Le vol d’identité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Mémoire présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

Le 8 mai 2007


Introduction

Je suis heureuse que le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique ait décidé d’entreprendre une étude sur le vol d’identité.

Nous savons que le vol d’identité est un problème important au Canada, mais il est très difficile d’en évaluer les dimensions exactes. On ne connaît pas avec précision le nombre de victimes de vol d’identité, car tous les cas ne sont pas signalés et, quand ils le sont, c’est souvent auprès d’organisations différentes.

On entend souvent parler des conséquences financières du vol d’identité, mais il ne faut pas négliger les autres répercussions sur les personnes et les organisations. Le vol d’identité peut causer des traumatismes psychologiques et avoir des répercussions importantes. Il peut même entraîner des démêlés avec la justice, car les voleurs d’identité peuvent commettre des crimes en utilisant l’identité des victimes. Comment une personne qui s’est fait voler son identité peut-elle prouver à la police ou aux organismes gouvernementaux que ce n’est pas elle qui a commis le crime dont on l’accuse? C’est un défi presqu’impossible.

Le vol d’identité est également une atteinte à la vie privée. Bien qu’il existe de nombreuses définitions de la vie privée, toutes renvoient à l’idée que les personnes doivent pouvoir exercer un contrôle sur ce qu’on fait de leurs renseignements personnels, à quel moment et à quelles fins ils sont utilisés. Les personnes victimes de vol d’identité ont perdu ce contrôle et ne savent pas qui a accès à leurs renseignements personnels et comment on les utilise. Comme les renseignements personnels sont souvent la condition d’accès à divers services publics et privés, l’impact de leur vol peut se faire sentir pendant des années.

Le vol d’identité a également des conséquences sur notre vie de façon beaucoup plus subjective et viscérale. Les personnes qui en ont été victimes sentent généralement que leur intimité a été violée.

Le mandat du Comité est vaste. Vous proposez d’examiner de nombreuses questions, y compris les types de vols d’identité et les tendances en ce domaine, les mesures prises pour mieux protéger les consommateurs afin de réduire ou d’éliminer le vol d’identité, ainsi que les mesures de sensibilisation et d’éducation du public relativement au vol d’identité.

On a accordé beaucoup d’attention au vol d’identité récemment et il existe de nombreux documents sur les difficultés que pose la définition du vol d’identité, les types de vols d’identité et les tendances en ce domaine. Vous entendrez probablement d’autres intervenants qui sont mieux habilités que notre bureau à faire des commentaires sur ces questions, tels que les organismes d’application de la loi.

Nous proposons de concentrer davantage nos commentaires sur les causes principales du vol d’identité et sur certaines des mesures que nous estimons nécessaires pour s’attaquer au problème.

Il existe de nombreuses définitions du vol d’identité. La Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) vient de publier une excellente série de documents sur le vol d’identité. Un de ces documents intitulé Identity Theft: Introduction and Background compte plusieurs pages de définitions possiblesNote de bas de page 1. Presque toutes ces définitions font référence à l’utilisation illégale des renseignements personnels d’une autre personne.

Ces renseignements personnels sont obtenus de diverses façons, allant de moyens directs et pas nécessairement illégaux, comme la fouille des poubelles à des techniques d’hameçonnage très perfectionnées. Les autres façons d’obtenir des renseignements personnels sont :

  • le vol de cartes d’identité ou de cartes de crédit;
  • la réexpédition du courrier;
  • le faux-semblant – prétendre être une personne autorisée à obtenir les renseignements;
  • l’intrusion dans des bases de données informatiques;
  • l’utilisation de dispositifs de tri pour recueillir de l’information sur les cartes de crédit ou de débit;
  • le piquage du NIP consiste à regarder au-dessus de l'épaule d'une personne lorsqu'elle entre son NIPou d’autres renseignements à un guichet automatique;
  • l’élimination inadéquate des dossiers;
  • la perte ou le vol d’un ordinateur personnel ou d’autres appareils de stockage des données;
  • la complicité d’employés peu scrupuleux dans les organisations.

Cette liste n’est pas exhaustive, mais elle indique clairement que les voleurs d’identité disposent d’un grand nombre de moyens pour obtenir des renseignements personnels. Peut-être vous souvenez-vous de ce journaliste qui avait obtenu une copie de mon dossier téléphonique à mon insu et sans mon consentement par le biais d’une compagnie étrangère sous de fausses représentations. On peut difficilement s’étonner que les gens soient de plus en plus préoccupés de la sécurité de leurs renseignements personnels.

