Négligence grave du titulaire de carte bancaire victime de « hameçonnage »

Le paiement d’une transaction via internet, en utilisant sa carte bancaire, est une opération de plus en plus courante. Bien que les banquiers aient conçu des dispositifs pour la sécuriser au maximum, elle n’est pas dénuée de risque. Le consommateur doit rester prudent au risque de devoir supporter, s’il se révèle particulièrement naïf, les débits liés à une opération de paiement qu’il a réalisée à la suite d’une pratique d’« hameçonnage » (ou phishing) dont il a été victime, autrement dit d’une technique frauduleuse visant à récupérer des données personnelles – notamment bancaires – sur internet, le demandeur se présentant comme une source de confiance (banque, administration fiscale, etc.).

C’est le système de sécurisation des paiements sur internet « 3D Secure » qui est ici en cause. Il a été créé par les émetteurs internationaux Visa et MasterCard et mis en place en France en 2008. Le principe sur lequel il repose est simple : au moment du paiement effectué à l’aide de sa carte bancaire sur internet, précisément dans l’espace de règlement de la commande du bénéficiaire du paiement (généralement un vendeur ou un prestataire de service), il faut saisir les informations de paiement habituelles suivantes : numéro de carte, date d’expiration de celle-ci, cryptogramme visuel (à savoir les trois chiffres figurant au dos de la carte). Puis l’acheteur est redirigé sur le site de son établissement bancaire (ou plus précisément sur la page de sécurisation des paiements par internet de sa banque), sur lequel, pour que la banque valide le paiement, il doit s’authentifier, autrement dit confirmer qu’il est bien le titulaire de la carte bancaire utilisée pour le paiement. Il doit, à cette fin, reporter sur le site de la banque un code de sécurité à usage unique, à six ou huit chiffres, que celle-ci lui aura envoyé par SMS une fois qu’il aura passé la commande sur le site du cybermarchand. La banque déclenche alors le paiement au profit du bénéficiaire en transférant le montant de la transaction au banquier de celui-ci (lequel va crédit son compte). En même temps, elle va débiter le compte de son client d’un montant équivalent.

Dans l’affaire jugée, le scénario ne se déroule pas comme prévu. La cliente d’une banque a reçu, sur son téléphone portable, deux messages lui communiquant un code à six chiffres « 3D Secure », destiné à valider deux paiements par internet, mais qu’elle n’avait en réalité pas réalisés. Elle se rend compte très rapidement que ces codes n’auraient pas dû lui parvenir, car elle n’a effectué aucune transaction via internet. Aussi a-t-elle, le même jour, fait opposition à sa carte bancaire auprès de sa banque. Elle lui a ensuite demandé de lui rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral. La banque refuse. Un tel refus est-il justifié ?

La règle est posée par l’article L. 133-19 du code monétaire et financier : « En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur [c’est-à-dire le titulaire de la carte] supporte, avant l’information prévue à l’article L. 133-17 [l’opposition adressée par le titulaire de la carte à sa banque], les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 € […] ». Toutefois, « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». Selon l’article L. 133-16, « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (l’ordonnance n° 2017-1252 du 9 août 2017, en vigueur à compter du 13 janvier 2018, a remplacé cette expression par celle de « données de sécurité personnalisées ». Elle a également abaissé le montant de la franchise, c’est-à-dire le plafond à partir duquel le banquier suppose les pertes liées à l’utilisation illicite de la carte bancaire, à 50 €).

Y avait-il eu négligence grave de la cliente, en l’occurrence ? C’était ce que prétendait la banque, afin de faire peser l’entière responsabilité des paiements frauduleux sur sa cliente. La jurisprudence, peu abondante sur le sujet, tend à retenir une conception restrictive de la notion de négligence grave, solution qui est favorable aux intérêts du client de la banque. La négligence grave a cependant pu être retenue dans une hypothèse où la banque a reproché à son client de n’avoir pas préservé la sécurité de sa carte et de son code confidentiel (Com. 17 mai 2017, n° 15-28.209, CCE 2017, n° 77, obs. E. Caprioli ; v. égal. Com. 31 mai 2016, n° 14-29.906, D. 2016. 2305, obs. D. R. Martin et H. Synvet ; JCP E 2016, n° 1450, note J. Lasserre Capdeville). Dans notre affaire, la banque a logiquement soutenu devant une juridiction de proximité la négligence grave de sa cliente. Précisément, elle soutient que celle-ci ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant – à qui elle a donc répondu également par courriel – des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte. La cliente avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. L’argument ne convainc pas la juridiction de la proximité, qui, écartant le grief de négligence grave, condamne la banque à payer à sa cliente la somme de 3 300,28 € en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 € à titre de dommages-intérêts. Le jugement retient que, si la cliente a effectivement communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du code monétaire et financier.

Le jugement est cassé. Pour la Cour de cassation, « en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale [au regard des articles L. 133-16 et L. 133-19 du code monétaire et financier] ». La cassation est sévère, mais celle-ci étant intervenue pour défaut de base légale, sa portée s’en trouve réduite. Elle ne signifie nullement que, si un client permet à un usurpateur, par sa négligence, de prendre connaissance des données relatives à sa carte bancaire et du code 3D Secure que lui adressé sa banque, elle a, en toutes circonstances, commis une négligence grave la rendant responsable du paiement frauduleux pour la totalité de son montant. Les juges du fond – et, en l’occurrence, le tribunal d’instance de Dunkerque désigné comme juridiction de renvoi – sont tenus de rechercher si le client victime d’un hameçonnage avait eu conscience ou non du caractère frauduleux qu’il a reçu et l’invitant à communiquer ses données bancaires. C’est seulement s’il n’a pas eu conscience de cette fraude que la banque doit supporter – sous réserve de la franchise de 150 € (et bientôt de 50 €) – la charge du paiement frauduleux. Le débat se déplace sur le terrain de la « conscience » du client. Doit-elle s’apprécier in abstracto (au regard du caractère averti du client, compte tenu notamment de son expérience, ses diplômes, etc.) ou in concreto (au regard du contexte, des circonstances de l’espèce) ? La deuxième thèse nous semble, au regard de la rédaction de l’attendu de la Cour de cassation, devoir être privilégiée. La conscience de la fraude dépend probablement des caractéristiques du courriel adressé par le phisher au client de la banque. Était-il parfaitement crédible ou, à l’inverse, un client normalement avisé était-il tenu de se rendre compte de son caractère frauduleux, notamment parce qu’il était truffé de fautes d’orthographe ou parce qu’il émanait d’un organisme qui, en réalité, n’existe pas ? Ce sont, à notre avis, de telles considérations que le juge doit prendre en compte pour retenir ou écarter la négligence grave du titulaire de la carte bancaire. Cela risque de déboucher sur une jurisprudence casuistique, mais pas systématiquement défavorable aux intérêts du banquier.