La Loi sur les banques prévoit la possibilité pour les banques d’émettre des cartes de débit[12] et d’en faire la publicité[13]. La réglementation concerne principalement la divulgation des renseignements par la banque au titulaire de la carte[14] et la mise en oeuvre d’une procédure d’examen des réclamations relatives au traitement des frais à payer pour leur carte de débit[15]. La loi n’aborde donc pas la question des obligations de la banque lors des transactions, notamment en cas d’erreur ou de fraude.

Dans son budget de 2005-2006, le gouvernement fédéral a suggéré de réfléchir à la possibilité de partager les pertes en cas de pertes financières[16]. Plus précisément, il soulignait ceci :

À l’heure actuelle, les associations d’émetteurs de cartes de crédit souscrivent volontairement à un régime de responsabilité zéro en cas de perte, tandis que l’utilisation des cartes de débit est régie par un code volontaire, le Code de pratique canadien des services de cartes de débit, qui a reçu l’aval des associations sectorielles intéressées et de leurs membres. Puisque les Canadiens effectuent de plus en plus d’opérations électroniques diverses, les associations de consommateurs et d’autres groupes estiment qu’il y a peut-être lieu de préciser les responsabilités des parties en cas de perte financière, de manière à protéger les consommateurs.

Le gouvernement sollicite des avis sur la meilleure façon d’aborder les questions de la divulgation de renseignements et de la détermination de la responsabilité pour toutes les formes d’opérations électroniques[17].

Dans le Livre blanc de 2006, le gouvernement fédéral a annoncé qu’il «favorisera[it] l’adoption d’un régime volontaire de protection des consommateurs qui couvrira des formes additionnelles d’opérations électroniques, et s’appuiera sur les travaux menés pour établir le Code relatif aux cartes de débit»[18]. Cette prise de position fait écho à une recommandation de l’Association des banquiers canadiens, qui visait l’établissement d’un seul code portant sur les opérations électroniques, c’est-à-dire incluant non seulement les paiements par carte de débit, mais également les autres formes de paiements électroniques, comme le paiement par Internet[19].

L’Association canadienne des paiements (ACP) est une entité créée par le gouvernement fédéral et qui a pour mission d’organiser le système national de compensation interbancaire au Canada depuis 1980[20]. Son conseil d’administration a le pouvoir d’adopter des règlements administratifs pour assurer le bon fonctionnement du système des paiements[21]. Outre un règlement d’application générale du système automatisé de compensation et de règlement[22], l’ACP a adopté la Règle E1 destinée à la compensation et au règlement des cartes de débit[23]. En ce qui concerne la protection du titulaire de la carte, cette règle prévoit que l’adhérent expéditeur, soit la banque du titulaire, doit protéger la confidentialité du numéro d’identification personnel (NIP)[24], sinon il engage sa responsabilité[25]. Il doit d’ailleurs «respecte[r] le caractère personnel et la confidentialité des renseignements personnels du titulaire de carte»[26]. L’adhérent expéditeur doit également décider de refuser ou d’accepter l’opération. Il est réputé avoir accepté l’effet de paiement dès l’autorisation[27]. Ces règles s’appliquent entre les membres de l’ACP et rien n’est prévu pour gouverner les relations entre le titulaire et sa banque[28].

Les législations de protection des consommateurs varient sensiblement selon les provinces canadiennes-anglaises et les territoires, mais elles contiennent une approche commune en ce qui concerne la protection des consommateurs lors de paiements. Si elles gouvernent l’usage des cartes de crédit, à des degrés différents, elles demeurent silencieuses au sujet des autres formes de paiements électroniques. Selon Tom Onyshko et Richard Owens, les législations de protection du consommateur de l’Île-du-Prince-Édouard[29] et de la Saskatchewan[30] pourraient s’appliquer à la réglementation des cartes de débit[31]. Toutefois, dans l’affaire Plater, où une carte de crédit permettant le retrait d’argent dans un guichet bancaire automatisé et son NIP avaient été volés, le tribunal a jugé qu’en l’espèce, cette carte avait été utilisée pour ses fonctions de carte de débit et était donc soustraite à la loi et à la protection de 50$ en cas de fraude[32]. Cette décision a été rendue en vertu de la loi sur la protection du consommateur de la Colombie-Britannique de 1979[33], qui prévoyait une définition de la carte de crédit similaire à celles des lois de l’Île-du-Prince-Édouard et de la Saskatchewan. La nouvelle définition de la carte de crédit donnée par la loi de la Colombie-Britannique dans sa version de 2004 est très explicite et ne contient aucune référence au retrait d’argent[34]. Il est raisonnable de croire que les lois de l’Île-du-Prince-Édouard et de la Saskatchewan seront interprétées à la lumière de la décision Plater. Ainsi, les titulaires de cartes de débit ne font pas l’objet d’une protection statutaire dans ces juridictions, étant protégés principalement par le contrat bancaire et, en cas de silence ou d’ambiguïté, par les règles de la common law[35].

La Loi sur la protection du consommateur encadre le crédit variable depuis la première version de la loi, en 1971[36]. Cette version interdisait la sollicitation non autorisée de carte de crédit, mais elle ne prévoyait pas de limite de responsabilité du titulaire en cas de perte ou de vol. Dans la refonte de 1978, la loi reprend ces protections et inclut la responsabilité en cas de vol, en plus de traiter du prêt à la consommation et de la vente à tempérament[37]. Cette loi s’intéresse donc au crédit à la consommation et ne prévoit aucune protection pour les autres mécanismes de paiements électroniques, que ce soit les paiements préautorisés, les paiements par Internet ou les cartes de débit[38]. Le ministre de la Justice a toutefois annoncé une mise à jour de ce volet de la loi en 2006[39], mais aucun projet de loi n’a encore été présenté en ce sens. L’Office de la protection du consommateur a récemment entrepris une consultation à ce sujet.

Contrairement au droit canadien-anglais, un tribunal québécois a conclu, dans l’affaire Soucy, que les retraits d’argent effectués au moyen d’une carte de crédit et d’un NIP volés avec un portefeuille étaient couverts par le contrat de crédit variable et, ainsi, assujettis à la L.p.c.[40]. En fait, la juge a souligné dans cette affaire qu’«[e]n vertu du “Contrat de crédit variable” les retraits effectués dans un guichet automatique, au moyen d’une carte de crédit et d’un NIP, sont considérés comme des avances de fonds et portent intérêts à compter de leur date d’inscription au relevé»[41]. Bien qu’il soit intéressant, ce point de vue mérite d’être considéré avec une certaine retenue, puisque la juge n’a pas retenu contre la demanderesse le fait que son NIP, similaire à celui de ses deux cartes de débit, était constitué des cinq derniers chiffres de son numéro d’assurance-sociale, lequel se trouvait également dans le portefeuille volé[42].