Le vol d’identité n’est qu’un des préjudices qui peut résulter de l’utilisation malveillante des renseignements personnels. Les victimes peuvent se sentir humiliées, leur réputation peut être ternie, elles peuvent en subir des inconvénients, des pertes financières et possiblement même des blessures.

Les personnes ne sont pas les seules touchées quand des tiers ont illégalement accès à leurs renseignements personnels. Les entreprises risquent de perdre la confiance de leurs clients; les gouvernements risquent de perdre celle des citoyens et, quand cela se produit, nous en souffrons tous.

Comme il existe de nombreuses façons d’obtenir des renseignements personnels, il faut recourir à diverses manières de combattre le vol d’identité.

Être mieux informés

Tout d’abord, nous avons besoin d’être mieux informés sur le vol d’identité. Bien que le sujet ait reçu beaucoup d’attention des médias, des universitaires, des organismes d’application de la loi et des gouvernements, on ne s’accorde pas encore sur la définition à donner au vol d’identité. Le terme comprend tout, du simple cas de fraude où un individu fait un faux chèque ou utilise une carte de crédit pour acheter des biens au cas très complexe de vol d’identité « synthétique », où un imposteur crée une nouvelle identité utilisant un ensemble de renseignements personnels authentiques et fabriqués. Par exemple, l’imposteur peut utiliser un véritable numéro d’assurance sociale (NAS), avec un faux nom et une fausse adresse.

Ces problèmes de définition ont soulevé des questions sur la fiabilité des statistiques dont nous disposons sur le nombre de vols d’identité.

PhoneBusters, un centre d’appels canadiens contre la fraude géré conjointement par la Police provinciale de l’Ontario (PPO), la Gendarmerie royale du Canada (GRC) et d’autres organismes, fournit des statistiques sur le vol d’identité remontant à 2002. Ce centre est digne de mention pour la qualité de son travail et de ses statistiques qui permettent de mieux suivre les tendances.

En 2006, PhoneBusters a reçu quelque 7 800 appels de victimes de vol d’identité déclarant, pour elles-mêmes ou pour des entreprises, des pertes totalisant plus de 16 millions de dollars. Toutefois, PhoneBusters reconnaît que ces statistiques ne reflètent pas toute la situation. L’organisme estime que le nombre d’appels reçus ne représente qu’un faible pourcentage – peut-être 5 p. 100 – du total réel.

La plupart des renseignements sur le vol d’identité sont donnés de façon volontaire soit dans des sondagesNote de bas de page 2, soit dans des rapports de police, mais de nombreuses études sur ce type de vol indiquent que, parfois, les gens ne prennent pas la peine de signaler un incident de vol d’identité.

Nous n’avons pas une idée claire des sources de renseignements personnels utilisées. Certaines études portent à croire qu’une grande partie des renseignements provient des organisations. D’autres indiquent que le vol d’identité est habituellement perpétré par des personnes — amis, membres de la famille et collègues — connues des victimesNote de bas de page 3. Les médias signalent régulièrement des cas de piratage de données à grande échelle où il est question de perte d’ordinateurs portatifs ou de vol de données sur les cartes de crédit. Toutefois, nous ne savons pas précisément si ces vols de données donnent lieu à des vols d’identité.

Besoin de centraliser les données

Le manque d’information sur le vol d’identité est causé par l’absence de centralisation. Tous s’intéressent au vol d’identité, mais personne n’a pour mandat d’y remédier.

En mai 2006, le président Bush a signé un décret pour créer un « groupe de travail sur le vol d’identité » afin de coordonner les ressources fédérales des États-Unis pour combattre ce type de vol. Le Groupe de travail est présidé par Alberto R. Gonzales, secrétaire à la Justice, et coprésidé par Deborah Platt Majoras, présidente de la Federal Trade Commission (FTC). Le Groupe de travail vient de publier un rapport intitulé Combating Identity Theft: A Strategic Plan qui contient 31 recommandations. La FTC avait déjà créé le Bureau central de données sur le vol d’identité (Identity Theft Data Clearinghouse) qui offre ses ressources aux consommateurs et aux organismes d’application de la loi. En 1998, les États-Unis ont également adopté l’Identity Theft and Assumption Deterrence Act, qui criminalise l’utilisation illégale de l’identité d’une autre personne à des fins malveillantes et prévoit des peines d’emprisonnement et des amendes qui peuvent aller jusqu’à 15 ans et 250 000 $.

