Par un arrêt rendu en juillet 2020, la Cour de cassation maintient le courant actuel de sa jurisprudence tendant à renforcer l’obligation qui incombe au client d’un établissement financier de préserver la sécurité de ses données bancaires et rejette, dans le cadre d’une fraude par phishing, un possible partage de responsabilité entre la banque et son client voir une impossibilité d’obtenir un remboursement.
Dans un contexte où les pratiques frauduleuses sont en constante augmentation, la décision de la Cour de cassation revient à sanctionner sévèrement l’imprudence des clients des établissements financiers et incite à redoubler d’attention face à la réception de courriers électroniques malveillants.
La responsabilité du payeur en cas de négligence grave
En quoi consiste la pratique de Phishing
Est victime de hameçonnage (ou phishing en anglais) l’internaute qui transmet à une personne malintentionnée, généralement en réponse à un courriel, des informations personnelles telles que des identifiants de connexion ou des données bancaires, en pensant à tort que la demande de renseignements émane d’un tiers de confiance (banque, prestataire de services, commerce en ligne, administration…). Le but de cette escroquerie consiste, dans de nombreux cas, à user des données confidentielles de l’internaute pour régler des achats à distance ou procéder au versement de sommes d’argent sur des comptes situés le plus souvent à l’étranger.
Or, tout paiement par carte bancaire, virement ou prélèvement ne peut être effectué sans l’autorisation du payeur. En l’absence d’une telle autorisation, le prestataire de services de paiement (ou plus simplement la banque), considéré comme responsable de l’opération de paiement réalisée à l’insu de son client, se trouve dans l’obligation de rembourser le montant indûment débité sur son compte.
La preuve de la négligence grave
Toutefois, le prestataire de services de paiement ne peut être tenu pour responsable du paiement contesté par le payeur quand ce dernier, victime d’une pratique de hameçonnage, a permis sa réalisation en communiquant des informations confidentielles par négligence grave, et ce en dépit de sa bonne foi. Il appartient alors à l’établissement bancaire, pour s’exonérer de tout remboursement, de démontrer que son client a manqué à son obligation de préserver la sécurité de ses données personnelles et a commis une faute par négligence grave en divulguant celles-ci.
L’arrêt du 1er juillet 2020 de la Cour de cassation confirme qu’en cas de négligence grave du payeur, celui-ci doit seul assumer la totalité des pertes occasionnées par les opérations de paiement non autorisées. La responsabilité du préjudice du client ne saurait, de fait, être partagée avec l’établissement bancaire, lequel ne peut donc être condamné au remboursement partiel des sommes détournées. La négligence grave du client, même de bonne foi, suffit par conséquent à lui faire perdre l’intégralité de son droit au remboursement, sauf à prouver l’existence en parallèle d’une faute de la banque.
Comment réagir en cas de phishing ?
En présence d’une tentative de hameçonnage, l’attitude de l’internaute est donc déterminante pour établir la responsabilité de l’établissement bancaire et obtenir le remboursement des sommes détournées ou bien celle du client qui devra alors supporter l’intégralité des pertes financières.
Quand le payeur reconnaît avoir été victime d’une opération de hameçonnage, sa négligence grave engage sa responsabilité et exonère celle de l’établissement bancaire.
Caractéristiques de la négligence
La négligence grave peut ainsi être caractérisée lorsque l’internaute répond à un courriel :
- qui présente de sérieuses anomalies tant au niveau de sa forme que de son contenu (présence de fautes d’orthographe, erreurs de frappe, expressions inappropriées, syntaxe approximative, demande suspecte ou irrégulière…) ;
- dont la provenance est douteuse (e-mail non personnalisé, inexactitude dans l’adresse de l’expéditeur voire expéditeur inconnu, numéro de contrat indiqué erroné, discordance entre les informations évoquées et la réalité…) ;
- en cliquant sur un lien proposé manifestement incohérent (adresse non fiable, mauvaise imitation du logo et/ou des signes distinctifs de l’entreprise ou de l’organisme dont l’identité a été usurpée…).
A contrario, un utilisateur internet normalement attentif peut être considéré comme celui qui a pratiqué un examen consciencieux du message électronique reçu sans relever d’indice d’apparence douteuse lui laissant craindre d’être en présence d’un e-mail frauduleux.
Agir vite et bien en cas de phishing
Selon les renseignements personnels qu’il a malencontreusement communiqués, l’internaute victime de phishing doit sans tarder faire opposition sur ses comptes bancaires afin d’éviter ou limiter les débits frauduleux. Il doit également changer les mots de passe de tous les comptes concernés par une possible utilisation malhonnête des données transmises. La victime de l’escroquerie a ensuite tout intérêt à déposer plainte au commissariat de police ou à la gendarmerie. Il peut également signaler le contenu internet illégal sur différents sites dédiés à la prévention de ce type d’arnaques.
Obtenir un remboursement
En cas de préjudice financier, l’internaute est en droit de formuler, idéalement par courrier recommandé, une demande de remboursement auprès de son établissement bancaire, à charge pour ce dernier de prouver l’éventuelle imprudence de son client. La victime d’une usurpation d’identité peut également porter plainte en vue d’agir en contrefaçon de ses marques utilisées lors du phishing ou en raison d’une atteinte à son e-réputation et obtenir réparation devant les juridictions compétentes.