Paiement en ligne frauduleux : obligations pesant sur l’utilisateur

Cass. com., 25 octobre 2017, n°16-11.644

La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile.

Ce qu’il faut retenir : Dans un arrêt du 25 octobre 2017 n°16-11.644, la Cour de cassation a annulé le jugement de la juridiction de proximité de Calais qui avait ordonné à l’établissement de crédit de rembourser les sommes indument prélevées sur le compte d’une personne, victime de phishing. La Cour de cassation renforce l’obligation de prudence pesant sur l’internaute ayant donné les informations relatives à sa carte bancaire, à l’exception du code confidentiel, à une personne malveillante, se présentant comme son opérateur de téléphonie mobile. Cette négligence fautive, lorsqu’elle est démontrée, prive la victime de la possibilité d’obtenir de la banque le remboursement des sommes indument prélevées sur son compte sur le fondement des dispositions de l’article L.133-19 du Code monétaire et financier.

Pour approfondir : Une personne, victime de phishing (technique d’obtention de données personnelles, notamment coordonnées bancaires, par l’envoi de mails frauduleux par des personnes malveillantes se présentant sous une fausse identité, telle que grande société ou organisme bancaire) a sollicité de sa banque le remboursement des sommes indument prélevées sur son compte. En effet, elle avait répondu à un mail prétendument adressé par son opérateur de téléphonie mobile, et avait ainsi renseigné ses coordonnées bancaires, à l’exception de son code confidentiel. Alertée par la réception de deux SMS l’invitant à communiquer le code 3D Secure pour valider des commandes qu’elle n’avait pas passées, Mme X a immédiatement fait opposition auprès de sa banque. Celle-ci a refusé de rembourser à Mme X les sommes indument prélevées sur son compte, sans pour autant contester le fait que le paiement n’avait pas été autorisé par Mme X.

La banque se prévalait de la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier pour justifier son refus.

L’article L.133-16 du Code monétaire et financier dispose : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »

L’article L.133-19 du même code précise en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 [du Code monétaire et financier] ».

La juridiction de proximité n’a pas suivi l’argumentation de la banque.

La Cour de cassation annule la décision des juges du fond et juge ici :

« Attendu que pour condamner la Caisse à payer à Mme X la somme de 3 300,28 € en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 € de dommages-intérêts, le jugement retient que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L.133-16 du Code monétaire et financier ;

Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux, et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L.133-16 du Code monétaire et financier, la juridiction de proximité a privé sa décision de base légale. »

La victime de phishing doit rapporter par tous moyens la preuve de ce qu’elle n’a pas commis de négligence grave à l’occasion de la communication de ses coordonnées bancaires, et qu’elle pouvait légitimement penser que la demande de transmission de ces informations était licite.

Ainsi, des circonstances telles qu’un mail ne comportant aucun nom de destinataire, ni d’expéditeur, sur lequel figure un numéro de facture erroné, outre la mention d’un rejet ou d’un impayé alors même que le compte de la victime est créditeur, et des informations régulièrement données par l’établissement de crédit quant aux pratiques frauduleuses constatées et des mises en garde auprès de ses clients, sont autant d’éléments susceptibles de faire présumer la négligence grave de l’article L.133-19 du Code monétaire et financier. L’internaute supportera, dans cette hypothèse, toutes les conséquences financières de sa négligence.

Les utilisateurs de services de banque en ligne sont donc invités à la plus grande vigilance.

A rapprocher : Art. L.133-16 Code monétaire et financier ; Art. L.133-19 Code monétaire et financier ; Cass. com., 18 janvier 2017, n°15-18.466

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Recours administratif à l’encontre d’un brevet d’invention : publication de l’ordonnance n°2020-116
Le 13 février 2020, a été publiée au Journal Officiel l’ordonnance n°2020-116, adoptée la veille et portant création d’un droit d’opposition aux brevets d’invention délivrés par l’Institut National de la Propriété Intellectuelle (INPI).