ARCHIVE - Rapport sur le vol d'identité

Contenu archivé

L'information dont il est indiqué qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Rapport présenté à la ministre de la Sécurité publique et de la Protection civile du Canada et à l'Attorney General des États-Unis

Groupe de travail binational sur les fraudes transfrontalières par marketing de masse
Octobre 2004

Résumé

Par vol d'identité, on entend tous les types de crime qui consistent à obtenir et à utiliser de façon frauduleuse l'identité d'une autre personne dans le but de commettre des fraudes ou d'autres activités criminelles, en visant en général des gains économiques. Les auteurs des vols d'identité sont entre autres des membres de groupes ou de réseaux criminels organisés, des terroristes ou des criminels agissant seuls. Le vol d'identité vise habituellement le gain économique; cependant, des terroristes ont déjà eu recours au vol d'identité afin d'obtenir un emploi de couverture, de financer leurs activités et d'éviter d'être identifiés lorsqu'ils perpétraient leurs attaques. Des criminels utilisent aussi le vol d'identité afin d'attirer ailleurs que sur les véritables auteurs des crimes l'attention des unités d'application de la loi.

Certains indices témoignent de l'augmentation rapide des cas de vol d'identité, qui s'expliquerait en partie par l'utilisation d'Internet et les technologies modernes. Aux États-Unis, sur 12 mois, soit en 2002-2003, les pertes totales subies par des particuliers et des entreprises en raison du vol d'identité ont atteint approximativement 53 milliards de dollars américains. Au Canada, sur 12 mois, soit en 2002, ces pertes étaient évaluées à environ 2,5 milliards de dollars canadiens.

Le vol d'identité menace tous les aspects de la vie quotidienne. On peut voler une identité en subtilisant le courrier d'une personne ou en dévalisant sa résidence et ses espaces personnels, en utilisant à mauvais escient des données personnelles transmises au cours d'une transaction commerciale, en utilisant des « hameçons », ou en volant les bases de données d'une entreprise ou d'un gouvernement.

Les victimes des vols d'identité appartiennent à tous les groupes d'âge et à tous les échelons de la société; cependant, ils font plus souvent partie des gens dont la cote de crédit est bonne ou pourrait l'être. Les victimes d'un vol d'identité auront souvent à essuyer des pertes financières. Leur cote de crédit et leur réputation en seront entachées, et elles subiront un stress émotionnel. De nombreuses victimes devront en outre entreprendre de laver leur nom et de récupérer leur cote de crédit, tâche complexe qui peut parfois s'avérer ardue. Un rapport d'enquête sur le vol d'identité, publié en 2003 par la Federal Trade Commission (FTC) des États-Unis, révèle que, l'année précédente, les victimes d'un vol d'identité avaient consacré au total 300 millions d'heures à régler les problèmes qui en découlaient.

Le vol d'identité ne connaît aucune frontière. Les mesures conjointes mises en œuvre pour s'attaquer à ce problème sont coordonnées par le Groupe de travail binational sur les fraudes transfrontalières par marketing de masse (sous-groupe du Forum sur la criminalité transfrontalière Canada-États-Unis), formé de représentants du gouvernement et des organismes d'application de la loi des États-Unis et du Canada. Les gouvernements et les organismes du secteur privé des deux pays ont en outre mis en œuvre divers projets ou réformes législatives afin de lutter contre ce type de vol.

Les données accessibles laissent croire que le phénomène du vol d'identité prendra beaucoup plus d'ampleur au cours de la prochaine décennie, qu'il sera un élément de plus en plus important de la criminalité transfrontalière et qu'il menacera des dizaines de millions de personnes et d'entreprises au Canada et aux États-Unis sauf, bien sûr, si les organismes d'application de la loi et les entités du secteur privé réussissent à organiser une réponse vigoureuse et coordonnée au problème.

Les gouvernements, les organismes d'application de la loi et les entreprises du secteur privé des deux pays pourraient renforcer leurs efforts dans la lutte contre le vol d'identité dans plusieurs secteurs. Voici quelques exemples :

Introduction

En 2003, le Forum sur la criminalité transfrontalière Canada-États-Unis a jugé qu'il était temps de faire une évaluation de la menace liée au vol d'identité et à ses répercussions sur la criminalité transfrontalière. Il a chargé le Groupe de travail binational sur les fraudes transfrontalières par marketing de masse, qui lui présente un rapport annuel, de préparer l'évaluation à laquelle ont participé de nombreux particuliers et représentants d'organismes canadiens et américains faisant partie du Groupe de travail. L'évaluation a été préparée par le département de la Justice des États-Unis et le ministère de la Sécurité publique Canada (SP).

L'évaluation de la menace avait pour objectif de définir la nature, la portée et les répercussions du vol d'identité. L'évaluation a porté sur les tendances, les statistiques et l'examen des facteurs liés au vol d'identité dans le but de mieux comprendre la nature de ce crime ainsi que les réponses actuelles et possibles à ce chapitre.