Plusieurs ministères et organismes fédéraux s’intéressent au vol d’identité, mais leurs efforts ne semblent pas avoir abouti à une stratégie concertée pour s’attaquer au problème. Outre les initiatives mentionnées ailleurs dans notre mémoire, nous voulons aussi mentionner le travail effectué par le Comité des mesures en matière de consommation (CMC), une tribune fédérale, provinciale et territoriale qui a publié, au milieu de 2005, un document de travail intitulé Travailler ensemble pour prévenir le vol d’identité.

Comme l’indique l’initiative du CMC, le vol d’identité est probablement un problème que le gouvernement fédéral ne peut résoudre à lui seul. Toutefois, cela ne doit pas l’empêcher d’élaborer une stratégie mieux ciblée pour concentrer ses efforts.

Loi sur la protection de la vie privée

Sous un certain angle, le Canada est peut-être en avance sur les États-Unis, car il possède des lois sur la protection de la vie privée qui limitent la cueillette, l’utilisation et la diffusion de renseignements personnels par le secteur privé et exigent que les organisations protègent les renseignements qu’elles rassemblent.

Plusieurs dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) peuvent réduire considérablement le risque de vol d’identité, pourvu que les organisations visées s’y conforment.

Le fait est bien connu, mais il vaut la peine d’être redit : les criminels ne peuvent vous voler ce que vous n’avez pas. Si une organisation limite sa cueillette de renseignements personnels au strict nécessaire, cela réduit le risque de préjudices résultant de l’utilisation malveillante des données par des criminels. En se conformant aux exigences de la loi qui permet aux organisations de recueillir seulement les renseignements dont elles ont besoin, elles peuvent réduire leur attrait auprès des voleurs d’identité. Par exemple, les entreprises devraient généralement éviter de demander le NAS de leurs clients à moins que la loi ne l’exige.

La LPRPDE oblige les organisations commerciales à adopter des mesures de sécurité correspondant à la sensibilité des renseignements qu’elles détiennent. Les renseignements qui peuvent faciliter le vol d’identité sont des renseignements sensibles exigeant une attention particulière, compte tenu des conséquences parfois graves qui peuvent résulter du vol d’identité. Malheureusement, comme nous le découvrons, les organisations ne satisfont pas toujours à cette exigence. Le Commissariat enquête actuellement sur les incidents de Talvest/CIBC et de TJX (Winners et HomeSense) - ce dernier en collaboration avec le Commissaire de la protection de la vie privée et des renseignements personnels de l’Alberta.

Nous sommes heureux que, dans son examen quinquennal de la LPRPDE, ce Comité ait recommandé que la LPRPDE soit modifiée pour imposer aux organisations l’obligation de déclarer les intrusions dans leurs bases de données. Le Commissariat est impatient de commencer à travailler avec Industrie Canada pour élaborer des moyens efficaces afin de mettre en œuvre cette recommandation. En attendant, nous rédigeons actuellement des lignes directrices à cet égard pour guider les organisations d’ici à ce que la LPRPDE soit modifiée.

L’obligation pour les organisations de signaler le piratage des renseignements personnels permettra d’atteindre deux objectifs : elle incitera les organisations à prendre davantage au sérieux les questions de sécurité et elle donnera aux personnes les renseignements dont elles ont besoin pour se protéger contre le vol d’identité ou d’autres formes de fraude.

La LPRPDE impose également aux entreprises commerciales une limite à la durée de conservation des renseignements personnels. Le message est clair : même recueillis avec le consentement des intéressés, les renseignements personnels ne doivent pas être stockés de façon permanente. Si les organisations éliminent les renseignements dont elles n’ont plus besoin, elles réduisent le risque de vol d’identité. Il va sans dire que le processus de destruction des données ne doit pas se limiter à jeter les dossiers ou les disques durs dans une simple poubelle.

En résumé, le risque de vol d’identité dans le secteur privé pourrait être réduit radicalement si les organisations commerciales se conformaient aux dispositions de la LPRPDE et faisaient preuve de simple bon sens en matière de protection des renseignements personnels.

Les lois sur la protection de la vie privée sont importantes, mais elles ne sont qu’une partie de la solution. La LPRPDE s’applique aux organisations commerciales, mais elle ne s’applique pas aux personnes. Des sanctions plus sévères sont peut-être une manière plus efficace de contrer le vol d’identité.

Sanctions plus sévères

Le vol d’identité est certainement un important problème de maintien de l’ordre public. De plus en plus, les criminels et les organisations criminelles ont recours à la technologie pour profiter des faiblesses des systèmes de protection des renseignements personnels des organisations afin de leur soutirer des montants énormes. C’est plus facile qu’un holdup, moins dangereux et probablement plus payant. Et cela peut se faire de n’importe où dans le monde.

