webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Services numériques
 

Hameçonnage : la négligence fautive des utilisateurs de plus en plus facilement admise

Cass. com., 6 juin 2018, n°16.29-065

La Cour de cassation a censuré l’arrêt de la Cour d’appel de Douai en date du 3 novembre 2016, qui avait condamné la banque à rembourser à sa cliente les sommes frauduleusement prélevées sur son compte, à la suite d’un mailing s’apparentant à une opération de phishing.



Ce qu’il faut retenir : A la faveur de cette décision, la Cour de cassation a censuré l’arrêt de la Cour d’appel de Douai en date du 3 novembre 2016, qui avait condamné la banque à rembourser à sa cliente les sommes frauduleusement prélevées sur son compte, à la suite d’un mailing s’apparentant à une opération de phishing. La Cour de cassation a, en effet, jugé que : « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance ».

La Cour de cassation continue ainsi son œuvre de durcissement de l’obligation de prudence pesant sur l’internaute en cas de phishing.

Pour approfondir : Encore et à nouveau dans cette affaire, une victime de phishing a contesté certaines opérations de paiement réalisées sur son compte, lesquelles ont été, selon elle, faites frauduleusement. Les demandes de remboursement amiables étant restées vaines, elle n’a eu d’autre choix que de saisir la juridiction compétente pour obtenir de la banque qu’elle s’exécute.

L’internaute se prévalait du principe issu de la combinaison des articles L.133-17 et suivants du Code monétaire et financier selon lequel il appartient à la banque de supporter les conséquences de toute utilisation frauduleuse d’un instrument de paiement mis à la disposition du client, sauf à ce que cette utilisation résulte notamment de la négligence grave du client.

La Cour d’appel a fait droit à la demande de remboursement, après avoir relevé que la cliente avait communiqué ses coordonnées bancaires en réponse à un courriel comportant le logo de son opérateur de téléphonie. Les juges du fond ont ainsi pu se convaincre de ce que la négligence grave susceptible de faire obstacle à la demande de remboursement n’était pas constituée par les faits de l’espèce.

En effet, les juges ont constaté que le mail litigieux avait l’apparence de l’authenticité, comme ne présentant pas d’anomalies grossières, de telle sorte que l’internaute n’avait pas de raison de douter de l’origine de ce message, et y avait légitimement répondu.

La Banque a formé un pourvoi en cassation à l’encontre de l’arrêt de la Cour d’appel de Douai, en se fondant sur l’articulation des articles L.133-16 et L.133-19 du Code monétaire et financier. Le premier impose à l’utilisateur de moyens de paiement de prendre toute mesure raisonnable pour en préserver la sécurité. Le second le prive de la possibilité d’obtenir le remboursement de mouvements irréguliers sur son compte, s’ils l’ont été du fait de sa propre négligence fautive.

La Cour de cassation a cassé l’arrêt de la Cour d’appel de Douai, et censuré le raisonnement des juges du fond en ces termes : « qu’en statuant ainsi, après avoir relevé que Mme Y réglait ses factures de téléphone par prélèvements et non par carte bancaire et qu’un examen attentif du courrier de rappel de paiement, révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés, la Cour d’appel, qui n’a pas tiré les conséquences légales de ses constatations, a violé les textes susvisés. »

La Cour de cassation fait peser sur la victime de phishing une responsabilité de plus en plus accrue, nous semble-t-il. Cette dernière doit, pour pouvoir bénéficier de la garantie de la banque, rapporter la preuve de ce qu’elle n’a commis aucune négligence grave à l’occasion de la communication de ses coordonnées bancaires. Cette preuve apparaît de plus en plus difficile à rapporter eu égard aux dernières décisions de la Cour suprême, qui tient compte des habitudes de consommation de l’internaute, ainsi que d’erreurs, aussi subtiles soient-elles, glissées dans un mail illicite tel que le numéro de contrat erroné, ou encore adresse de l’expéditeur inexacte. Ces éléments ne sont, à notre sens, jamais vraiment vérifiés par les utilisateurs. Cette jurisprudence semble sévère à l’égard des victimes de phishing, qui supporteront alors toutes les conséquences financières de ce qui nous semble relever de l’inadvertance plus que d’une négligence grave.

Les utilisateurs de services en ligne sont désormais invités à la plus grande méfiance face aux sollicitations de règlement adressées par mail.

A rapprocher : Art. L.133-16 du Code monétaire et financier ; Art. L.133-19 du Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466 ; Cass. com., 25 octobre 2017, n°16-11.644 ; Cass. com., 28 mars 2018, n°16-20.018

VOIR AUSSI

Paiement en ligne frauduleux : obligations pesant sur l’utilisateur

Cass. com., 25 octobre 2017, n°16-11.644

- Vu : 264

La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile.

> Lire la suite

La fin des réseaux wifi publics non sécurisés !

CJUE, 15 septembre 2016, affaire C-484/14

- Vu : 134

Nombreuses sont les entreprises qui, pour se différencier ou valoriser leurs prestations, offrent à leurs visiteurs/clients un accès à un réseau wifi, gratuit et non sécurisé leur permettant de s’y connecter de manière totalement anonyme.

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1833
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 1690
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 1525
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1234
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©