Le titulaire d’une carte de débit peut, dans certains cas, tenter d’invoquer le Code civil du Québec, qui s’applique de manière supplétive. Les dispositions qui concernent les clauses externes (article 1435), les clauses abusives (article 1437) et les clauses illisibles ou incompréhensibles (article 1436) peuvent être pertinentes. Si ces clauses ont été plaidées avec succès dans les litiges concernant des cartes de crédit[43], la jurisprudence se montre très réticente à la réception de ces arguments dans le cas des cartes de débit. Dans la décision Laberge c. Caisse populaire Desjardins de Cowansville[44], la titulaire alléguait que la clause de son contrat bancaire imposant la confidentialité du NIP était abusive. En réponse à cette affirmation, le tribunal a souligné l’importance et la nécessité que le titulaire n’utilise pas un numéro facile à deviner et a mentionné que :

[l]es conditions du contrat [...] qui traitent de la confidentialité du NIP [...] ne sont pas des clauses qui désavantagent le consommateur d’une manière excessive ou déraisonnable car elles sont là simplement pour avertir l’adhérent qu’il a assumé le risque de l’utilisation d’une carte de débit avec NIP et que la Caisse populaire [...] se dégage de toute responsabilité pour ceux qui choisissent un [NIP] trop facile à discerner[45].

Cette décision rejoint le point de vue des tribunaux canadiens-anglais[46].

Toutefois, dans une autre décision, une personne âgée n’avait inscrit nulle part son NIP, mais avait été victime d’une fraude[47]. Le tribunal n’a discuté aucunement de la possibilité que le NIP soit un numéro lié à sa date de naissance, ou un autre numéro qui l’identifie, mais a souligné :

[qu’i]l n’est pas exclu qu’un individu, par des moyens frauduleux, obtienne la carte et le NIP correspondant. Ainsi, cette dernière constitue un moyen d’accès au compte bancaire moins sécuritaire que la signature et un moyen faillible d’identification de l’opérateur. Dès lors, pourquoi le titulaire de la carte devrait-il supporter tous les risques d’un instrument dont la sécurité n’est pas absolue?

Le Tribunal estime que la clause non négociée du contrat d’adhésion qui fait supporter la totalité de la perte au titulaire de la carte débit [...] est abusive[48].

Cette décision est certainement une décision d’équité et le fondement juridique est faible. Cet argument ne tient pas compte du fait que l’accès au compte s’effectue par l’utilisation conjointe de la carte et du NIP et que ce moyen est de loin plus sécuritaire que le chèque, qui porte une signature manuscrite et dont les possibilités de fraude sont plus importantes. D’ailleurs, la juge dans l’affaire Bourque a rendu un jugement en ce sens dans une décision subséquente où le titulaire s’était fait subtiliser sa carte et son NIP[49].

Outre ces dispositions, le second alinéa de l’article 1564 du Code civil du Québec concerne indirectement le paiement par carte de débit. Celui-ci prévoit que :

[le créancier] est aussi libéré par la remise de la somme prévue au moyen d’un mandat postal, d’un chèque fait à l’ordre du créancier et certifié par un établissement financier exerçant son activité au Québec ou d’un autre effet de paiement offrant les mêmes garanties au créancier, ou, encore, si le créancier est en mesure de l’accepter, au moyen d’une carte de crédit ou d’un virement de fonds à un compte que détient le créancier dans un établissement financier.

Dans les cas de virements de fonds, cet alinéa a été interprété comme signifiant que le créancier doit avoir à la fois la volonté, implicite ou explicite, et la possibilité technique de l’accepter[50]. Cette question ne soulève aucun problème lors d’un paiement par carte de débit, car il est manifeste que le créancier, c’est-à-dire le marchand, consent à l’acceptation de ce mode de paiement et possède l’infrastructure nécessaire. Toutefois, cet article ne peut être appliqué lors d’une utilisation non autorisée de la carte de débit, cette situation n’étant alors régie que par le Code de pratique canadien et le contrat bancaire.

Un transfert de fonds non autorisé effectué au moyen d’une carte de débit peut survenir par l’entremise d’une erreur de la part de la banque ou, ce qui est habituellement le cas, découler d’un geste frauduleux posé par un tiers, soit à la suite d’un ordre de paiement donné par un mandataire du titulaire, déclaré ou apparent, soit par un tiers inconnu du titulaire. En cas de transfert non autorisé, qui du titulaire ou de l’émetteur doit supporter la fraude ? Cette question est au coeur des transferts de fonds depuis l’existence des systèmes de paiement. Contrairement au droit cambiaire, qui est codifié et dont les règles prétoriennes ont été élaborées au fil des derniers siècles, les transferts électroniques de fonds par carte de débit sont principalement régis par le contrat bancaire[81]. Plus précisément, comme nous l’avons déjà mentionné, ces contrats reprennent l’essence du Code de pratique canadien en y apportant quelques variantes, ajouts ou omissions. Dans les paragraphes qui suivent, nous discutons des diverses situations auxquelles peut être confronté un titulaire et nous analysons la conformité des contrats bancaires avec le Code de pratique canadien.

L’élément cardinal de l’autorisation repose sur la notion de divulgation du NIP. L’article 5(4) du Code de pratique canadien mentionne que «[d]ans tous les autres cas où le titulaire d’une carte contribue à l’utilisation non autorisée de celle-ci, il est responsable des pertes en résultant» [nos italiques]. Cette disposition doit être lue conjointement avec l’article 5(5), qui mentionne que «[l]e titulaire d’une carte contribue à l’utilisation non autorisée [...] s’il divulgue volontairement son NIP, notamment s’il inscrit son NIP sur sa carte ou conserve à proximité de la carte une inscription mal camouflée du NIP».

Afin de favoriser une meilleure compréhension de l’article 5 du code, le Groupe de travail y a ajouté un guide d’interprétation en 2002. En vertu de ce guide, la divulgation doit être volontaire et ne peut résulter de «contrainte, supercherie, force ou intimidation. Cela inclut les situations où quelqu’un relève le NIP du client à un terminal de point de vente»[82]. L’interprétation n^o 4 du guide précise que le NIP d’un titulaire sera divulgué volontairement lorsqu’il est «constitué d’une combinaison basée sur son nom, son numéro de téléphone, sa date de naissance, son adresse ou son numéro d’assurance sociale». Toutefois, l’interprétation n^o 7 tempère cette interdiction en précisant :

[qu’u]n NIP est camouflé de manière réfléchie s’il est dissimulé sur un document, par exemple, en modifiant l’ordre des chiffres ou en les remplaçant par d’autres chiffres ou symboles, ou si l’on fait en sorte qu’il ressemble à un autre type de numéro en l’entourant d’autres chiffres ou symboles.

Cette question prend son importance en considérant la difficulté pour certains, notamment les personnes âgées, à mémoriser leur NIP[83]. Enfin, le guide d’interprétation prévoit que le NIP est mal dissimulé s’il est inscrit sur la carte ou si le titulaire n’a fait aucun effort pour le cacher. Ceci survient lorsque le NIP est perdu ou volé au même moment que la carte, c’est-à-dire s’il est dissimulé dans un portefeuille, un sac à main, etc.[84].

Le code précise que le camouflage de l’inscription demeure une question de fait, qui s’évalue selon le critère de la personne raisonnable placée dans les mêmes circonstances et «non du point de vue du voleur ou du représentant officiel de l’émetteur de la carte qui, par expérience, en sont venus à connaître bon nombre de types de camouflage ainsi que leurs forces et faiblesses»[85].