Le présent rapport, présenté à l'occasion du Forum sur la criminalité transfrontalière Canada - États-Unis en octobre 2004, fournira des informations et des recommandations à l'intention des décideurs, des organismes d'application de la loi, des consommateurs et du secteur privé.

Bien que le nombre de données sur l'incidence du vol d'identité ne cesse d'augmenter, on possède peu de données relatives à des études statistiques ou analytiques sur les formes que prend cette activité criminelle ou sur ses participants. Les deux pays ont mis sur pied des projets afin de relever ce défi. Ils seront décrits plus loin dans l'évaluation.

L'évaluation vise à fournir des renseignements essentiels aux représentants du Canada, des États-Unis et des autres pays et à faire la promotion d'une plus grande coordination dans le domaine de l'amélioration des activités de supervision et de gestion des risques liées au vol d'identité et l'élaboration de réponses globales. Dans le cadre de l'évaluation, on exposera des recommandations relatives à une réponse coordonnée visant tout à la fois des campagnes de sensibilisation et d'éducation du public, des mesures législatives et des mécanismes d'application de la loi.

Vol d'identité : La menace

Contrairement à certains crimes qui visent des types précis de biens ou de lieux - le vol d'automobile ou le cambriolage, par exemple -, le vol d'identité peut être perpétré dans tous les lieux où se déroule la vie quotidienne. Le vol d'identité peut être commis dans une résidence, un lieu de travail, voire un lieu récréatif. De plus, l'ubiquité grandissante des données numériques ainsi que des ordinateurs et des dispositifs qui transmettent ou entreposent ces données permet aux voleurs d'identité d'accomplir leur œuvre sans jamais être physiquement à proximité des personnes dont ils volent les données.

Les activités routinières ou quotidiennes - payer un repas au restaurant avec sa carte de crédit, utiliser sa carte de débit pour acheter de l'essence ou louer une automobile, transmettre des informations de nature personnelle à des employeurs ou à des organismes gouvernementaux, par exemple - peuvent parfois amener une personne à laisser à découvert les renseignements personnels que les voleurs d'identité pourront récupérer et utiliser sans même que leur victime ne le sache ni ne l'autorise. La victime peut même ne découvrir les répercussions de cette fraude que des semaines, des mois, voire des années plus tard.

Qu'est-ce que le vol d'identité?

Par vol d'identité, on entend en général tous les types de crimes qui consistent à obtenir et à utiliser de façon frauduleuse l'identité d'une autre personne dans le but de commettre des fraudes ou d'autres activités criminelles, en visant le plus souvent des gains économiques. Les données ainsi subtilisées comprennent entre autres le nom et la date de naissance de la victime et toute une série de renseignements étroitement liés à ces données : numéro d'assurance sociale (au Canada), numéro de sécurité sociale (aux Etats-Unis), numéros de passeport, de permis de conduire et de cartes de crédit. Une fois que le voleur a mis la main sur les renseignements de nature personnelle, il peut s'en servir pour prendre le contrôle des comptes bancaires ou en ouvrir de nouveaux, transférer le solde des comptes, demander un prêt ou du crédit, ou encore acheter des biens ou des services1.

Les voleurs d'identité peuvent aussi, à l'aide de documents authentiques ou forgés comme un extrait de naissance ou un document d'immigration, recevoir diverses prestations d'aide en matière de santé ou d'éducation, des prestations d'assistance sociale ou des pensions de l'État.

Pourquoi voler une identité?

Les organismes d'application de la loi du Canada comme des États-Unis constatent une tendance croissante à recourir au vol d'identité dans le but de commettre d'autres types de crimes ou d'en faciliter la perpétration2. Dans presque tous les cas de vol d'identité, l'objectif est de nature financière.

Certains criminels commettent des vols d'identité dans le but d'obtenir des fonds en se faisant passer pour leurs victimes, de tromper les organismes d'application de la loi sur l'identité réelle de l'auteur du crime ou d'échapper à ces organismes. D'autres le font dans le but de toucher des prestations ou d'obtenir des services publics auxquels ils n'auraient pas droit autrement. D'autres encore utilisent les données d'identification dans des desseins plus généraux qui vont de la fraude au trafic de personnes en passant par le terrorisme.

La portée du vol d'identité

De nombreux indices confirment que le vol d'identité est devenu un problème important pour les consommateurs et les entreprises du Canada et des États-Unis. L'augmentation du nombre de plaintes liées au vol d'identité qui sont déposées dans ces deux pays est l'un de ces indices3.

