Obligation de vigilance en cas de paiement en ligne

Obligation de vigilance en cas de paiement en ligne

La Cour de cassation a récemment renforcé l’obligation de vigilance pesant sur l’internaute ayant donné des informations relatives à sa carte bancaire à une personne malveillante.

Cette négligence fautive, lorsqu’elle est démontrée, prive la victime de la possibilité d’obtenir de la banque le remboursement des sommes indûment prélevées sur son compte.

Cass. com., 25 octobre 2017

Paiement en ligne frauduleux : cas d’espèce

Les faits

Le phishing est une technique d’obtention de données personnelles, notamment coordonnées bancaires, par l’envoi d’emails frauduleux par des personnes malveillantes. Ces dernières se présentent sous une fausse identité, telle qu’une grande société ou un organisme bancaire.

En l’espèce, une personne victime de phishing a sollicité de sa banque le remboursement des sommes indûment prélevées sur son compte. En effet, elle avait répondu à un email prétendument adressé par son opérateur de téléphonie mobile. Et avait ainsi renseigné ses coordonnées bancaires, à l’exception de son code confidentiel.

Alertée par la réception de deux SMS l’invitant à communiquer le code 3D Secure pour valider des commandes qu’elle n’avait pas passées, Mme X a immédiatement fait opposition auprès de sa banque.

Mais celle-ci a refusé de rembourser à Mme X les sommes indûment prélevées sur son compte. Sans pour autant contester le fait que le paiement n’avait pas été autorisé par Mme X.

La banque se prévalait de la combinaison des articles L.133-16 et L.133-19 du Code monétaire et financier pour justifier son refus.

L’article L.133-16 du Code monétaire et financier dispose : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. »

L’article L.133-19 du même code précise en son dernier alinéa : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133- 17« .

La juridiction de proximité n’a pas suivi l’argumentation de la banque et tranche en faveur de la victime.

La décision de la Cour de cassation

Mais la Cour de cassation annule la décision des juges du fond.

La première décision avait retenu que si la victime avait bien communiqué volontairement les informations relatives à sa carte de paiement, celles-ci avaient été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure.

De sorte qu’il ne pouvait lui être reproché de ne pas avoir respecté les dispositions de l’article L.133-16 du Code monétaire et financier.

Mais pour la Cour de cassation, les juges du fond auraient dû rechercher si Mme X n’avait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux. Et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L.133- 16 du Code monétaire et financier.

Paiement en ligne frauduleux : analyse

Prouver sa vigilance

La victime de phishing doit rapporter par tous moyens la preuve de ce qu’elle n’a pas commis de négligence grave à l’occasion de la communication de ses coordonnées bancaires. Et qu’elle pouvait légitimement penser que la demande de transmission de ces informations était licite.

Faisceau d’indices

Le juge appréciera souverainement le contenu et la « qualité » de l’email ou du site frauduleux afin de déterminer si la personne pouvait légitiment croire en son authenticité.

Il s’appuiera pour cela sur plusieurs indices.

Par exemple, en l’espèce, l’email ne comportait aucun nom de destinataire, ni d’expéditeur. Par ailleurs, il y figurait un numéro de facture erroné, outre la mention d’un rejet ou d’un impayé alors même que le compte de la victime était créditeur.

Ce sont autant d’éléments susceptibles de faire présumer la négligence grave de l’article L.133-19 du Code monétaire et financier.

Conséquence : absence de remboursement

Selon l’article L.133-18 du Code monétaire et financier, lorsqu’un paiement non autorisé est effectué, la banque du payeur rembourse immédiatement à ce dernier le montant de l’opération non autorisée. Ainsi, le remboursement est en principe automatique.

Cependant, en cas de négligence grave de la part du payeur, il devra en supporter toutes les conséquences financières comme nous venons de l’aborder plus haut.

En l’espèce, les juges du fond estimaient que l’obligation de vigilance était respectée du fait de la non communication du code confidentiel et du code 3D secure.

Mais la chambre commerciale a considéré, quant à elle, que la victime avait commis une négligence grave car elle aurait dû avoir conscience de la fraude.

Cette solution semble sévère. En effet, il parait compliqué pour un profane, dans une société de plus en plus numérisée, de distinguer un courriel frauduleux d’un courriel authentique.

Par ailleurs, la chambre commerciale s’écarte de ces décisions précédentes en matière de phishing. Dans un arrêt du 18 janvier 2017, elle avait estimé que le remboursement des sommes soustraites était dû par la banque même si le client était tombé dans le piège de l’escroc.

On peut donc se demander s’il s’agit là, d’une décision ponctuelle. Ou si la Cour de cassation a pour objectif de durcir la responsabilité des victimes de phishing dans le but de développer une vigilance accrue des particuliers aux fraudes dont ils peuvent faire l’objet.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*