Les contrats bancaires régissent plus sévèrement la question de l’obligation de divulgation que le Code de pratique canadien. D’abord, tous les contrats prévoient que le NIP ne doit jamais être révélé à qui que ce soit, y compris à un membre de la famille ou à un ami proche[86]. Ensuite, certains contrats interdisent d’une manière générale le choix d’un NIP qui peut être deviné facilement, sans toutefois fournir d’illustrations. D’autres sont plus explicites, en interdisant, à titre d’exemples, la date de naissance, l’adresse, le numéro de permis de conduire ou le numéro de téléphone. Dans tous les cas, aucune nuance n’est apportée quant à la possibilité pour le titulaire de camoufler les numéros, comme en modifiant l’ordre des chiffres, contrairement à ce qui est prévu par le Code de pratique canadien[87].

La jurisprudence canadienne s’est prononcée à quelques reprises sur la notion de divulgation. Elle interprète très restrictivement le contrat bancaire, puisqu’il est d’adhésion, mais elle le valide lorsqu’il est clair et limpide[88]. D’abord, la jurisprudence entérine les contrats bancaires qui, à l’instar du Code de pratique canadien, interdisent la conservation du NIP à proximité de la carte[89]. La notion de proximité réfère au fait que l’inscription du NIP doit être physiquement près de la carte, à titre d’exemple dans le portefeuille ou le sac à main. Dans l’affaire Fabre c. Banque de Montréal, groupe financier BMO[90], la détentrice s’était fait voler son sac à main, qu’elle avait caché dans son bureau et qui contenait à la fois sa carte de débit et son NIP. Malgré ses explications à l’effet qu’elle avait écrit le NIP sur un papier parce qu’elle n’utilisait que rarement ce compte bancaire, destiné aux besoins de sa fille mineure, le juge a considéré que le NIP était à proximité de la carte et a tenu la titulaire responsable, ce qu’avait d’ailleurs déjà décidé l’Ombudsman des services bancaires et d’investissements en l’espèce[91].

Dans la décision Couture c. Caisse populaire de Bathurst ltée[92], le demandeur avait perdu son portefeuille lors d’une excursion de pêche, lequel contenait la carte et le NIP inscrit sur un papier. Malgré une négligence de l’institution financière, qui avait oublié de débiter le montant d’un emprunt hypothécaire à partir du compte courant auquel le demandeur avait accès avec sa carte de débit, la Cour d’appel a décidé en faveur de l’institution financière. Elle a ainsi renversé un jugement de première instance, où le magistrat mentionnait qu’«[e]n mettant en service des guichets automatiques, les institutions financières ont assumé certains risques, dont l’un est que certains titulaires de cartes et de NIP ne s’en serviront peut-être pas fréquemment»[93]. Le juge de première instance poursuivait en ajoutant :

[qu’i]l n’est que raisonnable de présumer que ces personnes écriront leur numéro quelque part pour pouvoir le trouver si elles en ont besoin. Il est également raisonnable de supposer que des portefeuilles seront perdus avec les cartes de débit qu’ils contiennent. Cette perte en elle-même, à mon avis, ne constitue pas une négligence[94].

Bien que favorable aux consommateurs, ce point de vue ne doit pas être retenu lorsque le contrat est clair et non équivoque, car il est important que le titulaire agisse avec prudence en ne laissant pas le NIP près de la carte. Dans la décision Devarenne, toutefois, le contrat n’interdisait pas que le code secret puisse se trouver à proximité de la carte[95]. Le juge y a mentionné que «le simple fait pour le client d’avoir son code ou son NIP dans son portefeuille ne le rend pas responsable de violation de la disposition de la convention relative à la confidentialité du code»[96]. Malgré cette interprétation restrictive en faveur du titulaire, celui-ci a tout de même ultimement été tenu responsable, puisque le contrat bancaire prévoyait clairement la responsabilité du client avant la notification de la perte ou du vol[97].

Contrairement aux cartes de paiement françaises, les cartes de crédit canadiennes ne contiennent que rarement un NIP, n’exigeant qu’une signature manuscrite sur une facturette. Le titulaire obtient toutefois un NIP lorsque cette carte donne accès à un retrait d’argent à un guichet bancaire automatisé[98]. La décision Gill c. Red River Cooperative Ltd. présente à ce sujet un intérêt particulier[99]. Dans cette affaire, une carte de crédit commerciale bilatérale contenant un NIP avait été accordée par un émetteur à une entreprise. Lorsque la carte était insérée dans le lecteur d’une pompe à essence automatisée, celle-ci s’activait pour remplir le réservoir et, par la suite, le compte du débiteur était débité. Le titulaire avait accordé une seconde carte à un employé, qui avait inscrit le NIP à l’endos de celle-ci. L’employé a perdu la carte et le titulaire a, par la suite, été victime d’une fraude. Le contrat bancaire prévoyait explicitement que «[t]he Customer must not disclose its security (PIN) number. The Customer agrees it will not write the PIN number on the Card»[100]. Le tribunal a donné raison à l’émetteur, en fondant sa décision sur deux points importants. Il a considéré que la loi avait préséance sur le contrat bancaire[101], «[m]algré toute stipulation contenue dans une convention ou un contrat conclus avant ou après l’entrée en vigueur de la présente partie»[102]. Il a aussi noté que la carte ne permettait pas le retrait d’argent, comme cela est le cas pour une carte de débit, mais seulement de payer pour un bien, soit de l’essence[103].

La jurisprudence valide également les contrats bancaires qui interdisent le choix d’une adresse, d’une date de naissance ou d’un numéro de téléphone, ce qui est également interdit par le Code de pratique canadien. Dans la décision Laberge[104], la demanderesse avait perdu son portefeuille qui contenait ses cartes de crédit et sa carte de débit, mais aucune inscription du NIP à proximité. Le NIP correspondait à la date de naissance de la titulaire et les registres informatisés de la défenderesse ont montré qu’il n’y a eu aucun rejet de la carte. Le tribunal a jugé que la clause contenue dans le contrat bancaire empêchant le choix de la date de naissance était justifiée et qu’elle ne constituait ni une clause externe ni une clause abusive[105].

Comme le mentionne le professeur Benjamin Geva, l’interdiction d’utiliser un code qui s’inspire de la date de naissance, du numéro de permis de conduire ou d’autres numéros personnels se fonde sur la présomption que la carte de débit sera conservée à proximité d’autres documents d’identification[106]. Ainsi, il serait injustifié de tenir le titulaire de la carte de débit responsable si tel n’est pas le cas, car le fraudeur n’a alors aucun moyen de deviner le NIP. Toutefois, la décision Laberge est entièrement justifiée, puisque le titulaire avait utilisé sa date de naissance pour choisir son code secret, ce qui va à l’encontre non seulement du contrat bancaire, mais également du Code de pratique canadien.

Une autre forme de divulgation interdite survient lorsque le titulaire de la carte agit avec imprudence en composant son NIP. À titre d’illustration, soulignons une affaire où un client s’est présenté au comptoir d’une pharmacie pour payer au moyen de sa carte de débit[107]. Malgré la file d’attente derrière lui, il a poinçonné son code secret sur le clavier à la vue des gens et sans tenter de se cacher. Il avait également choisi une date en rapport avec un fait historique survenu lors de la Seconde Guerre mondiale pour le choix de son NIP, laquelle coïncidait avec sa date de naissance. Le juge n’a aucunement retenu le fait que le NIP correspondait à la date de naissance du demandeur, mais a plutôt relevé sa négligence lors de la composition de son NIP devant des étrangers :

[t]he Plaintiff was not missing his wallet or any other documents from which someone could deduce his PIN. Rather, the Plaintiff used his PIN in full sight of strangers. He also lost possession of the card either by carelessness or by a combination of carelessness and theft. The Plaintiff contributed to someone else’s unauthorized use of his Card and PIN. He is liable up to his daily limit[108].

