De la nécessaire analyse des circonstances pour apprécier la négligence grave de l’utilisateur

En mati&egrave;re bancaire, le phishing (ou hame&ccedil;onnage) est le proc&eacute;d&eacute; visant &agrave; r&eacute;cup&eacute;rer des donn&eacute;es personnelles sur Internet, avec l&rsquo;objectif de d&eacute;tourner des fonds. Le moyen utilis&eacute; est l&rsquo;usurpation d&rsquo;identit&eacute;, adapt&eacute;e au support num&eacute;rique. L&rsquo;escroquerie repose le plus fr&eacute;quemment sur la contrefa&ccedil;on d&rsquo;un site Internet, que ce soit celui d&rsquo;une banque ou d&rsquo;un marchand en ligne. L&rsquo;adresse URL du lien comprise dans le courriel est &eacute;galement &laquo; masqu&eacute;e &raquo; afin de para&icirc;tre authentique. Comme le reconnaissait le m&eacute;diateur aupr&egrave;s de la F&eacute;d&eacute;ration bancaire fran&ccedil;aise (FBF) dans son rapport au titre de l&rsquo;ann&eacute;e 2016, les litiges portant sur des fraudes &agrave; la carte bancaire ou sur des paiements en ligne restent abondants. Dans ce contexte, une jurisprudence tout aussi abondante est apparue au regard des conditions n&eacute;cessaires &agrave; la prise en charge du remboursement des op&eacute;rations de paiement non autoris&eacute;es par le prestataire de services de paiement. Deux visions s&rsquo;affrontent : une premi&egrave;re, protectrice de l&rsquo;utilisateur de l&rsquo;instrument de paiement qui b&eacute;n&eacute;ficierait d&rsquo;une indemnisation de principe ; une seconde, fond&eacute;e sur le principe de responsabilit&eacute;, n&eacute;cessitant une appr&eacute;ciation globale des circonstances dans lesquelles a &eacute;t&eacute; ex&eacute;cut&eacute;e l&rsquo;op&eacute;ration de paiement contest&eacute;e. Un r&eacute;gime protecteur du consommateur Il est n&eacute;cessaire de rappeler que ces contentieux trouvent leur source dans un r&eacute;gime juridique protecteur du client des &eacute;tablissements bancaires. Ainsi, les articles L. 133-18, L. 133-19 et L. 133-23 du Code mon&eacute;taire et financier pr&eacute;cisent qu&rsquo;en cas d&rsquo;op&eacute;rations non autoris&eacute;es, le prestataire de services rembourse imm&eacute;diatement le montant de l&rsquo;op&eacute;ration, sauf agissements frauduleux du consommateur ou si ce dernier n&rsquo;a pas satisfait, intentionnellement ou par n&eacute;gligence grave, &agrave; l&rsquo;obligation qui lui incombe de prendre toutes les mesures raisonnables pour pr&eacute;server la s&eacute;curit&eacute; de ses dispositifs de s&eacute;curit&eacute; personnalis&eacute;s. Ainsi, il revient au prestataire de services de prouver, gr&acirc;ce aux informations techniques en sa possession, que les op&eacute;rations contest&eacute;es ont &eacute;t&eacute; authentifi&eacute;es, d&ucirc;ment enregistr&eacute;es et comptabilis&eacute;es. La charge de la preuve de la n&eacute;gligence de l&rsquo;utilisateur est, depuis une d&eacute;cision de principe du 18 janvier 2017, appr&eacute;ci&eacute;e de mani&egrave;re rigoriste. La Cour de cassation, dans un arr&ecirc;t rendu &agrave; cette date, a consid&eacute;r&eacute; que la charge de la preuve de la n&eacute;gligence grave des utilisateurs p&egrave;se sur les banques (Cass. com. 18 janvier 2017, n&deg; 15-18.102). Il &eacute;tait ainsi consid&eacute;r&eacute; que &laquo; cette preuve ne peut se d&eacute;duire du seul fait que l&rsquo;instrument de paiement ou les donn&eacute;es personnelles qui lui sont li&eacute;es ont &eacute;t&eacute; effectivement utilis&eacute;s &raquo;. Les principes communautaires Cette position est critiquable au regard du droit communautaire originel. Il convient de rappeler que l&rsquo;article L. 133-23 du Code mon&eacute;taire et financier, qui r&eacute;sulte de la transposition de la Directive 2007/64/CE [1] sur les services de paiement, dispose : &laquo; Lorsqu&rsquo;un utilisateur de services de paiement nie avoir autoris&eacute; une op&eacute;ration de paiement qui a &eacute;t&eacute; ex&eacute;cut&eacute;e, ou affirme que l&rsquo;op&eacute;ration n&rsquo;a pas &eacute;t&eacute; ex&eacute;cut&eacute;e correctement, il incombe au prestataire de services de paiement de prouver que l&rsquo;op&eacute;ration en question a &eacute;t&eacute; authentifi&eacute;e, d&ucirc;ment enregistr&eacute;e et comptabilis&eacute;e et qu&rsquo;elle n&rsquo;a pas &eacute;t&eacute; affect&eacute;e d&rsquo;une d&eacute;ficience technique ou autre &raquo;. Certes, l&rsquo;article L. 133-23 pr&eacute;cise en son alin&eacute;a 2 que &laquo; l&rsquo;utilisation de l&rsquo;instrument de paiement telle qu&rsquo;enregistr&eacute;e ne suffit pas