La Cour de cassation se prononce sur la négligence grave du client d’une banque dans la garde de ses données bancaires (1).
Le client d’une banque a été victime d’une opération de phishing (hameçonnage) et a dévoilé, à cette occasion, l’ensemble de ses coordonnées bancaires. Le logo, utilisé pour induire en erreur la victime, était parfaitement imité. En revanche, il existait des indices susceptibles de créer un doute sur l’origine des courriels, notamment des fautes d’orthographe et des changements d’adresse internet. Suite à cette opération de phishing, 7.000 euros ont été débités des comptes de la victime.
Invoquant le caractère frauduleux des paiements et virements effectués, celle-ci a demandé à sa banque de lui rembourser les sommes correspondantes. Cette dernière a refusé, arguant de la négligence grave de son client dans la garde et la conservation de ses données bancaires.
Par un arrêt rendu le 19 avril 2016, la Cour d’appel d’Amiens a jugé que le fait, pour un client normalement attentif, de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus lors de l’opération de phishing, n’était pas constitutif d’une négligence grave. La banque en cause s’est pourvue en cassation contre cet arrêt.
La charge de la preuve de la négligence grave repose sur le prestataire
Par un arrêt du 28 mars 2018 (1), la chambre commerciale de la Cour de cassation a tout d’abord jugé que, s’il appartenait à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, sur le fondement des articles L. 133-16 et L. 133-17 du Code monétaire et financier, la charge de la preuve de la méconnaissance, intentionnelle ou résultant d’une négligence grave, de cette obligation reposait sur le prestataire de services de paiement, sur le fondement des articles L. 133-19 et L. 133-23 du code précité.
La négligence grave caractérisable par la provenance douteuse du courrier électronique
La chambre commerciale a ensuite jugé, dans un attendu de principe, que manquait, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communiquait les données personnelles de ce dispositif en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance. Elle a ajouté que peu importait que cet utilisateur ait été ou non avisé des risques de phishing.
Dès lors, la cour a annulé l’arrêt frappé de pourvoi et a renvoyé l’affaire devant la cour d’appel de Rouen.
Cet arrêt s’inscrit dans la droite lignée de la jurisprudence de la Cour de cassation qui tend à renforcer l’obligation incombant aux utilisateurs de préserver la sécurité de leurs données de sécurité personnalisées (2), dans un contexte d’augmentation croissante des opérations de phishing.
Raphaël Liotier
Lexing Contentieux numérique – Presse et pénal
(1) Cass. com. 28-03-2018 n° 16-20.018
(2) Cass. com. 25-10-2017 n° 16-11.644