financière de ne permettre l’accès qu’à un ou à certains de ses comptes.

En bref, tant le Code de pratique canadien que son implantation dans les contrats bancaires présentent plusieurs lacunes lorsqu’il est question de protéger le titulaire d’une carte de débit contre les utilisations non autorisées. Notons en particulier l’impossibilité de modifier l’ordre des chiffres d’un NIP ou l’utilisation d’autres chiffres ou symboles, l’absence d’une présomption en faveur du titulaire, l’absence d’une responsabilité fondée sur le risque, l’absence d’une obligation imposée à l’émetteur d’installer un système de sécurité par un système de vidéo, l’absence d’une obligation pour l’émetteur d’accorder un crédit provisionnel au titulaire durant le processus d’enquête lors d’une allégation de fraude, son dégagement de responsabilité lors d’une défectuosité technique ou de force majeure et l’imposition d’un délai fixe pour avertir l’émetteur d’une perte ou d’un vol de la carte et/ou du NIP.

II. La réforme de la protection du titulaire de carte de débit

Les lacunes que nous avons mises en exergue en première partie de ce texte ont trait principalement au problème de l’utilisation non autorisée de la carte de débit et, par conséquent, au partage de la responsabilité entre l’émetteur et le titulaire. Si le Code de pratique canadien propose des solutions intéressantes, il faut rappeler qu’il est partiellement dénaturé par les contrats bancaires qui s’en sont inspirés. Afin de rechercher une équité entre le titulaire et l’émetteur dans les transactions par cartes de débit, ces lacunes peuvent être surmontées par une approche qui se fonde sur le risque assumé par les émetteurs de cartes de débit, à l’instar de la protection offerte par les cartes de crédit. Dans cette seconde partie, nous examinons d’abord les caractéristiques de cette approche et nous analysons les illustrations tirées de plusieurs pays (A). À partir de ce constat, nous analysons par la suite les possibilités de réformer le droit canadien des cartes de débit (B).

A. La protection du titulaire fondée sur le risque

La responsabilité du titulaire d’une carte de débit doit-elle être fondée sur la négligence ou la faute de ce dernier ? Les émetteurs de cartes de débit devraient-ils plutôt assumer les risques de pertes ? L’émetteur peut-il juger de la légitimité de l’opposition présentée par le titulaire de la carte ? Ces questions interpellent la théorie de la répartition des pertes. Nous examinons d’abord les fondements de cette théorie dans le contexte d’une fraude pour analyser ensuite l’apport du droit étranger en la matière. Dans ce dernier cas, nous verrons successivement les droits états-unien et européen.

1. Les caractéristiques

La question fondamentale de la répartition des pertes entre l’institution financière et le client a émergé de la lutte contre la fraude dès le début de l’utilisation des moyens de paiement. Elle conserve toute son importance dans le domaine des paiements par carte. En effet, alors que plusieurs théories de la répartition des risques et des pertes ont été développées dans le contexte des fraudes de chèques, peu de théories similaires existent pour les fraudes par carte de paiement. Les auteurs états-uniens Cooter et Rubin ont étudié cette question, ainsi que son impact sur le comportement du consommateur[130].

Avant de bien saisir la théorie de la répartition des pertes, il est pertinent d’examiner le fonctionnement de la carte de crédit. Quelques années après l’avènement des cartes de crédit sur le marché canadien[131], les émetteurs ont volontairement choisi de limiter la responsabilité des titulaires de cartes. Si cette pratique avait une visée manifestement mercantile de mise en marché des cartes de crédit, les émetteurs considéraient également que le système n’était pas totalement étanche et à l’abri des fraudeurs. Cette coutume a ensuite été reprise par les législateurs canadiens. À titre d’exemple, la Loi sur la protection du consommateur limite à 50$ la responsabilité du titulaire d’une carte de crédit en cas de perte ou de vol, que ce dernier ait ou non communiqué cette information à l’émetteur[132]. Ce titulaire demeure toutefois entièrement responsable lors d’un litige avec le commerçant, sous réserve de certaines protections concernant les achats à distance[133].

La réglementation états-unienne, de même que les recommandations et les directives européennes, reprises par plusieurs États membres de l’Union, exonèrent partiellement ou même totalement dans certains cas spécifiques le titulaire en cas de divulgation involontaire du NIP[134]. Certains États européens ont même adopté une protection plus importante que celle proposée par les recommandations et les directives, en s’attaquant à la pierre angulaire du problème, soit la preuve d’une divulgation involontaire que doit démontrer le titulaire.