Aux États-Unis, le nombre de vols d'identité signalés à la Federal Trade Commission est passé de 86 212 en 2001 à 161 836 en 2002, puis à 214 905 en 2003; c'est une augmentation de près de 250 %4. Au cours des deux premiers trimestres de 2004, la FTC a reçu 130 217 plaintes de plus concernant le vol d'identité. Cela signifie que le nombre moyen de plaintes reçues par la FTC chaque semaine n'a cessé d'augmenter : plus de 1 600 par semaine en 2001, plus de 3 100 en 2002, plus de 4 100 en 2003 et plus de 5 000 par semaine au cours des six premiers mois de 2004.

En 2002, le Centre d'appel antifraude du Canada a reçu 7 629 plaintes relatives à un vol d'identité de Canadiens qui signalaient des pertes totales de plus de 8,5 millions de dollars canadiens. Par comparaison, en 2003, le Centre d'appel a reçu au total 14 526 plaintes de ce type, déposées par des Canadiens qui signalaient des pertes totales de plus de 21,8 millions de dollars canadiens5.

Les statistiques recueillies par le Centre d'appel antifraude en 2003 et pendant la première moitié de 2004 montrent que la plupart des plaintes relatives au vol d'identité concernent l'utilisation d'une carte de crédit ou une demande frauduleuse de carte de crédit (32 %) ou encore l'utilisation d'un téléphone cellulaire ou une demande frauduleuse de téléphone cellulaire (10 à 12 %). La FTC déclare elle aussi qu'en 2003, 33 % des victimes d'un vol d'identité signalaient que leurs données d'identification avaient servi à des fraudes par carte de crédit et que 16 % des victimes indiquaient que leurs données d'identification avaient servi à la présentation frauduleuse d'une demande de service téléphonique (téléphones cellulaires : 10,4 %; téléphones ordinaires : 5,6 %)6. Les problèmes de classification des données statistiques font que les organismes d'application de la loi des deux pays ont des raisons de croire qu'en réalité ces situations surviennent beaucoup plus souvent, surtout en ce qui concerne la « récupération » des cartes de crédit7.

En outre, une enquête réalisée en septembre 20038 par la Federal Trade Commission des États-Unis a révélé qu'en un an, près de 10 millions d'Américains - 4,6 % de la population adulte des États-Unis - ont découvert qu'ils avaient été victimes d'une forme quelconque de vol d'identité. Sur ces 10 millions de personnes, 3,2 millions ont appris que le voleur avait ouvert un nouveau compte bancaire à leur nom, et 6,6 millions de consommateurs ont appris qu'un voleur d'identité utilisait de façon frauduleuse leurs comptes actifs. L'enquête a aussi révélé que les entreprises avaient essuyé des pertes dues au vol d'identité de près de 48 milliards de dollars américains, que les particuliers ayant été victimes de ce crime avaient déclaré des pertes de près de 5 milliards de dollars américains et que les victimes avaient consacré près de 300 millions d'heures à essayer de résoudre les problèmes découlant du vol de leur identité.

Deux grands bureaux de crédit du Canada, Equifax et Trans Union, déclarent recevoir chaque mois quelque 1 400 à 1 800 plaintes relatives à un vol d'identité visant des Canadiens, dont la plupart sont de l'Ontario. Le Conseil canadien des bureaux d'éthique commerciale évalue que les consommateurs, les banques, les sociétés émettrices de cartes de crédit, les commerces et les autres entreprises ont subi en 2002 des pertes de 2,5 milliards de dollars canadiens attribuables au vol d'identité9.

Les données accessibles laissent croire que le phénomène du vol d'identité prendra beaucoup plus d'ampleur au cours de la prochaine décennie, qu'il sera un élément de plus en plus important de la criminalité transfrontalière et qu'il menacera des dizaines de millions de personnes et d'entreprises au Canada et aux États-Unis sauf, bien sûr, si les organismes d'application de la loi et les entités du secteur privé réussissent à organiser une réponse vigoureuse et coordonnée au problème.

Qui sont les victimes? Qui sont les auteurs?

Une autre caractéristique digne d'intérêt concernant le vol d'identité est le fait que ses victimes appartiennent à tous les groupes d'âge. Selon la Federal Trade Commission des États-Unis, 29 % des plaintes relatives à un vol d'identité sont déposées par des personnes de 18 à 29 ans, 25 %, par des personnes de 30 à 39 ans, 21 %, par des personnes de 40 à 49 ans, 13 %, par des personnes de 50 à 59 ans et 10 % par des personnes de 60 ans et plus. Les personnes de moins de 18 ans sont elles aussi visées dans 3 % des cas10. Les recherches réalisées au Canada donnent à peu près les mêmes résultats. Selon une étude récente du Forum sur la prévention de la fraude, les victimes d'un vol d'identité représentent toutes les couches de la société canadienne, et leur niveau de revenu ou leur scolarité ne constitue pas un facteur11. Cependant, ce sont les personnes qui ont la meilleure cote de crédit ou le potentiel nécessaire pour obtenir une bonne cote de crédit qui constituent le plus important segment des victimes.

