Les coûts humains de la fraude par cartes de crédit

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion du Symposium sur la sécurité de Visa Canada

Toronto, Ontario
le 26 mars 2008

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

J’aimerais commencer en remerciant sincèrement Visa Canada de m’avoir invitée à ce symposium. Je suis heureuse d’avoir l’occasion de m’adresser à un groupe de personnes dévouées à la lutte contre la fraude par carte de crédit.

Il est difficile de ne pas penser à la sécurité des cartes de crédit – et aux énormes défis auxquels nous sommes tous ici confrontés – au cours d’une journée typique.

La plupart du temps, la caissière ne vérifie même pas si ma signature correspond bien à celle figurant au dos de ma carte de crédit.

Il n’est toujours pas rare que l’on me remette un reçu comportant mon numéro de carte de crédit au complet et la date d’expiration.

Des offres de crédit facile et des chèques de dépannage nous parviennent par la poste.

Au Canada, les pertes associées à la fraude par carte de crédit s’élèvent à près de 150 millions de dollars par année, selon un rapport rédigé à l’intention de votre industrie.

Les défis sont nombreux, mais nous ne sommes certainement pas impuissants face à cette épidémie de fraudes.

J’aimerais partager quelques réflexions avec vous sur la façon dont nous pourrions améliorer la sécurité des cartes de crédit en nous attaquant à certains des problèmes que je viens de mentionner. Je crois également que la notification obligatoire des atteintes à la protection des données marquera un progrès important à ce chapitre.

Rôle du Commissariat

Tout d’abord, permettez‑moi de vous donner un aperçu des lois canadiennes en matière de protection des renseignements personnels.

La loi canadienne qui régit la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE,est entrée progressivement en vigueur à compter de 2001. Elle vise presque toutes les activités commerciales au Canada, à l’exception des activités des entreprises réglementées par les quelques provinces dotées d’une loi similaire. Son application relève de la commissaire à la protection de la vie privée.

La question de la fraude par carte de crédit nous préoccupe vivement puisqu’elle met en jeu une utilisation indue des renseignements personnels.

La sécurité de l’information liée aux opérations sur carte de crédit était l’élément central de notre enquête sur l’importante atteinte à la protection des données survenue chez TJX. Nous avons également mené des enquêtes sur d’autres problèmes liés aux cartes de crédit, dont les chèques de dépannage non sollicités et le traitement de l’information liée aux cartes de crédit aux États-Unis.

Un point de vue moins familier sur la fraude

Les coûts associés à la fraude par carte de crédit sont très élevés – pour vos entreprises, pour l’économie canadienne et pour les consommateurs canadiens. Le système de paiement mondial de Visa doit composer, chaque année, avec des pertes évaluées à près de 3,5 milliards de dollars américains.

Dans le milieu réglementaire et des affaires, la tendance a toujours été de mettre l’accent sur ce type de données. D’une certaine manière, la fraude est perçue comme la rançon des affaires. Je crois, cependant, que cette façon de voir peut en réalité encourager le vol d’identité.

Je crois également que nous devons commencer à nous préoccuper davantage du coût humain associé à cette fraude et de l’essentiel. Qui sont les vraies victimes de ce nouveau filon lucratif dans l’univers criminel?

Au Canada, en 2005, près de 250 000 cartes de crédit ont été utilisées de façon frauduleuse. Beaucoup de visages se cachent derrière ce chiffre.

La fraude par carte de crédit a un impact émotionnel. Il est franchement perturbant de recevoir un appel nous disant que quelqu’un vient tout juste d’essayer d’utiliser notre numéro de carte de crédit à l’autre bout de la ville, et encore davantage si c’est à Malte ou en Russie.

En général, les titulaires de cartes de crédit n’ont pas à s’acquitter des frais frauduleux. Les institutions financières et les commerçants assument immédiatement la responsabilité financière et sont perçus comme les victimes.

