Le 28 mars 2018, la chambre commerciale de la Cour de cassation a confirmé son appréciation plus sévère de la situation des victimes qui divulguent des informations de paiement confidentielles à un tiers malveillant et lui permettent ainsi d’utiliser leur moyen de paiement électronique (Cass., Com., 28 mars 2018, n°16-20018).
Elle confirme ainsi une série de jurisprudence relative aux informations bancaires confidentielles et au phishing. Si cette décision s’inscrit dans un domaine particulier, elle pourrait cependant laisser pressentir un durcissement généralisé de l’attitude des juges à l’égard des victimes de phishing.
Mathias Avocats fait le point pour vous.
Qu’est-ce que le phishing ?
Le phishing, ou hameçonnage, est défini par l’Agence nationale de la sécurité des systèmes d’information (Anssi) comme un « vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.« .
Par exemple, il peut s’agir d’un courrier électronique émanant d’un interlocuteur perçu comme étant de confiance indiquant à son destinataire qu’il doit communiquer des informations sensibles. Dans de nombreux cas, le courrier électronique invite le destinataire à sélectionner un lien pour renseigner ces informations, qui le redirige vers un site ressemblant en tout point au site de confiance, mais permettant en réalité au tiers malveillant de récupérer les informations fournies.
Le plus souvent, un examen attentif du courrier électronique révèle son caractère frauduleux : l’adresse électronique de l’émetteur est erronée, il comporte de nombreuses fautes d’orthographe, la demande est inhabituelle, etc. Cependant et bien qu’il s’agisse d’une technique relativement connue, de nombreux utilisateurs sont régulièrement victimes d’hameçonnage.
Quels sont les faits ?
En espèce, le client d’une banque a reçu plusieurs courriers électroniques successifs portant le logo « parfaitement imité » de son établissement bancaire comprenant un « certificat de sécurité à remplir attentivement ». Le client l’a scrupuleusement renseigné, allant même jusqu’à demander à sa banque la communication d’informations complémentaires afin de renseigner intégralement le certificat litigieux.
Par la suite, le ou les tiers malveillant(s) à l’origine des courriers électroniques ont utilisé les informations communiquées par leur victime pour utiliser le service de paiement électronique sécurisé qui lui étair fourni par la banque, et procéder à divers achats.
Le client a alors demandé à sa banque de lui rembourser les sommes débitées frauduleusement, en application de l’article L.133-24 du Code monétaire et financier. Ce texte dispose qu’en principe, l’opérateur de service de paiement doit rembourser l’utilisateur en cas d’opération de paiement non autorisée.
La banque a refusé, en indiquant qu’en vertu de l’article L.133-19, IV du même Code, elle n’avait pas à procéder au remboursement si l’utilisateur n’a pas satisfait à son obligation de protéger ses informations confidentielles de paiement par « négligence grave ».
La banque estimait en effet qu’en répondant aux courriels d’hameçonnage et en fournissant toutes les informations confidentielles destinées à sécuriser le moyen de paiement électronique, le client avait fait preuve d’une négligence grave. Le client estimait quant à lui qu’il ne pouvait détecter la fraude, n’étant pas avisé des techniques d’hameçonnage.
Le client n’utilisait « quasiment jamais » le site de la banque et n’avait donc pas pris connaissance de ses avertissements sur les risques posées par le phishing. La banque même reconnaissait que « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices » était de nature à l’interpeller sur le caractère frauduleux du message, ce à quoi un client non avisé n’était pas nécessairement sensible.
La Cour d’appel d’Amiens avait jugé qu’au vu du caractère peu informé du client, n’était pas constitutif d’une négligence grave le fait pour lui de ne pas détecter les indices présents dans le courriel. Elle avait effectué une appréciation dite in concreto, c’est-à-dire par rapport à la personne du client et à ses connaissances, pour déterminer s’il y avait eu de sa part négligence grave.
La Cour de cassation précise ici la manière dont doit être apprécié la négligence de la victime.
Un aménagement progressif de la charge de la preuve en cas de phishing
Il pèse sur le prestataire du service de paiement de prouver la négligence grave de l’utilisateur. Le juge rappelle qu’il n’est pas possible de déduire du simple fait que les identifiants sécurisés du client ont été utilisés par le tiers malveillant que le client a commis une négligence grave.
Il reviendra donc toujours à la banque, dans un premier temps, d’établir que le tiers malveillant ayant utilisé le moyen de paiement électronique a obtenu les informations via une tentative réussie de phishing. Faute d’établir que le client a divulgué à un tiers ses informations, il n’est pas possible d’établir de négligence grave de sa part. La Cour de cassation s’était déjà prononcée en ce sens dans un arrêt de la chambre commerciale du 28 janvier 2017 (Cass. Com., 28 janvier 2017, n°15-18102).
Dans un arrêt du 25 octobre 2017, cette même chambre indiquait qu’une fois la matérialité du hameçonnage établi, la juridiction du fond devait rechercher si la victime du phishing aurait pu avoir conscience du caractère frauduleux du courriel litigieux et si le fait pour elle de communiquer ses informations ne constituait pas une négligence grave (Cass. Com., 25 octobre 2017, n°16-11644).
Quelle est la position de la Cour de cassation sur le phishing ?
Dans la décision du 28 mars 2018 précitée, la chambre commerciale de la Cour de cassation rejette le raisonnement de la Cour d’Appel, qui avait pris en compte la situation du client. Le juge indique ainsi que pour apprécier s’il y a ou non négligence grave au sens de l’article L.133-19 du Code monétaire et financier, il ne faut pas déterminer si la victime a été attentive par rapport à ses propres capacités, mais si elle l’a été par rapport à un utilisateur moyen normalement attentif, dans le cadre d’une appréciation dite in abstracto.
La Cour de cassation indique ainsi que peu importe qu’en l’espèce le client n’accède jamais au site internet de la banque, qu’il ne soit pas avisé des risques du phishing ou qu’il ne dispose pas de compétences numériques poussées.
Le juge doit déterminer si dans les faits, un utilisateur moyen, raisonnablement attentif, aurait pu douter de la provenance des courriers électroniques litigieux.
En l’état actuel de la jurisprudence, à partir du moment où la banque établit qu’il y a eu hameçonnage à l’origine du détournement du moyen de paiement, la Cour de cassation juge qu’il y a eu une négligence grave de la part de l’utilisateur du service de paiement à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, sauf s’il établit que le courriel ne contenait pas d’indices permettant à un utilisateur normalement attentif de détecter la fraude.
Quel impact sur la prise en compte de l’hameçonnage dans d’autres situations ?
L’hameçonnage ou phishing étant une technique relativement connue, cette décision semble ouvrir la porte à la reconnaissance plus fréquente de la négligence grave de la victime, qu’elle soit elle-même dotée de compétences numériques ou non.
Cette décision s’inscrit dans le cadre particulier des obligations de l’utilisateur d’un service de paiement de préserver la sécurité de ses dispositifs de sécurité personnalisés. Cependant, il est possible de s’interroger sur l’extension de cette vision sévère du juge à l’égard des victimes de courriers électroniques frauduleux à d’autres domaines, comme les cas de fraude au président ou de courriers électroniques contenant des virus dissimulés.
Cette décision semble exiger de l’utilisateur moyen qu’il dispose de certaines connaissances et compétences numériques. Ceci peut interroger, alors que les parlementaires ont souligné la nécessité de prendre en compte « la situation des personnes dépourvues de compétences numériques » dans la loi relative aux données personnelles adoptée le 14 mai 2018 (article 1er, 4°, c).