Phishing : pas d’indemnisation de la victime négligente

La Cour de cassation s’est prononcée sur un litige opposant un client victime de phishing à sa banque (Cass. com., 25-10-2017, n° 16-11644).

Communication par le client de ses coordonnées bancaires par courrier électronique

La cliente d’une banque reçoit un courrier électronique d’une personne se présentant comme son opérateur de téléphonie. Dans ce courrier électronique, il lui est demandé de communiquer son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le numéro du cryptogramme figurant au dos de la carte, ainsi que des informations relatives à son compte personnel. A la suite de cette communication, elle reçoit successivement deux SMS lui communiquant un code 3D Secure pour valider deux paiements sur internet pour des achats qu’elle n’avait pas réalisés. N’étant pas à l’origine de ces achats, la cliente fait opposition à la carte bancaire le jour du paiement contesté.

L’établissement bancaire refuse de rembourser la cliente qui introduit un recours devant la juridiction de proximité de Calais pour obtenir le remboursement des sommes indument débitées de son compte bancaire.

La juridiction de proximité condamne l’établissement bancaire à payer à la cliente la somme prélevée sur son compte au titre du paiement litigieux en reconnaissant que bien que le client avait : « communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu par une personne se présentant sous une fausse identité et qu’elle n’avait communiqué, ni son code confidentiel, ni le code 3D secure ».

Elle considère que la cliente, n’ayant communiqué, ni son code confidentiel, ni le code 3D Secure, n’a pas manqué aux dispositions de l’article L.133-16 du Code monétaire et financier (CMF) qui dispose que :

« dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».

Par conséquent, la cliente ne peut être reconnue de négligence et ne peut supporter les pertes occasionnées conformément à l’article L.133-19 du CMF.

Contestation de l’établissement bancaire

L’établissement bancaire conteste le jugement de la juridiction de proximité aux motifs que le juge a privé sa décision de base légale, en ce que la cliente a commis une négligence grave.

En effet, la cliente a répondu à un courrier électronique lui demandant de communiquer certaines données confidentielles relatives à sa carte bancaire alors même que ce courrier électronique ne comportait aucun nom de destinataire, ni d’expéditeur qui pouvait laisser croire à un courrier électronique de l’opérateur. Ce type de pratique constitue une opération de phishing.

Le phishing, que l’on peut traduire par hameçonnage, consiste à duper les internautes par l’envoi d’un courrier électronique semblant provenir d’une entreprise de confiance et les invitant à communiquer des informations le concernant pour ensuite les utiliser par exemple pour effectuer un paiement frauduleux.

Reconnaissance de la négligence de la victime de phishing

La Cour de cassation a cassé le jugement de la juridiction de proximité de Calais qui avait ordonné à l’établissement bancaire de rembourser les sommes prélevées sur le compte de la victime de phishing.

En effet, la Cour considère que la juridiction de proximité n’a pas recherché si la victime « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement pas négligence grave à ses obligations mentionnées à l’article L.133-16 du CMF ».

Cet arrêt responsabilise les clients qui doivent désormais s’interroger sur la provenance, le contenu et l’expéditeur du courrier électronique qu’ils reçoivent. Cela est d’autant plus renforcé que les établissements bancaires mènent des campagnes de sensibilisation concernant les opérations de phishing afin de mettre en garde les clients contre ce genre de pratiques qui les incitent à communiquer des informations confidentielles.

Frédéric Forster
Charlotte Le Fiblec
Lexing Banque et bourse électronique