Le vol d'identité ne fait pas des victimes que chez les particuliers. Les sociétés, les institutions financières et les petites entreprises doivent non seulement essuyer des pertes financières, mais aussi subir des atteintes à leur réputation, leur crédibilité et leurs activités futures.

Il existe peu d'études statistiques complètes sur les auteurs des vols d'identité, et les données accessibles sont en grande partie anecdotiques. Les données recueillies indiquent toutefois que les auteurs des vols d'identité font en général partie de l'une des trois grandes catégories suivantes :

Quelles formes le vol d'identité prend-il?

De nos jours, le vol d'identité est souvent commis loin des yeux de la victime ou hors de sa portée réelle. Pour voler une identité, on peut par exemple trafiquer un système électronique de traitement de données, obtenir de faux documents de base (actes de naissance, documents de citoyenneté, par exemple), faire livrer du courrier à une nouvelle adresse, ouvrir de nouveaux comptes de crédit ou utiliser de façon frauduleuse des comptes existants. Le vol d'identité s'appuie sur la culture moderne qui permet l'ubiquité des banques d'information contenant des renseignements personnels, sur la facilité d'obtention du crédit à la consommation et sur l'avancement rapide et l'acceptation de plus en plus grande des technologies de l'information. Il s'appuie aussi sur les faiblesses des mécanismes de protection des renseignements relatifs à l'identité d'une personne. Les auteurs des vols d'identité, par exemple, vont rapidement chercher à exploiter toute lacune des mesures de protection des données personnelles prises par des entreprises, des organismes gouvernementaux ou les consommateurs.

Les moyens de porter atteinte à l'intégrité des données personnelles en vue de voler une identité sont si nombreux et évoluent si rapidement que même les particuliers et les organismes qui se trouvent à la fine pointe de la technologie ont de la difficulté à exercer un contrôle adéquat sur ces données.

Comme on l'a déjà indiqué, le vol d'identité vise tous les aspects de la vie quotidienne. Dans la présente section, on cernera les principales vulnérabilités auxquelles s'attaquent les voleurs d'identité afin d'obtenir des données d'identification, et on indiquera les méthodes qu'ils utilisent. On classe ces méthodes dans deux grandes catégories : les méthodes physiques et les méthodes électroniques.

Méthodes physiques

Vol du courrier

Les criminels sont capables de voler une identité en subtilisant le courrier qu'une personne envoie ou reçoit. Ils peuvent par exemple intercepter les offres de « carte de crédit préapprouvée ». Ils y répondent en fournissant les informations demandées et retournent le formulaire, mais en indiquant que l'adresse postale du bénéficiaire a changé, ce qui est faux. En conséquence, une carte de crédit est émise au nom du bénéficiaire, mais elle sera envoyée à la nouvelle adresse choisie par le voleur d'identité; le destinataire visé ne saura pas qu'une offre lui avait été envoyée ni qu'un nouveau compte a été créé sans son autorisation.

Les voleurs peuvent aussi trouver dans la correspondance expédiée par un particulier des renseignements utiles. Les consommateurs qui ont l'habitude de payer leurs factures par la poste mettront dans l'enveloppe leurs chèques bancaires qui, en général, fournissent des renseignements personnels de même que le numéro du compte bancaire et le numéro d'acheminement. Pour payer la facture d'une carte de crédit, il faut habituellement inclure le bordereau de paiement sur lequel figure le numéro de la carte de crédit.

On sait donc que les voleurs d'identité forcent les boîtes aux lettres des lieux publics et celles des résidences pour voler le courrier destiné à une personne ou reçu par elle. Dans certains cas, ils peuvent recueillir d'énormes volumes de courrier dans les boîtes aux lettres dont le petit drapeau rouge est levé pour indiquer qu'elles contiennent du courrier : ils n'ont qu'à se promener le long des routes et subtiliser tout le courrier de départ. La fréquence de cette pratique a amené certains agents des organismes d'application de la loi à dire que le drapeau rouge qui orne ces boîtes aux lettres signalait les documents « à voler ».

Exemple - Le vol de courrier au Canada

Des voleurs ont récupéré le courrier d'une victime canadienne et accédé ainsi à des renseignements essentiels, par exemple ses numéros de carte de crédit. À l'aide de ces numéros, les voleurs ont demandé l'augmentation du montant du crédit autorisé, demandé de nouvelles cartes de crédit et ouvert des comptes de façon frauduleuse. Ils ont aussi volé environ 15 000 $ à leur victime.