Également, la remise de la carte et du NIP à une tierce personne, habituellement le conjoint, sera considérée comme une négligence entraînant la responsabilité du titulaire[109], à la condition qu’il existe un lien de causalité entre la faute de ce dernier et les transactions frauduleuses[110]. La vente de la carte et du NIP à quelqu’un est également considérée comme une négligence, même si le geste est commis par un mineur[111].

L’article 5(3) du Code de pratique canadien énonce les situations où le titulaire de la carte de débit n’est pas responsable d’une utilisation non autorisée. La clause 5(3)(a) mentionne que le titulaire ne doit pas être responsable pour les défectuosités techniques, les erreurs qui sont causées par l’émetteur ou pour tout autre type de problèmes de fonctionnement. Cette disposition s’inscrit dans la pensée du professeur Luc Thévenoz, qui affirme, à juste titre, que «the banks who design, operate, and supervise the system are in the best position to make the optimal decision about the efficient level of precautions at which the marginal cost of any improvement exceeds the marginal gain in reduced losses»[112]. La plupart des contrats bancaires respectent cette exigence, par l’entremise d’une clause rédigée d’une manière similaire à ce que propose le Code de pratique canadien[113]. Cependant, certaines institutions financières s’exonèrent d’une manière importante de leur responsabilité en pareilles situations. Il est intéressant de se pencher sur le contrat d’une grande banque canadienne. Dans une de ses clauses, il stipule que le titulaire n’est pas responsable d’une utilisation non autorisée «en raison de circonstances indépendantes de [sa] volonté», ce qui peut être le cas lors d’«un problème technique ou [d’un] mauvais fonctionnement d’équipement». Cette clause entre en contradiction avec la clause suivante du même contrat bancaire :

Nous déclinons toute responsabilité pour tout retard, tout dommage, toute perte ou tout inconvénient que vous, ou toute autre personne, pouvez subir lorsque vous êtes incapable d’accéder aux [s]ervices bancaires automatisés du fait d’une panne pour toute raison, quelle qu’elle soit, ou si nous ne recevons pas vos instructions pour quelque raison que ce soit, ou en cas de retard dans le traitement d’une [transaction], ou si nous refusons de donner suite à vos instructions, pour quelque raison que ce soit.

[...] Nous déclinons toute responsabilité pour toute perte ou pour tout dommage que vous pouvez subir lors de l’utilisation de tout logiciel ou service fourni par d’autres entreprises que nous mettons à votre disposition de temps à autre [nos italiques].

Cette clause est susceptible d’être considérée comme étant abusive au sens de l’article 1437 C.c.Q. En effet, la banque s’exonère pour les faits et les actes qui sont sous son contrôle, soit l’incapacité d’accéder à un site en raison d’une panne «pour toute raison, quelle qu’elle soit» et pour les pertes et les dommages qui découlent de l’utilisation d’un logiciel d’une entreprise que cette banque «met[] à [la] disposition [du titulaire] de temps à autre». Ceci va clairement à l’encontre de la théorie du professeur Thévenoz, selon laquelle il n’existe aucun fondement pour tenir le titulaire responsable d’une situation hors de son contrôle et sous celui de la banque.

L’article 5(3)(b) du Code de pratique canadien prévoit que le titulaire n’est pas responsable pour :

l’utilisation non autorisée d’une carte et d’un NIP lorsqu’il incombait à l’émetteur de la carte d’empêcher une telle situation, par exemple à partir du moment où : le titulaire a signalé la perte ou le vol de sa carte, la carte est annulée ou périmée[] [et] le titulaire a signalé qu’une autre personne connaît peut-être son NIP [...].

Les contrats bancaires sous étude stipulent unanimement que le titulaire cesse d’être responsable dès qu’il a averti l’émetteur de la perte ou du vol de la carte ou d’un doute quant à la divulgation du NIP. Ceci est conforme à la clause 5(5)(b) du Code de pratique canadien, qui prévoit que «[l]e titulaire d’une carte contribue à l’utilisation non autorisée : [...] s’il néglige d’aviser, dans un délai raisonnable, l’émetteur de la carte de la perte, du vol ou d’un mauvais usage de sa carte ou de la possibilité que quelqu’un d’autre connaisse son NIP» [nos italiques].

La plupart des contrats exigent que cette dénonciation survienne dans les plus brefs délais. Dans l’un des contrats sous étude, il est nécessaire d’aviser la banque par téléphone dans un délai fixe de vingt-quatre heures qui suit la découverte de l’événement, à moins de démontrer des «circonstances exceptionnelles» pour le défaut d’aviser dans le délai prescrit. L’imposition d’un tel délai va à l’encontre du Code de pratique canadien, qui suggère un «délai raisonnable». Un avis de vingt-quatre heures est-il raisonnable et une telle mention expresse devrait-elle être favorisée par rapport à l’énoncé d’un «délai raisonnable» dans le Code de pratique canadien ? Le principe d’un délai fixe à partir du moment de la découverte nous paraît certes préférable, vu la nature des contrats bancaires, dans le but d’éliminer les aléas laissés à la discrétion judiciaire. Ceci est d’ailleurs en accord avec la réglementation états-unienne qui prévoit un délai minimal de quarante-huit heures[114]. Toutefois, il est incertain si une telle clause prévoyant un délai de vingt-quatre heures réussirait le test de la clause abusive[115]. Un délai d’au moins quarante-huit heures, à la lumière de l’expérience états-unienne, nous apparaît plus raisonnable.

En vertu de l’interprétation n^o 1(b) de l’article 5(3) du guide d’interprétation annexé au Code de pratique canadien, le titulaire est exonéré pour les gestes posés par des employés ou des agents de l’institution financière. Parmi les contrats bancaires étudiés, plusieurs sont silencieux à cet égard, tandis que quelques-uns exonèrent l’institution financière en cas de bris pouvant survenir à la suite d’une grève ou d’un lock-out.

L’article 5(3)(c) du code exonère le titulaire lors d’«une utilisation non autorisée de la carte, lorsqu[’il] a involontairement contribué à une telle utilisation, à la condition qu’il collabore à toute enquête ultérieure». Selon l’interprétation n^o 1(g), cette situation traite des agissements du titulaire sous la contrainte physique, l’intimidation ou la supercherie. Cette clause est prévue dans la plupart des contrats bancaires, bien que certains ne traitent que partiellement ou aucunement de la contrainte[116]. Lorsque le titulaire a été victime d’une utilisation non autorisée de sa carte de débit et de son NIP, le Code de pratique canadien et les contrats bancaires l’obligent à collaborer avec les autorités policières. La jurisprudence exonère toutefois le titulaire en l’absence d’enquête ou devant un délai trop long[117]. Concrètement, outre son avantage à corroborer la crédibilité du titulaire, cette collaboration est susceptible de procurer une utilité plutôt limitée si l’utilisation est indépendante de la volonté du titulaire. Le professeur Geva remet d’ailleurs en question l’intérêt de cette obligation[118].

