L’hameçonnage n’exclut pas l’existence d’une négligence grave de la victime en droit bancaire

Le hameçonnage (phishing ou filoutage) est une technique par laquelle des personnes malveillantes se font passer pour de grandes sociétés ou des organismes financiers familiers aux internautes, en envoyant des mails frauduleux de manière à récupérer des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds(1).

Par son arrêt du 25 octobre 2017(2), la chambre commerciale de la Cour de cassation renverse la charge de la preuve en matière de préjudice subi suite à un hameçonnage. Cette décision vise à introduire un équilibre entre la nécessaire protection et la responsabilisation de l’internaute.

En l’espèce, la victime avait communiqué ses coordonnées bancaires à une personne se présentant sous l’identité de l’opérateur SFR par le biais d’un mail d’hameçonnage, afin de procéder au paiement de sa facture téléphonique. Des virements frauduleux ayant été réalisés, la victime a demandé auprès de sa banque le remboursement des sommes prélevées ainsi que le versement de dommages et intérêts.

Considérant que sa cliente avait communiqué de son propre gré des informations relatives à sa carte bancaire, la banque a refusé de l’indemniser, estimant qu’au sens du IV de l’article L133-19(3) du Code monétaire et financier, elle avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.

Par sa décision du 7 décembre 2015, la juridiction de proximité de Calais a condamné la banque à l’indemnisation de la victime, considérant que les obligations posées à l’article L.133-16 du Code monétaire et financier(4) étaient respectées. Si la victime a volontairement communiqué des éléments relatifs à ses coordonnées bancaires, ceux-ci ont toutefois été détournés à son insu et ont été utilisés par une personne se présentant sous une fausse identité.

Saisie du pourvoi de la banque, la Cour de cassation casse et annule ce jugement pour défaut de base légale et renvoie l’affaire devant le tribunal d’instance de Dunkerque. Elle estime que la juridiction de proximité n’a pas examiné, au regard des circonstances de l’espèce, si la victime n’avait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et qu’ainsi, la transmission des informations ne caractérisait pas une négligence grave aux obligations de l’article L.133-16.

Par cette décision, la Cour de cassation requiert la démonstration par la victime qu’elle ne pouvait avoir conscience du caractère frauduleux du message.
 
Notes
puce note (1) Fiche pratique de la DGCCRF sur le phishing
puce note (2) Cass. Com., 25 oct. 2107, n° 16-11644, Caisse Fédérale du crédit mutuel Nord Europe
puce note (3) Article L.133-19 du Code monétaire et financiers
puce note (4) Article L.133-16 du Code monétaire et financier
 
 
Informations légales | Données personnelles