n&eacute;cessairement en tant que telle &agrave; prouver que l&rsquo;op&eacute;ration a &eacute;t&eacute; autoris&eacute;e par le payeur ou que celui-ci n&rsquo;a pas satisfait intentionnellement ou par n&eacute;gligence grave aux obligations lui incombant en la mati&egrave;re &raquo;. S&rsquo;il r&eacute;sulte effectivement de ces derni&egrave;res dispositions que l&rsquo;utilisation de l&rsquo;instrument de paiement ne suffit pas n&eacute;cessairement &agrave; &eacute;tablir la n&eacute;gligence ou la fraude du payeur, il n&rsquo;en demeure pas moins que, a contrario, l&rsquo;utilisation de l&rsquo;instrument de paiement peut suffire &agrave; prouver la n&eacute;gligence grave en fonction des circonstances particuli&egrave;res du litige, qu&rsquo;il appartiendra au juge du fond d&rsquo;examiner. En effet, si l&rsquo;on peut concevoir que les banques soient responsables des instruments de paiement qu&rsquo;elles mettent &agrave; la disposition de leur client, il para&icirc;t indispensable de leur laisser la possibilit&eacute; de se d&eacute;gager de toute responsabilit&eacute; en cas de n&eacute;gligence grave de ces derniers. Compte tenu de la difficult&eacute; de d&eacute;montrer un manquement, il convient de tenir compte de l&rsquo;ensemble des circonstances dans lesquelles ont eu lieu les op&eacute;rations contest&eacute;es afin d&rsquo;&eacute;tablir s&rsquo;il y a eu n&eacute;gligence grave. Cette position est d&rsquo;ailleurs conforme au consid&eacute;rant 33 de la Directive du 13 novembre 2007 qui pr&eacute;cise : &laquo; Afin d&rsquo;&eacute;valuer l&rsquo;&eacute;ventualit&eacute; d&rsquo;une n&eacute;gligence de la part de l&rsquo;utilisateur, il convient de tenir compte de toutes les circonstances &raquo;. La position adopt&eacute;e par la cour de cassation le 18 janvier 2017 est donc en contravention avec ces principes communautaires. Le pr&eacute;c&eacute;dent de la cour de cassation Cependant la Cour de cassation, dans un arr&ecirc;t rendu le 31 mai 2016, avait d&eacute;j&agrave; fait r&eacute;f&eacute;rence &agrave; un faisceau d&rsquo;indices et donn&eacute; raison &agrave; une cour d&rsquo;appel qui avait retenu la n&eacute;gligence grave du porteur d&rsquo;une carte de paiement : des op&eacute;rations litigieuses avaient &eacute;t&eacute; effectu&eacute;es sur une courte p&eacute;riode et &agrave; de multiples reprises, avec la composition du code confidentiel pour chaque op&eacute;ration ; &agrave; la suite du d&eacute;p&ocirc;t de plainte, aucune infraction p&eacute;nale n&rsquo;avait &eacute;t&eacute; mise en &eacute;vidence et aucune anomalie de fonctionnement bancaire n&rsquo;avait eu lieu, les distributeurs de billets &eacute;tant &eacute;quip&eacute;s de cam&eacute;ras de surveillance ; l&rsquo;utilisateur ne pr&eacute;cisait pas si les donn&eacute;es film&eacute;es avaient &eacute;t&eacute; exploit&eacute;es et, surtout, il n&rsquo;&eacute;tablissait pas le fait qu&rsquo;il n&rsquo;avait pu effectuer les achats ou retraits contest&eacute;s, en ne se trouvant pas &agrave; l&rsquo;endroit o&ugrave; ils avaient &eacute;t&eacute; effectu&eacute;s ; or ces paiements ayant &eacute;t&eacute; effectu&eacute;s sur une courte p&eacute;riode, il lui &eacute;tait facile d&rsquo;&eacute;tablir qu&rsquo;il n&rsquo;avait pu &ecirc;tre pr&eacute;sent au DAB ou dans les commerces o&ugrave; sa carte avait &eacute;t&eacute; utilis&eacute;e. La cons&eacute;cration du pouvoir d&rsquo;appr&eacute;ciation des juges du fond La Cour de cassation, dans son arr&ecirc;t du 25 octobre 2017 [2] , consacre le pouvoir d&rsquo;appr&eacute;ciation des juges du fond. En l&rsquo;esp&egrave;ce, Madame X. avait re&ccedil;u deux SMS lui communiquant un code 3D Secure pour deux op&eacute;rations qu&rsquo;elle n&rsquo;avait pas r&eacute;alis&eacute;es. Elle a alors imm&eacute;diatement fait opposition &agrave; sa carte bancaire. Plus tard, elle reconnaissait avoir r&eacute;pondu &agrave; un courriel &eacute;manant d&rsquo;un &eacute;metteur se pr&eacute;sentant comme SFR, et avoir transmis des informations relatives &agrave; sa carte bancaire, &agrave; savoir ses nom, pr&eacute;nom, num&eacute;ro de carte bancaire, date d&rsquo;expiration et cryptogramme. Elle a contest&eacute; avoir transmis son code confidentiel. La banque, bien que ne contestant pas que le paiement n&rsquo;avait pas &eacute;t&eacute; autoris&eacute;, a constat&eacute; que les op&eacute;rations contest&eacute;es avaient &eacute;t&eacute; r&eacute;alis&eacute;es en utilisant toutes les coordonn&eacute;es de la carte bancaire et en renseignant le code 3D Secure. Pour faire droit &agrave; la