Cela signifie que les titulaires de cartes sont exclus du processus d’enquête et ne reçoivent aucune information sur l’incident – comment il s’est produit et où, et ainsi de suite.

En fait, selon ma propre expérience, cette information n’est pas fournie sur demande.

Les personnes restent avec leur question troublante : comment – et par l’entremise de qui – un escroc a‑t‑il obtenu mon numéro de carte de crédit?

Nous ne devrions pas sous‑estimer l’impact humain de la fraude par carte de crédit. Les gens se sentent violés lorsqu’un criminel utilise leur numéro de carte de crédit.

Et bien qu’ils n’en soient pas toujours conscients, les particuliers paient également le prix de cette fraude. Lorsque les pertes sont effacées, elles ne disparaissent pas comme par enchantement. Les pertes se répercutent sous la forme d’une augmentation du taux d’intérêt et des frais de cartes de crédit et du prix des biens de consommation.

Sécurité – L’affaire de la TJX

L’attitude à l’égard de la fraude par carte de crédit joue un rôle important d’une autre manière : trop souvent, les organisations sous‑estiment les dangers qui menacent les numéros de carte de crédit et les autres renseignements personnels. Par conséquent, ce type d’information n’est pas convenablement protégé.
Nous avons encore des preuves que ces systèmes de carte de paiement fonctionnent dans des environnements non sécuritaires. Choice Point, Card Systems Solutions et TJX ne sont que quelques-uns des exemples les plus connus.

Je me concentrerai sur TJX parce que j’ai enquêté sur cette affaire en collaboration avec mon homologue de l’Alberta, le commissaire Frank Work.

Vous connaissez tous les grandes lignes de cette affaire : selon TJX, les intrus ont accédé au système de TJX au moyen des réseaux locaux sans fil installés dans deux magasins de Miami. La sécurité de près de 100 millions de cartes de paiement a été compromise.
Notre enquête a relevé quelques lacunes importantes :

  • TJX recueillait trop de renseignements et les conservait trop longtemps.
  • TJX n’a pas réussi à mettre à jour ses systèmes de sécurité en temps opportun.
  • TJX n’a pas surveillé convenablement son système pour prévenir les intrusions.

Il nous est apparu évident que TJX avait simplement sous‑estimé les risques auxquels les renseignements personnels qu’elle conservait étaient exposés.
L’enquête sur l’affaire TJX a soulevé quelques questions importantes pour l’industrie des cartes de crédit.

Conformité aux normes de l’industrie des cartes de paiement

Tout d’abord, TJX n’a pas adhéré aux normes de sécurité sur les données de l’industrie des cartes de paiement. L’entreprise a mis deux ans à passer selon ses plans du protocole WEP au protocole WPA, période pendant laquelle les incidents se sont produits.

Tout au long de notre enquête, TJX n’a cessé de nous répéter : nous ne faisions que ce que bien d’autres détaillants font. En effet, bon nombre de détaillants ne se conformaient pas aux normes de l’industrie.

Je crois que la situation aux États-Unis et au Canada s’est quelque peu améliorée.

Selon Visa Canada, les taux de conformité des commerçants de niveau 1, 2 et 3 ont augmenté de 12 % pour passer à 58 % durant l’année après que l’atteinte à la protection des données à TJX a fait les manchettes pour la première fois.

Je vous encourage à continuer à insister auprès des détaillants pour qu’ils adoptent la norme PCI. Je vous fais cette demande parce que je sais que l’industrie des cartes de crédit joue un rôle clé dans l’établissement et le maintien des normes.

Conservation des données

La conservation des données est une autre question que nous devons examiner à la lumière du désastre survenu à TJX.

Le débat s’intensifie entre les entreprises de cartes de crédit, les émetteurs de cartes de crédit et les commerçants au sujet de la responsabilité liée aux pertes de données. Les détaillants reprochent aux émetteurs de cartes de crédit de les obliger à conserver les données sur les cartes pour retracer les achats contestés.

