Le remboursement n’est pas automatique

Dans un arrêt rendu récemment, la Cour de cassation donne une nouvelle fois raison à un établissement bancaire qui refuse de rembourser une victime d'hameçonnage (ou phishing). Cette fois, la haute juridiction statue sur la négligence grave de monsieur X., client du Crédit mutuel de Beauvais, qui a fourni à une personne malveillante ses données personnelles, pensant répondre à un courrier électronique de sa banque, très bien imité.

Cette personne a en effet reçu trois messages, censés provenir du Crédit mutuel, logo très bien falsifié à l'appui, lui demandant de transmettre ses données bancaires et ses codes d'accès. Il s'est exécuté, pensant bien faire, et a même demandé à sa banque de lui fournir une nouvelle carte de clés personnelles pour renseigner correctement le prétendu « certificat de sécurité ». Les escrocs qui se cachaient derrière ce courrier ont alors effectué des achats en ligne par carte bleue pour un montant de 2 731,98 €, parvenant à se procurer le code 3D-Secure pourtant envoyé sur le téléphone personnel de la victime, et un virement de 4 500 € sur son livret bleu.

La cour d'appel d'Amiens a précisé qu'il n'y avait pas négligence dans la mesure où monsieur X., qui se connectait rarement au site de sa banque, n'a pas vu les messages de mise en garde contre le phishing et n'était pas à même de détecter le contenu malveillant (adresses de l'expéditeur différentes et fautes d'orthographe), arguant de la « totale naïveté » du plaignant. Elle a ainsi condamné le Crédit mutuel de Beauvais à procéder au remboursement intégral des opérations frauduleuses.

La Cour de cassation vient casser et annuler ce jugement, au titre des articles L. 133-16 et L. 133-19 du code monétaire et financier. Ce dernier article stipule notamment que le payeur « supporte toutes les pertes occasionnées par des opérations de paiement non autorisées » en cas de négligence grave. La haute juridiction indique que le client a manqué « à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (article L. 133-16). Elle juge qu'il y a négligence grave car l'utilisateur a transmis des données personnelles, alors même que le message contenait des indices concernant son caractère frauduleux, « peu important qu'il soit, ou non, avisé des risques d'hameçonnage ». L'affaire est renvoyée devant la cour d'appel de Rouen.

Cette décision rappelle que l'acquittement des personnes victimes d'actes bancaires illicites à la suite d'une opération de phishing n'est pas automatique. Si la banque parvient à prouver la négligence du client, elle n'est pas tenue de le rembourser.