PHISHING
La preuve de la négligence doit être
apportée par la banque
Dans un arrêt récent, la Cour de cassation précise qu’un établissement bancaire ne peut pas affirmer qu’une victime de phishing (hameçonnage) a fait preuve de négligence sans le prouver. Faute d’éléments concrets, elle est tenue de rembourser la victime.3
En août 2013, Franck, un habitant du département du Nord, découvre sur son compte trois débits pour un montant total de 838 €. Lorsqu’il se tourne vers sa banque, le Crédit mutuel de Wattignies, pour en demander le remboursement, celle-ci refuse au motif que Franck aurait transmis ses données bancaires à un inconnu suite à la réception d’un e-mail qu’il pensait provenir du Crédit mutuel. C’est ce qu’on appelle le phishing (hameçonnage).
Mais dans un arrêt du 18 janvier dernier, la Cour de cassation ne l’a pas entendu de cette oreille. Certes, le code monétaire et financier dispose que la banque n’a pas à rembourser des prélèvements dès lors que le client a fait preuve de « négligence ». Or, dans ce cas précis, rien ne prouve que Franck a été négligent. « La banque se borne à évoquer l’hypothèse du phishing […] mais n’en apporte aucunement la démonstration », précisent les magistrats. Les doutes sont d’autant plus permis qu’au moment des faits, Franck était en vacances dans le Var alors que les opérations contestées se sont produites en région parisienne. Autre fait troublant : l’adresse mail de Franck a été remplacée par une autre adresse, inconnue. De toute évidence, l’escroc s’est servi de cette adresse mail pour recevoir de la banque les codes de confirmation nécessaires pour procéder aux prélèvements. En envoyant ces codes à une personne qui n’était pas le titulaire du compte, les magistrats estiment que la banque a aussi commis une « faute contractuelle ».
Cet arrêt est intéressant dans la mesure où, pour la première fois, il précise qu’un établissement bancaire ne peut se contenter d’affirmer que les victimes de phishing ont été négligentes. Encore doit-il le prouver. Et le fait d’affirmer qu’il ne peut en être autrement compte tenu des systèmes de sécurité mis en place ne suffit pas à le démontrer. Le même jour, la Cour de cassation a rendu un arrêt similaire dans une affaire où l’UFC-Que Choisir était intervenue pour appuyer les prétentions d’un couple de consommateurs qui s’était également heurté au refus de remboursement du Crédit Mutuel.
Grâce à cet arrêt, de nombreuses victimes de phishing devraient à l’avenir pouvoir obtenir plus facilement un remboursement de la part de leur banque. Pour autant, le meilleur moyen, c’est encore la prévention. Jamais une banque ni aucun autre professionnel ou administration (Orange, EDF, Fisc, CAF ou autre) n’enverrait un mail pour demander des coordonnées bancaires. Alors à chaque fois que vous recevez un e-mail de ce genre, demandez-vous d’où il vient et, en cas de doute, contactez directement le soi-disant expéditeur avant de transmettre des informations personnelles.