En agissant ainsi, le législateur déresponsabilise-t-il le titulaire ? Il faut rappeler qu’en aucun cas le législateur n’exonère un titulaire qui a agi par négligence en divulguant volontairement son NIP. Par conséquent, la divulgation involontaire ne devrait pas préjudicier le titulaire qui en est victime. Toutefois, nous avons vu qu’au Canada, les émetteurs s’exonèrent de certaines situations, tantôt en raison d’un dysfonctionnement informatique, tantôt à la suite d’une force majeure. Pourtant, des déficiences techniques lors du traitement des cartes de débit se produisent occasionnellement, tout comme des initiatives de fraudeurs solitaires ou en groupes organisés. Confrontés à des allégations de fraudes commises par des tiers aux dépens de leurs clients, les émetteurs acceptent parfois de rembourser partiellement ou totalement la victime. Cependant, ceci n’a lieu qu’au cas par cas et non de manière systématique.

Une exonération partielle de responsabilité doit avoir pour effet principal de rassurer le titulaire en cas de perte ou de vol et non de le déresponsabiliser. Il importe de déterminer un montant suffisamment élevé pour sensibiliser le consommateur à la nécessité d’être prudent dans l’utilisation de sa carte, sans qu’il soit trop élevé et pousse celui-ci à se tourner vers un autre mode de paiement. Cooter et Rubin appellent ce point d’équilibre le «capped consumer liability»[135]. Outre le montant en argent, il faut également considérer les inconvénients pour le consommateur qui perd ou se fait voler sa carte, qui doit alors communiquer avec l’émetteur et attendre quelques jours pour obtenir une nouvelle carte[136].

Par ailleurs, Cooter et Rubin ne mentionnent pas que si cette malchance survient trop fréquemment dans un certain laps de temps, il est possible que l’émetteur devienne suspicieux et impose des conditions d’utilisation plus restrictives. Donc, la mise en place d’un montant minimum exige, d’une part, une certaine prudence de la part du consommateur et aboutit, d’autre part, à une répartition des pertes encourues par les émetteurs sur l’ensemble de leurs opérations. Les deux auteurs ne discutent pas non plus du volet économique de la fraude pour les émetteurs. En effet, alors que les pertes liées au vol d’une carte de crédit peuvent être compensées par des taux d’intérêt supérieurs à ceux habituellement pratiqués par les banques, les pertes engendrées par l’utilisation non autorisée d’une carte de débit peuvent difficilement être neutralisées par les frais d’utilisation. Les émetteurs pourraient invoquer cet élément pour favoriser la gouvernance de leur relation avec les titulaires par un simple code de pratique. Au contraire, nous croyons, à l’appui des expériences états-unienne et européenne, que si le législateur devait imposer une protection du titulaire fondée sur les risques du système, ceci favoriserait la recherche et le développement de solutions techniques pour résoudre le problème de la fraude des cartes de paiement. L’utilisation d’une puce dans la carte de paiement, en Europe, et plus récemment dans la carte de crédit au Canada[137], illustre bien cet argument.

En somme, bien qu’il soit nécessaire que le législateur impose au titulaire un montant minimum en cas d’une transaction non autorisée, c’est-à-dire une sorte de dommages-intérêts, il importe surtout de bien éduquer les consommateurs sur l’importance et l’obligation de bien conserver le secret du NIP et de ne jamais le laisser près de la carte.

2. L’apport du droit étranger

Une étude comparative entre le droit canadien et le droit étranger démontre que certains États protègent statutairement le titulaire d’une carte de débit contre les utilisations non autorisées selon une responsabilité fondée sur les risques du système et non entièrement sur sa responsabilité personnelle. Dans les paragraphes qui suivent, nous analysons successivement le droit états-unien et le droit européen, soit les recommandations et les directives communautaires en la matière et leur application en droit français, belge et luxembourgeois. Aux fins de notre analyse, nous nous concentrons sur les éléments novateurs qui peuvent être bénéfiques pour le droit canadien.

a. Le droit états-unien

Aux États-Unis, le fonctionnement des cartes de paiement est similaire au nôtre, c’est-à-dire que les citoyens peuvent obtenir à la fois des cartes de débit et des cartes de crédit. La réglementation bancaire est toutefois plus favorable que la nôtre à l’égard du titulaire d’une carte de débit. D’une manière générale, le Electronic Fund Transfer Act de 1978 régit les transferts effectués par un terminal électronique, par téléphone ou par ordinateur[138]. La définition générale des articles 909(1) et (6) précise qu’une carte visée par cette loi est celle qui donne accès à un compte bancaire et qu’un transfert de fonds est celui qui est initié par un terminal électronique, que ce soit à un guichet bancaire automatisé ou à un terminal de point de vente. L’alinéa 11 de la définition mentionne également qu’un transfert électronique de fonds non autorisé est un transfert effectué par carte sans le consentement du titulaire. Depuis 1979, cette loi est complétée par la réglementation fédérale Regulation E (Electronic Fund Transfer Act)[139], dont l’objet vise l’utilisation des transferts électroniques de fonds qui donnent accès à un compte bancaire[140].

