Home / Publications / Hameçonnage : responsabilité du client en cas d’e-mail...

Hameçonnage : responsabilité du client en cas d’e-mail reçu aux apparences douteuses

17/10/2018

La technique du hameçonnage ou phishing consiste à obtenir en réponse à un courriel frauduleux, la personne pensant qu'il provient de sa banque, des données personnelles et bancaires qui permettent de réaliser des opérations à distance. Confrontée à ce type de cybercriminalité, la Cour de cassation a d’abord développé une jurisprudence protectrice des titulaires de cartes en contraignant les banques à rembourser leurs clients victimes de fraudes. Dans un arrêt du 6 juin 2018, la Haute juridiction semble assouplir sa position (Cass. com., 6 juin 2018, n° 16-29.065).

La cliente d’une banque avait transmis, en réponse à un courriel d’hameçonnage, des informations concernant ses données bancaires personnelles. Constatant par la suite des opérations de paiement frauduleuses effectuées sur son compte, elle en réclame le remboursement à sa banque. La banque le lui refuse, lui reprochant d’avoir commis une faute en communiquant à des tiers des informations confidentielles, leur permettant ainsi d’effectuer les opérations contestées. La cour d’appel de Douai condamne la banque à rembourser sa cliente au motif que cette dernière n’avait pas commis de négligence grave en répondant à un message "qui revêtait l’apparence générale de l’authenticité".
 
Deux textes sont applicables en l’espèce : d’une part, l’article L.133-16 du Code monétaire et financier (CMF) selon lequel "l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ; d’autre part, l’article L.133-19 IV du même code aux termes duquel "le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17". Il en résulte une obligation de vigilance pour le client de la banque quant à l’utilisation et à la préservation de ses données confidentielles. Le manquement à cette exigence du fait d’un agissement frauduleux, d’une intention ou d’une négligence grave de sa part, contraint le client à supporter lui-même les pertes occasionnées par des opérations de paiement non autorisé.

En application des textes précités, la Cour de cassation invalide la décision de la Cour d’appel estimant qu’"un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés". De tels indices suffisent à caractériser la négligence du client.

Cette décision s’inscrit dans la ligne d’un arrêt de principe rendu le 28 mars 2018 dans lequel, déjà, la Cour de cassation n’avait pas condamné la banque à rembourser un client victime de hameçonnage au motif que "manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courrier qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage", en violation des articles 133-16 et 133-19 IV du CMF (Cass. com, 28 mars 2018, n° 16-20.018).

Ces nouvelles décisions, plus favorables aux prestataires de paiement, favorisent le rééquilibrage dans la relation client-banque face à la fraude.

S’il incombe à la banque d’établir que l’utilisateur aurait dû avoir conscience que le courriel était frauduleux, celle-ci peut, par les dispositifs hautement sécurisés mis à sa disposition, tenter de contrebalancer la charge de la preuve. Il revient alors au client d’établir qu’aucune fraude n’était décelable ou que les éléments communiqués étaient insuffisants pour réaliser à eux seuls l’opération contestée.

Source
Lettre Propriétés intellectuelles | Octobre 2018
Lire la suite

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Victoire Delloye
Victoire Delloye
Avocat
Paris