Le hameçonnage est une technique de fraude sur Internet de plus en plus répandue, visant à obtenir des renseignements confidentiels (mot de passe, informations bancaires,…), afin d’usurper l’identité de la victime, pour bénéficier notamment d’achats frauduleux.
En l’espèce, un internaute avait répondu à un mail de phishing sollicitant la communication de données confidentielles, qui avaient pu ensuite être utilisées frauduleusement pour valider des paiements, pourtant soumis au système sécurisé 3D SECURE de validation préalable par l’envoi d’un code sur le numéro de téléphone associé au compte bancaire concerné.
L’article L.133-16, alinéa 1er, du Code monétaire et financier impose au détenteur d’un compte bancaire un devoir de prudence dans les transactions qu’il mène, en ces termes : « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ». Cet utilisateur doit également avertir le prestataire de service de toute utilisation non autorisée de son instrument de paiement ou de ses données personnelles.
Concernant les banques, les articles L.133-19 et L.133-23 du même code leurs imposent d’apporter la preuve de la fraude qu’elles invoquent ou de la négligence de leur client.
Sur le fondement de ces textes, la jurisprudence a été amenée à s’interroger sur la charge de la preuve du non-respect par le détenteur du compte bancaire de son obligation de prudence et sur ses conséquences en termes de remboursement.
Par cinq arrêts rendus le 18 janvier 2018, la Cour de cassation a entendu protéger le détenteur du compte bancaire, en retenant qu’un établissement financier devait apporter la preuve qu’un utilisateur d’un moyen de paiement, niant avoir effectué un achat sur Internet, avait agi frauduleusement ou avait communiqué à un tiers ses données personnelles ou identifiants par sa négligence. Ainsi, la banque ne peut se fonder sur de simples suppositions de négligence pour refuser de rembourser son client.
Par son arrêt en date du 3 octobre 2018, la Cour de cassation s’inscrit dans le prolongement des arrêts susvisés tout en rappelant aux juges du fond leur obligation de vérifier si la preuve de la négligence n’est pas rapportée en l’espèce. La Haute juridiction a donc sanctionné les premiers juges pour avoir écarté toute négligence grave de l’utilisateur du service, aux termes de l’attendu de principe suivant, fondé sur l’article L.133-16 du Code monétaire et financier :
« Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si le fait, qu’elle avait constaté, que M. X. ait répondu à un courriel d’hameçonnage ne résultait pas d’un manquement de celui-ci, par négligence grave, à ses obligations mentionnées au premier des textes susvisés, la juridiction de proximité a privé sa décision de base légale ».
En l’espèce, dès lors que l’utilisateur avait répondu à un courriel d’hameçonnage et même transmis volontairement des données personnelles pour permettre un paiement protégé par le système 3D SECURE, la Cour a considéré que le manquement à l’obligation de prudence était caractérisé.
La Cour de cassation en profite également pour rappeler que le prestataire de services de paiement contractuellement lié au payeur est seul tenu de rembourser à ce dernier le montant des opérations non autorisés, de sorte que les juges du premier degré n’avaient pas à condamner également la caisse régionale détenant les services informatiques permettant de vérifier l’origine géographique des adresses IP à partir desquelles des achats frauduleux ont pu intervenir.
Virginie PERDRIEUX
Vivaldi-Avocats