[ 30 octobre 2017 ]

Le « hameçonnage » et la négligence grave

En vertu de l’article L. 133-19 du Code monétaire et financier, le titulaire d’une carte de crédit, victime d’une utilisation frauduleuse de celle-ci, ne supporte les pertes liées à cette utilisation, avant l’opposition, que dans la limite d’un plafond de 150 euros. Le surplus doit donc lui être remboursé par la banque.

Toutefois, « s'il n'a pas satisfait intentionnellement ou par négligence grave » à son obligation de faire opposition sans tarder (C. mon. et fin., art. L. 133-17) ou à celle de prendre « toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (C. mon. et fin., art. L. 133-17), il supporte seul les pertes qu’il a subies.

Traditionnellement, la Cour de cassation se montrait assez sévère avec les banques sur qui pèse la charge de la preuve de la négligence grave de leur client. Ainsi, le simple fait que le moyen de paiement ait été utilisé par un tiers ne suffisait pas à rapporter la preuve que le titulaire de la carte avait été négligent.

La négligence grave n’était donc rapportée que si le client avait la candeur de préciser, au moment du dépôt de la plainte, qu’il avait communiqué son code confidentiel à un tiers ou qu’il conservait ce code avec la carte dérobée (Com. 16 oct. 2012, n° 11-19.981 : le client conservait sa carte dans la « boite à gants » de son véhicule avec le code confidentiel…).

Dans sa décision du 25 octobre 2017, la chambre commerciale de la Cour de cassation a rendu une décision plus favorable aux banques. Dans cette affaire, un client avait été victime d’un hameçonnage. Pensant répondre à un courriel officiel de son opérateur téléphonique, il avait communiqué à un escroc son numéro de carte bancaire, la date d’expiration de celle-ci, le cryptogramme visuel, ainsi que diverses informations permettant à l’escroc de mettre en place le renvoi des sms de la victime vers un autre téléphone portable.

Peu de temps après, le client escroqué a reçu des SMS « 3D Secure » destinés à valider des achats sur internet qu’il n’avait pas effectués. Comprenant que sa carte bancaire avait été utilisée frauduleusement, il a alors, sans tarder, fait opposition.

Las, l’escroc ayant également reçu les SMS en question, les paiements ont été effectués par la banque. C’est dans ces conditions que le client a tenté de se prévaloir de l’article L. 133-19 du Code monétaire et financier pour obtenir le remboursement des sommes débitées avant opposition, sous déduction d’un montant de 150 euros.

Pour refuser de rembourser la moindre somme, la banque a alors invoqué la « négligence grave » de son client. Dans son arrêt, la Cour de cassation censure la décision des juges du fond, qui avait ordonné le remboursement.

Elle estime en effet que le juge de proximité aurait dû rechercher si, « au regard des circonstances de l’espèce, [le titulaire de la carte] n’aurait pas pu avoir conscience que le courriel [qu’il] avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier ».

La portée de la décision doit être bien mesurée. Celle-ci est favorable à la banque puisqu’elle lui permet d’opposer la « négligence grave » du client en cas de hameçonnage. Toutefois, cela ne signifie pas que l’existence d’un hameçonnage entraînera systématiquement la reconnaissance d’une négligence grave de la part du titulaire.

La Cour de cassation demande aux juges du fond de vérifier si « au regard des circonstances de l’espèce », il était légitime de répondre au courriel, c’est-à-dire d’ignorer son caractère frauduleux. L’arrêt laisse donc une marge d’appréciation aux juges qui pourront analyser les termes du courriel. Si celui-ci était, par exemple, rédigé dans un français approximatif, y répondre pourrait constituer une négligence grave. En revanche, si celui-ci était conforme à ceux qui sont envoyés par les grandes entreprises et présentait « habilement » la demande de fourniture des coordonnées bancaires, y répondre ne sera pas nécessairement fautif.

Il faut également espérer que, « dans les circonstances de l’espèce », entreront les capacités du titulaire de la carte. On sait en effet que les principales victimes de hameçonnage sont les personnes âgées qui manient internet avec moins de facilité. En d’autres termes, l’appréciation de la négligence devrait être teintée de subjectivisme afin de ne pas doublement pénaliser ces victimes.

Il n’en reste pas moins que, la charge de la preuve de la négligence grave reposant toujours sur la banque, cet arrêt pourrait inciter les victimes de hameçonnage à ne rien en dire.

Les parquets classent en effet à la pelle les plaintes visant le « hameçonnage », faute d’être en capacité d’identifier l’auteur de l’infraction.

La victime de l’utilisation frauduleuse de sa carte bancaire, qui souhaite obtenir un remboursement sur le fondement de l’article L. 133-19 du Code monétaire et financier, pourrait être tenté, en conséquence, de se borner à affirmer qu’il ne s’explique pas comment le « pirate » a pu avoir accès à ses données confidentielles…