Le titulaire d’un compte bancaire conteste trois opérations de paiement effectuées frauduleusement sur son compte à la suite de sa réponse à un courriel l’ayant conduit à communiquer, sur un site internet, le numéro de sa carte bancaire, sa date d’expiration et son code de vérification. La banque lui oppose un refus de paiement, estimant qu’il a commis une négligence grave en communiquant ses données personnelles en réponse à un courriel suspect.
En effet, la banque invoque que le courriel comportait des indices qui permettaient à un utilisateur normalement averti de douter de sa provenance : l'adresse de l'expéditeur de ce courriel était « [Courriel 1] (illisible)[Courriel 1] » ; son objet était intitulé « ***SPAM*** vous écrit » ; le message, qui indiquait « lors de votre dernier achat, vous été [sic] averti par un message vous informant de l'obligation d'adhérer à la nouvelle réglementation concernant la fiabilité des achats par CB sur internet et la mise en place d'un arrêt pour vos futurs achats. Or, nous n'avons pas à ce jour d'adhésion de votre part et nous sommes au regret de vous informer que vous pouvez plus [sic] utiliser votre carte sur internet », en invitant le destinataire à cliquer sur un lien et à communiquer ses données personnelles, comportait des fautes de syntaxe et d'orthographe, et ne correspondait pas à la situation de l’utilisateur qui ne pouvait ignorer que lors de son dernier achat sur internet, il n'avait reçu aucun avertissement quant à un risque de blocage de sa carte pour effectuer des paiements à distance.
En appel, la banque est néanmoins condamnée à rembourser les paiements frauduleux au titulaire du compte. La cour d’appel lui reproche de n’avoir pas démontré que l’utilisateur avait fourni ces informations en pleine connaissance de cause et qu’il aurait failli à son devoir de vigilance.
Décision censurée par la Cour de cassation. La cour d’appel aurait dû rechercher si, au regard des circonstances de l’espèce, l’utilisateur n’aurait pas pu avoir conscience que le courriel qu’il avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué ses données personnelles ne caractérisait pas un manquement par négligence grave à ses obligations.
A noter :
En cas de prélèvement frauduleux, la responsabilité du titulaire de la carte est en principe plafonnée (C. mon. fin. art. L 133-19, I). Toutefois, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés (C. mon. fin. art. L 133-16). Il doit supporter toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations (C. mon. fin. art. L 133-19, IV). En revanche, s’il a commis une négligence, il doit supporter la perte et perd son droit à remboursement (C. mon. fin. art. L 133-19, IV).
Constitue une négligence grave le fait de communiquer les données de sa carte bancaire à la suite d'un hameçonnage dès lors que l'utilisateur avait conscience du caractère frauduleux du courriel reçu (Cass. com. 25-10-2017 n° 16-11.644 FS-PBI : RJDA 4/18 n° 354) ou encore le fait, pour le titulaire d'un compte bancaire qui paie ses factures par prélèvement, de communiquer des données confidentielles en répondant à un courriel de rappel présentant des irrégularités permettant de douter de sa provenance, en l'espèce, inexactitude de l'adresse de l'expéditeur et du numéro du contrat mentionné, discordance entre les montants réclamés (Cass. com. 6-6-2018 n° 16-29.065 F-D : RJDA 10/18 n° 766). Aussi jugé que l’utilisateur aurait dû être alerté du caractère douteux de la provenance du courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message (Cass. com. 1-7-2020 n° 18-21.487 F-PB : RJDA 11/20 n° 594).
Il appartient à la banque de prouver la négligence grave du titulaire (Cass. com. 18-1-2017 n° 15-18.102 FS-PBI : RJDA 3/17 n° 205 ; Cass. com. 28-3-2018 n° 16-20.018 FS-PBI : RJDA 8-9/18 n° 676).
La décision a été rendue à propos des articles L 133-16 et L 133-19 dans leur version antérieure à celle issue de l’ordonnance 2017-1252 du 9 août 2017 mais la solution demeure sous l'empire du droit actuel.