Les achats sur Internet conduisent les clients à utiliser leurs identifiants personnels nécessaires à l’exécution des paiements générés par ces achats. Ces identifiants (nom, numéro de carte bancaire, date d’expiration et cryptogramme figurant au verso de la carte) participent des dispositifs de sécurité personnalisés mis à leur disposition par leur banque et devant être conservés
précieusement
[1]
, une négligence grave dans leur conservation ayant pour conséquence de mettre à leur charge toutes les pertes occasionnées par les opérations non
autorisées
[2]
. Étant rappelé que la preuve de la négligence incombe au banquier et que la seule utilisation de l’instrument de paiement et des données personnelles qui lui sont liées ne suffit pas à prouver la
négligence
[3]
.
La Cour de cassation l’a rappelé dans ses arrêts du 18
janvier 2017
[4]
alors même que les opérations de paiement nécessitaient l’usage cumulé des identifiants bancaires et d’un code de confirmation envoyé sur le téléphone portable des clients. Solution qui nous avait interpellé car le code de confirmation, envoyé au moment de l’achat sur le téléphone portable personnel des clients, permet de sécuriser les opérations de paiement. Aussi aurait-on pu considérer que l’usage de ce code traduisait une négligence grave dans la conservation des données bancaires personnelles.
La Cour de cassation n’a pas retenu cette solution dans ses arrêts du 18 janvier 2017 : communiquer ses identifiants personnels et les codes de confirmation en réponse à un mail frauduleux – on parle d’hameçonnage ou de phishing – ne caractérise pas la négligence grave à l’obligation de conservation prévue par l’article L. 133-16 du Code monétaire et financier. Elle ne la retient pas plus dans ses arrêts des 25
octobre 2017
[5]
et 28 mars 2018. Étant rappelé que l’arrêt du 25 octobre 2017 a posé une limite : la conscience du client. Si on peut considérer que le client a eu conscience du caractère frauduleux des mails reçus, la communication de ses identifiants bancaires et des informations relatives à son compte chez son opérateur téléphonique permettant de les obtenir est susceptible de caractériser une négligence grave à son obligation de conservation des dispositifs de sécurité personnalisés. L’arrêt du 28 mars 2018 est dans le prolongement de cette décision car il prend position sur l’approche à retenir pour caractériser la conscience du client.
Deux approches sont en effet possibles : une approche subjective et une approche objective. L’approche subjective consiste à savoir si le client, victime du hameçonnage, a pu personnellement détecter le caractère frauduleux des demandes d’informations. L’approche objective conduit à se demander si le client normalement attentif pouvait, en raison des éléments ou indices portés à sa connaissance, se douter du caractère frauduleux des demandes d’information. L’approche subjective a été retenue par les juges du fond. Leur décision est censurée par la Cour de cassation qui consacre, dans un arrêt du 28 mars 2018, l’approche objective : la négligence du client peut être caractérisée si le courriel « contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».
Cette décision est favorable aux établissements de crédit et participe, selon un
auteur
[6]
, « d’une meilleure sécurité des moyens de paiement ». Elle n’est pas étonnante dans la mesure où l’approche objective est retenue dans bien d’autres domaines, notamment en matière de manquement d’
initié
[7]
. Elle doit inviter les clients à la prudence lorsqu’ils reçoivent des mails truffés d’erreurs et leur demandant de communiquer des informations confidentielles.
1
Art. L. 133-16, al. 1, Code monétaire et financier : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. »
2
Art. L. 133-19, IV, Code préc. : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »
3
Art. L. 133-23, Code préc.
4
Cass. com. 18 janvier 2017, Banque et Droit n° 172, mars-avril 2017. 32, obs. Th. Bonneau ; JCP 2017, éd. G, 241, note J. Lasserre Capdeville ; Revue Banque, mars 2017. 72, n° 806, note P. Storrer ; Rev. dr. bancaire et financier, mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck ; adde, v. Ch. Gamleu Kameni, « La responsabilité de la banque pour utilisation frauduleuse d’un instrument de paiement par un tiers », Banque et Droit, mars-avril 2017. 22, n° 172,
5
Cass. com. 25 octobre 2017, Banque et Droit n° 177, janvier-février 2018. 20, obs. Th. Bonneau ; D. 2017 p 2465, note F. Mélin ; Revue Banque n° 814, décembre 2017. 64, obs. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; Rev. dr. bancaire et financier, novembredécembre 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. Pal, 27 février 2018. 55, note C. Houin-Bressan.
6
N. Kilgus, obs. sous Cass. com. 28 mars 2018, JCP 2018, éd. G, 458.
7
V. Th. Bonneau, Régulation bancaire et financière européenne et internationale, Bruylant, 4e éd. 2018, n° 289.