En outre, il faut mentionner que le Code de pratique canadien et les contrats bancaires ne prévoient pas l’obligation pour l’émetteur d’offrir un environnement sécuritaire au guichet bancaire, comprenant à tout le moins un service téléphonique gratuit et un système de surveillance par vidéo. La seule obligation de l’émetteur à cet égard consiste en une obligation de sécurité prévue par la jurisprudence. Cette lacune du Code de pratique canadien et des contrats devrait certainement être comblée par le législateur[119].

Le fardeau de preuve requis de la part du consommateur pour démontrer ses allégations est habituellement très difficile à surmonter lors d’une utilisation non autorisée de sa carte de débit[120]. Comme le mentionne la professeure M.H. Ogilvie, «[s]ince the customer is required to keep the card and P.I.N. separate—indeed, customers are recommended to memorize their P.I.N.—unauthorized use resulting from the simultaneous theft of both is virtually impossible to excuse legally»[121]. Lorsque la banque ne peut détecter la présence d’un réseau de criminels organisés, le consommateur arrive rarement à convaincre un tribunal ou un ombudsman bancaire qu’il a été victime d’une fraude. Le Code de pratique canadien et les contrats bancaires ne traitent ni de l’intensité du fardeau de la preuve qui doit être surmonté par le titulaire ni du degré de négligence à démontrer. Quid de la négligence grossière versus la simple négligence ? Ce silence pourrait être interprété comme une référence implicite aux règles générales des obligations et de la preuve, soit la simple négligence. Le titulaire se voit donc dans l’obligation de démontrer ses affirmations selon le fardeau de la preuve civile[122]. En pratique, la crédibilité du titulaire s’oppose à la présomption de fiabilité des documents informatisés de l’émetteur. D’ailleurs, les contrats stipulent que le titulaire de la carte reconnaît l’exactitude des opérations enregistrées et des montants débités par la banque pour chaque opération. Certaines ententes précisent toutefois un délai pour l’examen du relevé et la dénonciation de toute erreur[123]. Les tribunaux sont relativement discrets sur cette question, se contentant d’alléguer qu’une négligence du titulaire relativement à la divulgation du NIP est habituellement fatale, lorsque le contrat est clair et non ambigu[124].

Un renversement du fardeau de la preuve en faveur du titulaire (la victime) serait plus juste dans les circonstances, comme le prévoient les recommandations et les directives européennes[125]. Toutefois, dans certains cas, le renversement permet difficilement à un titulaire ayant divulgué son code secret, que ce soit en le conservant à proximité de sa carte, en choisissant un numéro interdit ou en omettant de camoufler le NIP lors de sa composition à un terminal, d’obtenir gain de cause. Sur ce point, nous réitérons qu’une meilleure éducation des consommateurs doit être entreprise par les institutions financières et par les groupes consuméristes. Dans l’hypothèse où un titulaire a respecté ses obligations, ce renversement atteint certainement l’équité dans la relation contractuelle et pourrait lui être favorable lors d’un recours judiciaire. En outre, l’évaluation de la preuve devrait se faire conformément au guide d’interprétation n^o 6 de l’article 5 du Code de pratique canadien[126].

Une carte de débit donne accès non seulement au compte en banque, mais également à une protection en cas de découvert bancaire, à d’autres comptes en banque, à une marge de crédit et, dans certains cas, à la marge disponible d’une carte de crédit. Les pertes et les dommages subis à la suite d’une utilisation non autorisée de la carte de débit peuvent donc dépasser de loin le montant disponible au(x) compte(s) en banque au(x)quel(s) la carte donne accès[127], en particulier si l’avis de perte ou de vol est donné tardivement. Outre l’accès aux divers comptes bancaires, les fraudeurs déposent parfois des enveloppes vides pour ensuite retirer l’argent, ce qui peut également engendrer la responsabilité du titulaire[128].

L’interprétation n^o 1 de l’article 5(4) du Code de pratique canadien explique que la plupart des émetteurs de cartes limitent les montants qui peuvent être débités quotidiennement, tant pour les retraits à un guichet automatisé qu’à un terminal de point de vente, afin de limiter la perte que subit le titulaire. À titre d’exemple, il est mentionné que l’émetteur peut limiter quotidiennement à 1 000$ les retraits en espèces à un guichet bancaire automatisé, et à 2 000$ pour un achat à un terminal de point de vente, pour une responsabilité quotidienne de 3 000$. Malheureusement, le Code de pratique canadien ne suggère pas aux institutions financières d’imposer une limite de retrait. Si la limite est augmentée par l’institution financière, le client doit en être averti, sinon il ne sera pas responsable des dommages excédentaires[129]. Il est toutefois possible pour le client de demander à son institution financière de ne permettre l’accès qu’à un ou à certains de ses comptes.

En bref, tant le Code de pratique canadien que son implantation dans les contrats bancaires présentent plusieurs lacunes lorsqu’il est question de protéger le titulaire d’une carte de débit contre les utilisations non autorisées. Notons en particulier l’impossibilité de modifier l’ordre des chiffres d’un NIP ou l’utilisation d’autres chiffres ou symboles, l’absence d’une présomption en faveur du titulaire, l’absence d’une responsabilité fondée sur le risque, l’absence d’une obligation imposée à l’émetteur d’installer un système de sécurité par un système de vidéo, l’absence d’une obligation pour l’émetteur d’accorder un crédit provisionnel au titulaire durant le processus d’enquête lors d’une allégation de fraude, son dégagement de responsabilité lors d’une défectuosité technique ou de force majeure et l’imposition d’un délai fixe pour avertir l’émetteur d’une perte ou d’un vol de la carte et/ou du NIP.

Aux États-Unis, le fonctionnement des cartes de paiement est similaire au nôtre, c’est-à-dire que les citoyens peuvent obtenir à la fois des cartes de débit et des cartes de crédit. La réglementation bancaire est toutefois plus favorable que la nôtre à l’égard du titulaire d’une carte de débit. D’une manière générale, le Electronic Fund Transfer Act de 1978 régit les transferts effectués par un terminal électronique, par téléphone ou par ordinateur[138]. La définition générale des articles 909(1) et (6) précise qu’une carte visée par cette loi est celle qui donne accès à un compte bancaire et qu’un transfert de fonds est celui qui est initié par un terminal électronique, que ce soit à un guichet bancaire automatisé ou à un terminal de point de vente. L’alinéa 11 de la définition mentionne également qu’un transfert électronique de fonds non autorisé est un transfert effectué par carte sans le consentement du titulaire. Depuis 1979, cette loi est complétée par la réglementation fédérale Regulation E (Electronic Fund Transfer Act)[139], dont l’objet vise l’utilisation des transferts électroniques de fonds qui donnent accès à un compte bancaire[140].