En octobre 2004, Justice Canada a publié un document de consultation au sujet du vol d’identité qui avait pour objet de recueillir des opinions sur la nécessité ou non de créer des offenses spécifiques au Code criminel pour tenir compte des diverses activités liées au vol d’identité. En juin 2006, Justice Canada a publié un autre document intitulé Vol d’identité : Consultations sur la proposition de modifier le Code criminel.

Le document de Justice Canada indique que le vol d’identité peut être envisagé comme un processus en deux étapes :

  • la première consiste à recueillir des renseignements personnels sans permission préalable. Comme on l’a déjà vu, cela peut se faire de diverses façons : par vol, fraude ou tromperie. Les renseignements peuvent être utilisés immédiatement, emmagasinés pour plus tard ou vendus;
  • la seconde est l’utilisation frauduleuse des renseignements personnels, généralement pour obtenir des avantages financiers aux dépens des propriétaires légitimes des renseignements.

Nous savons que la première étape - l’obtention des renseignements personnels - n’est pas nécessairement une offense. La deuxième - l’utilisation frauduleuse de l’information - peut être une offense dans certaines circonstances. L’article 403 du Code criminel contient des dispositions relatives à l’usurpation d’identité avec l’intention d’obtenir un avantage, de causer un désavantage ou d’obtenir un bien ou un intérêt dans un bien. On a estimé que la portée du paragraphe 403a) était indéniablement très vasteNote de bas de page 4 et on l’a invoqué dans un grand nombre de poursuites. Toutefois, il ne semble pas avoir été très utilisé dans les cas de vol d’identité et de fraudes de ce type, peut-être en raison de la difficulté de prouver l’intention.

Nous incitons fortement le ministre de la Justice à aller de l’avant dans la modification du Code criminel pour renforcer l’article 403 ou introduire de nouvelles mesures pour sévir plus efficacement contre ceux qui se livrent au vol d’identité.

Le faux-semblant et l'obtention de renseignements personnels

Une des façons d’obtenir des renseignements personnels est le faux-semblant. Les personnes qui ont recours à ce procédé utilisent certains renseignements qu’elles possèdent sur une personne pour obtenir d’une organisation qu’elle leur en communique d’autres. L’usurpateur se fait passer pour la personne elle-même, un parent ou un agent de celle-ci, ou encore pour un employé ou une personne autorisés à obtenir des renseignements personnels. Le faux-semblant sert parfois à obtenir des renseignements personnels, comme des données téléphoniques, mais elle peut aussi être utilisée à bien plus grande échelle.

Au début de 2005, on a appris que des criminels bien organisés se sont fait passer pour des représentants d’entreprises légitimes pour obtenir de la société américaine ChoicePoint qu’elle leur fournisse des renseignements personnels sur plus de 15 000 consommateurs. ChoicePoint est un important fournisseur national américain de services de vérification de l’identité et des références. Après enquête de la Federal Trade Commission, ChoicePoint a accepté de verser des amendes administratives de 10 millions de dollars et de verser 5 millions de dollars à un fonds pour rembourser aux consommateurs les frais résultant du vol d’identité causé par sa négligence.

Les organisations peuvent se prémunir contre le faux-semblant en utilisant des procédures d’authentification appropriées pour s’assurer que les personnes qui demandent des renseignements personnels sont bien celles qu’elles prétendent être. Le Commissariat a élaboré des lignes directrices qui donnent des conseils relatifs aux procédures d’authentificationNote de bas de page 5.

En soi, le faux-semblant ne constitue pas une offense au Canada; elle ne devient une offense que si on peut prouver que la personne avait des intentions frauduleuses. M. Rajotte, votre collègue d’Edmonton, a tenté de combler cette lacune par le projet de loi d’initiative parlementaire C-299, Loi modifiant le Code criminel, la Loi sur la preuve au Canada et la Loi sur la concurrence (obtention frauduleuse de renseignements personnels)Note de bas de page 6. M. Rajotte devrait être félicité d’avoir porté cette question à l’attention du Parlement. Dans sa version originale, le projet de loi s’attaquait à un problème de plus en plus important, soit l’obtention de renseignements personnels par fraude ou par faux semblant.

