La banque qui n’apporte pas la preuve d’un phishing doit rembourser son client : Chambre commerciale 18 janvier 2017.

Article publié le 24 janvier 2017

 

Dans cette affaire, le Crédit Mutuel de Wattignies avait refusé de rembourser la somme de 838€ correspondant à trois achats en ligne d’un de ses clients. Selon la banque, la personne avait possiblement commise une faute en transmettant des informations confidentielles permettant l’exécution de ces opérations à un tiers. La personne victime, titulaire d’un compte au sein du Crédit Mutuel, avait contesté les trois opérations effectuées, qui étaient selon elle, frauduleuses, et en demandait le remboursement à la caisse du crédit mutuel. Le client, Monsieur X, avait donc assigné la Caisse du Crédit Mutuel en paiement/remboursement de la somme perdue.

La juridiction de proximité de Lille, saisie du litige, avait alors condamné le crédit Mutuel de Wattignies par un jugement en date du 17 mars 2015 rendu en dernier ressort.

En effet, pour la juridiction, la preuve que Monsieur X avait dévoilé ses données personnelles n’était pas rapportée par la Caisse. Celle-ci avait donc commis un manquement à ses obligations contractuelles en transmettant à un tiers, un code de confirmation pour valider les opérations non-désirées.

Le crédit Mutuel a donc formé un pourvoi en cassation contre ce jugement de la juridiction de proximité de Lille.

La caisse du crédit mutuel se bornait ici à évoquer l’hypothèse d’un hameçonnage en avançant le fait que M. X avait possiblement répondu à un courriel frauduleux qu’il pensait émaner de ladite Caisse et avait ainsi renseigné un certain nombre de points, correspondant à ses données personnelles.

Le principe du phishing est de récupérer des données personnelles sur interne de manière frauduleuse. Le moyen utilisé est l’usurpation d’identité, adaptée au support numérique. L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). L’adresse URL du lien comprise dans le mail est également « masquée » afin de paraître authentique.

Les juges de la chambre commerciale, dans cet arrêt du 18 janvier 2017, ont rejeté le moyen avancé par la Caisse du Crédit Mutuel pour défaut de fondement.

Ils ont ainsi rappelé que selon les articles L. 133-16/ L. 133-17 du Code monétaire et financier, si c’est à l’utilisateur des moyens de paiements de prendre des mesures raisonnables tendant à préserver la sécurité du dispositif de sécurité, celui-ci devait ensuite prévenir sans tarder son prestataire de l’utilisation non-autorisée de l’instrument de paiement ou des données.

Cependant, c’est à ce prestataire de rapporter la preuve qu’il y a eu un agissement frauduleux de l’utilisateur ou qu’il n’a pas satisfait à ses obligations par négligence ou volonté.

Les juges du droit ont ajouté que cette preuve ne pouvait se déduire du seul fait que les instruments/données aient effectivement été utilisées.

Ainsi, la preuve d'une intention frauduleuse dans la divulgation des données personnelles ne pouvant être rapportée, la Caisse du Crédit Mutuel devait donc rembourser la somme perdue.

Rappelons que la Cour de cassation est compétente en premier et en dernier ressort lorsque la décision rendue n'est pas susceptible d'appel parce que l'intérêt du litige concerne une créance dont le montant est inférieur à 4 000€.

Dans cette décision, la Cour de cassation a donc eu l’occasion de rappeler qu’il revient au prestataire de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence à ses obligations.

Ainsi, une banque ne peut seulement invoquer l’hypothèse d’un hameçonnage pour éviter d’engager sa responsabilité, mais doit prouver que son client a bien été victime d’une telle action sans quoi elle se devra de rembourser son client.

Cette décision est à rapprocher de la lignée jurisprudentielle de la première chambre civile (exemple de l’arrêt du 28 mars 2008) ou encore de la lignée de la chambre commerciale (arrêt du 21 septembre 2010). Cette décision, tout comme la lignée jurisprudentielle est en effet en faveur du consommateur.

Jordy SASSUS-BOURDA

Sources :

Chambre commerciale, arrêt du 18 janvier 2017 n°15-18.108

M. REES "Pour la Cour de cassation, c’est à la banque de prouver une arnaque par phishing", NEXTINPACT, 19/01/2017M. REES "Pour la Cour de cassation, c’est à la banque de prouver une arnaque par phishing", NEXTINPACT, 19/01/2017

Définition de l'hameconnage/phishing de la DGCCRF

 

 
  • 1 vote. Moyenne 5 sur 5.

Ajouter un commentaire