Pishing / Hameçonnage : Attention à ne pas mordre à l’hameçon trop facilement !

Jacques-Eric MARTINOT
Jacques-Eric MARTINOT - Avocat

 

SOURCE : Cass Com, 28 mars 2018, 16-20.018, Publié au bulletin

 

I – Le principe.

 

L’hameçonnage aussi connu sous le nom de pishing est un moyen d’obtenir les informations bancaires personnelles d’un client bancaire.

 

Le fonctionnement est simple. Le client reçoit un mail de sa « banque », du moins en apparence, sollicitant ses coordonnées bancaires pour un motif toujours différent (changement de code confidentiel, mise à jour des coordonnées bancaires, mise à jour sécurité…).

 

Un lien est alors inséré dans le mail frauduleux conduisant vers un site pirate à l’image du site bancaire.

 

L’étendue de cette technique a récemment incité les banques à entreprendre une large communication envers leurs clients leur indiquant qu’ils ne demanderont jamais tant par mail que par courrier incitant les clients à la plus grande vigilance.

 

Malgré tout, certains demeurent peu vigilants ou peu informés faisant peser sur eux le risque d’une négligence grave.

 

II – Les faits d’espèce.

 

Un établissement bancaire est assigné par son client en remboursement des sommes frauduleusement débitées sur son compte bancaire. La Banque lui opposera la négligence grave tant dans la garde que la conservation de ses données confidentielles et personnelles.

 

Cependant, c’est à la Banque de rapporter la preuve de cette négligence conformément aux dispositions du Code monétaire et financier.

 

Or, « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. » et le client supportera « toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »

 

Si la cour d’appel saisit du litige relèvera la naïveté du client, elle confirmera que le client a agi à son insu en précisant « après avoir relevé que M. XX a été victime d’un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d’un “certificat de sécurité à remplir attentivement” qu’il a scrupuleusement renseignés, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté, retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client, ce à quoi n’est pas nécessairement sensible un client non avisé, étant observé que M. Leclerc, qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette dernière sur le hameçonnage, puis en déduit que c’est à son insu que M. XX a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n’est pas constitutive d’une négligence grave le fait pour un client “normalement” attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus »

 

III – L’arrêt de cassation.

 

La Cour de cassation cassera l’arrêt d’appel au motif que « Qu’en statuant ainsi, alors que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage, la cour d’appel a violé les textes susvisés ».

 

La difficulté de ce contentieux résultera dans l’administration de la preuve et plus particulièrement dans sa conformité avec l’article L133-23 du Code monétaire et financier qui pour mémoire précise :

 

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

 

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

 

La difficulté demeurera dans l’appréciation du client « normalement attentif » qui sera nécessaire faite au cas par cas.

 

Si les clients doivent demeurer attentifs, la Banque garde un devoir d’information envers ses clients.

Jacques-Eric MARTINOT

Vivaldi-Avocats.

Partager cet article