La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile. Cette négligence fautive, lorsqu’elle est démontrée, prive la victime de la possibilité d’obtenir de la banque le remboursement des sommes indument prélevées sur son compte sur le fondement des dispositions de l’article L.133-19 du Code monétaire et financier.

Une personne, victime de phishing (technique d’obtention de données personnelles, notamment coordonnées bancaires, par l’envoi de mails frauduleux par des personnes malveillantes se présentant sous une fausse identité, telle que grande société ou organisme bancaire) a sollicité de sa banque le remboursement des sommes indument prélevées sur son compte. En effet, elle avait répondu à un mail prétendument adressé par son opérateur de téléphonie mobile, et avait ainsi renseigné ses coordonnées bancaires, à l’exception de son code confidentiel. Alertée par la réception de deux SMS l’invitant à communiquer le code 3D Secure pour valider des commandes qu’elle n’avait pas passées, Mme X a immédiatement fait opposition auprès de sa banque. Celle-ci a refusé de rembourser à Mme X les sommes indument prélevées sur son compte, sans pour autant contester le fait que le paiement n’avait pas été autorisé par Mme X.

La banque se prévalait de la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier pour justifier son refus. L’article L.133-16 du Code monétaire et financier dispose : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».

L’article L.133-19 du même code précise en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».

La juridiction de proximité n’a pas suivi l’argumentation de la banque

La Cour de cassation annule la décision des juges du fond et juge ici : « Attendu que pour condamner la Caisse à payer à Mme X la somme de 3 300,28 € en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 € de dommages-intérêts, le jugement retient que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L.133-16 du Code monétaire et financier.

Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux, et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L.133- 16 du Code monétaire et financier, la juridiction de proximité a privé sa décision de base légale. »

La victime de phishing doit rapporter par tous moyens la preuve de ce qu’elle n’a pas commis de négligence grave à l’occasion de la communication de ses coordonnées bancaires, et qu’elle pouvait légitimement penser que la demande de transmission de ces informations était licite.

Ainsi, des circonstances telles qu’un mail ne comportant aucun nom de destinataire, ni d’expéditeur, sur lequel figure un numéro de facture erroné, outre la mention d’un rejet ou d’un impayé alors même que le compte de la victime est créditeur, et des informations régulièrement données par l’établissement de crédit quant aux pratiques frauduleuses constatées et des mises en garde auprès de ses clients, sont autant d’éléments susceptibles de faire présumer la négligence grave de l’article L.133-19 du Code monétaire et financier.

L’internaute supportera, dans cette hypothèse, toutes les conséquences financières de sa négligence.

Les utilisateurs de services de banque en ligne sont donc invités à la plus grande vigilance.

Par Stéphane Baïkoff, avocate département IP/IT – cabinet SIMON Associés