Cambriolage des résidences et des espaces personnels

Les criminels mènent aussi leurs activités dans des endroits où une personne se croit à l'abri du crime et être le maître de céans. Certains voleurs d'identité, par exemple, vont profiter du fait qu'ils ont, à titre de travailleurs, un accès légitime à une résidence ou à un bureau pour essayer d'y trouver des données d'identification. Ils peuvent aussi prendre comme cible une automobile dans laquelle le propriétaire a laissé un portefeuille ou un sac à main. Ils peuvent aussi, tout simplement, fracasser la fenêtre de l'auto pour voler des données d'identification ou des données financières. Il leur arrive aussi de fouiller dans les poubelles et dans toutes sortes de contenants à rebuts pour y récupérer les documents sur lesquels figurent des renseignements personnels importants.

Méthodes électroniques

Mauvais usage des données personnelles dans les transactions commerciales

Les voleurs d'identité peuvent utiliser des dispositifs physiques pour perpétrer leur crime, même s'ils se trouvent dans un commerce public (par exemple, lorsque la victime paie son repas dans un restaurant ou qu'elle commande un article dans un commerce de détail). On sait par exemple que les criminels fournissent aux travailleurs des restaurants, des bars et des autres magasins un dispositif spécial qu'on a baptisé « l'écumoire ». Il s'agit d'un petit appareil pas plus gros qu'un téléavertisseur ou un ordinateur de poche. Quand on glisse la carte de crédit sur l'écumoire, celle-ci lira les données enregistrées sur la bande magnétique de la carte. Les personnes qui se servent des écumoires vont alors transmettre les données récupérées à des criminels de haut niveau qui vont les utiliser pour commander des marchandises ou créer de fausses cartes de crédit. Il est même arrivé que des voleurs d'identité installent des écumoires par-dessus le clavier des guichets électroniques légitimes des institutions financières. Les écumoires sont conçues avec soin de façon à ressembler aux autres éléments des guichets réels; les voleurs n'ont qu'à les enlever pour récupérer les données enregistrées.

Mystification, vol au moyen de courriels hameçons, scénarios conçus dans le but de soutirer des informations confidentielles

Les criminels qui désirent obtenir des renseignements confidentiels par voie électronique utilisent de plus en plus souvent une technique qu'on appelle le vol au moyen de courriels hameçons. Les consommateurs reçoivent des courriels « mystificateurs » (qui semblent provenir d'une entreprise légitime, par exemple une institution financière ou un site de vente aux enchères en ligne). En général, ces courriels redirigeront les consommateurs vers un site « mystificateur » qui semble être celui de l'entreprise ou de l'entité en question. De nombreux consommateurs sont aussi la cible de scénarios selon lesquels une personne, se faisant passer pour le représentant d'une institution ou d'une entreprise légitime, lui demande des renseignements de nature personnelle. En fait, les criminels qui envoient les courriels, proposent des sites Web ou font ces appels téléphoniques n'ont aucun lien avec les entreprises qu'ils disent représenter. Leur seul objectif est d'obtenir les données personnelles du consommateur afin de les utiliser à toutes sortes de fins criminelles.

Exemple - Les clients de la Banque royale mordent à « l'hameçon »

En juin 2004, la Banque Royale du Canada a avisé ses clients de l'existence de messages électroniques frauduleux dans lesquels une personne se faisant passer pour un représentant de la Banque Royale leur demandait de vérifier leurs numéros de compte et numéros d'identification personnelle (NIP) en utilisant un lien inclus dans le message électronique. Le message frauduleux indiquait que, si le destinataire ne cliquait pas sur le lien pour inscrire son numéro de carte et son code d'accès, il ne pourrait plus accéder à son compte. Les messages ont été envoyés une semaine après un problème électronique qui avait empêché la mise à jour des comptes des consommateurs. Le problème avait empêché le virement des salaires, et plusieurs consommateurs avaient craint de ne pouvoir payer leur hypothèque, leur loyer ou leurs autres dépenses. La Banque Royale croit que quelqu'un a tenté de profiter de la situation.

Exemple - Les clients de la Citibank victimes d'un « hameçon »

En un seul mois (juin 2004), la Citibank a été la cible de 492 attaques différentes - c'est plus que tout autre organisme. Dans un scénario récent, les auteurs des courriels hameçons informaient les destinataires qu'il y avait eu des tentatives d'entrées frauduleuses dans leurs comptes bancaires à partir d'une adresse IP de l'étranger. Les auteurs affirmaient aussi de façon mensongère que la Citibank avait mis sur pied un système de vérification en différé auquel les destinataires du message pourraient accéder en cliquant sur un lien inclus dans le message électronique. En fait, lorsque le destinataire cliquait sur le lien, il accédait à ce qui semblait être le site Web légitime de la banque en arrière-plan, mais la fenêtre dans laquelle il devait inscrire ses données, en avant-plan, était programmée de façon à les transmettre ailleurs.

Vol de bases de données d'une entreprise ou du gouvernement

Les organismes d'application de la loi du Canada et des États-Unis ont observé que les voleurs d'identité multipliaient les tentatives d'accès aux grandes bases de données personnelles des entreprises privées et des organismes gouvernementaux. Les criminels sont entrés par effraction dans des bureaux afin de voler le disque dur des ordinateurs, ils ont fait chanter des employés ou ont acheté leur silence afin qu'ils accèdent, pour eux, à des données personnelles et ils ont aussi fait du piratage informatique.