En ce qui concerne la protection d’un titulaire de carte de débit victime d’une opération non autorisée, l’article 205.6 de la Regulation E dispose que ce titulaire est responsable pour un montant ne dépassant pas 50$, s’il avertit la banque dans les deux jours de l’erreur ou de la fraude, et d’un montant de 500$ s’il avertit la banque dans un délai de soixante jours, sinon il est entièrement responsable. Le délai pour aviser peut toutefois être étendu dans certaines circonstances[141], comme l’absence ou la maladie. À l’instar du Code de pratique canadien, la limite de responsabilité s’applique à la condition que le client n’ait pas révélé le numéro de son NIP. Cette condition est d’ailleurs commune à toutes les mesures protectrices, peu importe le pays. L’objet de cette responsabilité progressive est de responsabiliser les clients en les incitant à notifier l’émetteur le plus tôt possible et, ainsi, à minimiser les pertes. L’avis transmis à l’émetteur est valide dès qu’il est donné par le client. Il n’a pas à être donné à une personne en particulier. S’il est transmis par la poste, il est effectif dès son envoi, plutôt que lors de sa réception par la banque[142].

En 1997, deux projets de loi ont été proposés[143] pour modifier la Regulation E et limiter la responsabilité de la victime à 50$ pour les transactions qui surviennent avant qu’elle n’avise l’émetteur d’une utilisation non autorisée, peu importe le délai de notification[144]. Toutefois, ces projets sont demeurés lettre morte et l’article 205.6 n’a pas été modifié depuis.

Aux États-Unis, le fardeau de la preuve s’établit comme suit. En s’inspirant du rapport de la National Commission on Electronic Fund Transfer déposé en 1977[145], lequel est à l’origine de la loi de 1978, un tribunal a mentionné que l’institution financière devait prouver l’autorisation du transfert de fonds. Ceci rappelle la difficulté pour le titulaire d’établir sa crédibilité face à un ordinateur[146], même si ce dernier n’est pas infaillible[147]. Dans la décision Judd, la titulaire pouvait facilement démontrer qu’elle se trouvait à son lieu de travail au moment des retraits illégaux de son compte et sa crédibilité a été acceptée par le juge non seulement sur ce point, mais également sur le fait qu’elle n’avait pas dévoilé son NIP et ne l’avait pas inscrit à proximité de sa carte[148].

Nous partageons l’opinion du professeur Geva à l’effet que la jurisprudence majoritaire des années 1980 sur la question des transferts de fonds non autorisés doit être examinée en tenant compte de l’évolution des progrès technologiques et de la fiabilité des systèmes informatiques des institutions financières[149]. Le problème fondamental repose véritablement sur la preuve, en définitive, que doit apporter le titulaire relativement à la non-divulgation du NIP à quiconque ou à proximité de la carte. La solution européenne vient en aide à ce dilemme, comme nous le verrons à la section suivante.

À l’instar du Canada, l’article 205.6 a fait l’objet de peu de décisions judiciaires au fil des ans aux États-Unis. Dans une décision récente, la défenderesse alléguait que sa carte avait été dérobée et qu’elle s’était fait voler près de 4 000$[150]. Le tribunal lui a donné gain de cause en raison de l’absence d’enquête de la part de la banque et a confirmé l’application de la limite de responsabilité de 50$. Dans l’application des obligations contractuelles du titulaire de la carte, les tribunaux états-uniens ont adopté une attitude beaucoup plus nuancée que les tribunaux québécois. En raison de cette législation, les décisions ne portent pas seulement sur la divulgation du NIP[151], comme cela est le cas au Canada, mais également sur l’envoi ou non d’un avis par la victime de la perte ou du vol de sa carte. Ceci s’explique par l’obligation pour le titulaire d’aviser promptement l’émetteur afin de se prévaloir de l’exonération partielle de responsabilité. La position des tribunaux états-uniens est très stricte et ceux-ci acceptent difficilement une dérogation à ce principe[152].

