Hameçonnage 2018-04-11T09:13:05+00:00

Hameçonnage : le client d’une banque ne peut s’en prendre qu’à lui-même

L’utilisateur d’un service de paiement qui communique ses données personnelles en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance manque à son obligation de prendre toute mesure raisonnable pour préserver sa sécurité.

Com. 28 mars 2016, n° 16-20.018

L’affaire est malheureusement banale. L’« hameçonnage » (ou phishing) est une technique frauduleuse visant à récupérer des données personnelles – notamment bancaires – sur internet, le demandeur se présentant comme une source de confiance (banque, administration fiscale, etc.). Ce dernier va ainsi obtenir des paiements en sa faveur, tant que le titulaire du compte débité ne se rend pas compte des prélèvements effectués frauduleusement sur son compte.

Un particulier victime de cette fraude assigne sa banque en remboursement de ces sommes. La banque s’y oppose en lui reprochant une négligence grave dans la garde de ses données personnelles (article L. 133-19 du code monétaire et financier).

La négligence grave du client est retenue par la Cour de cassation. La Cour de cassation affirme que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ». Il ne peut être reproché à la banque de ne pas avoir alerté son client des risques d’hameçonnage.