Arnaque au « phishing » : qui doit en supporter les coûts ?

05/05/2017

En cas de fraude bancaire, il appartient à la banque, responsable de la sécurité des dispositifs de sécurité personnalisés, d'indemniser la victime, conformément à l'article L.133-18 du Code monétaire et financier. Toutefois, la banque peut être exonérée de cette responsabilité, notamment si elle démontre que son client n'a pas satisfait intentionnellement ou par négligence grave à ses obligations, ce dernier étant tenu, conformément à l'article L.133-16 du Code monétaire et financier de prendre « toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ».

 

Se pose actuellement la question de la responsabilité en matière de « phishing » (ou hameçonnage) qui est, pour rappel, une technique d'arnaque en vogue consistant à envoyer un mail frauduleux, semblant émaner d'un tiers de confiance (par exemple une banque ou un organisme public), à une personne afin de lui soutirer des informations confidentielles, tel qu'un identifiant, un mot de passe, ou des coordonnées bancaires. A priori, il peut être considéré que le client répondant à un tel mail commet une négligence dont il doit porter la responsabilité. Mais encore faut-il que l'organisme bancaire en fasse la démonstration.

 

Par un arrêt en date du 18 janvier 2017, la chambre commerciale de la Cour de cassation est venue se prononcer sur cette problématique, et plus spécialement sur la charge de la preuve de l'organisme bancaire.

 

En l'espèce, le litige opposait une personne victime d'une fraude bancaire qui demandait à sa banque de rembourser les montants concernés. La banque ayant refusé de procéder au remboursement, le client l'a alors assigné en paiement.

 

Pour sa défense, la banque invoquait le fait que le client aurait commis une faute en divulguant à un tiers des informations confidentielles, évoquant la probabilité d'un phishing. En première instance, le Tribunal de proximité a accédé à la demande du client. L'organisme bancaire a donc formé un pourvoi en cassation.

 

La chambre commerciale de la Cour de cassation a rejeté le pourvoi, approuvant le raisonnement des juges du fond. En effet, il revenait à la banque de prouver que son client avait divulgué ses identifiants bancaires à un tiers « de manière intentionnelle, par imprudence ou par négligence grave ». Estimant que la banque ne rapportait pas cette preuve en l'espèce, c'est à raison que les juges ont condamné la banque à rembourser son client des sommes détournées.

 

L'équipe LANGLAIS Avocats (Nantes-Paris)

 

Pour plus d'informations, consultez notre plateforme www.yoonozelo.com