Ainsi, le droit états-unien est de loin plus équitable que le Code de pratique canadien dans le traitement de la responsabilité du titulaire qui est victime d’une utilisation non autorisée de sa carte. Cette responsabilité se limite à 50$ ou à 500$, selon que l’avis de la perte ou du vol a été transmis à l’émetteur dans un délai inférieur à deux jours ouvrables ou à soixante jours. Ceci diffère substantiellement du Code de pratique canadien, tant en ce qui concerne le délai, qui doit être «raisonnable», que pour ce qui est du plafond monétaire, qui se limite aux plafonds quotidiens. Outre ces différences, rappelons aussi que la législation états-unienne est coercitive, ce qui n’est pas le cas du Code de pratique canadien. Également, la Regulation E accorde un crédit provisionnel au titulaire (moins un montant de 50$) lorsque l’enquête dépasse une période de dix jours, ce que ne permet pas le Code de pratique canadien[153].

b. Le droit européen

Il faut bien saisir le fonctionnement de certaines cartes de paiement européennes avant d’analyser leurs mesures de protection. En France, outre les cartes de crédit émises par les magasins, la Carte Bleue est émise par les banques et elle est utilisée par la majorité des Français. Cette carte permet au titulaire, lors de son émission, de choisir un débit immédiat ou un débit différé. Dans le premier cas, il s’agit de l’équivalent de la carte de débit au sens nord-américain du terme. Cette option est offerte à tous les citoyens français et aux non-résidents. Dans le second cas, il ne s’agit pas d’un crédit avec un terme de paiement qui peut s’étaler sur plusieurs mois, mais d’un délai d’au plus un mois pour payer[154]. Cette forme de carte est donc l’équivalent de la carte de paiement American Express qui, jusqu’à récemment, n’offrait que cette possibilité à sa clientèle. Cette différence est importante, car les règles de protection en droit de la consommation excluent les prêts de moins de trois mois[155].

Ainsi, contrairement aux Canadiens qui possèdent plusieurs cartes de crédit et parfois, plus d’une carte de débit, les Français ne détiennent qu’un type de carte de paiement. Cette culture bancaire est spécifique à la France. Dans la majorité des pays européens, les consommateurs peuvent détenir à la fois une carte de débit et une carte de crédit. Ceci est le cas notamment en Allemagne, en Espagne, en Irlande, en Italie, au Luxembourg, au Portugal, au Royaume-Uni et en Suisse. Malgré certaines différences, le fonctionnement de la carte de débit canadienne est similaire à la carte de paiement européenne avec débit immédiat et les propositions de réforme du droit canadien que nous suggérons peuvent s’inspirer des sources juridiques européennes.

En droit communautaire, il existe plusieurs recommandations et directives qui gouvernent les paiements par carte. Dès 1975, la Communauté économique européenne a pris conscience des problèmes liés à la protection des intérêts économiques, dont le crédit à la consommation, et à l’information des consommateurs[156]. C’est toutefois en 1987 que la protection des titulaires de carte a été mise en oeuvre par l’établissement d’un code européen de bonne conduite en matière de paiement électronique[157]. Une nouvelle recommandation a précisé ces principes l’année suivante[158], laquelle a été mise à jour par la suite[159]. Ces recommandations énoncent les principes généraux de la responsabilité entre le titulaire et l’émetteur et deviennent contraignants lorsqu’ils sont adoptés par les États membres.

En cas d’utilisation non autorisée de la carte du titulaire, l’article 8(3) de la Recommandation 88/590/CEE prévoit que celui-ci se voit accorder un plafond de responsabilité de 150 écus par événement jusqu’au moment de la notification, sauf si le titulaire «a fait preuve d’une négligence extrême ou a agi frauduleusement»[160]. L’article 6(1) de la Recommandation 97/489/CE est au même effet, mais apporte une précision, soit que le titulaire ne doit pas avoir «agi avec une négligence extrême, en violation des dispositions pertinentes de l’article 5 points a), b) et c), ou frauduleusement»[161]. Cette recommandation innove en établissant, d’une part, que «[l]a seule utilisation d’un code confidentiel ou de tout élément d’identification similaire n’est pas suffisante pour engager la responsabilité du titulaire», et que, d’autre part, le titulaire ne sera responsable que «si l’instrument de paiement a été utilisé sans présentation physique ou sans identification électronique»[162]. Cette protection représente certes un progrès pour protéger le consommateur victime de fraude à son insu, car il est dans ce cas très difficile d’en apporter la preuve.

La «négligence extrême» exigée par le droit communautaire diffère-t-elle vraiment de l’intensité exigée par le droit canadien ? Dans les deux cas, le titulaire se voit opposer sa réclamation lorsqu’il contrevient au défaut de choisir un NIP difficile à copier, de conserver le NIP ailleurs qu’auprès de sa carte ou de notifier l’émetteur dès qu’il a connaissance de l’opération non autorisée. Ainsi, cette négligence est considérée comme étant «extrême» par le droit communautaire, alors qu’elle ne peut être qu’une simple négligence du point de vue canadien.

