En appel, une banque a été tenue d'assumer un prélèvement frauduleux de plus de 7 000 euros suite à une vague d’hameçonnage visant un client. La Cour de cassation a invalidé la décision, précisant les obligations de vigilance pesant sur la victime.
Le phishing est une bête noire dans le secteur bancaire. Pour le client, qui peut si facilement tomber dans le piège d’un email frauduleux imitant une communication officielle. Pour l’établissement, qui sait que le Code monétaire et financier est intraitable. Il exige en particulier la démonstration d’une faute grave de la victime. À défaut ? C’est à lui d’en assumer les frais.
7 000 euros prélevés chez un client non avisé
Une affaire opposait un client du Crédit Mutuel (M.X). Il s’était fait ponctionner plus de 7 000 euros suite à une vague d’hameçonnage en 2012. Il avait reçu plusieurs mails prétendument de sa banque, accompagnés d'un « certificat de sécurité à remplir attentivement », ce qu’il a fait.
Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l'ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure.
Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux. En effet, « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message » étaient de nature à interpeller le client. Or, un tel examen a été jugé inaccessible par un client non avisé.
C’est d’autant plus vrai que M. X. ne se connectait presque jamais à sa banque et ignorait ses différentes alertes de phishing. Les juges d’appel en ont ainsi déduit que « c'est à son insu que [le client] a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte ». Mieux : cette transmission n’est en rien constitutive d’une faute grave, car un client « normalement » attentif pouvait ne pas percevoir « les indices propres à faire douter de la provenance des messages reçus ».
Des indices dans les yeux de l’utilisateur normalement attentif
Dans un arrêt du 28 mars 2018, signalé par Legalis.net, la Cour de cassation n’a pas eu la même analyse. Saisie par la banque, elle pose que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».
Dit autrement, un mail de phishing qui contient des traces suspicieuses d’une arnaque (par exemple une URL mal formée ou des fautes), doit immédiatement phosphorer chez le client normalement attentif, quand bien même celui-ci n’a pas été alerté des risques de mails frauduleux. Cette obligation est la conséquence de son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, prévue par les articles L. 133-16 et L. 133-17 du code monétaire et financier.
Le 18 janvier 2017, la Cour de cassation avait également rappelé qu’il revient au prestataire « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».
Et « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». En particulier, une banque ne pouvait invoquer l’hypothèse d’un phishing pour se dédouaner, elle devait en apporter la démonstration.
