La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage (phishing), dans la droite lignée de sa jurisprudence actuelle. Explications et analyse de Stéphane Baïkoff, Avocate département IP/IT Cabinet SIMON ASSOCIES.
Elle a jugé, dans un arrêt du 28 mars 2018, au visa des articles L.133-16 et L.133-19 du Code monétaire et financier que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »
La Cour de cassation a, par cette décision, annulé l’arrêt de la Cour d’appel d’Amiens en date du 19 avril 2016, qui avait condamné l’établissement de crédit à rembourser les sommes indument prélevées sur le compte d’un de ses clients, victime de phishing, soit 2 731,98 € au titre des paiements frauduleux réalisés par carte bancaire, et 4 500 € au titre d’un virement litigieux débité de son livret. La Cour de cassation a retenu la négligence grave du client, victime d’une opération d’hameçonnage, pour faire échec à l’obligation de garantie de la banque.
Elle a également rappelé le principe selon lequel c’est à l’établissement de crédit de rapporter la preuve de cette éventuelle négligence grave, laquelle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.
Dans les faits, le client d’une banque, victime de phishing consistant en l’envoi de mails successifs frauduleux portant le logo parfaitement imité dudit établissement de crédit, avait consciencieusement et bien naïvement renseigné ses coordonnées bancaires. Des prélèvements frauduleux étaient ensuite intervenus sur ses comptes, dont il avait sollicité le remboursement au titre de l’obligation de garantie de la banque.
Cette dernière, pour s’y opposer, se fondait sur la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier, qui dispose en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».
La banque, devant la Cour d’appel, avait reconnu que « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe, sont de nature à interpeler le client ». En outre, il était constaté que le client ne se connectait quasiment jamais au site internet de la banque, de telle sorte qu’il n’avait pas été avisé des messages d’alerte relatifs au délit d’hameçonnage. La Cour d’appel d’Amiens avait donc considéré que la preuve de la négligence grave de l’utilisateur n’était pas rapportée, et condamné la banque à rembourser les montants frauduleusement prélevés sur les comptes de l’internaute.
Un courriel à indices…
La Cour de cassation a annulé l’arrêt de la Cour et jugé que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »
La banque peut donc rapporter par tous moyens la preuve de la négligence fautive de l’utilisateur, qui semble de plus en plus facile à démontrer lorsque l’on examine la jurisprudence récente de la Cour suprême (à rapprocher : Paiement en ligne frauduleux : obligations pesant sur l’utilisateur) et ce, d’autant que désormais il n’est plus nécessaire que la victime soit avisée par son établissement bancaire des risques de phishing.
Ainsi, elle pourra aisément échapper à son obligation de garantie. Les utilisateurs de services de banque en ligne, pour leur part, doivent encore et à nouveau redoubler de vigilance.
A rapprocher : Art. L133-16 Code monétaire et financier ; Art. L133-19 Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466 ; Cass. com., 25 octobre 2017, n°16-11.644