Source : Cass. com., 1er juillet 2020, n° 18-21.487, F-P+B
I – Le texte en question
Le « hameçonnage », appelé aussi « phishing », consiste à se faire remettre par les victimes contactées par des courriels non sollicités, leurs données bancaires personnelles afin de les exploiter frauduleusement. Or, la réponse à un tel « phishing » par une personne amenée à contester par la suite des opérations de paiement, peut présenter des incidences sur le remboursement de ces dernières par son prestataire de services de paiement (PSP), dit plus simplement, sa banque.
L’article L. 133-19, IV du Code monétaire et financier précise en effet que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation, imposée à l’utilisateur de services de paiement par l’article L. 133-16 du même code, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition.
II – L’espèce
Le titulaire d’un compte ouvert dans les livres d’une banque avait, en novembre 2015, contesté des opérations de paiement effectuées, selon lui frauduleusement, sur ce compte et avait demandé à l’établissement de lui en rembourser le montant.
Toutefois, se heurtant au refus de la banque, qui lui reprochait d’avoir commis une faute en donnant à un tiers des informations confidentielles permettant d’effectuer les opérations contestées, le titulaire du compte avait assigné cette dernière en remboursement des sommes débitées sur son compte, et en paiement de dommages-intérêts.
Le tribunal d’instance avait condamné la banque à rembourser son client de la moitié des sommes détournées, après avoir relevé que celui-ci, qui était de bonne foi, avait été victime d’une fraude commise par un tiers, de sorte qu’il n’était pas entièrement responsable de son préjudice.
L’établissement de crédit a formé un pourvoi en cassation.
III – Le pourvoi
La Haute juridiction casse et annule le jugement du tribunal d’instance. Selon elle, en effet, en statuant ainsi, « alors qu’il avait aussi retenu que M. B. avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message qu’il comportait », le tribunal a violé les articles L. 133-16 et L. 133-19, IV, du Code monétaire et financier.
Cette solution n’est pas nouvelle. La Cour de cassation considère que si le payeur reconnait avoir été victime d’un cas de « phishing », les juges du fond ne peuvent pas retenir la responsabilité de son prestataire de services de paiement, mais doivent s’interroger sur la présence, à la vue des circonstances de fait, d’une négligence grave de sa part[1].
Au cas présent, le tribunal d’instance a, semble-t-il, relevé une telle faute, l’intéressé ayant reconnu avoir répondu à un courriel présentant « de sérieuses anomalies ». Un partage de responsabilité n’était donc pas possible.
L’arrêt confirme également que les anomalies en question peuvent résulter de la forme du message et/ou de son contenu. La présence de fautes d’orthographe « manifestes » devrait, notamment, être un indice important.
A l’inverse, si l’intéressé conteste avoir été victime d’un tel « hameçonnage », sa responsabilité semble encore difficile à engager aujourd’hui[2]. Dans ce cas, le prestataire de services de paiement devra lui rembourser.
[1] Cass. com., 25 octobre 2017, n° 16-11.644, FS-P+B+I ; Cass. com., 28 mars 2018, n° 16-20.018, FS-P+B ; Cass. com., 6 juin 2018, n° 16-29.065, F-D ; Cass. com., 3 octobre 2018, n° 17-21.395, F-D
[2] Cass. com., 18 janvier 2017, n° 15-18.102, FS-P+B+I ; Cass. com., 21 novembre 2018, n° 17-18.888, F-D ; Cass. com., 13 février 2019, n° 17-23.139, F-D ; Cass. com., 29 mai 2019, n° 18-10.147, F-D
