Paiement en ligne frauduleux : obligations pesant sur l’utilisateur

Cass. com., 25 octobre 2017, n°16-11.644

La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile.

Ce qu’il faut retenir : Dans un arrêt du 25 octobre 2017 n°16-11.644, la Cour de cassation a annulé le jugement de la juridiction de proximité de Calais qui avait ordonné à l’établissement de crédit de rembourser les sommes indument prélevées sur le compte d’une personne, victime de phishing. La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile. Cette négligence fautive, lorsqu’elle est démontrée, prive la victime de la possibilité d’obtenir de la banque le remboursement des sommes indument prélevées sur son compte sur le fondement des dispositions de l’article L.133-19 du Code monétaire et financier.

Pour approfondir : Une personne, victime de phishing (technique d’obtention de données personnelles, notamment coordonnées bancaires, par l’envoi de mails frauduleux par des personnes malveillantes se présentant sous une fausse identité, telle que grande société ou organisme bancaire) a sollicité de sa banque le remboursement des sommes indument prélevées sur son compte. En effet, elle avait répondu à un mail prétendument adressé par son opérateur de téléphonie mobile, et avait ainsi renseigné ses coordonnées bancaires, à l’exception de son code confidentiel. Alertée par la réception de deux SMS l’invitant à communiquer le code 3D Secure pour valider des commandes qu’elle n’avait pas passées, Mme X a immédiatement fait opposition auprès de sa banque. Celle-ci a refusé de rembourser à Mme X les sommes indument prélevées sur son compte, sans pour autant contester le fait que le paiement n’avait pas été autorisé par Mme X.

La banque se prévalait de la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier pour justifier son refus.

L’article L.133-16 du Code monétaire et financier dispose : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »

L’article L.133-19 du même code précise en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».

La juridiction de proximité n’a pas suivi l’argumentation de la banque.

La Cour de cassation annule la décision des juges du fond et juge ici :

« Attendu que pour condamner la Caisse à payer à Mme X la somme de 3 300,28 € en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 € de dommages-intérêts, le jugement retient que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L.133-16 du Code monétaire et financier ;

Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux, et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L.133-16 du Code monétaire et financier, la juridiction de proximité a privé sa décision de base légale. »

La victime de phishing doit rapporter par tous moyens la preuve de ce qu’elle n’a pas commis de négligence grave à l’occasion de la communication de ses coordonnées bancaires, et qu’elle pouvait légitimement penser que la demande de transmission de ces informations était licite.

Ainsi, des circonstances telles qu’un mail ne comportant aucun nom de destinataire, ni d’expéditeur, sur lequel figure un numéro de facture erroné, outre la mention d’un rejet ou d’un impayé alors même que le compte de la victime est créditeur, et des informations régulièrement données par l’établissement de crédit quant aux pratiques frauduleuses constatées et des mises en garde auprès de ses clients, sont autant d’éléments susceptibles de faire présumer la négligence grave de l’article L.133-19 du Code monétaire et financier. L’internaute supportera, dans cette hypothèse, toutes les conséquences financières de sa négligence.

Les utilisateurs de services de banque en ligne sont donc invités à la plus grande vigilance.

A rapprocher : Art. L.133-16 Code monétaire et financier ; Art. L.133-19 Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466

Sommaire

Autres articles

some
Le DSI de l’ancienne région Rhône-Alpes poursuivit pour espionnage informatique, la procureure de la République requiert six mois d’emprisonnement avec sursis et 5.000 euros d’amende
Article 226-15, 323-1 et 323-3 du Code pénal Le Tribunal correctionnel de Lyon a entendu le vendredi 20 mai 2022 le Directeur des Services d’Information (DSI) de la Région Rhône-Alpes (ci-après : la Région) à qui il était reproché de…
some
Synthèse du rapport sur « Le data altruisme » : une initiative européenne : pour une économie de la donnée équitable et innovante
Le 23 février 2022, la Commission Européenne a présenté sa nouvelle initiative législative sur l’exploitation des données, le Data Act, qui vise à créer un cadre facilitant l’exploitation et le partage des données dans un cadre altruiste, et non plus…
some
La Doctrine « cloud au centre » sur l’usage de l’informatique en nuage au sein de l’État va-t-elle profiter au G.A.F.A.M. ?
Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État L’informatique en nuage (Cloud Computing) constitue un levier essentiel de la transformation numérique de l’Etat et des territoire priorités du Gouvernement actuel…
some
Publication d’un décret relatif aux nouvelles règles applicables aux services de médias audiovisuels à la demande
Décret n°2021-793 du 22 juin 2021 relatif aux services de médias audiovisuels à la demande Le décret n°2021-793 du 22 juin 2021, entré en vigueur le 1er juillet 2021, a modifié les règles applicables aux services de médias audiovisuels à…
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
Avis n°2021-03 du 29 avril 2021 portant recommandations dans le domaine de la sécurité numérique La Commission Supérieure du Numérique et des Postes a publié, le 29 avril 2021, un avis portant recommandations dans le domaine de la sécurité numérique,…
some
La France peut-elle retrouver sa souveraineté numérique en s’affranchissant des GAFAM ?
Stratégie nationale pour le Cloud du 17 mai 2021 Pour répondre aux inquiétudes sur « l’extraterritorialité » de lois américaines comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), qui peuvent permettre à la justice ou aux services…