demande de Mme X., la juridiction de proximit&eacute; de Calais a consid&eacute;r&eacute; : &laquo; Ces &eacute;l&eacute;ments bien que communiqu&eacute;s volontairement par X, doivent &ecirc;tre consid&eacute;r&eacute;s comme ayant &eacute;t&eacute; d&eacute;tourn&eacute;s &agrave; son insu car ils ont &eacute;t&eacute; communiqu&eacute;s &agrave; une personne se pr&eacute;sentant sous une fausse identit&eacute;. Il ne peut &ecirc;tre reproch&eacute; &agrave; X. de ne pas avoir respect&eacute; les dispositions de l&rsquo;article L. 133-16 du Code mon&eacute;taire et financier ; en effet, elle n&rsquo;a ni communiqu&eacute; son code confidentiel, ni communiqu&eacute; le code 3D Secure &agrave; 6 chiffres communiqu&eacute; par SMS. &raquo; L&rsquo;&eacute;tablissement de cr&eacute;dit a alors form&eacute; un pourvoi contre cette d&eacute;cision. La Cour de cassation a consid&eacute;r&eacute; &laquo; qu&rsquo;en se d&eacute;terminant ainsi, sans rechercher, au regard des circonstances de l&rsquo;esp&egrave;ce, si Mme X., n&rsquo;aurait pas pu avoir conscience que le courriel qu&rsquo;elle avait re&ccedil;u &eacute;tait frauduleux et si, en cons&eacute;quence, le fait d&rsquo;avoir communiqu&eacute; son nom, son num&eacute;ro de carte bancaire, la date d&rsquo;expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives &agrave; son compte SFR permettant &agrave; un tiers de prendre connaissance de son compte 3D Secure ne caract&eacute;risait pas un manquement, par n&eacute;gligence grave, &agrave; ses obligations mentionn&eacute;es &agrave; l&rsquo;article L. 133-16 du Code mon&eacute;taire et financier, la juridiction de proximit&eacute; a priv&eacute; sa d&eacute;cision de base l&eacute;gale &raquo;. Il r&eacute;sulte de cette d&eacute;cision que, d&eacute;sormais, le juge ne pourra plus se contenter de constater que l&rsquo;utilisateur a fait l&rsquo;objet d&rsquo;un phishing pour entrer automatiquement en voie de condamnation &agrave; l&rsquo;&eacute;gard de la banque. Il devra au pr&eacute;alable analyser les circonstances de l&rsquo;esp&egrave;ce, pour appr&eacute;cier si l&rsquo;utilisateur a pu avoir conscience que l&rsquo;e-mail litigieux &eacute;tait frauduleux frauduleux. Les biais issus de la jurisprudence Cette jurisprudence laisse au juge du fond la libert&eacute; d&rsquo;appr&eacute;cier les circonstances de la fraude au regard du comportement &eacute;ventuellement n&eacute;gligent de l&rsquo;utilisateur. Certes, l&rsquo;appr&eacute;ciation des circonstances de l&rsquo;esp&egrave;ce pour conclure &agrave; la n&eacute;gligence grave des utilisateurs devrait permettre aux banques d&rsquo;&ecirc;tre plus souvent exon&eacute;r&eacute;es de leur responsabilit&eacute; en mati&egrave;re de paiement non autoris&eacute;, mais il n&rsquo;en demeure pas moins que l&rsquo;arr&ecirc;t rendu le 25 octobre 2017 n&rsquo;op&egrave;re pas un renversement de la charge de la preuve de la n&eacute;gligence grave des utilisateurs, qui reste support&eacute;e par les banques. Ainsi, les juges devront dor&eacute;navant rechercher si les utilisateurs ont eu conscience d&rsquo;avoir fait l&rsquo;objet d&rsquo;un phishing . Par ailleurs, il est &agrave; craindre que cette nouvelle jurisprudence, a priori favorable aux banques, n&rsquo;incite les utilisateurs &agrave; ne plus d&eacute;voiler les circonstances dans lesquelles les op&eacute;rations litigieuses ont eu lieu, et notamment &agrave; ne plus exposer le contexte dans lequel est intervenu le phishing, d&eacute;poss&eacute;dant ainsi les banques de toute possibilit&eacute; d&rsquo;&eacute;tablir une n&eacute;gligence grave. Dans ce nouveau contexte, il conviendra que les juges du fond incitent les utilisateurs &agrave; exposer les conditions dans lesquelles les paiements contest&eacute;s ont eu lieu, en tirant les cons&eacute;quences de leur silence, en ne condamnant plus automatiquement, dans cette hypoth&egrave;se, les banques &agrave; rembourser les paiements r&eacute;sultant d&rsquo;op&eacute;rations non autoris&eacute;es. Cet arr&ecirc;t, bien qu&rsquo;il ne concerne que les hypoth&egrave;ses o&ugrave; le client reconna&icirc;t avoir r&eacute;pondu &agrave; un e-mail frauduleux, est significatif, dans la mesure o&ugrave; il op&egrave;re une br&egrave;che dans le principe de la responsabilit&eacute; automatique des banques en mati&egrave;re de paiement non autoris&eacute;. 1 Article 59.2 de la Directive 2007/64/CE du 13 novembre 2007. 2 Pourvoi n&deg; 16-11.644, Caisse F&eacute;d&eacute;rale du Cr&eacute;dit Mutuel Nord Europe c/ Madame X.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Phishing

