En cas de négligence avérée, la banque ne rembourse pas

L’arnaque au phishing est classique. Madame X. reçoit un courrier électronique censé provenir de SFR, son opérateur téléphonique, indiquant qu’à la suite d’un impayé ou d’un rejet, elle doit fournir ses coordonnées bancaires mais aussi des informations relatives à son compte SFR. Bien mal lui a pris de s’exécuter, puisque derrière l’expéditeur se cachait une personne malveillante qui a utilisé ces données pour effectuer des achats d’un montant de 3 300,28 €. La victime a pourtant fait opposition sur sa carte bancaire dès qu’elle a reçu un SMS de sa banque (le Crédit mutuel de Calais), contenant un code « 3D Secure » pour valider deux paiements sur Internet qu’elle n’avait jamais réalisés. Trop tard. L’escroc, grâce aux éléments préalablement reçus, avait pu mettre en place un renvoi automatique des messages envoyés par la banque.

Négligence grave soutenue par la Cour de cassation

Si la juridiction de proximité de Calais a indiqué qu’il n’y avait pas eu de négligence de la part de la victime, dont les informations ont été détournées à son insu, la Cour de cassation a jugé que cette absence de négligence n’a pas été suffisamment établie. Ainsi, la haute juridiction estime qu’il y a eu négligence grave dans l’hypothèse où madame X. a avoué avoir transmis ses données personnelles suite à un mail ostensiblement frauduleux. Par son arrêt du 25 octobre 2017, elle casse alors le jugement qui avait requis l’indemnisation par la banque. Elle considère que la juridiction de proximité n’a pas pris tous les éléments nécessaires en compte dans sa décision. La plus haute juridiction s’appuie notamment sur l’article 133-16 du code monétaire et financier, qui prévoit que « l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ». Elle précise que le courrier électronique de phishing comportait de nombreux éléments d’alerte (aucun nom de destinataire ni d’expéditeur, un numéro de facture erroné, la mention d’un impayé ou d’un rejet alors que le compte de madame X. était créditeur). L’affaire est alors renvoyée au tribunal d’instance de Dunkerque.

Par cette décision, la Cour de cassation énonce qu’un établissement bancaire n’est pas nécessairement tenu de rembourser une victime d’hameçonnage et donne raison au Crédit mutuel Nord Europe, précédemment condamné pour n’avoir pas respecté, à maintes reprises, l’obligation de rembourser ses clients en cas de fraude. Pour en être exemptée, la banque doit prouver la négligence du client. Dans le cas présent, l’aveu d’envoi de données personnelles mais aussi le caractère grossier du courrier électronique apportent cette preuve, ce pourquoi cet arrêt ne devrait pas créer un revirement de jurisprudence.