Hameçonnage : quand le client d’une banque ne peut s’en prendre qu’à lui-même

L’affaire est malheureusement somme toute banale. Il est question d’une pratique d’« hameçonnage » (ou phishing) en matière de carte bancaire. Il s’agit d’une technique frauduleuse visant à récupérer des données personnelles – notamment bancaires – sur internet, le demandeur se présentant comme une source de confiance (banque, administration fiscale, etc.). Ce qui va permettre à ce dernier d’obtenir des paiements en sa faveur, le titulaire du compte débité et le banquier teneur de compte n’y voyant que du feu. Ou, plus exactement, tant que le premier ne se rend pas compte des débits opérés frauduleusement sur son compte. Lorsque tel est le cas et que ses démarches amiables auprès de sa banque s’avèrent sans succès, l’affaire va prendre une tournure contentieuse, sous la forme d’une action en remboursement du client contre sa banque.

Dans la présente affaire, invoquant le caractère frauduleux de paiements par carte bancaire et par virement débités sur deux comptes ouverts à son nom, un particulier a précisément assigné sa banque en remboursement de ces sommes. La banque s’y est opposée en lui reprochant une négligence grave dans la garde et la conservation de ses données personnelles du dispositif de sécurité de ces instruments de paiement. L’argument est classique. Il repose sur l’article L. 133-19 du code monétaire et financier, ainsi rédigé : « En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur [c’est-à-dire le titulaire de la carte] supporte, avant l’information prévue à l’article L. 133-17 [l’opposition adressée par le titulaire de la carte à sa banque], les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 € […] ». Toutefois, ajoute le texte, « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». Selon l’article L. 133-16, « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (l’ordonnance n° 2017-1252 du 9 août 2017, non applicable dans la présente affaire car en vigueur à compter du 13 janvier 2018, a remplacé cette expression par celle de « données de sécurité personnalisées ». Elle a également abaissé le montant de la franchise, c’est-à-dire le plafond à partir duquel le banquier supporte les pertes liées à l’utilisation illicite de la carte bancaire, à 50 €).

Le débat portait sur la question suivante : y avait-il eu négligence grave du client ? Celle-ci est parfois retenue par les tribunaux, par exemple dans une hypothèse où la banque a reproché à son client de n’avoir pas préservé la sécurité de sa carte et de son code confidentiel (Com. 17 mai 2017, n° 15-28.209, CCE 2017, n° 77, obs. E. Caprioli ; 31 mai 2016, n° 14-29.906, D. 2016. 2305, obs. D.R. Martin et H. Synvet ; JCP E 2016, n° 1450, note J. Lasserre Capdeville). La négligence grave semble également avoir été retenue récemment, précisément dans une hypothèse d’hameçonnage : la Cour de cassation a, en effet, censuré un jugement qui avait écarté la responsabilité du titulaire d’une carte bancaire pour négligence grave, à la suite, donc, d’un « hameçonnage », faute d’avoir établi si ce dernier avait pu avoir conscience que le courriel qu’il avait reçu de la part de l’usurpateur était frauduleux (Com. 25 oct. 2017, n° 16-11.644, Dalloz actualité, 7 nov. 2017, obs. X. Delpech ).

Les juges du fond (ici la cour d’appel d’Amiens) ont ici écarté toute négligence grave du client. Ils ont même condamné la banque de ce dernier à lui payer la somme de 2 731,98 € au titre des paiements frauduleux par carte bancaire et celle de 4 500 € au titre du virement litigieux débité d’un de ses comptes. Le débat se situe souvent, et c’est également le cas ici, sur le terrain de la preuve. La Cour de cassation affirme : « c’est à [la banque] qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 [du code monétaire et financier], de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Mais la négligence grave du client est retenue par la Cour de cassation, pour une raison cette fois de fond, et qui justifie la censure de l’arrêt d’appel. Les juges d’appel ont, en effet, relevé que le client « a été victime d’un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité [de sa banque] accompagnés d’un “certificat de sécurité à remplir attentivement” qu’il a scrupuleusement renseigné, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux », mais ces éléments, traduisant une certaine naïveté, n’ont pas empêché de retenir la responsabilité de la banque. En droit commun de la responsabilité, pourtant, la faute de la victime constitue une cause d’exonération, au moins partielle, de l’auteur du fait dommageable (v. à cet égard l’art. 1254, C. civ., dans sa version issue de l’avant-projet de réforme du droit de la responsabilité : « Le manquement de la victime à ses obligations contractuelles, sa faute ou celle d’une personne dont elle doit répondre sont partiellement exonératoires lorsqu’ils ont contribué à la réalisation du dommage… »).

La Cour de cassation affirme dans un attendu de principe que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ». Pour la haute juridiction, il ne peut donc être reproché à la banque de ne pas avoir alerté son client des risques d’hameçonnage. Mais il n’est pas certain que, si les faits ayant donné lieu à l’arrêt commenté s’étaient déroulés aujourd’hui, la Cour de cassation aurait jugé dans le même sens, compte tenu du développement de cette pratique frauduleuse qu’est l’hameçonnage. Pour reprendre une formule familière : « Ça va mieux en le disant » !