L’utilisation non autorisée de la carte de paiement à débit immédiat est également traitée par des directives européennes. L’article 8 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance[163] est repris dans la Directive 2002/65/CE[164]. Cette directive mentionne clairement que les États membres doivent mettre en oeuvre des mesures pour qu’un consommateur «puisse demander l’annulation d’un paiement en cas d’utilisation frauduleuse de sa carte de paiement dans le cadre des contrats à distance» et que «dans le cas d’une telle utilisation frauduleuse soit recrédité des sommes versées en paiement ou se les voit restituer». Ces directives demeurant toutefois trop générales quant à la négligence du titulaire, il fallait s’en remettre, jusqu’à récemment, aux recommandations 88/590/CEE et 97/489/CE.

Les directives 97/7/CE et 2002/65/CE ont fait l’objet d’une proposition de mise à jour en 2005[165]. Ceci visait, d’une part, à harmoniser le cadre juridique dans un nouveau marché intégré des paiements et, d’autre part, à faciliter l’initiative d’autoréglementation prise par le secteur des paiements dans le cadre du Conseil européen des paiements, consistant à développer d’ici 2010 des normes techniques et commerciales communes pour les paiements en euros et ainsi créer un espace unique de paiement en euros (Single Euro Payment Area)[166]. Cette proposition a mené à l’élaboration de la Directive 2007/64/CE en 2007[167]. Celle-ci est plus étoffée et ambitieuse que les recommandations 88/590/CEE et 97/489/CE ainsi que les directives 97/7/CE et 2002/65/CE.

La Directive 2007/64/CE se démarque des recommandations et des directives ci-dessus discutées à plusieurs points de vue. D’entrée de jeu, il faut noter que le vocabulaire est différent et plus englobant. À titre d’exemple, alors que la Directive 97/7/CE traite du «titulaire» d’une carte et que la Directive 2002/65/CE utilise le vocable «consommateur», la nouvelle directive adopte les termes «utilisateur de service de paiement» et «payeur»[168]. De plus, le mot «carte» est remplacé par l’expression «instrument de paiement», lequel est plus général et comprend «tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour initier un ordre de paiement»[169]. Le titre IV de cette directive traite des droits et des obligations liés à la prestation et à l’utilisation de services de paiement. Ce titre reprend l’essence des recommandations et des directives discutées ci-dessus. D’abord, en cas d’opérations de paiement non autorisées ou mal exécutées, l’utilisateur de services de paiement doit le signaler «sans tarder» au prestataire de services de paiement[170]. À l’instar du Code de pratique canadien, ce délai est malheureusement flou et aléatoire. Ensuite, le fardeau de la preuve de l’authentification de la transaction repose sur le prestataire de services de paiement. Non seulement ce dernier doit démontrer ce fardeau, mais en plus, il doit établir que l’enregistrement de l’utilisation d’un instrument de paiement soumis à cette fin :

ne suffit pas nécessairement en tant que tel[] à prouver que l’opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui lui incombent[171].

Ce traitement de la preuve, qui rejoint la Recommandation 97/489/CE, est plus équitable envers le consommateur, lequel ne peut souvent que s’appuyer sur sa crédibilité pour convaincre le tribunal de ses allégations. Une autre mesure d’équité concerne l’obligation pour le prestataire de services de paiement de rembourser immédiatement le payeur pour le montant de l’opération non autorisée[172], moins la somme de 150 euros qu’il doit supporter[173]. Bien que cette solution s’inspire de l’article 205.11(c)(2)(i) de la Regulation E états-unienne, elle est nettement plus avantageuse, car elle ne se limite pas à un crédit provisionnel si l’enquête de l’émetteur dure plus de dix jours, obligeant plutôt le remboursement immédiat. Cette solution est novatrice par rapport aux autres recommandations et directives de la Commission européenne et elle atténuera certainement la difficulté qu’éprouvent certains consommateurs d’accéder à la justice. Enfin, lorsque le payeur n’a pas agi de «manière frauduleuse ni [...] manqué intentionnellement aux obligations qui lui incombent», les États membres peuvent limiter sa responsabilité eu égard à la nature des mécanismes de sécurité technique de l’instrument de paiement et des circonstances du sinistre[174].

Si le payeur est déclaré responsable pour cause de «négligence grave» ou de «fraude», il devra rembourser l’entièreté de l’opération au prestataire[175]. Au préambule de la Directive 2007/64/CE, le considérant no 33 mentionne la nécessité de tenir compte de toutes les circonstances pour évaluer l’intensité de la négligence du titulaire. Étrangement, ce considérant ajoute que «[l]es preuves et le degré de négligence supposée devraient être évalués conformément au droit national»[176]. Au surplus, le considérant suivant énonce que :

les États membres devraient pouvoir fixer des règles moins contraignantes que celles qui sont mentionnées ci-dessus, afin de maintenir les niveaux existants de protection des consommateurs et de favoriser la confiance en la sûreté de l’utilisation des instruments de paiement électronique [nos italiques][177].