Ce n’est pas à moi à trancher la question, mais je dirai ceci : les entreprises de cartes de crédit doivent travailler en étroite collaboration avec les détaillants pour s’assurer que les renseignements personnels ne sont conservés qu’aussi longtemps que cela est absolument nécessaire. Les détaillants doivent également examiner attentivement les renseignements personnels qu’ils recueillent et stockent. Il ne sert à rien de rejeter le blâme sur autrui.

Si des problèmes liés à la sécurité et à la conservation mènent à un autre fiasco semblable à celui de TJX, les gouvernements et les consommateurs y prêteront certainement davantage attention et les pressions réglementaires pourraient augmenter.

Incitatifs à l’investissement

L’incident survenu à TJX a amené le Commissariat à réfléchir aux incitatifs à l’investissement dans la sécurité de l’information.

Lorsque les entreprises comme TJX songent à mettre en œuvre de nouvelles mesures de sécurité, elles évaluent sans doute les coûts et les avantages d’une telle initiative.

En procédant ainsi, toutefois, elles risquent fort de ne pas tenir compte du prix que devraient payer les tierces parties – ce qu’un économiste appellerait « l’externalité » – si leurs mesures de sécurité connaissaient des défaillances.

En ce qui concerne l’affaire TJX, nous savons que ce prix était très élevé. Certains des coûts ont été assumés par l’industrie des cartes de crédit, mais il ne faut pas perdre de vue les répercussions moins tangibles sur les particuliers qui se sont inquiétés de savoir si leurs renseignements personnels avaient été compromis – ce que j’ai décrit plus tôt comme le coût humain de la fraude.

Cela m’a amenée à me demander si d’autres mesures s’imposaient pour encourager les organisations à investir dans la sécurité. La notification obligatoire des atteintes à la protection des données – dont je discuterai plus tard – en est un exemple évident.

Autres questions clés

J’aimerais attirer votre attention sur d’autres questions susceptibles d’éclairer la discussion sur la façon de régler les problèmes liés à la sécurité des cartes de crédit.

Ces questions sont les suivantes : la formation sur la protection des renseignements personnels, la troncation des numéros sur les reçus et les chèques de dépannage.

Formation sur la protection des renseignements personnels

Je ne peux trop insister sur l’importance d’offrir aux employés de la formation sur la protection des renseignements personnels.

Il n’y a pas si longtemps, un employé du Commissariat a trouvé une carte de crédit sur le trottoir à Ottawa. Lorsqu’il a appelé l’entreprise émettrice de la carte pour l’en aviser, une représentante du centre d’appel – qui ne pensait manifestement pas à mal – lui a fourni le numéro de téléphone du titulaire de la carte pour qu’il puisse la lui remettre.

Les politiques et les procédures ne pourront pas protéger les renseignements personnels si les entreprises n’arrivent pas à faire en sorte que leurs employés comprennent les concepts de base de la protection des renseignements personnels.

Un sondage réalisé pour le compte du Commissariat, l’année dernière, a révélé que seulement un tiers des entreprises ont offert à leurs employés une formation sur leurs responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels.

La prévention des atteintes à la vie privée passe par une bonne formation des employés. C’est la façon de convaincre les caissiers de vérifier les signatures au dos des cartes de crédit.

Reçus dangereux

Passons maintenant à une question que nous pouvons appeler « les reçus dangereux ».

Nous voyons encore des bordereaux de carte de crédit sur lesquels figurent les numéros de carte de crédit au complet.

Je suis consciente que la question relève des organisations responsables du traitement des cartes de crédit; toutefois, les pressions des entreprises de carte de crédit pourraient grandement contribuer à régler ce problème.

Puce et NIP

Le passage aux terminaux à puce – une technologie de la sécurité dont les consommateurs européens ont bénéficié bien avant les habitants de l’Amérique du Nord – devrait également contribuer à corriger la situation.

Les caractéristiques de la puce et du NIP poseront certainement d’autres types de problèmes de sécurité, comme la migration de la fraude par carte de crédit vers Internet, ce qui est déjà survenu en Europe.

Nous espérons que vous envisagez dès maintenant des solutions à ce problème!

Cartes de crédit et chèques de dépannage non sollicités

En 2004, le Commissariat a exprimé des inquiétudes à l’égard des cartes de crédit non sollicitées au terme d’une enquête sur une plainte déposée par une personne après qu’une banque a recueilli ses renseignements personnels sans son consentement et a émis une carte de crédit à son nom.

Nous sommes très heureux de constater que les banques canadiennes ont cessé cette pratique et nous les félicitons de cette décision.

Je demeure toutefois préoccupée par la question des chèques de dépannage non sollicités – et je recommande vivement aux institutions financières de se pencher de nouveau sur ce problème.

Je reconnais aisément que les chèques de dépannage sont très rarement en cause dans les cas de fraude par carte de crédit. Cependant, ils soulèvent de sérieuses inquiétudes quant à la façon dont les renseignements personnels sont utilisés.

Les risques associés aux chèques de dépannage ont été mis en lumière dans une affaire sur laquelle nous avons enquêté il y a quelques années.

Le plaignant s’est fait voler son courrier dans son immeuble d’appartements. Son relevé de carte de crédit – auquel étaient joints des chèques de dépannage personnalisés non sollicités – figurait dans le courrier.

Le voleur a rédigé un chèque de 900 dollars et l’a encaissé avec succès – bien que le plaignant ait avisé sa banque que son courrier avait été volé. La banque a tout de même facturé les 900 dollars au plaignant, intérêt en sus, avant de finalement virer les frais.

Une autre affaire a récemment attiré notre attention. Une femme a reçu des chèques de dépannage sur lesquels figurait son numéro de compte. Cette offre non sollicitée de la part de sa banque ne l’intéressait pas, et elle l’a mise au recyclage. Une semaine plus tard, sa banque l’appelait pour lui demander si elle avait libellé un chèque de 16 000 dollars.

Nous avons fait part de nos préoccupations à l’Association des banquiers canadiens. La réponse de l’industrie nous a déçus. Nous espérons nous réunir bientôt avec les intervenants pour élaborer des lignes directrices et des pratiques exemplaires communes.

Je comprends que l’industrie du crédit réponde au désir des consommateurs d’obtenir du crédit rapidement et facilement. Mais le marché nous offre des exemples de ce qui peut se produire lorsque le crédit devient trop facilement accessible.

En tant que commissaire à la protection de la vie privée, ce qui me préoccupe le plus en cette ère du crédit facilement accordé est le fait que la prolifération des offres de crédit donne davantage d’occasions aux escrocs de commettre des activités frauduleuses.

Notification des atteintes à la protection des données

J’aimerais également aborder la question de la notification des atteintes à la protection des données.

Je me suis réjouie de constater que Visa et MasterCard souscrivaient toutes deux au principe de la notification obligatoire des atteintes à la protection des données dans leur mémoire sur les consultations publiques sur d’éventuelles modifications à la LPRPDE. Je les félicite de leur compréhension du rôle que la connaissance joue dans la prévention de la fraude.

L’année dernière, dans un rapport largement cité qui comparait divers États américains ayant adopté le principe de la notification des atteintes à la protection des données, des professionnels de la sécurité et des agents de recherche juridique en sont arrivés à des conclusions communes sur les atteintes à la protection des données :

  • Premièrement, l’ampleur de l’atteinte n’est pas toujours importante et ne devrait pas être le principal facteur déterminant pour la notification, étant donné que des atteintes de moindre envergure peuvent aussi poser de grands risques pour les personnes.
  • Les personnes sont importantes, et même si certains consommateurs ne tiennent pas compte des avis d’atteinte à la protection des données, informer les consommateurs n’en demeure pas moins un devoir.
  • Le rapport, rédigé par la faculté de droit de l’Université de Californie, à Berkeley, a également conclu que les incitatifs à la notification changent. Les chefs de service de sécurité des entreprises ont remarqué que les nouvelles lois encouragent les cadres supérieurs à prendre la protection des données beaucoup plus au sérieux – cela a entraîné le resserrement des contrôles d’accès, la mise en place de nouvelles mesures de vérification, l’amélioration des pratiques de chiffrement et l’accroissement de la sensibilisation à l’égard de la protection des renseignements personnels en général.

