Cass. com., 6 juin 2018, n°16.29-065
La Cour de cassation a censuré l’arrêt de la Cour d’appel de Douai en date du 3 novembre 2016, qui avait condamné la banque à rembourser à sa cliente les sommes frauduleusement prélevées sur son compte, à la suite d’un mailing s’apparentant à une opération de phishing.
Ce qu’il faut retenir : A la faveur de cette décision, la Cour de cassation a censuré l’arrêt de la Cour d’appel de Douai en date du 3 novembre 2016, qui avait condamné la banque à rembourser à sa cliente les sommes frauduleusement prélevées sur son compte, à la suite d’un mailing s’apparentant à une opération de phishing. La Cour de cassation a, en effet, jugé que : « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance ».
La Cour de cassation continue ainsi son œuvre de durcissement de l’obligation de prudence pesant sur l’internaute en cas de phishing.
Pour approfondir : Encore et à nouveau dans cette affaire, une victime de phishing a contesté certaines opérations de paiement réalisées sur son compte, lesquelles ont été, selon elle, faites frauduleusement. Les demandes de remboursement amiables étant restées vaines, elle n’a eu d’autre choix que de saisir la juridiction compétente pour obtenir de la banque qu’elle s’exécute.
L’internaute se prévalait du principe issu de la combinaison des articles L.133-17 et suivants du Code monétaire et financier selon lequel il appartient à la banque de supporter les conséquences de toute utilisation frauduleuse d’un instrument de paiement mis à la disposition du client, sauf à ce que cette utilisation résulte notamment de la négligence grave du client.
La Cour d’appel a fait droit à la demande de remboursement, après avoir relevé que la cliente avait communiqué ses coordonnées bancaires en réponse à un courriel comportant le logo de son opérateur de téléphonie. Les juges du fond ont ainsi pu se convaincre de ce que la négligence grave susceptible de faire obstacle à la demande de remboursement n’était pas constituée par les faits de l’espèce.
En effet, les juges ont constaté que le mail litigieux avait l’apparence de l’authenticité, comme ne présentant pas d’anomalies grossières, de telle sorte que l’internaute n’avait pas de raison de douter de l’origine de ce message, et y avait légitimement répondu.
La Banque a formé un pourvoi en cassation à l’encontre de l’arrêt de la Cour d’appel de Douai, en se fondant sur l’articulation des articles L.133-16 et L.133-19 du Code monétaire et financier. Le premier impose à l’utilisateur de moyens de paiement de prendre toute mesure raisonnable pour en préserver la sécurité. Le second le prive de la possibilité d’obtenir le remboursement de mouvements irréguliers sur son compte, s’ils l’ont été du fait de sa propre négligence fautive.
La Cour de cassation a cassé l’arrêt de la Cour d’appel de Douai, et censuré le raisonnement des juges du fond en ces termes : « qu’en statuant ainsi, après avoir relevé que Mme Y réglait ses factures de téléphone par prélèvements et non par carte bancaire et qu’un examen attentif du courrier de rappel de paiement, révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés, la Cour d’appel, qui n’a pas tiré les conséquences légales de ses constatations, a violé les textes susvisés. »
La Cour de cassation fait peser sur la victime de phishing une responsabilité de plus en plus accrue, nous semble-t-il. Cette dernière doit, pour pouvoir bénéficier de la garantie de la banque, rapporter la preuve de ce qu’elle n’a commis aucune négligence grave à l’occasion de la communication de ses coordonnées bancaires. Cette preuve apparaît de plus en plus difficile à rapporter eu égard aux dernières décisions de la Cour suprême, qui tient compte des habitudes de consommation de l’internaute, ainsi que d’erreurs, aussi subtiles soient-elles, glissées dans un mail illicite tel que le numéro de contrat erroné, ou encore adresse de l’expéditeur inexacte. Ces éléments ne sont, à notre sens, jamais vraiment vérifiés par les utilisateurs. Cette jurisprudence semble sévère à l’égard des victimes de phishing, qui supporteront alors toutes les conséquences financières de ce qui nous semble relever de l’inadvertance plus que d’une négligence grave.
Les utilisateurs de services en ligne sont désormais invités à la plus grande méfiance face aux sollicitations de règlement adressées par mail.
A rapprocher : Art. L.133-16 du Code monétaire et financier ; Art. L.133-19 du Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466 ; Cass. com., 25 octobre 2017, n°16-11.644 ; Cass. com., 28 mars 2018, n°16-20.018