Phishing : négligence fautive du client de la banque

Attention à ne jamais répondre à un mail inattendu de votre banque (ou supposé telle) : dans une décision du 28 mars 2018, la Cour de cassation a retenu la négligence grave du client victime de phishing, pour écarter la responsabilité de la banque.

Les voyageurs d'affaires ont tout intérêt à lire les mails qu'ils reçoivent dans le détail et à traquer les incongruités, c'est ce que nous rappelle la DGCCRF dans la Lettre du Service public. Dans une récente affaire, un client réclamait à sa banque le remboursement des sommes débitées sur ses comptes. Il invoquait le caractère frauduleux des paiements par carte bancaire et par virement.

La banque s'était opposée à ses demandes en lui reprochant une négligence grave dans la garde et la conservation de ses données personnelles du dispositif de sécurité des instruments de paiement. Le client avait reçu des courriels portant le logo parfaitement imité de sa banque, accompagnés d'un "certificat de sécurité à remplir attentivement" qu'il avait scrupuleusement renseignés. Il avait même demandé à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat.

La cour d'appel avait ordonné le remboursement des sommes au client, considérant que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices comme les fautes d'orthographe du message, étaient de nature à l'alerter.

Mais l'arrêt est cassé. La Cour de cassation a considéré que le client avait commis une négligence grave. Pour la Cour, l'utilisateur d'un service de paiement qui communique les données personnelles du dispositif de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité.

Les textes de référence : Cour de cassation, Chambre commerciale, 28 mars 2018, 16-20018

Et aussi : Phishing (ou hameçonnage) : la banque doit prouver que le client a agi frauduleusement ou a été négligent