Les Canadiens veulent manifestement qu’on les informe en cas d’atteinte à la protection de leurs renseignements personnels.

Selon un sondage réalisé pour le Commissariat l’année dernière, 77 % des Canadiens croient que les organismes gouvernementaux et les personnes concernées devraient être avisés en cas d’atteinte à la protection des renseignements personnels sensibles. Les deux tiers des Canadiens appuient le principe de la notification lorsque des renseignements non sensibles sont en cause.

Les Canadiens veulent savoir ce qu’il advient de leurs renseignements personnels.

L’un des grands principes de la LPRPDE est que les personnes devraient avoir le contrôle de leurs renseignements personnels. La notification offre le choix aux personnes de prendre ou non des mesures en réponse à une atteinte à la protection des données.

Ce qui importe, c’est que les personnes disposent des renseignements nécessaires pour prendre une décision.

Initiative sur le vol d’identité

Toujours sur le plan législatif, le gouvernement a annoncé, il y a quelques mois, des modifications prévues au Code criminel pour s’attaquer au problème grandissant du vol d’identité.

Le projet de loi crée de nouvelles infractions liées à l’acquisition, à la possession et au trafic de pièces d’identité ou de renseignements relatifs à l’identité. Par ailleurs, les voleurs d’identité pourraient être tenus de rembourser à leurs victimes les coûts associés à la fraude.

Le comité de la Chambre des communes chargé d’examiner le projet de loi m’a invitée à comparaître la semaine prochaine. Le projet de loi m’apparaît comme un premier pas important; cela dit, le Commissariat continuera à insister pour que le gouvernement élabore une stratégie générale en matière de fraude d’identité, en commençant par des méthodes communes de communication des renseignements.

La collaboration transfrontalière entre les autorités d’application de la loi doit également être un élément central de ce type de stratégie.

Conclusion

Les numéros de carte de crédit et les renseignements connexes liés aux opérations sont des renseignements personnels sensibles. Lorsque ces renseignements tombent entre de mauvaises mains, tous les Canadiens en paient le prix – sous la forme de frais de carte de crédit plus élevés –, mais il existe également un coût humain à cette fraude. Nous devons faire en sorte de ne pas perdre le consommateur de vue dans cette équation.

Les leçons tirées de l’affaire TJX et d’autres enquêtes peuvent aider à améliorer la sécurité des cartes de crédit.

Je conclurai en encourageant encore vivement les entreprises de cartes de crédit et les émetteurs de cartes à :

  • redoubler d’effort pour assurer la conformité des détaillants à la norme PCI;
  • promouvoir vigoureusement le masquage des numéros sur les reçus;
  • examiner de nouveau les politiques et les pratiques liées à la conservation des données et aux chèques de dépannage non sollicités;
  • continuer à envisager d’autres technologies de la sécurité comme la puce et le NIP et leurs éventuels successeurs;
  • travailler pour faire en sorte que toute personne responsable du traitement des numéros de carte de crédit ait reçu la meilleure formation possible sur la protection des renseignements personnels;
  • réfléchir à l’avance au problème de la fraude par carte de crédit au moyen d’Internet.

Faire de ces questions notre priorité contribuera grandement à réduire la fraude par carte de crédit.

Le Commissariat saisit toutes les occasions de collaborer avec les industries des cartes de crédit et de la sécurité, de même qu’avec les autorités d’application de la loi. Notre porte est ouverte.

Date de modification :