En cas d’arnaque au phishing, la banque est en principe tenue de procéder au remboursement des débits frauduleux. Cependant, elle peut s’y opposer lorsque que ces débits sont consécutifs à une négligence du client qui aurait répondu à un mail douteux en communiquant ses coordonnées bancaires.
La présente affaire vient rappeler le devoir général de vigilance du client bancaire.
Cass. com. 06-06-2018 n° 16-29.065 F-D
LES FAITS A L’ORIGINE DU PHISHING
En réponse à un courriel de son opérateur téléphonique, le client d’une banque avait transmis des informations sur ses données bancaires.
Le client remarque par la suite des opérations de paiement frauduleuses effectuées sur son compte. Il demande dès lors à la banque de lui en rembourser le montant.
La banque refuse ce remboursement et reproche à son client d’avoir commis une faute en ayant communiqué ses coordonnées bancaires.
LA PROCÉDURE ENGAGÉE PAR LA VICTIME CONTRE SA BANQUE
La Cour d’appel avait donné raison au client qui, selon elle, n’aurait pas commis de négligence grave dès lors que les données confidentielles avaient été transmises en réponse à un courriel « dépourvu d’anomalies grossières et revêtant l’apparence générale de l’authenticité ».
LA SOLUTION DES TRIBUNAUX EN CAS DE PHISHING
La Cour de cassation décide cependant de casser l’arrêt de la Cour d’appel selon le motif suivant :
« Après avoir relevé que Mme Y… réglait ses factures de téléphone par prélèvements et non par carte bancaires Et qu’un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés ».
La Cour de cassation considère que la négligence du client constitue un manquement à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité.
Ainsi, le titulaire d’un compte bancaire qui paie ses factures téléphoniques par prélèvement commet une faute le privant de toute réparation s’il communique ses données confidentielles en réponse à un courriel d’hameçonnage présentant des irrégularités permettant de douter de sa provenance.
Cette décision s’inscrit dans la droite ligne de la jurisprudence récente en matière de hameçonnage. En effet, les utilisateurs de services de paiement doivent faire preuve de vigilance. Ils commettent ainsi une faute en répondant à un mail douteux.
Un mail est par exemple douteux lorsqu’il feint de provenir de sa banque mais contient des fautes d’orthographe (Cass. com. 28-3-2018 n° 16-20.018 FS-PB : BRDA 9/18 inf. 16 ; voir aussi Cass. com. 25-10-2017 n° 16-11.644 F-PBI : BRDA 23/17 inf. 12).
Conseil pratique : Avant de communiquer des données bancaires sensibles vérifiez l’authenticité du courriel !
Vous avez des questions ?