À nos yeux, ces deux considérants se marient difficilement avec l’objectif d’harmonisation du cadre juridique dans un nouveau marché intégré des paiements et de protection du titulaire d’une carte de paiement victime d’une fraude. Dans le dernier cas, cela pourrait s’expliquer par la généralité des directives 97/7/CE et 2002/65/CE, qui nécessitent «d’arrêter des règles plus détaillées concernant l’utilisation frauduleuse des cartes de paiement»[178], notamment quant à la répartition des pertes lors d’opérations non autorisées[179]. En d’autres termes, la Directive 2007/64/CE dénote un progrès, certes, mais elle mérite d’être fignolée et surtout d’être harmonisée avec la Directive 2002/65/CE.

À l’exception de la nouvelle Directive 2007/64/CE, les recommandations 88/590/CEE et 97/489/CE et les directives 97/7/CE et 2002/65/CE sont en général bien implantées dans le droit national de la plupart des États membres, sous réserve de quelques conséquences légèrement divergentes. Ce succès s’explique en raison de la nature du marché intérieur, maintenant considéré comme un marché de paiement domestique[180]. À titre d’illustration, nous présentons l’état des droits français, belge et luxembourgeois.

En droit français, les règles contractuelles imposent au titulaire — appelé «porteur» — l’obligation d’approvisionner son compte de manière suffisante, l’obligation de conserver la confidentialité de son code et, ce qui diffère du droit canadien, l’interdiction de révoquer son ordre de paiement[181]. Cette dernière interdiction résulte d’une décision de la Cour d’appel de Paris[182] maintenant codifiée à l’article L. 132-2 du Code monétaire et financier. En ce qui concerne notre problématique, l’article L. 132-3 de ce code prévoit depuis 2001 qu’en cas d’utilisation frauduleuse de la carte, le titulaire qui fait opposition «dans les meilleurs délais», lesquels ne peuvent être inférieurs à deux jours francs, n’engage aucunement sa responsabilité, celle-ci étant plafonnée à 150 euros pour la période qui précède l’opposition[183]. Outre le montant qui diffère légèrement, cette limite de responsabilité s’inspire de l’article 8(1) de la Recommandation 88/590/CEE et de l’article 6(1) de la Recommandation 97/489/CE, qui prévoient une limite de 150 écus dans ces circonstances. Le caractère tardif de l’opposition peut toutefois être difficile à déterminer[184].

À l’instar de la Recommandation 97/489/CE[185], le droit français prévoit que l’utilisation frauduleuse peut survenir au moyen de la carte ou sans dépossession physique de celle-ci. Le cas échéant, le titulaire est exonéré de sa responsabilité[186]. Comme le mentionnent les auteurs français Yves Picod et Hélène Davo, «cette atténuation est heureuse car la victime n’ayant jamais été dépossédée de sa carte se trouve, bien entendu, dans l’impossibilité de faire opposition»[187]. Le titulaire a évidemment l’obligation de vérifier ses relevés bancaires, mais l’intensité de cette obligation ne peut être étendue jusqu’à une vérification quotidienne, sinon constante. La perte ou le vol sans dépossession de la carte oblige l’émetteur à recréditer le compte du porteur qui conteste le paiement ou le retrait dans un délai d’un mois[188]. Comme le souligne Lasserre Capdeville, cette solution opère «un renversement de la charge de la preuve»[189]. Solution intéressante, certes, mais qui demeure incomplète par rapport aux droits belge et luxembourgeois, dont nous traitons plus bas. Outre ses similarités de principe avec le droit états-unien, nous concluons, comme Picod et Davo, que l’initiative du législateur français vis-à-vis de la fraude sans substitution physique de la carte, déjà prévue dans la Recommandation 97/489/CE et reprise par les droits belge et luxembourgeois, est exemplaire. En effet, celle-ci répond à plusieurs cas de fraude organisée où la carte du titulaire est clonée et son NIP est substitué à son insu.