Exemple - Vols d'identité dans la base de données d'une entreprise

Un travailleur suppléant temporaire, embauché par une entreprise nationale de services financiers de l'Ontario, au Canada, a volé les profils des consommateurs de la base de données de l'entreprise. Celle-ci contenait des milliers de profils; l'entreprise ne s'est pas aperçue du vol. De nombreux médecins ont constaté qu'ils étaient victimes d'un vol d'identité et que l'on avait demandé, en leur nom et de façon frauduleuse, des cartes de crédit. Les profils volés comprenaient les données financières complètes des médecins et des membres de leur famille.

C'est un agent de police qui a permis de découvrir l'auteur de la fraude. Il avait arrêté, dans le cadre d'une opération courante, un conducteur et avait trouvé plusieurs profils en sa possession. L'agent n'a pas été en mesure de procéder à son arrestation, puisqu'aucune infraction n'avait été commise à ce moment. Il ne savait pas que les profils avaient été volés, et les documents ne fournissaient aucune donnée concernant des cartes de crédit. Mais l'agent a eu la présence d'esprit de photocopier les documents et de les transmettre à des enquêteurs du service des fraudes.

L'enquête a permis de remonter à la source des données; l'entreprise a reconnu que ces données lui appartenaient, et on a pu procéder à l'arrestation de l'employé. Les victimes de ce vol ont perdu au total plus d'un million de dollars. Des accusations ont été portées jusqu'ici contre quatre personnes, y compris les occupants de l'automobile qui avaient été arrêtés. Le vol de données a fait plus de 100 victimes au Canada, et les données ont été utilisées de façon frauduleuse partout au pays. La constitution de la liste complète des victimes a été difficile : en effet, les fournisseurs de crédit, les bureaux de crédit, les services de police, les victimes et l'entreprise visés ne sont pas arrivés à établir une corrélation entre les noms des victimes.

Les répercussions du vol d'identité

Le vol d'identité entraîne des répercussions de deux types distincts sur ses victimes. La première conséquence du vol d'identité est la perte financière directe. Les consommateurs et les entreprises peuvent perdre des montants qui vont de quelques centaines à des dizaines de milliers de dollars : tout dépend du type de fraude commise par le criminel à l'aide des données d'identification volées. Les petites entreprises qui font du commerce électronique, en particulier, sont durement touchées par le vol d'identité. Les politiques des sociétés émettrices de cartes de crédit visant l'association avec les commerçants en ligne prévoient que les commerçants qui acceptent un paiement par carte de crédit seront responsables du montant total de la transaction si l'on établit, plus tard, que cette carte de crédit servait en fait à des voleurs d'identité.

Le second type de répercussion est plus insidieux. Il concerne les coûts indirects imposés aux victimes par le vol d'identité. Les personnes dont on a volé l'identité peuvent devoir vivre pendant de longues périodes avec une mauvaise réputation et une mauvaise cote de crédit; on peut même annuler leur crédit. Tout cela à cause des transactions frauduleuses faites en leur nom. De nombreuses victimes disent qu'il leur a fallu des mois, voire des années, et beaucoup d'efforts de leur part pour récupérer leur cote de crédit. Dans le cadre d'une enquête réalisée en 2003 par la Federal Trade Commission, les victimes d'un vol d'identité, de quelque type que ce soit, signalent avoir dépensé en moyenne 500 $ US pour réparer les torts causés par ce vol. Dans les cas les plus graves, c'est-à-dire la création de nouveaux comptes et d'autres types de fraude, les victimes disent avoir consacré en moyenne 1 200 $ US pour régler les divers problèmes découlant du vol d'identité. En outre, l'enquête a révélé que les victimes de vol d'identité avaient, ensemble, consacré près de 300 millions d'heures (30 heures par personne en moyenne), au cours de l'année précédente, pour régler ces problèmes13.

Les coûts indirects du vol d'identité sont divers : il est même possible qu'une victime soit considérée à tort, par un organisme d'application de la loi, comme faisant partie des criminels. Dans l'enquête de la FTC, 4 % des victimes indiquaient que les criminels, qui avaient été arrêtés par les organismes d'application de la loi ou accusés d'un crime avaient donné, pour s'identifier, le nom et les renseignements concernant leurs victimes14. Dans quelques rares cas, les victimes avaient été arrêtées et détenues par les organismes d'application de la loi pendant un certain temps avant qu'il soit possible d'établir leur identité réelle et leurs liens avec les crimes commis.

