Dans les films d’époque traitant du Far-West américain, la Banque devait être bien gardée, sinon elle devait rembourser les dépôts perdus ou volés. Comment cela se traduit-il à l’âge du Web ?
Un juge de l’état du Maine, chez nos voisins du Sud, a décidé qu’une banque, n’ayant pu empêcher des bidouilleurs informatiques (Shakespeare aurait dit des « hackers ») de prélever plus de 300 000 dollars du compte d’un client, n’était pas responsable de l’argent perdu; le juge justifie sa décision en mentionnant que le client aurait dû déployer de meilleures mesures de protection de ses informations bancaires confidentielles.
La compagnie de construction Patco, une entreprise familiale de Sanford, au Maine, avait déposé des procédures contre la banque Ocean, après avoir découvert en mai 2009 que des bidouilleurs faisaient sortir environ 100 000 dollars par jour de son compte de banque par le biais du Web. Les bidouilleurs (ou hackers) avaient envoyé un courriel malveillant à des employés de la compagnie de construction; ce courriel avait permis de s’approprier subtilement un code d’identification, un mot de passe et d’autres informations à partir de l’ordinateur d’un employé.
Après avoir obtenu les informations touchant le compte de banque, les voleurs avaient initié une série de transferts électroniques de fonds. Environ 600 000 dollars en transferts avaient pu être faits avant que Patco ne se rende compte du stratagème. La Banque Ocean, une fois alertée, avait pu récupérer environ 240 000 dollars, mais ni la Banque ni Patco n’a pu récupérer le reste.
Patco poursuivit la banque en raison de son défaut de remarquer l’activité frauduleuse et d’y mettre fin; Patco blâma aussi la Banque de ne pas avoir adopté des mesures de sécurité selon les meilleures pratiques.
Le jugement
Souvenons-nous que dans un droit aussi nouveau que le droit du Web, les jugements étrangers peuvent être d’un grand intérêt; bien qu’ils ne s’appliquent pas au Québec ou au Canada, ils constituent une façon de répondre à une nouvelle question de droit, façon qu’un juge local pourrait adopter si les lois locales sont comparables à celles touchant le jugement.
Le juge du Maine reconnut que les mesures de sécurité adoptées par la Banque n’étaient pas optimales, mais il affirma que la Banque n’avait pas à mettre en place les « meilleures » mesures de sécurité disponibles, et que ceci était clair dans le contrat qu’avait signé Patco quant à son accès Web. Il décida qu’il revenait à Patco de mieux protéger ses informations bancaires confidentielles.
Ce jugement est très loin du niveau de responsabilité qu’on aurait imaginé au Far-West anciennement. On aurait mal vu un client signer un contrat à l’effet que la Banque ne déploierait que des « mesures raisonnables » de sécurité pour ensuite se faire enfoncer sa voûte par un bulldozer et affirmer qu’elle n’était pas responsable.
Qu’en penser ?
Deux aspects sont à considérer, sur une base de principe et mis à part la législation touchant les banques au Canada:
1) Au temps des diligences, chaque client de la banque ne possédait pas une clé de sa partie du coffre-fort ! Et si jamais un client possédait la clé d’un coffret de sécurité, la nature de cette clé était telle que ce client n’aurait certes pas permis à une tierce partie, même la plus enjôleuse, de la copier. Actuellement, chaque client a une clé pour accéder à son espace personnel dans le coffre-fort et cette clé peut être reproduite à l’infini une fois qu’un intrus la trouve; 2) Par contre, sur cette base de la « clé copiée », les banques assument souvent, à l’heure actuelle, une responsabilité pour des fraudes effectuées au moyen d’une carte de crédit, lorsque les divers numéros de celle-ci deviennent connus des fraudeurs. Pourquoi alors ne seraient-elles pas responsables si les informations touchant le compte de banque, plutôt que le compte de carte de crédit, deviennent disponibles aux fraudeurs ?
Il faut noter toutefois que le détenteur de carte de crédit n’a souvent pas le choix de laisser des tiers avoir accès à sa carte, alors que le détenteur de compte a un devoir de garder confidentielles ses coordonnées bancaires.
Nous verrons bien ce qui se passera lorsque la question sera posée à des tribunaux locaux, avec des lois locales et des contrats locaux. Un bref survol de certains contrats bancaires d’accès Internet au Canada révèle que souvent, selon le contrat, la protection des coordonnées bancaires, des code d’utilisateur et mot de passe, est la responsabilité du client et que la banque n’a aucune responsabilité en cas d’accès frauduleux; les tribunaux confirmeront-ils la validité de ces articles ou non ?