La Cour de cassation rappelle dans un arrêt du 3 octobre 2018 que le client d’une banque ne peut prétendre au remboursement d’achats frauduleux effectués sur Internet, consécutifs à un phishing. Encore faut-il que soit démontrée sa « négligence grave ».
La démocratisation de l’accès à Internet a entraîné dans son sillage une démultiplication des arnaques en ligne. L’une d’entre elles, le phishing, est bien connue : un internaute reçoit un courrier venant prétendument de sa banque ou d’une administration quelconque. Il est invité à divulguer ses données bancaires. S’il tombe dans le panneau, les conséquences peuvent alors être très douloureuses financièrement puisque le tiers pourra s’en servir pour commander biens et services.
Heureusement, les victimes ne sont pas démunies, puisque le droit bancaire prévoit des garanties, non sans négliger la part d’obligations pesant sur chaque détenteur de carte de paiement. Dans tous les cas, le remboursement n'est jamais un droit, mais dépend des circonstances.
Ce scénario s’est justement vérifié à l’occasion d’un arrêt devant la Cour de cassation. Un certain monsieur B., titulaire d’un compte auprès de la Caisse de Crédit Mutuel de Pernes-en-Artois, avait assigné sa banque, ainsi que la société Caisse fédérale du Crédit Mutuel Nord Europe pour obtenir remboursement de plusieurs achats frauduleux effectués par Internet. Des achats qu’il a toujours contesté avoir autorisés.
Le 18 mai 2017, la juridiction de proximité de Béthune lui avait donné gain de cause en condamnant solidairement les deux établissements. Le jugement avait écarté « toute négligence grave » de la part du client. On apprenait à cette occasion que celui-ci s’était fait piéger par un mail d’hameçonnage (ou « phishing ») pour fournir ses données bancaires à un tiers. Montant de la douloureuse : près de 1 600 euros.
Avant de rendre son jugement, le juge avait considéré que le service informatique du Crédit Mutuel nord Europe « pouvait vérifier l'origine géographique des adresses IP qui ont permis ces paiements frauduleux, ce qui aurait prouvé l'absence de responsabilité des achats frauduleux de Monsieur B. ». Et pour cause, celui-ci se trouvait au même moment en vacances dans les Vosges.
Un jugement retoqué en cassation faute de base légale
Mais la Cour de cassation a jugé l’argumentaire un peu trop léger, en témoigne cet arrêt rendu le 3 octobre, qu’on retrouve sur Doctrine.fr et signalé par le directeur des relations institutionnelles chez Google France, Benoit Tabaka.
La haute juridiction a considéré que le juge aurait dû rechercher « au regard des circonstances de l’espèce » si la communication des données bancaires dans ce courrier « ne résultait pas d’un manquement [du client], par négligence grave, à ses obligations ». Faute d’une telle vérification, le magistrat a privé sa décision de base légale et l’affaire devra être rejugée.
Ce n’est pas la première fois que la Cour de cassation se penche sur la question du phishing, sculptant, décision après décision, les droits et obligations des détenteurs de carte.
L’article L133-16 du Code monétaire et financier oblige en effet l'utilisateur d’un moyen de paiement à prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ». L’article L133-19 du même code ajoute que la responsabilité du titulaire de la carte « n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées » ou « de perte ou de vol d'un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ».
Des indices que les internautes normalement attentifs doivent détecter
Dans un important arrêt du 28 mars 2018, la même juridiction a considéré que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».
En clair, un client qui fait face à un courrier imitant une communication de sa banque, mais comportant par exemple des fautes d'orthographe ou utilisant de multiples adresses d’expédition, manquera à ses obligations de sécurité s’il fournit ses données bancaires.
Cela ne signifie donc pas qu’une victime de phishing sera toujours perdante dans son bras de fer avec la banque. Par contre, les juges du fond devront toujours déterminer les circonstances qui ont amené le client à révéler ces précieuses informations.
La charge de la preuve pèse sur la banque
Enfin, dans un arrêt du 18 janvier 2017 , la cour a ajouté qu’il revient à la banque « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement (…) n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».
Et de préciser qu’une telle preuve « ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
Les recommandations de l’UFC-Que Choisir
Comment se prémunir de ces arnaques ? De son côté, l’UFC-Que Choisir recommande de « ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…) ».
En cas de doute, mieux vaut alors contacter l’organisme censé vous avoir envoyé la demande.
