Le fait de communiquer les données de sa carte bancaire à la suite d'un hameçonnage peut être fautif

En vertu de l’article L. 133-19 du Code monétaire et financier, le titulaire d’une carte de crédit, victime d’une utilisation frauduleuse de celle-ci, ne supporte les pertes liées à cette utilisation, avant l’opposition, que dans la limite d’un plafond de 150 euros. Le surplus doit donc lui être remboursé par la banque.

Toutefois, « s'il n'a pas satisfait intentionnellement ou par négligence grave » à son obligation de faire opposition sans tarder (C. mon. et fin., art. L. 133-17) ou à celle de prendre « toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » (C. mon. et fin., art. L. 133-17), il supporte seul les pertes qu’il a subies.

Traditionnellement, la Cour de cassation se montrait assez sévère avec les banques sur qui pèse la charge de la preuve de la négligence grave de leur client. Ainsi, le simple fait que le moyen de paiement ait été utilisé par un tiers ne suffisait pas à rapporter la preuve que le titulaire de la carte avait été négligent.

La négligence grave n’était donc rapportée que si le client avait la candeur de préciser, au moment du dépôt de la plainte, qu’il avait communiqué son code confidentiel à un tiers ou qu’il conservait ce code avec la carte dérobée (Com. 16 oct. 2012, n° 11-19.981 : le client conservait sa carte dans la « boite à gants » de son véhicule avec le code confidentiel…).

C’est donc à la banque de prouver la faute. La seule évocation par elle de l’hypothèse d’un hameçonnage ne suffit pas à prouver la négligence grave du titulaire de la carte (Cass. com. 18-1-2017 n° 15-18.102 FS-PBI : BRDA 3/17 inf. 15).

Le 25 octobre 2017, la Cour de cassation a rendu, à propos de l’utilisation frauduleuse d’une carte de crédit, à l’insu de son titulaire, une décision favorable aux banques (Com. 25 oct. 2017, n° 16-11.644).

Dans sa décision du 25 octobre 2017, la chambre commerciale de la Cour de cassation a rendu une décision plus favorable aux banques. Dans cette affaire, un client avait été victime d’un hameçonnage. Pensant répondre à un courriel officiel de son opérateur téléphonique, il avait communiqué à un escroc son numéro de carte bancaire, la date d’expiration de celle-ci, le cryptogramme visuel, ainsi que diverses informations permettant à l’escroc de mettre en place le renvoi des sms de la victime vers un autre téléphone portable.

Pour déterminer si le titulaire d'une carte bancaire victime d'un hameçonnage a commis une négligence grave le privant de tout droit à remboursement, il a été retenu que le juge doit rechercher s'il avait conscience ou non du caractère frauduleux du courriel reçu de l'escroc.

Le titulaire d’une carte bancaire demande à sa banque de lui rembourser les sommes prélevées sur son compte à la suite de paiements par internet qu’il n’a pas réalisés. La banque refuse et invoque la négligence grave de son client. Ce dernier reconnaît avoir été victime d’une technique frauduleuse, appelée hameçonnage (ou « phishing »). Il a communiqué, en réponse à un courriel se présentant comme émanant de son opérateur téléphonique, le numéro, la date d’expiration et le cryptogramme visuel de sa carte, ainsi que des informations relatives à son compte de téléphonie. Un juge de proximité condamne la banque à rembourser les paiements litigieux. Les informations que le titulaire de la carte a volontairement transmises ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité.

Il n’avait transmis ni son code confidentiel ni le code 3D Secure permettant les paiements en ligne.

La Cour de cassation censure cette décision. Le juge aurait dû rechercher, au regard des circonstances de l'espèce, si le titulaire n’avait pas pu avoir conscience que le courriel était frauduleux et si le fait de communiquer des éléments d’identifications confidentielles de la carte bancaire ainsi que des informations sur son compte de téléphonie permettant à un tiers de prendre connaissance de son code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations.

La portée de la décision doit être bien mesurée. Celle-ci est favorable à la banque puisqu’elle lui permet d’opposer la « négligence grave » du client en cas de hameçonnage. Toutefois, cela ne signifie pas que l’existence d’un hameçonnage entraînera systématiquement la reconnaissance d’une négligence grave de la part du titulaire.

En définitive, l’arrêt laisse donc une marge d’appréciation aux juges qui pourront analyser les termes du courriel. Si celui-ci était, par exemple, rédigé dans un français approximatif, y répondre pourrait constituer une négligence grave. En revanche, si celui-ci était conforme à ceux qui sont envoyés par les grandes entreprises et présentait « habilement » la demande de fourniture des coordonnées bancaires, y répondre ne sera pas nécessairement fautif.