Comme vous le savez peut-être, des modifications ont été proposées en Comité au projet de loi, car certains estimaient que la criminalisation de le faux-semblant n’était pas appropriée. Nous ne sommes pas des experts du Code criminel et je ne suis donc pas en position de juger de la valeur de ce point de vue. Mon mandat est la protection des renseignements personnels et je suis heureuse que ce projet de loi ait soulevé des questions fondamentales sur la façon la plus efficace d’atteindre cet objectif. Comme le projet de loi C-299 ne traite plus du faux-semblant, j’incite le ministre de la Justice et ses collègues du Cabinet à explorer d’autres moyens de régler ce problème.

Lutte contre le pourriel

Il faut prendre des mesures pour mettre un frein à la prolifération du pourriel, une invasion de la vie privée, car il repose sur la cueillette et l’utilisation non autorisées de renseignements personnels, en particulier les adresses de courriel. Le pourriel est difficile à contrer, comme l’indique le volume croissant de pourriels reçus. Le groupe international sans but lucratif Spamhaus classe le Canada au sixième rang mondial des producteurs de pourriels. Le pourriel n’est pas seulement désagréable, il a des conséquences néfastes pour l’économie, car il nuit à la productivité et sape la confiance envers le commerce électronique. Il sert souvent à lancer des attaques d’hameçonnage avec des courriels qui ont l’apparence de courriels d’organisations légitimes pour tromper les gens et obtenir d’eux des renseignements personnels.

À ce jour, le gouvernement fédéral n’a mis en œuvre aucune des recommandations de son Groupe de travail sur le pourriel. Le Canada est maintenant le seul pays du G-8 sans loi anti-pourriel, de quoi attirer encore davantage les producteurs de pourriels. J’ai écrit au ministre de l’Industrie pour l’inciter à adopter des mesures pour combattre les pourriels.

Mise à jour de la Loi sur la protection des renseignements personnels

Nous avons déjà attiré l’attention du Comité sur nos propositions urgentes de modification de la Loi sur la protection des renseignements personnels en 2006. Bien que les préoccupations sur le vol d’identité aient surtout porté sur l’utilisation de renseignements détenus par le secteur privé, il est aussi important de protéger ceux qui sont détenus par le secteur public. Nous avons recommandé que la Loi sur la protection des renseignements personnelssoit modifiée pour exiger des institutions gouvernementales qu’elles protègent adéquatement les renseignements personnels qu’elles recueillent, utilisent et divulguent. Nous avons aussi demandé que la Loi impose une meilleure reddition de comptes et l’élaboration de systèmes plus puissants pour éliminer les conditions qui facilitent le vol d’identité.

Éducation du public

L’éducation sur la façon de se protéger contre les voleurs d’identité est un autre élément clé de la lutte contre ce type de fraude. Nous pouvons rappeler aux gens qu’il est important de protéger leur portefeuille, leurs cartes de crédit, leur passeport et d’autres papiers d’identité importants. Nous pouvons leur apprendre à protéger leur identité sur Internet. Toutefois, nous ne pouvons probablement pas les empêcher d’être négligents de temps à autre. Ils finiront peut-être par payer cher pour apprendre.

Le Commissariat a lancé des initiatives d’éducation du public dans ce domaine. Nous avons produit une série de feuillets de renseignements notamment une liste de contrôle du vol d’identité, un guide à l’intention des entreprises et un guide de base sur le vol d’identité. Nous avons également participé au financement d’une recherche dans ce domaine.Note de bas de page 7 Comme vous pouvez aisément le comprendre à la lumière des récentes pertes de renseignements personnels dont les médias ont parlé abondamment, je mentionne fréquemment les problèmes de vol d’identité quand je prends la parole un peu partout au pays.

Conclusion

Le vol d’identité est un problème complexe. Il n’existe pas de solution simple ou unique, car les causes en sont nombreuses. Il revient aux organisations d’y voir. Il leur faut faire davantage pour protéger les renseignements personnels et former leurs employés. Conserver les renseignements quand ils ne sont plus nécessaires expose davantage de gens à davantage de risques. Les personnes ont un rôle à jouer dans la protection de leurs renseignements personnels. Elles peuvent, par exemple, fournir aux organisations le minimum de renseignements personnels nécessaires et détruire les documents qui contiennent des renseignements sensibles, comme les numéros de carte de crédit.

Les organisations et les personnes ne peuvent contrer seules le vol d’identité. Le gouvernement doit jouer un rôle de premier plan en élaborant une stratégie pour combattre le vol d’identité, en coordonnant les efforts de divers intervenants et en créant un cadre juridique qui donne aux organismes d’application des lois les outils dont ils ont besoin pour lutter contre le vol d’identité et aux personnes la capacité d’obtenir réparation quand ils subissent des dommages.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :