Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue

Cass. com., 28 mars 2018, n°16-20.018

La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite lignée de sa jurisprudence actuelle.

Ce qu’il faut retenir : La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite lignée de sa jurisprudence actuelle. Elle a jugé, dans un arrêt du 28 mars 2018, au visa des articles L.133-16 et L.133-19 du Code monétaire et financier que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »

Pour approfondir : La Cour de cassation a, par cette décision, annulé l’arrêt de la Cour d’appel d’Amiens en date du 19 avril 2016, qui avait condamné l’établissement de crédit à rembourser les sommes indument prélevées sur le compte d’un de ses clients, victime de phishing, soit 2 731,98 € au titre des paiements frauduleux réalisés par carte bancaire, et 4 500 € au titre d’un virement litigieux débité de son livret. La Cour de cassation a retenu la négligence grave du client, victime d’une opération d’hameçonnage, pour faire échec à l’obligation de garantie de la banque.

Elle a également rappelé le principe selon lequel c’est à l’établissement de crédit de rapporter la preuve de cette éventuelle négligence grave, laquelle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

Dans les faits, le client d’une banque, victime de phishing consistant en l’envoi de mails successifs frauduleux portant le logo parfaitement imité dudit établissement de crédit, avait consciencieusement et bien naïvement renseigné ses coordonnées bancaires. Des prélèvements frauduleux étaient ensuite intervenus sur ses comptes, dont il avait sollicité le remboursement au titre de l’obligation de garantie de la banque.

Cette dernière, pour s’y opposer, se fondait sur la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier, qui dispose en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».

La banque, devant la Cour d’appel, avait reconnu que « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe, sont de nature à interpeler le client ». En outre, il était constaté que le client ne se connectait quasiment jamais au site internet de la banque, de telle sorte qu’il n’avait pas été avisé des messages d’alerte relatifs au délit d’hameçonnage. La Cour d’appel d’Amiens avait donc considéré que la preuve de la négligence grave de l’utilisateur n’était pas rapportée, et condamné la banque à rembourser les montants frauduleusement prélevés sur les comptes de l’internaute.

La Cour de cassation a annulé l’arrêt de la Cour et jugé que « manque par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage. »

La banque peut donc rapporter par tous moyens la preuve de la négligence fautive de l’utilisateur, qui semble de plus en plus facile à démontrer lorsque l’on examine la jurisprudence récente de la Cour suprême (à rapprocher : Paiement en ligne frauduleux : obligations pesant sur l’utilisateur) et ce, d’autant que désormais il n’est plus nécessaire que la victime soit avisée par son établissement bancaire des risques de phishing.

Ainsi, elle pourra aisément échapper à son obligation de garantie. Les utilisateurs de services de banque en ligne, pour leur part, doivent encore et à nouveau redoubler de vigilance.

A rapprocher : Art. L133-16 Code monétaire et financier ; Art. L133-19 Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466 ; Cass. com., 25 octobre 2017, n°16-11.644

Sommaire

Autres articles

some
Le DSI de l’ancienne région Rhône-Alpes poursuivit pour espionnage informatique, la procureure de la République requiert six mois d’emprisonnement avec sursis et 5.000 euros d’amende
Article 226-15, 323-1 et 323-3 du Code pénal Le Tribunal correctionnel de Lyon a entendu le vendredi 20 mai 2022 le Directeur des Services d’Information (DSI) de la Région Rhône-Alpes (ci-après : la Région) à qui il était reproché de…
some
Synthèse du rapport sur « Le data altruisme » : une initiative européenne : pour une économie de la donnée équitable et innovante
Le 23 février 2022, la Commission Européenne a présenté sa nouvelle initiative législative sur l’exploitation des données, le Data Act, qui vise à créer un cadre facilitant l’exploitation et le partage des données dans un cadre altruiste, et non plus…
some
La Doctrine « cloud au centre » sur l’usage de l’informatique en nuage au sein de l’État va-t-elle profiter au G.A.F.A.M. ?
Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État L’informatique en nuage (Cloud Computing) constitue un levier essentiel de la transformation numérique de l’Etat et des territoire priorités du Gouvernement actuel…
some
Publication d’un décret relatif aux nouvelles règles applicables aux services de médias audiovisuels à la demande
Décret n°2021-793 du 22 juin 2021 relatif aux services de médias audiovisuels à la demande Le décret n°2021-793 du 22 juin 2021, entré en vigueur le 1er juillet 2021, a modifié les règles applicables aux services de médias audiovisuels à…
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
Avis n°2021-03 du 29 avril 2021 portant recommandations dans le domaine de la sécurité numérique La Commission Supérieure du Numérique et des Postes a publié, le 29 avril 2021, un avis portant recommandations dans le domaine de la sécurité numérique,…
some
La France peut-elle retrouver sa souveraineté numérique en s’affranchissant des GAFAM ?
Stratégie nationale pour le Cloud du 17 mai 2021 Pour répondre aux inquiétudes sur « l’extraterritorialité » de lois américaines comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), qui peuvent permettre à la justice ou aux services…