Actualité > Le cas du mois

Le cas du mois

Gare au hameçonnage !

[ 30 janvier 2018 ] Imprimer

Droit commercial et des affaires

Gare au hameçonnage !

Ce n’est plus l’envie d’entreprendre qui anime nos deux comparses, Désiré et Adhémar, mais l’envie de se défendre ! Ils viennent en effet d’être victimes d’une belle duperie… Après avoir reçu, sur leurs téléphones portables, deux messages leur communiquant un code à six chiffres dénommé « 3D Secure » et présentés comme émanant de leur opérateur téléphonique, ils avaient communiqué au fraudeur qui était, en fait, leur véritable correspondant, plusieurs informations relatives à leurs comptes chez cet opérateur, permettant au fraudeur de mettre en place un renvoi téléphonique des messages qu’ils avaient reçus de leur banque et ainsi, d’obtenir leurs coordonnées bancaires et de procéder, une fois celles-ci obtenues, au paiement de divers achats sur Internet.

Après avoir constaté que leurs comptes avaient été débités pour des achats qu’ils n’avaient pas effectués, Désiré et Adhémar avaient immédiatement fait opposition à l’usage de leur carte bancaire auprès de leur banque (qui est la même), puis demandé de leur rembourser les sommes qui avaient indûment été prélevées sur leur compte et de réparer leur préjudice moral. La banque le leur a refusé ! Au motif qu’ils auraient commis une « négligence grave » en communiquant des renseignements permettant d’obtenir leurs données bancaires, en principe confidentielles, à un inconnu… Belle preuve de compréhension ! Alors que les informations qu’ils avaient cru donner à leur opérateur avaient été détournées à leur insu, qu’ils n’avaient communiqué ni le code confidentiel de leur carte bancaire ni celui « 3D Secure » qui leur avait été envoyé… Ils n’entendent toutefois pas se laisser faire ! Ils voudraient agir contre leur banque pour être au moins remboursés du paiement des achats qu’ils n’ont pas effectués. Que pensez-vous de leurs chances de succès ?

■■■

Deux clients font opposition à l’utilisation de leur carte bancaire auprès de leur banque après avoir reçu, sur leurs téléphones portables, deux messages leur communiquant un code à six chiffres dénommé « 3D Secure », destinés à obtenir par ce biais leurs coordonnées bancaires pour réaliser frauduleusement plusieurs paiements par internet, pour des achats que les deux clients n’avaient pas effectués. Ces derniers souhaitent obtenir de leur banque, qui leur oppose la gravité de leur faute, le remboursement des sommes ainsi prélevées sur leurs comptes ainsi que la réparation de leur préjudice moral. 

En répondant à un « mail de fishing » lui demandant de communiquer certaines données confidentielles relatives à sa carte bancaire, un client commet-il une négligence dont la gravité commande que lui seul supporte, à l’exclusion de son prestataire de services, les pertes subies ?

Aux termes des dispositions de l'article L. 133-23 du Code monétaire et financier : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Aux termes des dispositions de l'article L. 133-19 du même code: « I. En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros. Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé. II. La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. (…). IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». Enfin, aux termes des dispositions de l'article L. 133-16 du Code monétaire et financier : « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ». 

En l’espèce, Désiré et Adhémar ont formé opposition à l’utilisation de leur carte bancaire dès qu’ils ont constaté les paiements contestés. Ils ont été trompés par la réception de deux SMS prétendument émis par leur opérateur téléphonique leur communiquant un code « 3D Secure » pour des opérations qu'ils n'ont ni réalisées ni autorisées. Ils font valoir le fait que s’ils ont bien communiqué certaines de leurs données bancaires, ils n’ont communiqué ni leur code confidentiel, ni le code « 3D Secure ». Il est alors possible de considérer que leurs données bancaires ont été détournées du fait, certes, de leur négligence, mais sans que celle-ci revête une gravité suffisante pour les obliger à supporter l’intégralité des pertes subies. En effet, s’ils ont bien divulgué des informations relatives aux comptes souscrits chez leur opérateur téléphonique, permettant par la suite au tiers fraudeur d'opérer un renvoi téléphonique et de prendre connaissance du code « 3D Secure », cela ne devrait pas pouvoir être assimilé à une négligence grave de leur part quant à la préservation de la sécurité de ses dispositifs de sécurité personnalisés, et la banque devrait être condamnée à leur rembourser les pertes subies.

Cependant, les nouvelles technologies de fraude à la carte bancaire obligent désormais leurs titulaires à une vigilance accrue. Si la preuve du « hameçonnage » demeure à la charge de la banque en cas de contestation du client (Com. 18 janv. 2017, n° 15-18.102), en revanche, le simple fait que ce dernier n’ait pas communiqué son code secret ou le code afférent au système de paiement « 3D Secure » ne suffit pas à l’exonérer. 

Ainsi, dans une affaire similaire, la Cour de cassation a récemment jugé qu’une cliente victime d’une fraude à sa carte bancaire par voie de « fishing » aurait dû avoir conscience que le courriel qu'elle avait reçu était frauduleux et qu’en conséquence, le fait d'avoir communiqué son nom, son numéro de carte bancaire, la date d'expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte téléphonique permettant à un tiers de prendre connaissance du code « 3D Secure » caractérisait un manquement, par négligence grave, à ses obligations mentionnées à l'article L. 133-16 du Code monétaire et financier (Com. 25 oct. 2017, n° 16-11.644). La fourniture par le client d'un établissement bancaire à un tiers de données confidentielles permettant ou facilitant l'utilisation d'un service de paiement sécurisé serait donc considérée comme une négligence grave. 

En l’espèce, bien que cela indigne Désiré et Adhémar, le fait qu’ils aient communiqué à un tiers des données confidentielles relatives à leurs cartes bancaires, sans lesquelles les opérations, même frauduleuses, n'auraient pu être exécutées, caractériserait sans doute, aux yeux des juges, une méconnaissance de l’obligation à laquelle ils étaient tenus de préserver la sécurité de leurs dispositifs de sécurité personnalisés.

Références

■ Com. 18 janv. 2017, n° 15-18.102 P : Dalloz Actu Étudiant, A la Une, 7 févr. 2017 ; Dalloz Actu Étudiant, Le BilletD. Mazeaud, 2 mai 2017 ; D. 2017. 156 ; RTD com. 2017. 154, obs. D. Legeais

 

■ Com. 25 oct. 2017, n° 16-11.644 P : Dalloz Actu Étudiant, Le Billet, 30 oct. 2017, M Latina ; Dalloz Actu Étudiant, A la Une, 29 nov. 2017 ; D. 2017. 2465, note F. Mélin.

Sur la méthodologie du cas pratique : V. vidéo Dalloz

 

Autres Cas du mois


  • Rédaction

    Directeur de la publication-Président : Ketty de Falco

    Directrice des éditions : 
    Caroline Sordet
    N° CPPAP : 0122 W 91226

    Rédacteur en chef :
    Maëlle Harscouët de Keravel

    Rédacteur en chef adjoint :
    Elisabeth Autier

    Chefs de rubriques :

    Le Billet : 
    Elisabeth Autier

    Droit privé : 
    Sabrina Lavric, Maëlle Harscouët de Keravel, Merryl Hervieu, Caroline Lacroix, Chantal Mathieu

    Droit public :
    Christelle de Gaudemont

    Focus sur ... : 
    Marina Brillié-Champaux

    Le Saviez-vous  :
    Sylvia Fernandes

    Illustrations : utilisation de la banque d'images Getty images.

    Nous écrire :
    actu-etudiant@dalloz.fr