01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#Phishing : les banques contre-attaquent

phishing les banques contre attaquent haas avocat

Dans un arrêt du 25 octobre 2017, la Chambre commerciale de la Cour de Cassation invoque la nécessaire recherche de la négligence du consommateur pour trancher les contestations de remboursement en cas de phishing. Le simple fait pour la juridiction de proximité de ne pas avoir recherché si la personne victime d’un phishing aurait pu avoir conscience que le courriel qu’elle avait reçu était frauduleux contrevient en effet aux dispositions de l’article L.133-16 du Code Monétaire et Financier.

Nul doute que les banques utilisent cette décision importante pour durcir leur politique en matière de remboursement des cas de fraudes.

Cette contre-attaque du domaine bancaire mérite quelques approfondissements.

En l’espèce, un consommateur titulaire d’un compte auprès d’une grande banque française s’est estimé victime d’une fraude et a sollicité le remboursement de plusieurs achats qu’il n’avait pas réalisés.

Par une méthode dite de phishing, des fraudeurs se faisant passer pour un opérateur de téléphonie et d’internet ont adressé au consommateur un courriel l’invitant à communiquer son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso.

Le phishing ou hameçonnage est en effet défini comme une technique dite de « social engineering » ayant pour but de dérober à des individus leurs identifiants de connexion et mots de passe ou leurs numéros de cartes bancaires dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, FAI etc. — afin de lui soutirer des renseignements personnels. Le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi rentrer ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime.

Pour le juge de proximité saisi en premier et dernier ressort, la réalité des faits de phishing doit conduire la banque à rembourser au consommateur les sommes prélevées frauduleusement sur son compte.

Telle n’est pas la position de la Cour de Cassation qui considère qu’une telle motivation n’est pas conforme aux dispositions légales.

Rappelons sur ce point les dispositions de l’article L.133-16 du Code Monétaire et Financier[1] :

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

La Haute-Cour, par cet arrêt, rappelle ainsi que les banques seront potentiellement légitimes à opposer à leur client une négligence pour refuser de les rembourser dès lors que ces mêmes clients ont manifestement fait preuve de négligence ou n’ont tout simplement pas pris de mesures raisonnables pour préserver la sécurité de leur instrument de paiement.

 

Loin d’être anodine, cette affaire permet d’observer les deux points suivants :

  • L’appréciation du caractère raisonnable ou non des mesures de sécurité prises par le consommateur, le fait de savoir si ce dernier pouvait ou non suspecter la fraude ou, en tout état de cause se devait de refuser de communiquer ses informations bancaires par mail relève du pouvoir d’appréciation des juges du fond. L’analyse se fera donc au cas par cas et pourra s’appuyer sur une appréciation du niveau de sophistication de la fraude ou encore du degré de sensibilisation du consommateur…
  • Les banques auront ainsi tout intérêt à accroître leurs efforts de sensibilisation de leurs clients aux cyber risques. Campagnes d’information, mentions contractuelles avec mise en avant des bons usages, publications régulières, envois de courriels et/ou courriers dédiés à la prévention des risques etc., tous les moyens devront utilement être envisagés.

 

Spécialisé sur les questions de cyberdélinquance et de cyber risques, le Cabinet HAAS accompagne depuis plus de vingt ans ses clients tant sur le volet contentieux que sur les aspects conseil, formations, élaboration de supports de sensibilisation etc.

Pour plus d’informations, cliquez ici.

 

[1] Notons que cet article sera modifié à compter du 13 janvier 2018 par la rédaction suivante : Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com