La Banque de France, à travers son « Observatoire de la sécurité des moyens de paiement », a émis le 16 mai 2023 des recommandations claires sur le remboursement des victimes de phishing à l’attention des banques, leur enjoignant de respecter le droit applicable et de rembourser les clients victimes de phishing dès lors qu’aucune négligence graves de ces derniers ne peut être démontré.

Le phishing est une méthode frauduleuse utilisée pour inciter les victimes à divulguer leurs informations bancaires personnelles via des courriels non sollicités. Les fraudeurs se font souvent passer pour des établissements de crédit en créant des pages internet qui leur ressemblent. Sous prétexte d'un problème technique ou d'une mise à jour du site, les destinataires sont invités à mettre à jour leurs identifiants, mots de passe, numéros de compte, et autres informations. Une fois que les victimes ont révélé leurs données personnelles, les fraudeurs peuvent accéder à leur compte bancaire et détourner les fonds en utilisant de faux ordres de paiement.

En cas de phishing, les banques doivent rembourser !

En cas de phishing, le droit des opérations de paiement est très protecteur pour le payeur. Lorsqu'une opération bancaire non autorisée est effectuée par une banque après qu'un tiers a obtenu les identifiants du titulaire du compte, l'établissement bancaire doit immédiatement rembourser le payeur pour rétablir le solde du compte dans l'état où il se serait trouvé si l'opération non autorisée n'avait pas eu lieu.

Le payeur ne doit supporter les pertes liées à des opérations de paiement non autorisées que s'il n'a pas respecté, par négligence grave, les obligations de sécurisations de ses données personnelles. De plus, la preuve d’une telle négligence incombe à l’établissement bancaire et ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles liées au titulaire du compte ont été effectivement utilisées.

La Banque de France dans son communiqué a rappelé utilement ces principes en la matière alors que dans la pratique les banques ne manquaient pas de rechercher systématiquement la négligence grave de leurs clients pour éviter de procéder au remboursement de la somme débitée en leur reprochant d'avoir répondu à un message frauduleux et communiqué un certain nombre d'informations « sensibles » afin de les décourager dans leurs démarches de remboursement.

Les banques régulièrement condamnées devant les juridictions

Les plus téméraires d’entre eux, en exerçant des recours judiciaires parviennent toutefois à faire appliquer la loi. Ainsi, il est régulièrement jugé qu’une banque ne saurait démontrer la faute caractérisée de sa cliente, susceptible de l'exonérer de sa responsabilité, en se bornant à la déduire du piratage de son adresse électronique ou de la connaissance par les pirates de la signature du dirigeant ou du numéro de compte social, « tous ces renseignements pouvant être obtenus aisément par des malfaiteurs habiles. »

Des décisions ont également souligné qu’il revenait aux banques de démontrer que leur plateforme « serait totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de code ci-dessus évoquée ».

Aussi, la Banque de France rappelle également la nécessaire vigilance à laquelle doivent être sensible les consommateurs comme les entreprises, et enjoint les établissements bancaires à renforcer leur système de sécurisation de leurs plateformes afin de s’assurer du consentement des titulaires du comptes dans leurs opérations de paiements.

Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique, cabinet Lazarègue Avocats