Même s'ils sont surtout de nature économique, les vols d'identité ont aussi des répercussions dans le domaine de la sécurité nationale et des avantages sociaux et services gouvernementaux (prestations de bien-être social, permis de conduire, prestations d'indemnité pour les travailleurs, passeports, actes de naissance, remboursements d'impôt, etc.). Les prestations versées à des personnes qui n'y ont pas droit représentent des coûts importants pour les gouvernements, et, au bout du compte, pour les Canadiens et les Américains eux-mêmes15.

La lutte contre le vol d'identité

Le Canada et les États-Unis ont entrepris diverses réformes législatives et mis sur pied tout un éventail de projets afin de lutter contre le vol d'identité. Comme on l'explique plus loin, nombre de ces projets visent plusieurs secteurs, plusieurs sphères de compétence et plusieurs organismes; ils vont au-delà de l'application de la loi.

Signalement des vols d'identité

Dans le but de mieux comprendre l'ampleur et l'étendue du vol d'identité, les représentants du gouvernement, des organismes d'application de la loi et du secteur privé ont mis en place des mécanismes de signalement à l'intention du public.

Coordination à l'échelle nationale et canado-américaine

Les problèmes liés au vol d'identité concernent toutes les administrations et ordres de gouvernement, l'ensemble des intervenants du domaine de l'application de la loi et tout le secteur privé. Dans le but d'éviter le dédoublement des activités et de garantir l'uniformité des programmes et des mesures prises par les différentes administrations, on a créé un certain nombre d'organismes de coordination à l'échelle nationale et à l'échelle canado-américaine.

Prévention et atténuation

La prévention de la victimisation et l'atténuation des répercussions du vol d'identité sur les consommateurs et les entreprises sont des éléments centraux des stratégies générales de lutte contre le vol d'identité des deux pays.

Projets législatifs

Un cadre législatif solide est aussi un facteur essentiel à la réussite de la lutte contre le vol d'identité. Depuis 1998, le gouvernement fédéral des États-Unis et celui de presque tous ses États ont adopté un certain nombre de mesures de lutte contre ce phénomène19.

Les mesures ultérieures : Défis et recommandations

Les États-Unis et le Canada, comme les autres pays, vivent dans un monde de plus en plus ouvert et en constante évolution; ils profitent du fait que les biens et les informations circulent de plus en plus facilement et traversent les frontières locales et internationales. Le phénomène de la criminalité transfrontalière (notamment le vol d'identité) se présente dans le même contexte. Pour les simples criminels, c'est encore l'occasion qui fait le larron; les groupes organisés, par contre, érigent de plus en plus souvent le vol en système. Les organismes d'application de la loi s'inquiètent de la possibilité que les terroristes utilisent les systèmes mis en place par les groupes organisés pour financer ou exécuter leurs attaques.

À une époque où le réseau Internet est un élément permanent et utile de la vie quotidienne, les frontières et les délimitations administratives accusent de nouvelles vulnérabilités dont profitent de plus en plus les voleurs d'identité. Les criminels peuvent recueillir et diffuser des renseignements personnels délicats sur des sites Internet hébergés par n'importe quel fournisseur de services Internet du monde. Ils peuvent aussi utiliser ces fournisseurs pour concevoir ou télécharger des sites trompeurs afin d'obtenir de façon frauduleuse des renseignements de nature personnelle. Le lieu où le crime est commis est donc devenu un problème pour les organismes d'application de la loi, et ce problème débouche sur des questions liées aux compétences et à la coordination.

Tout comme le téléphone, le réseau Internet est un outil de communications puissant qui peut servir à des fins légales ou illégales. Nous devons être en mesure de cerner et de régler rapidement les vulnérabilités dont se servent les criminels à des fins illégales. La lutte contre le vol d'identité fait face à plusieurs défis : la rapidité de réaction, les sphères de compétence, la coordination. Dans la présente section, nous allons présenter ces défis plus en détail et recommander des réponses.

Coordination des mesures d'éducation du public

Défi : Le public n'est pas tout à fait conscient de la nature envahissante des problèmes liés au vol d'identité et de ses terribles répercussions sur la vie quotidienne. On s'attend à ce que les nouvelles arnaques, par exemple l'utilisation d'« hameçons », continuent de croître et de faire de plus en plus de victimes, si l'on ne prend pas des mesures pertinentes pour la prévenir.

Réaction recommandée : Il faut coordonner les projets d'éducation et de sensibilisation en matière de vol d'identité qui s'adressent aux publics, aux entreprises et aux autres entités qui recueillent des données d'identification personnelle. Ces projets, auxquels devraient participer les deux ordres de gouvernement et le secteur privé, devraient viser la réduction du risque lié au vol d'identité et les mesures que peuvent prendre les victimes.

Les deux pays devraient aussi être prêts à organiser des programmes d'éducation et de sensibilisation communs, au besoin, en fonction des problèmes particuliers liés au vol d'identité qui se présentent. Dans le cadre du Forum sur la criminalité transfrontalière Canada-États-Unis de 2004, par exemple, le département de la Justice des États-Unis et le ministère de la Sécurité publique et de la Protection civile du Canada émettront un avis public commun sur les courriels hameçon.

