Le phishing est une pratique consistant à soutirer des informations personnelles (notamment les informations de cartes bancaires) à des internautes en leur envoyant un courriel usurpant l’identité d’une banque ou d’un fournisseur de services en ligne ou d’un site marchand. Les utilisateurs peu avertis ou faisant preuve de négligence peuvent ainsi être amenés à transmettre des données telles que leurs informations de carte bancaire, permettant aux auteurs du phishing de faire des achats en ligne à leur insu.

La Cour de cassation a rendu, le 03 octobre 2018, un arrêt relatif à la demande de remboursement formulée par un homme, victime de phishing, auprès de son établissement bancaire.

Quels sont les faits ?

Un individu répond à un courrier d’hameçonnage (ou phishing). Des achats sont ensuite réalisés en ligne avec ses informations de carte bancaire. L’individu conteste avoir autorisé ces achats et assigne la Caisse de crédit mutuel de Pernes-en-Artois en remboursement des sommes ainsi dépensées. Supposant que cette dernière n’est pas en charge des services informatiques ayant permis d’effectuer les paiements, il assigne conjointement le Crédit mutuel Nord Europe. 

La juridiction de proximité de Béthune a condamné les établissements à rembourser au client le montant des opérations de paiement contestées. Les établissements bancaires forment un pourvoi devant la Cour de cassation (l’appel des décisions des juridictions de proximité n’étant possible que pour des demandes indéterminées, c’est-à-dire n’ayant pas pour objet le versement d’une somme d’argent).

Quels sont la décision et le raisonnement de la Cour de cassation ?

La Cour de cassation reproche à la juridiction de proximité de n’avoir pas recherché si le fait pour l’individu de répondre à un courrier d’hameçonnage (ou phishing) ne résultait pas d’une négligence grave, caractérisant un manquement à ses obligations découlant de l’article 133-16 du Code monétaire et financier. Elle casse donc le jugement de proximité pour défaut de base légale.

En outre, la Cour de cassation affirme que l’individu ne pouvait pas demander remboursement du montant des opérations de paiements contestés à la Caisse fédérale du Crédit mutuel Nord Europe. En effet, selon la Cour, il résulte de l’article 133-18 du Code monétaire et financier que « seul le prestataire de services de paiement contractuellement lié au payeur est seul tenu de rembourser à ce dernier, en application du texte susvisé, le montant des opérations non autorisées ».

Quel est l’impact de cette décision ?

Concernant la négligence grave du titulaire de la carte de paiement, la décision de la Cour de cassation s’inscrit dans une tendance jurisprudentielle démontrant une particulière sévérité envers les personnes transmettant volontairement leurs informations de carte bancaires, y compris en cas de pratiques d’hameçonnage.

Dans une affaire similaire, la Cour de cassation a jugé dans un arrêt du 25 octobre 2017 (Com. 25 oct. 2017, F-P+B+I, n°16-11.644) qu’il y avait défaut de base légale puisque la juridiction de proximité n’avait pas recherché si le fait pour la cliente « d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte,ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ».

En outre, la Cour de cassation a eu l’occasion de se prononcer à nouveau sur le sujet dans un arrêt du 28 mars 2018 (Com. 28 mars 2018 n° 16-20.018) aux termes duquel elle casse l’arrêt de la Cour d’appel d’Amiens qui avait écarté la négligence grave du titulaire de la carte de crédit ayant délivré ses informations bancaires à la suite d’un courrier d’hameçonnage. La cassation n’intervient plus pour simple défaut de base légale,mais bien pour violation des articles L.133-16 et L.133-19 du Code monétaire et financier.

Cet arrêt du 03 octobre 2018 peut donc bien s’interpréter comme confirmant une tendance particulièrement sévère de la Cour de cassation à l’égard du titulaire d’une carte de crédit délivrant ses informations de paiement à la suite d’un courrier d’hameçonnage. Ces faits caractérisent la plupart du temps une négligence grave contrevenant à l’obligation de « prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » (article L.133-16 du Code monétaire et financier).

Concernant l’assignation du Crédit Mutuel Nord Europe, la Cour de cassation fait ici une stricte application de l’article 133-18 du Code Monétaire et financier qui ne désigne que « le prestataire de service de paiement ». L’action en remboursement ne peut donc être portée qu’à l’encontre du seul prestataire de service de paiement contractuellement lié au payeur.