Actualités

Selon la Cour de cassation, vous pouvez être responsable en cas de vol de vos données bancaires !

Le phishing ou hameçonnage consiste à envoyer à un particulier un courriel lui demandant de confirmer ses données bancaires ou le redirigeant vers un site qui semble être de confiance et sur lequel il lui est demandé ces données, au prétexte, notamment, d'obtenir un remboursement ou de finaliser une transaction récemment réalisée.

Il est déjà établi que, si le prestataire de services de paiement doit s'assurer que les dispositifs de sécurité personnalisés des instruments de paiement qu'il délivre ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé à utiliser l'instrument (article L. 133-15, I du Code monétaire et financier), l'utilisateur doit, quant à lui, prendre toute mesure raisonnable pour préserver la sécurité de ces dispositifs (article L. 133-16 CMF).

En cas d'opération de paiement non autorisée signalée par l'utilisateur, le prestataire de services de paiement rembourse immédiatement au payeur le montant de l'opération non autorisée (article L. 133-18 CMF).

Dans ce cadre, le payeur ne supporte toutes les pertes occasionnées que si elles résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave à son obligation de préserver la sécurité des dispositifs de sécurité personnalisés et d'informer le prestataire en cas de perte, de vol, de détournement ou de toute utilisation non autorisée (article L. 133-19, IV CMF).

Afin de savoir si l’utilisateur peut prétendre à un remboursement, il convient donc d’apprécier son comportement. Il est cependant à rappeler que c’est à la banque de prouver la faute de l’utilisateur.

En l’espèce, l’utilisatrice avait été victime de phishing. Elle avait répondu à un mail se présentant comme émanant de son opérateur téléphonique en communiquant des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d'expiration et cryptogramme figurant au verso de la carte.

La banque avait alors refusé sa demande de remboursement au motif qu'elle avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. Le juge de proximité avait donné raison à la cliente.

Dans l’arrêt rendu le 25 octobre 2017, la chambre commerciale de la Cour de cassation a jugé que la juridiction de proximité avait privé sa décision de base légale en ne  recherchant pas, au regard des circonstances de l’espèce, si la cliente n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué autant d’informations ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du Code monétaire et financier.

Bien que la seule évocation d’une hypothèse de phishing ne suffise pas à prouver la négligence du titulaire de la carte, cet arrêt doit appeler les utilisateurs à une certaine vigilance.