L'amélioration des mécanismes de signalement et d'application de la loi

Défi : Le public doit être renseigné sur les façons de signaler un vol d'identité et doit savoir de quelle façon les organismes d'application de la loi utiliseront ces renseignements.

Réaction recommandée : Les deux gouvernements doivent prendre des mesures plus énergiques afin de renseigner le public sur l'existence des organismes auprès desquels on peut signaler un vol d'identité, par exemple, le Centre d'appel antifraude du Canada, le réseau RECOL et le Identity Theft Clearinghouse de la FTC, aux États-Unis. Pour faciliter les poursuites et mettre fin aux activités liées au vol d'identité, les deux gouvernements devraient mieux coordonner, à l'échelle nationale et à l'échelle canado-américaine, les activités d'application de la loi afin d'analyser et d'utiliser les données des plaintes présentées par les citoyens, de cerner les tendances et de dégager des modèles.

Défi : Le secteur privé doit aussi participer à la solution en signalant les cas de vol d'identité de façon plus systématique aux organismes d'application de la loi. Le fait que ce signalement soit donné de façon sélective donne une image incomplète de la situation et peut nuire aux efforts de protection de l'intérêt public. Il faut cesser de considérer le vol d'identité comme une simple perte financière qu'il n'est pas obligatoire de signaler à la police.

Réaction recommandée : Le secteur privé et les organismes d'application de la loi devraient poursuivre leurs discussions visant à augmenter le signalement des vols d'identité auprès des organismes d'application de la loi. Cette mesure devrait donner des résultats plus concrets et plus durables en ce qui concerne les enquêtes touchant le vol d'identité.

L'examen des cadres législatifs

Défi : Les sanctions législatives qui visent le vol d'identité doivent s'adapter à l'évolution constante de la nature du vol, notamment en ce qui concerne l'utilisation des nouvelles technologies.

Réaction recommandée : Dans les deux pays, tous les ordres de gouvernement devraient examiner la pertinence des lois qui visent le vol d'identité et les modifier, au besoin, de façon à garantir qu'elles visent l'ensemble des activités criminelles et prévoient des sanctions convenables sur les plans civil et criminel. L'examen devrait aussi comprendre les lois visant l'usurpation d'identité et la fraude ainsi que les autres infractions liées au vol d'identité.

L'amélioration de l'intégrité et de la sécurité des documents et des données

Défi : La sécurité et l'intégrité des documents d'identification personnelle sont des éléments importants des mesures de protection des personnes et de la société dans son ensemble contre les incidents liés au vol d'identité. La délivrance même et la sécurité des documents d'identification, surtout les documents de base à partir desquels on établit l'identité d'une personne, par exemple les actes de naissance, les passeports, les documents prouvant la résidence permanente ou la citoyenneté, sont au centre du problème.

Réaction recommandée : Les deux pays devraient s'efforcer, chacun de leur côté, d'assurer une plus grande uniformité et sécurité des processus de délivrance et de vérification des documents. Au Canada, ces efforts d'amélioration devraient s'appuyer sur le travail du Conseil fédéral-provincial-territorial sur l'identité, dont le mandat consiste à élaborer un cadre stratégique sur les pièces d'identité émises par les gouvernements.

Défi : Il est déjà arrivé que des organismes du secteur privé utilisent de façon frauduleuse des pièces d'identité appartenant à une personne, lui causant ainsi du tort.

Réaction recommandée : Les deux pays se sont déjà dotés de lois sur la collecte, l'entreposage et la diffusion de renseignements personnels. Les organismes du secteur privé, toutefois, surtout ceux qui utilisent et conservent de grands volumes de données d'identification personnelle ou de données financières de nature personnelle, devraient revoir et, au besoin, modifier leurs politiques et procédures internes touchant la sécurité de ces données. Cela peut supposer, dans certains cas, l'amélioration des dispositifs informatiques et physiques de sécurité. Dans d'autres cas, cela supposera une vérification plus minutieuse des employés qui peuvent accéder aux nombreuses données personnelles entreposées dans l'organisme.

Conclusion

Les organismes d'application de la loi, les divers organismes gouvernementaux et le secteur privé doivent améliorer et mieux coordonner les mesures de lutte contre le vol d'identité, particulièrement en ce qui concerne la criminalité transfrontalière visant le vol d'identité. Les gouvernements des deux pays devraient élaborer des approches complètes dans le domaine du vol d'identité, en allant de la prévention jusqu'aux poursuites. Pour obtenir de meilleurs résultats dans la lutte contre le vol d'identité, il faut améliorer les mécanismes de signalement, les cadres législatifs et les projets d'éducation du public, et amener le secteur privé à une plus grande participation.


Date de modification :