La Belgique a adopté la Loi relative aux opérations effectuées au moyen d’instruments de transfert électronique de fonds en 2002[190]. Cette loi reprend les principales dispositions de la Recommandation 97/489/CE, mais propose des solutions plus originales. D’abord, la définition générale d’«instrument de transfert électronique de fonds» reprend généralement les définitions proposées par cette recommandation[191]. En cas d’utilisation non autorisée de l’instrument de paiement, la responsabilité du titulaire se limite à un plafond de 150 euros avant la notification[192]. Elle prévoit une exception à cette limite quand le titulaire «a agi avec une négligence grave ou frauduleusement, auquel cas le plafond prévu n’est pas applicable». Ainsi, le concept européen de négligence extrême est remplacé par une notion connue des civilistes, la négligence grave, précisée au deuxième paragraphe de l’article 8(2) :

[s]ont notamment considérés comme négligence grave, le fait, pour le titulaire, de noter son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de transfert électronique de fonds ou sur un objet ou un document conservé ou emporté par le titulaire avec l’instrument, ainsi que le fait de ne pas avoir notifié à l’émetteur la perte ou le vol, dès qu’il en a eu connaissance.

La Directive 2007/64/CE a par la suite repris ce concept de négligence grave[193]. Le troisième alinéa de l’article 8(2) de la loi belge ajoute que «[p]our l’appréciation de la négligence du consommateur, le juge tient compte de l’ensemble des circonstances de fait». Ainsi, que la négligence soit grave ou extrême, elle consiste en la divulgation du NIP ou sa conservation à proximité de la carte. Enfin, l’article 8(4) contient une disposition très intéressante et similaire au droit français et à la Recommandation 97/489/CE, soit que le titulaire n’est aucunement responsable lorsque l’instrument est «utilisé sans présentation physique et sans identification électronique», et la «seule utilisation d’un code confidentiel ou de tout élément d’identification similaire n’est pas suffisante pour engager la responsabilité du titulaire».

En ce concerne la preuve d’une négligence que doit fournir l’émetteur, le troisième alinéa de l’article 8(2) mentionne également que les enregistrements par l’émetteur des transactions effectuées dans le compte du titulaire, ainsi que «l’utilisation de l’instrument de paiement avec le code connu du seul titulaire», ne peuvent présumer suffisamment de la négligence du titulaire. Cette approche innove par rapport au droit français et aux recommandations et aux directives européennes, en reportant explicitement le fardeau de la preuve du consentement d’une utilisation sur l’émetteur. Elle a de plus été reprise subséquemment par la Directive 2007/64/CE[194].

Enfin, le droit luxembourgeois définit largement un «instrument de paiement» comme :

tout système permettant d’effectuer par voie entièrement ou partiellement électronique, les opérations suivantes : a) des transferts de fonds; b) des retraits et dépôts d’argent liquide; c) l’accès à distance à un compte; d) le chargement et le déchargement d’un instrument de paiement électronique rechargeable[195].

Cette définition diverge des recommandations et des directives européennes, ainsi que des droits français et belge. Bien que ceci soit hors de notre propos, soulignons que cette protection s’applique aussi à d’autres mécanismes de paiements. Le droit luxembourgeois a également intégré la Recommandation 97/489/CE dans son corpus législatif[196]. À l’instar des droits français et belge, le droit luxembourgeois exonère le titulaire pour un montant maximum de 150 euros avant la notification, à moins d’une négligence grave ou d’une fraude de sa part, et l’exonère entièrement lorsque l’utilisation non autorisée a lieu sans dépossession physique de la carte[197]. Comme en Belgique, le droit luxembourgeois ne retient pas la notion de négligence extrême, bien que selon certains auteurs, la négligence grave s’apparente à cette dernière[198]. Cette loi a été mise à jour en 2004 pour tenir compte de la Recommandation 2002/65/CE[199]. À l’instar de la Belgique et de la nouvelle Directive 2007/64/CE, l’émetteur luxembourgeois a le fardeau de démontrer que l’opération de paiement «a été correctement enregistrée et comptabilisée, et n’a pas été affectée par un incident technique ou une autre défaillance»[200]. À cette fin, la loi oblige l’émetteur à conserver une trace des opérations durant une période de trois ans[201].

Enfin, ajoutons finalement que d’autres pays européens accordent des protections en cas d’utilisation non autorisée, comme l’Allemagne, le Royaume-Uni, le Danemark, la Finlande, la Grèce, la Hongrie, l’Irlande, la Norvège, la Pologne, le Portugal, la République tchèque et la Suède[202].

B. Les perspectives de réforme en droit canadien

Le succès de l’intervention des législateurs de plusieurs pays occidentaux dans la réglementation des relations entre les émetteurs et les titulaires de cartes de débit répond certainement aux objections des émetteurs canadiens quant à la pertinence d’une telle réglementation au Canada. Notre étude s’est consacrée à l’épineuse question de l’utilisation non autorisée de la carte de débit par une tierce personne et, en conséquence, à la répartition des pertes entre l’émetteur et le titulaire.