En ce qui concerne la protection d’un titulaire de carte de débit victime d’une opération non autorisée, l’article 205.6 de la Regulation E dispose que ce titulaire est responsable pour un montant ne dépassant pas 50$, s’il avertit la banque dans les deux jours de l’erreur ou de la fraude, et d’un montant de 500$ s’il avertit la banque dans un délai de soixante jours, sinon il est entièrement responsable. Le délai pour aviser peut toutefois être étendu dans certaines circonstances[141], comme l’absence ou la maladie. À l’instar du Code de pratique canadien, la limite de responsabilité s’applique à la condition que le client n’ait pas révélé le numéro de son NIP. Cette condition est d’ailleurs commune à toutes les mesures protectrices, peu importe le pays. L’objet de cette responsabilité progressive est de responsabiliser les clients en les incitant à notifier l’émetteur le plus tôt possible et, ainsi, à minimiser les pertes. L’avis transmis à l’émetteur est valide dès qu’il est donné par le client. Il n’a pas à être donné à une personne en particulier. S’il est transmis par la poste, il est effectif dès son envoi, plutôt que lors de sa réception par la banque[142].

En 1997, deux projets de loi ont été proposés[143] pour modifier la Regulation E et limiter la responsabilité de la victime à 50$ pour les transactions qui surviennent avant qu’elle n’avise l’émetteur d’une utilisation non autorisée, peu importe le délai de notification[144]. Toutefois, ces projets sont demeurés lettre morte et l’article 205.6 n’a pas été modifié depuis.

Aux États-Unis, le fardeau de la preuve s’établit comme suit. En s’inspirant du rapport de la National Commission on Electronic Fund Transfer déposé en 1977[145], lequel est à l’origine de la loi de 1978, un tribunal a mentionné que l’institution financière devait prouver l’autorisation du transfert de fonds. Ceci rappelle la difficulté pour le titulaire d’établir sa crédibilité face à un ordinateur[146], même si ce dernier n’est pas infaillible[147]. Dans la décision Judd, la titulaire pouvait facilement démontrer qu’elle se trouvait à son lieu de travail au moment des retraits illégaux de son compte et sa crédibilité a été acceptée par le juge non seulement sur ce point, mais également sur le fait qu’elle n’avait pas dévoilé son NIP et ne l’avait pas inscrit à proximité de sa carte[148].

Nous partageons l’opinion du professeur Geva à l’effet que la jurisprudence majoritaire des années 1980 sur la question des transferts de fonds non autorisés doit être examinée en tenant compte de l’évolution des progrès technologiques et de la fiabilité des systèmes informatiques des institutions financières[149]. Le problème fondamental repose véritablement sur la preuve, en définitive, que doit apporter le titulaire relativement à la non-divulgation du NIP à quiconque ou à proximité de la carte. La solution européenne vient en aide à ce dilemme, comme nous le verrons à la section suivante.

À l’instar du Canada, l’article 205.6 a fait l’objet de peu de décisions judiciaires au fil des ans aux États-Unis. Dans une décision récente, la défenderesse alléguait que sa carte avait été dérobée et qu’elle s’était fait voler près de 4 000$[150]. Le tribunal lui a donné gain de cause en raison de l’absence d’enquête de la part de la banque et a confirmé l’application de la limite de responsabilité de 50$. Dans l’application des obligations contractuelles du titulaire de la carte, les tribunaux états-uniens ont adopté une attitude beaucoup plus nuancée que les tribunaux québécois. En raison de cette législation, les décisions ne portent pas seulement sur la divulgation du NIP[151], comme cela est le cas au Canada, mais également sur l’envoi ou non d’un avis par la victime de la perte ou du vol de sa carte. Ceci s’explique par l’obligation pour le titulaire d’aviser promptement l’émetteur afin de se prévaloir de l’exonération partielle de responsabilité. La position des tribunaux états-uniens est très stricte et ceux-ci acceptent difficilement une dérogation à ce principe[152].

Ainsi, le droit états-unien est de loin plus équitable que le Code de pratique canadien dans le traitement de la responsabilité du titulaire qui est victime d’une utilisation non autorisée de sa carte. Cette responsabilité se limite à 50$ ou à 500$, selon que l’avis de la perte ou du vol a été transmis à l’émetteur dans un délai inférieur à deux jours ouvrables ou à soixante jours. Ceci diffère substantiellement du Code de pratique canadien, tant en ce qui concerne le délai, qui doit être «raisonnable», que pour ce qui est du plafond monétaire, qui se limite aux plafonds quotidiens. Outre ces différences, rappelons aussi que la législation états-unienne est coercitive, ce qui n’est pas le cas du Code de pratique canadien. Également, la Regulation E accorde un crédit provisionnel au titulaire (moins un montant de 50$) lorsque l’enquête dépasse une période de dix jours, ce que ne permet pas le Code de pratique canadien[153].

Il faut bien saisir le fonctionnement de certaines cartes de paiement européennes avant d’analyser leurs mesures de protection. En France, outre les cartes de crédit émises par les magasins, la Carte Bleue est émise par les banques et elle est utilisée par la majorité des Français. Cette carte permet au titulaire, lors de son émission, de choisir un débit immédiat ou un débit différé. Dans le premier cas, il s’agit de l’équivalent de la carte de débit au sens nord-américain du terme. Cette option est offerte à tous les citoyens français et aux non-résidents. Dans le second cas, il ne s’agit pas d’un crédit avec un terme de paiement qui peut s’étaler sur plusieurs mois, mais d’un délai d’au plus un mois pour payer[154]. Cette forme de carte est donc l’équivalent de la carte de paiement American Express qui, jusqu’à récemment, n’offrait que cette possibilité à sa clientèle. Cette différence est importante, car les règles de protection en droit de la consommation excluent les prêts de moins de trois mois[155].

Ainsi, contrairement aux Canadiens qui possèdent plusieurs cartes de crédit et parfois, plus d’une carte de débit, les Français ne détiennent qu’un type de carte de paiement. Cette culture bancaire est spécifique à la France. Dans la majorité des pays européens, les consommateurs peuvent détenir à la fois une carte de débit et une carte de crédit. Ceci est le cas notamment en Allemagne, en Espagne, en Irlande, en Italie, au Luxembourg, au Portugal, au Royaume-Uni et en Suisse. Malgré certaines différences, le fonctionnement de la carte de débit canadienne est similaire à la carte de paiement européenne avec débit immédiat et les propositions de réforme du droit canadien que nous suggérons peuvent s’inspirer des sources juridiques européennes.

En droit communautaire, il existe plusieurs recommandations et directives qui gouvernent les paiements par carte. Dès 1975, la Communauté économique européenne a pris conscience des problèmes liés à la protection des intérêts économiques, dont le crédit à la consommation, et à l’information des consommateurs[156]. C’est toutefois en 1987 que la protection des titulaires de carte a été mise en oeuvre par l’établissement d’un code européen de bonne conduite en matière de paiement électronique[157]. Une nouvelle recommandation a précisé ces principes l’année suivante[158], laquelle a été mise à jour par la suite[159]. Ces recommandations énoncent les principes généraux de la responsabilité entre le titulaire et l’émetteur et deviennent contraignants lorsqu’ils sont adoptés par les États membres.

