Le hameçonnage et la négligence de la victime
Un arrêt récent de la cour de Cassation est venu sanctionner le comportement d’un titulaire de compte bancaire en considérant qu’il avait co qui commet une négligence grave en révélant les données personnelles liées à son compte en réponse à un courriel manifestement douteux supporte la totalité de ses pertes, peu important qu’il soit de bonne foi.
Cass. com. 1-7-2020 no 18-21.487 F-PB, CCM Reims d’Erlon c/ B.
I / rappel des obligations du titulaire d’un compte bancaire
Selon l’article L 133-18 du Code monétaire et financier, « en cas d’opération de paiement non autorisée signalée par l’utilisateur (..), le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé (…), sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement ».
En cas de hameconage, les fraudeurs récupèrent les données personnelles de l’utilisateur de la carte, principalement par le biais de courriels non sollicités renvoyant l’utilisateur vers des sites frauduleux.
Il s’agit d’une collecte frauduleuse des données bancaires directement auprès du client
Dans ce cas , la banque doit rembourser la victime , des opérations frauduleuses, sauf si elle parvient à démontrer la négligence du titulaire du compte dans un procès d’hameçonnage.
Il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder le prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées (C. mon. fin. art. L 133-16 et L 133-17) .
Toutefois , il appartient au prestataire de ces services qu'il incombe de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations (C. mon. fin. art. L 133-19, IV et L. 133-23), cette preuve ne pouvant se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Cass. com. 18-1-2017 n° 15-18.102 FS-PBI : RJDA 3/17 n° 205 )
II/ sanction de la négligence
Le titulaire d’un compte bancaire supporte toutes les pertes occasionnées par des opérations de paiement non autorisées par lui notamment s’il n’a pas satisfait par négligence grave à l’obligation de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition (C. mon. fin. art. L 133-19, IV).
La Cour de cassation, dans son arrêt de 28 mars 2018 (CCass, Ch. Comm. n° 16-20018) donne une portée large à la négligence du client.
Cette notion de vigilance permet à la banque de s’opposer au remboursement des sommes acquises frauduleusement en démontrant l’existence des indices permettant au client de détecter la fraude.
Il s’agit des indices tels que l’examen vigilant des adresses internet changeantes du correspondant, fautes d’orthographe du message ou tout autre indice permettant de soupçonner l’existence de fraude.
Dans cette affaire, une personne conteste des prélèvements effectués, selon elle frauduleusement, sur son compte bancaire et en demande le remboursement à sa banque. Celle-ci refuse, faisant valoir que l’intéressé a communiqué à un tiers des informations confidentielles permettant d’effectuer ces opérations.
Un tribunal condamne la banque à rembourser la moitié des sommes détournées, relevant que le titulaire du compte, qui était de bonne foi, a été victime d’une fraude commise par un tiers, de sorte qu’il n’est pas entièrement responsable de son préjudice.
La Cour de cassation censure cette décision. La négligence grave prévue par l’article L 133-19 est exclusive de toute appréciation de la bonne foi du titulaire du compte. Le tribunal avait retenu que l’intéressé avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message qu’il comportait.
Cass. com. 1-7-2020 no 18-21.487 F-PB, CCM Reims d’Erlon c/ B.
La Cour de Cassation exclut tout partage de responsabilité dès lors lorsqu’une négligence grave est imputable au titulaire du compte : ce dernier supporte l’intégralité des pertes subies.
La Cour refuse de prendre en considération la bonne foi du Titulaire du compte , ni le fait qu’il ait été victime de fraude.
Les décisions de la Cour de cassation s’inscrivent dans une tendance jurisprudentielle démontrant une particulière sévérité envers les personnes transmettant volontairement leurs informations de carte bancaires, y compris en cas de pratiques d’hameçonnage.
En conséquence , le titulaire du compte doit s’abstenir de communiquer les données personnelles du dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance (Cass. com. 28-3-2018 précité
Ces faits caractérisent la plupart du temps une négligence grave contrevenant à l’obligation de « prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » (article L.133-16 du Code monétaire et financier).
Vous pouvez me poser vos questions sur conseil-juridique.net: http://www.conseil-juridique.net/joan-dray/avocat-1647.htm
JOAN DRAY
Avocat
MANDATAIRE EN TRANSACTIONS IMMOBILIERES
joanadray@gmail.com
www.vente-par-avocats.com
76/78 rue Saint-Lazare
75009 PARIS
TEL: 09.54.92.33.53
FAX: 01.76.50.19.67