Il est heureux de constater que les transpositions par plusieurs États européens des recommandations et des directives européennes sur les paiements par carte se sont bien déroulées et, dans certains cas, ont mené à une protection supérieure à celle qui était proposée à l’origine. Le Canada devrait tirer avantage de ces expériences.

Notre propos n’a pas pour objet de débattre du choix entre une réglementation fédérale ou provinciale dans le contexte canadien. Nous notons seulement que la question de la compétence des provinces dans la réglementation des banques est vivement contestée par les banques elles-mêmes, faisant actuellement l’objet de débats devant les tribunaux[203]. Il va sans dire qu’une réglementation fédérale de la carte de débit simplifierait la protection accordée aux titulaires, mais le gouvernement fédéral a annoncé, dans son Livre blanc de 2006, l’intention de poursuivre l’expérience de l’autorégulation des cartes de débit et a même étendu celle-ci au commerce électronique[204]. Nonobstant cette prise de position, nous soumettons que le législateur canadien, ou son homologue québécois, devrait intervenir dans la réglementation de la carte de débit. Cette protection devrait donc s’inspirer des expériences des pays ci-haut étudiés et tenir compte des éléments suivants :

  1. L’équité entre l’émetteur et le titulaire serait mieux atteinte par une forme de responsabilité fondée sur les risques du système, comme cela est le cas aux États-Unis et en Europe ;

  2. La responsabilité du titulaire devrait être de type progressif, à l’instar des États-Unis : le délai nécessaire pour que le titulaire fasse opposition auprès de l’émetteur devrait être d’une durée fixe et de deux jours francs minimum ; le titulaire qui avise l’émetteur dans ce délai serait responsable d’un montant de 50$ ; toutefois, le titulaire qui avise l’émetteur postérieurement à ce délai, mais avant soixante jours par exemple, serait responsable d’un montant de 500$ ; sa responsabilité serait illimitée par la suite ;

  3. Il devrait être permis au titulaire de modifier l’ordre des chiffres de son NIP ou de les remplacer par d’autres chiffres ou symboles, comme le prévoit l’interprétation no 7 de la section 5(5) du Code de pratique canadien ;

  4. Le fardeau de la preuve devrait être abordé à la manière des droits belge et luxembourgeois et de la Directive 2007/64/CE. Il y est d’abord proposé de renverser ce fardeau en exigeant que l’émetteur démontre l’authenticité de la transaction, que celle-ci a été dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique. Ensuite, l’utilisation de la carte de débit avec le code connu du seul titulaire ne devrait pas nécessairement laisser présumer de la négligence du titulaire. Nous suggérons d’adopter cette solution ;

  5. L’émetteur devrait rembourser le titulaire dès la réception d’une opposition à la transaction et ne débiter cette somme du compte du titulaire que si ce dernier est responsable de la perte ou du vol ;

  6. L’absence de responsabilité pour le titulaire en cas de fraude sans dépossession physique de la carte, telle que préconisée par la Recommandation 97/489/CE et le droit français, belge et luxembourgeois, nous apparaît très opportune ;

  7. Le Code de pratique canadien et les contrats bancaires ne prévoient pas d’obligation pour l’émetteur d’offrir un environnement sécuritaire au guichet bancaire, comprenant à tout le moins un service téléphonique gratuit et un système de surveillance par vidéo. La seule obligation de l’émetteur à cet égard consiste en une obligation de sécurité prévue par la jurisprudence. Les nouveaux développements technologiques devraient inciter le législateur à intervenir à cet égard ;

  8. Enfin, il importe que les autorités publiques et notamment les groupes consuméristes sensibilisent et éduquent les consommateurs à la nécessité de conserver la confidentialité de leur NIP, de choisir un numéro autre qu’un identifiant personnel, de ne jamais le dévoiler et de ne pas le laisser à proximité de leur carte.

Conclusion

L’insécurité causée par la croissance rapide des cas d’utilisation non autorisée d’une carte de débit et les lacunes juridiques du Code de pratique canadien nécessitent une réflexion quant à la réglementation des transactions par carte de débit au Canada. L’analyse de la responsabilité du titulaire, victime d’une utilisation non autorisée, peut se présenter sous deux angles. Premièrement, il existe des circonstances qui laissent suggérer que la protection accordée au titulaire de la carte tant par le Code de pratique canadien que par le contrat bancaire pourrait être améliorée. Deuxièmement, l’incorporation partielle du code dans les contrats bancaires peut nuire à une protection efficace du consommateur dans certains cas spécifiques.

Les conclusions de notre étude au sujet de la théorie de la répartition des pertes et de l’apport du droit étranger, notamment des droits états-unien et européen, suggèrent que cette approche permet de mieux protéger le titulaire d’une carte de débit et d’atteindre l’équité dans les relations entre les banques et les consommateurs.