De la nécessaire analyse des circonstances pour apprécier la négligence grave de l’utilisateur

La Cour de cassation consacre la nécessaire analyse des circonstances ayant entouré l’exécution d’une opération de paiement contestée pour juger de la conscience par l’utilisateur d’avoir fait l’objet d’un phishing et, par conséquent, de sa négligence grave.

À retrouver dans la revue

Systèmes d’information

Quatre étapes pour réussir
la modernisation du mainframe

Métiers

Du nouveau dans la législation espagnole

Infrastructures de marché

Redressement des chambres
de compensation :
l’AMF prend position

Nominations

Crédit Agricole assurances

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Phishing

De la nécessaire analyse des circonstances pour apprécier la négligence grave de l’utilisateur

La Cour de cassation consacre la nécessaire analyse des circonstances ayant entouré l’exécution d’une opération de paiement contestée pour juger de la conscience par l’utilisateur d’avoir fait l’objet d’un phishing et, par conséquent, de sa négligence grave.

À retrouver dans la revue

Quatre étapes pour réussir la modernisation du mainframe

Du nouveau dans la législation espagnole

Redressement des chambres de compensation : l’AMF prend position

Crédit Agricole assurances

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Quatre étapes pour réussir
la modernisation du mainframe

Redressement des chambres
de compensation :
l’AMF prend position