Source : Cass.Com., 25 octobre 2017, n°16-11644, n°1327 FS-P+B+I

I – Préalable.

L’utilisateur d’un instrument de paiement est tenu d’observer une utilisation raisonnable des moyens mis à sa disposition.

Cela ressort de l’article L133-16 du Code monétaire et financier qui précise :

« Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »

Dans le cadre des fraudes bancaires, la jurisprudence se montre très sévère à l’encontre de la Banque puisqu’elle impose un remboursement des opérations frauduleuses « immédiatement » ce qui correspond en pratique à un délai rapide le temps pour elle de vérifier les écritures frauduleuses et de procéder au remboursement.

Ce principe est posé par les textes repris dans le Code monétaire et financier qui précise en son article L133-18 :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

A l’image de la caution, la Banque souffre de textes qui lui sont très défavorables. L’arrêt commenté vient apaiser cette jurisprudence dans le cadre du hameçonnage aussi appelé « pishing »

II – Le cas d’espèce.

Le titulaire d’une carte bancaire reçoit sur son mobile un SMS ainsi qu’un message vocal comprenant un code 3D Secure[1] lui permettant de valider un paiement sur internet.

N’ayant pas réalisé de telles opérations, il fait immédiatement opposition à sa carte bancaire. Malgré tout, il est débité de près de 3.500€ ce qui le conduit, conformément aux textes précités, à solliciter le remboursement des sommes prélevées ainsi qu’une indemnisation de son préjudice moral.

La Banque lui refuse l’intégralité de ses demandes « au motif qu’il a commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition ».

III – La procédure.

Le particulier frauduleusement débité saisit la juridiction de proximité qui condamnera la Banque.

La motivation est cependant intéressante est mérite d’être reprise :

« si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été́ détournées à son insu, car communiquées à une personne se présentant sous une fausse identité́, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du Code monétaire et financier ; »

Eu égard à la motivation, la Banque se pourvoit en cassation.

La Cour de cassation casse le jugement rendu et précisera « Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X… n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité́ a privé sa décision de base légale ; »

IV – A retenir : La négligence de l’utilisateur.

Si le litige en présence débute par une énième escroquerie à la carte bancaire maintes fois dénoncée tant par les pouvoirs publics que par les banques, la solution dégagée par la Cour de cassation initie une inflexion dans la jurisprudence relative au hameçonnage.

Bien que les Banques sécurisent sans cesse les instruments bancaires, le hameçonnage est fréquent ce qui a, par son arrêt, conduit la Cour a invité l’utilisateur a une bienveillance accrue.

C’est une application stricte de l’article L133-19 du Code précité qui précise que «  Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.»

Le Tribunal est donc invité à rechercher à l’avenir si l’utilisateur victime d’une fraude bancaire a eu conscience ou non du caractère frauduleux du hameçonnage l’invitant à communiquer ses informations bancaires confidentielles.

La Banque doit, en cas de pishing, recueillir l’ensemble des informations lui permettant d’établir la faute du titulaire de l’instrument de paiement et procéder à une analyse des courriels, sms, messages vocaux et procéder à une comparaison avec ses propres courriers.

Le débat est donc déplacé sur la conscience de l’utilisateur, appréciation in abstracto par le Tribunal.

Jacques-Eric MARTINOT

Vivaldi Avocats.

[1] Après avoir entré ses coordonnées de carte bleue, l’utilisateur de l’instrument de paiement est redirigé vers le site internet de la Banque ou son application mobile afin de confirmer son identité et la transaction par le biais d’un code reçu par SMS. Sous réserve de confirmation, le paiement est finalisé.