[ 29 novembre 2017 ]

Droit commercial et des affaires

Hameçonnage : tu ne commettras pas de négligences graves !

Mots-clefs : Carte bancaire, Utilisation frauduleuse, Responsabilité, Négligence, Hameçonnage

Le Code monétaire et financier prévoit que le banquier doit, lorsqu’il délivre un instrument de paiement, s'assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé à utiliser cet instrument. Quant au client, utilisateur de services de paiement, il doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Se pose ainsi la question de savoir qui, de la banque ou du client, est responsable et doit supporter la perte de la somme prélevée en cas d’utilisation frauduleuse des coordonnées bancaires du client. C’est sur cette question que porte l’arrêt rendu par la Cour de cassation le 25 octobre 2017.

En l’espèce, une cliente a reçu des courriels qu’elle pensait provenir de son opérateur téléphonique, lui demandant un certain nombre de renseignements personnels. Ayant pleinement confiance en son correspondant, elle a communiqué à ce dernier des informations relatives à son compte bancaire, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte. Quelque temps après, elle a reçu un message sur son téléphone portable lui communiquant un code « 3D Secure » destiné à valider deux paiements par internet. Or n’ayant pas réalisé de tels paiements, elle a immédiatement fait opposition à sa carte bancaire, comprenant qu’elle avait été victime d’une escroquerie. Elle a ainsi demandé à sa banque de lui rembourser la somme prélevée frauduleusement sur son compte bancaire. Or la banque s’est fermement opposée à cette demande, considérant que sa cliente avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. La Cour d’appel a donné raison à la cliente, jugeant que, bien qu’elle ait communiqué volontairement les informations relatives à sa carte bancaire, celles-ci avaient été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité. Elle a ainsi condamné la banque à rembourser à sa cliente la somme prélevée en se fondant sur l’article L. 133-19 du Code monétaire et financier qui précise en son II que « La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ».

Cependant, la Cour de cassation ne l’a pas entendu de cette façon, jugeant que la cliente, en communiquant ses coordonnées bancaires, avait commis « un manquement, par négligence grave, à ses obligations mentionnées à l’article L 133-16 du Code monétaire et financier ». L’article L. 133-16 du Code monétaire et financier dispose en outre que « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».

Selon la Cour de cassation, il aurait fallu rechercher si la cliente n’avait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux, car dans un tel cas, le fait de communiquer des renseignements personnels, notamment ses coordonnées bancaires, constitue un manquement, par négligence grave, à son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés. La cliente aurait donc dû être plus vigilante et se méfier davantage avant d’envoyer ses coordonnées bancaires par mail à son correspondant.

Com. 25 oct. 2017, n° 16-11.644