webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Services numériques
 

Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue

Cass. com., 28 mars 2018, n°16-20.018

La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite lignée de sa jurisprudence actuelle.



Ce qu’il faut retenir : La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite lignée de sa jurisprudence actuelle. Elle a jugé, dans un arrêt du 28 mars 2018, au visa des articles L.133-16 et L.133-19 du Code monétaire et financier que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »

Pour approfondir : La Cour de cassation a, par cette décision, annulé l’arrêt de la Cour d’appel d’Amiens en date du 19 avril 2016, qui avait condamné l’établissement de crédit à rembourser les sommes indument prélevées sur le compte d’un de ses clients, victime de phishing, soit 2 731,98 € au titre des paiements frauduleux réalisés par carte bancaire, et 4 500 € au titre d’un virement litigieux débité de son livret. La Cour de cassation a retenu la négligence grave du client, victime d’une opération d’hameçonnage, pour faire échec à l’obligation de garantie de la banque.

Elle a également rappelé le principe selon lequel c’est à l’établissement de crédit de rapporter la preuve de cette éventuelle négligence grave, laquelle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Dans les faits, le client d’une banque, victime de phishing consistant en l’envoi de mails successifs frauduleux portant le logo parfaitement imité dudit établissement de crédit, avait consciencieusement et bien naïvement renseigné ses coordonnées bancaires. Des prélèvements frauduleux étaient ensuite intervenus sur ses comptes, dont il avait sollicité le remboursement au titre de l’obligation de garantie de la banque.

Cette dernière, pour s’y opposer, se fondait sur la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier, qui dispose en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».

La banque, devant la Cour d’appel, avait reconnu que « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe, sont de nature à interpeler le client ». En outre, il était constaté que le client ne se connectait quasiment jamais au site internet de la banque, de telle sorte qu’il n’avait pas été avisé des messages d’alerte relatifs au délit d’hameçonnage. La Cour d’appel d’Amiens avait donc considéré que la preuve de la négligence grave de l’utilisateur n’était pas rapportée, et condamné la banque à rembourser les montants frauduleusement prélevés sur les comptes de l’internaute.

La Cour de cassation a annulé l’arrêt de la Cour et jugé que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »

La banque peut donc rapporter par tous moyens la preuve de la négligence fautive de l’utilisateur, qui semble de plus en plus facile à démontrer lorsque l’on examine la jurisprudence récente de la Cour suprême (à rapprocher : Paiement en ligne frauduleux : obligations pesant sur l’utilisateur) et ce, d’autant que désormais il n’est plus nécessaire que la victime soit avisée par son établissement bancaire des risques de phishing.

Ainsi, elle pourra aisément échapper à son obligation de garantie. Les utilisateurs de services de banque en ligne, pour leur part, doivent encore et à nouveau redoubler de vigilance.

A rapprocher : Art. L133-16 Code monétaire et financier ; Art. L133-19 Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466 ; Cass. com., 25 octobre 2017, n°16-11.644

VOIR AUSSI

La signature électronique simple est suffisante pour apporter la preuve de la validité d’un contrat

TI Nîmes, 18 septembre 2018, CA Consumer Finance SA / Mme X

Une signature électronique simple est suffisante pour apporter la preuve de la validité d’un contrat, à condition de satisfaire aux conditions de l’article 1367 du code civil (ancien article 1316-4 al.2).

> Lire la suite

Les nouvelles exigences de la CNIL en matière de création et de gestion de mots de passe

Délibération n°2017-012 du 19 janvier 2017

- Vu : 99

Aux termes d’une recommandation relative à la sécurité des mots de passe, la CNIL fournit un référentiel technique de sécurité minimale à respecter. 

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1470
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1041
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 925
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 893
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©