La divulgation par un client de ses données bancaires après un courriel frauduleux est fautive.

Com. 28 mars 2016, FS-P+B, n° 16-20.018 :

En l’espèce un particulier a assigné sa banque en remboursement de paiements frauduleux réalisés avec sa carte bancaire et de virements débités sur deux comptes ouverts à son nom. La banque refuse et invoque la négligence grave de son client dans la garde et la conservation de ses données personnelles (art. L133-19 CMF). En effet, le client, victime d’un hameçonnage, a fourni, en réponse à un courriel se présentant comme émanant de sa banque, les données confidentielles de son compte et de sa carte bancaire. La Cour d’appel a condamné la banque à rembourser les sommes débitées au motif que le client « a été victime d’un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité [de sa banque] accompagnés d’un “certificat de sécurité à remplir attentivement” qu’il a scrupuleusement renseigné, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». La Cour de cassation retient une solution inverse et affirme que le client qui transmet ses données personnelles en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance commet une négligence grave le privant de tout droit à remboursement. Pour la haute juridiction, il ne peut donc être reproché à la banque de ne pas avoir alerté son client des risques d’hameçonnage.