En cas d’utilisation non autorisée de la carte du titulaire, l’article 8(3) de la Recommandation 88/590/CEE prévoit que celui-ci se voit accorder un plafond de responsabilité de 150 écus par événement jusqu’au moment de la notification, sauf si le titulaire «a fait preuve d’une négligence extrême ou a agi frauduleusement»[160]. L’article 6(1) de la Recommandation 97/489/CE est au même effet, mais apporte une précision, soit que le titulaire ne doit pas avoir «agi avec une négligence extrême, en violation des dispositions pertinentes de l’article 5 points a), b) et c), ou frauduleusement»[161]. Cette recommandation innove en établissant, d’une part, que «[l]a seule utilisation d’un code confidentiel ou de tout élément d’identification similaire n’est pas suffisante pour engager la responsabilité du titulaire», et que, d’autre part, le titulaire ne sera responsable que «si l’instrument de paiement a été utilisé sans présentation physique ou sans identification électronique»[162]. Cette protection représente certes un progrès pour protéger le consommateur victime de fraude à son insu, car il est dans ce cas très difficile d’en apporter la preuve.

La «négligence extrême» exigée par le droit communautaire diffère-t-elle vraiment de l’intensité exigée par le droit canadien ? Dans les deux cas, le titulaire se voit opposer sa réclamation lorsqu’il contrevient au défaut de choisir un NIP difficile à copier, de conserver le NIP ailleurs qu’auprès de sa carte ou de notifier l’émetteur dès qu’il a connaissance de l’opération non autorisée. Ainsi, cette négligence est considérée comme étant «extrême» par le droit communautaire, alors qu’elle ne peut être qu’une simple négligence du point de vue canadien.

L’utilisation non autorisée de la carte de paiement à débit immédiat est également traitée par des directives européennes. L’article 8 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance[163] est repris dans la Directive 2002/65/CE[164]. Cette directive mentionne clairement que les États membres doivent mettre en oeuvre des mesures pour qu’un consommateur «puisse demander l’annulation d’un paiement en cas d’utilisation frauduleuse de sa carte de paiement dans le cadre des contrats à distance» et que «dans le cas d’une telle utilisation frauduleuse soit recrédité des sommes versées en paiement ou se les voit restituer». Ces directives demeurant toutefois trop générales quant à la négligence du titulaire, il fallait s’en remettre, jusqu’à récemment, aux recommandations 88/590/CEE et 97/489/CE.

Les directives 97/7/CE et 2002/65/CE ont fait l’objet d’une proposition de mise à jour en 2005[165]. Ceci visait, d’une part, à harmoniser le cadre juridique dans un nouveau marché intégré des paiements et, d’autre part, à faciliter l’initiative d’autoréglementation prise par le secteur des paiements dans le cadre du Conseil européen des paiements, consistant à développer d’ici 2010 des normes techniques et commerciales communes pour les paiements en euros et ainsi créer un espace unique de paiement en euros (Single Euro Payment Area)[166]. Cette proposition a mené à l’élaboration de la Directive 2007/64/CE en 2007[167]. Celle-ci est plus étoffée et ambitieuse que les recommandations 88/590/CEE et 97/489/CE ainsi que les directives 97/7/CE et 2002/65/CE.

La Directive 2007/64/CE se démarque des recommandations et des directives ci-dessus discutées à plusieurs points de vue. D’entrée de jeu, il faut noter que le vocabulaire est différent et plus englobant. À titre d’exemple, alors que la Directive 97/7/CE traite du «titulaire» d’une carte et que la Directive 2002/65/CE utilise le vocable «consommateur», la nouvelle directive adopte les termes «utilisateur de service de paiement» et «payeur»[168]. De plus, le mot «carte» est remplacé par l’expression «instrument de paiement», lequel est plus général et comprend «tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour initier un ordre de paiement»[169]. Le titre IV de cette directive traite des droits et des obligations liés à la prestation et à l’utilisation de services de paiement. Ce titre reprend l’essence des recommandations et des directives discutées ci-dessus. D’abord, en cas d’opérations de paiement non autorisées ou mal exécutées, l’utilisateur de services de paiement doit le signaler «sans tarder» au prestataire de services de paiement[170]. À l’instar du Code de pratique canadien, ce délai est malheureusement flou et aléatoire. Ensuite, le fardeau de la preuve de l’authentification de la transaction repose sur le prestataire de services de paiement. Non seulement ce dernier doit démontrer ce fardeau, mais en plus, il doit établir que l’enregistrement de l’utilisation d’un instrument de paiement soumis à cette fin :

ne suffit pas nécessairement en tant que tel[] à prouver que l’opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui lui incombent[171].

Ce traitement de la preuve, qui rejoint la Recommandation 97/489/CE, est plus équitable envers le consommateur, lequel ne peut souvent que s’appuyer sur sa crédibilité pour convaincre le tribunal de ses allégations. Une autre mesure d’équité concerne l’obligation pour le prestataire de services de paiement de rembourser immédiatement le payeur pour le montant de l’opération non autorisée[172], moins la somme de 150 euros qu’il doit supporter[173]. Bien que cette solution s’inspire de l’article 205.11(c)(2)(i) de la Regulation E états-unienne, elle est nettement plus avantageuse, car elle ne se limite pas à un crédit provisionnel si l’enquête de l’émetteur dure plus de dix jours, obligeant plutôt le remboursement immédiat. Cette solution est novatrice par rapport aux autres recommandations et directives de la Commission européenne et elle atténuera certainement la difficulté qu’éprouvent certains consommateurs d’accéder à la justice. Enfin, lorsque le payeur n’a pas agi de «manière frauduleuse ni [...] manqué intentionnellement aux obligations qui lui incombent», les États membres peuvent limiter sa responsabilité eu égard à la nature des mécanismes de sécurité technique de l’instrument de paiement et des circonstances du sinistre[174].

Si le payeur est déclaré responsable pour cause de «négligence grave» ou de «fraude», il devra rembourser l’entièreté de l’opération au prestataire[175]. Au préambule de la Directive 2007/64/CE, le considérant n^o 33 mentionne la nécessité de tenir compte de toutes les circonstances pour évaluer l’intensité de la négligence du titulaire. Étrangement, ce considérant ajoute que «[l]es preuves et le degré de négligence supposée devraient être évalués conformément au droit national»[176]. Au surplus, le considérant suivant énonce que :

les États membres devraient pouvoir fixer des règles moins contraignantes que celles qui sont mentionnées ci-dessus, afin de maintenir les niveaux existants de protection des consommateurs et de favoriser la confiance en la sûreté de l’utilisation des instruments de paiement électronique [nos italiques][177].

À nos yeux, ces deux considérants se marient difficilement avec l’objectif d’harmonisation du cadre juridique dans un nouveau marché intégré des paiements et de protection du titulaire d’une carte de paiement victime d’une fraude. Dans le dernier cas, cela pourrait s’expliquer par la généralité des directives 97/7/CE et 2002/65/CE, qui nécessitent «d’arrêter des règles plus détaillées concernant l’utilisation frauduleuse des cartes de paiement»[178], notamment quant à la répartition des pertes lors d’opérations non autorisées[179]. En d’autres termes, la Directive 2007/64/CE dénote un progrès, certes, mais elle mérite d’être fignolée et surtout d’être harmonisée avec la Directive 2002/65/CE.

À l’exception de la nouvelle Directive 2007/64/CE, les recommandations 88/590/CEE et 97/489/CE et les directives 97/7/CE et 2002/65/CE sont en général bien implantées dans le droit national de la plupart des États membres, sous réserve de quelques conséquences légèrement divergentes. Ce succès s’explique en raison de la nature du marché intérieur, maintenant considéré comme un marché de paiement domestique[180]. À titre d’illustration, nous présentons l’état des droits français, belge et luxembourgeois.

En droit français, les règles contractuelles imposent au titulaire — appelé «porteur» — l’obligation d’approvisionner son compte de manière suffisante, l’obligation de conserver la confidentialité de son code et, ce qui diffère du droit canadien, l’interdiction de révoquer son ordre de paiement[181]. Cette dernière interdiction résulte d’une décision de la Cour d’appel de Paris[182] maintenant codifiée à l’article L. 132-2 du Code monétaire et financier. En ce qui concerne notre problématique, l’article L. 132-3 de ce code prévoit depuis 2001 qu’en cas d’utilisation frauduleuse de la carte, le titulaire qui fait opposition «dans les meilleurs délais», lesquels ne peuvent être inférieurs à deux jours francs, n’engage aucunement sa responsabilité, celle-ci étant plafonnée à 150 euros pour la période qui précède l’opposition[183]. Outre le montant qui diffère légèrement, cette limite de responsabilité s’inspire de l’article 8(1) de la Recommandation 88/590/CEE et de l’article 6(1) de la Recommandation 97/489/CE, qui prévoient une limite de 150 écus dans ces circonstances. Le caractère tardif de l’opposition peut toutefois être difficile à déterminer[184].

À l’instar de la Recommandation 97/489/CE[185], le droit français prévoit que l’utilisation frauduleuse peut survenir au moyen de la carte ou sans dépossession physique de celle-ci. Le cas échéant, le titulaire est exonéré de sa responsabilité[186]. Comme le mentionnent les auteurs français Yves Picod et Hélène Davo, «cette atténuation est heureuse car la victime n’ayant jamais été dépossédée de sa carte se trouve, bien entendu, dans l’impossibilité de faire opposition»[187]. Le titulaire a évidemment l’obligation de vérifier ses relevés bancaires, mais l’intensité de cette obligation ne peut être étendue jusqu’à une vérification quotidienne, sinon constante. La perte ou le vol sans dépossession de la carte oblige l’émetteur à recréditer le compte du porteur qui conteste le paiement ou le retrait dans un délai d’un mois[188]. Comme le souligne Lasserre Capdeville, cette solution opère «un renversement de la charge de la preuve»[189]. Solution intéressante, certes, mais qui demeure incomplète par rapport aux droits belge et luxembourgeois, dont nous traitons plus bas. Outre ses similarités de principe avec le droit états-unien, nous concluons, comme Picod et Davo, que l’initiative du législateur français vis-à-vis de la fraude sans substitution physique de la carte, déjà prévue dans la Recommandation 97/489/CE et reprise par les droits belge et luxembourgeois, est exemplaire. En effet, celle-ci répond à plusieurs cas de fraude organisée où la carte du titulaire est clonée et son NIP est substitué à son insu.

La Belgique a adopté la Loi relative aux opérations effectuées au moyen d’instruments de transfert électronique de fonds en 2002[190]. Cette loi reprend les principales dispositions de la Recommandation 97/489/CE, mais propose des solutions plus originales. D’abord, la définition générale d’«instrument de transfert électronique de fonds» reprend généralement les définitions proposées par cette recommandation[191]. En cas d’utilisation non autorisée de l’instrument de paiement, la responsabilité du titulaire se limite à un plafond de 150 euros avant la notification[192]. Elle prévoit une exception à cette limite quand le titulaire «a agi avec une négligence grave ou frauduleusement, auquel cas le plafond prévu n’est pas applicable». Ainsi, le concept européen de négligence extrême est remplacé par une notion connue des civilistes, la négligence grave, précisée au deuxième paragraphe de l’article 8(2) :

[s]ont notamment considérés comme négligence grave, le fait, pour le titulaire, de noter son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de transfert électronique de fonds ou sur un objet ou un document conservé ou emporté par le titulaire avec l’instrument, ainsi que le fait de ne pas avoir notifié à l’émetteur la perte ou le vol, dès qu’il en a eu connaissance.

La Directive 2007/64/CE a par la suite repris ce concept de négligence grave[193]. Le troisième alinéa de l’article 8(2) de la loi belge ajoute que «[p]our l’appréciation de la négligence du consommateur, le juge tient compte de l’ensemble des circonstances de fait». Ainsi, que la négligence soit grave ou extrême, elle consiste en la divulgation du NIP ou sa conservation à proximité de la carte. Enfin, l’article 8(4) contient une disposition très intéressante et similaire au droit français et à la Recommandation 97/489/CE, soit que le titulaire n’est aucunement responsable lorsque l’instrument est «utilisé sans présentation physique et sans identification électronique», et la «seule utilisation d’un code confidentiel ou de tout élément d’identification similaire n’est pas suffisante pour engager la responsabilité du titulaire».

En ce concerne la preuve d’une négligence que doit fournir l’émetteur, le troisième alinéa de l’article 8(2) mentionne également que les enregistrements par l’émetteur des transactions effectuées dans le compte du titulaire, ainsi que «l’utilisation de l’instrument de paiement avec le code connu du seul titulaire», ne peuvent présumer suffisamment de la négligence du titulaire. Cette approche innove par rapport au droit français et aux recommandations et aux directives européennes, en reportant explicitement le fardeau de la preuve du consentement d’une utilisation sur l’émetteur. Elle a de plus été reprise subséquemment par la Directive 2007/64/CE[194].

Enfin, le droit luxembourgeois définit largement un «instrument de paiement» comme :

tout système permettant d’effectuer par voie entièrement ou partiellement électronique, les opérations suivantes : a) des transferts de fonds; b) des retraits et dépôts d’argent liquide; c) l’accès à distance à un compte; d) le chargement et le déchargement d’un instrument de paiement électronique rechargeable[195].

Cette définition diverge des recommandations et des directives européennes, ainsi que des droits français et belge. Bien que ceci soit hors de notre propos, soulignons que cette protection s’applique aussi à d’autres mécanismes de paiements. Le droit luxembourgeois a également intégré la Recommandation 97/489/CE dans son corpus législatif[196]. À l’instar des droits français et belge, le droit luxembourgeois exonère le titulaire pour un montant maximum de 150 euros avant la notification, à moins d’une négligence grave ou d’une fraude de sa part, et l’exonère entièrement lorsque l’utilisation non autorisée a lieu sans dépossession physique de la carte[197]. Comme en Belgique, le droit luxembourgeois ne retient pas la notion de négligence extrême, bien que selon certains auteurs, la négligence grave s’apparente à cette dernière[198]. Cette loi a été mise à jour en 2004 pour tenir compte de la Recommandation 2002/65/CE[199]. À l’instar de la Belgique et de la nouvelle Directive 2007/64/CE, l’émetteur luxembourgeois a le fardeau de démontrer que l’opération de paiement «a été correctement enregistrée et comptabilisée, et n’a pas été affectée par un incident technique ou une autre défaillance»[200]. À cette fin, la loi oblige l’émetteur à conserver une trace des opérations durant une période de trois ans[201].

Enfin, ajoutons finalement que d’autres pays européens accordent des protections en cas d’utilisation non autorisée, comme l’Allemagne, le Royaume-Uni, le Danemark, la Finlande, la Grèce, la Hongrie, l’Irlande, la Norvège, la Pologne, le Portugal, la République tchèque et la Suède[202].