Nouvelle décision notable en matière d’« hameçonnage »
Un jugement ne saurait écarter toute négligence grave du client de banque, sans rechercher, au regard des circonstances de l’espèce, si le fait que l’intéressé ait répondu à un courriel d’hameçonnage ne résultait pas d’un manquement de celui-ci, par négligence grave, à ses obligations.
Cass. com., 3 oct. 2018, no 17-21395
1. Le « hameçonnage », dit aussi « phishing », consiste à se faire remettre par les victimes contactées par des courriels non sollicités leurs données bancaires personnelles afin de les exploiter frauduleusement. Le message du délinquant prendra souvent l’habillage, plus ou moins bien réalisé, d’une page Internet d’un établissement de crédit. Il sera en général demandé au destinataire, sous couvert d’un problème technique ou d’une rénovation totale du site, de mettre à jour ses identifiants, mots de passe, numéro de compte, etc. Une fois que la victime trompée aura révélé ses identifiants personnels, le fraudeur pourra accéder à son compte bancaire et en détourner les fonds par l’intermédiaire de faux ordres de virement.
2. Or ce stratagème donne lieu, depuis deux ans, à des décisions de justice remarquées de la part de la Cour de cassation, inévitablement interrogée en la matière. Nous en avons une nouvelle illustration à travers un arrêt de sa chambre commerciale en date du 3 octobre 20181.
3. En l’espèce, M. X, titulaire d’un compte dans les livres de la société Caisse de Crédit mutuel de Pernes-en-Artois, avait assigné celle-ci, ainsi que la société Caisse fédérale du Crédit mutuel Nord Europe, en remboursement d’opérations de paiement du prix d’achat effectués par Internet, qu’il contestait avoir autorisées.
4. Pour condamner in solidum la Caisse de Crédit mutuel de Pernes-en-Artois et la Caisse fédérale du Crédit mutuel Nord Europe à rembourser à M. X le montant des opérations de paiement contestées, la juridiction de proximité de Béthune avait, par un jugement du 18 mai 2017, écarté toute négligence grave de ce client.
5. Les deux caisses concernées avaient alors formé un pourvoi en cassation par l’intermédiaire duquel elles invoquaient plusieurs moyens. Elles contestaient ainsi à la juridiction de proximité d’avoir refusé, malgré les circonstances, de relever une négligence grave de la part de M. X (I), mais aussi de les avoir condamnés solidairement à rembourser à M. X le montant des opérations de paiement contestées (II). Or, sur ces deux points, la Cour de cassation donne raison aux auteurs du pourvoi et casse le jugement attaqué.
I – Sur l’absence de négligence grave du client de la banque
6. Les établissements de crédit à l’origine du pourvoi rappelaient, par ce dernier, que l’utilisateur d’un service de paiement qui agit avec une négligence grave est tenu de supporter l’intégralité de la perte subie et qu’une négligence grave, dont l’existence doit être appréciée au regard de l’ensemble des circonstances de la cause, peut notamment résulter de la réponse de l’utilisateur du service de paiement à un mail de phishing sollicitant la communication des données confidentielles permettant l’utilisation dudit service. Or, en l’espèce, dans le courrier qu’il avait adressé à sa banque le 16 juin 2015, M. X avait expressément reconnu avoir répondu à un mail de phishing, ce qu’il avait confirmé dans la déclaration au greffe de la juridiction de proximité. Dès lors, en s’abstenant de rechercher, ainsi qu’elle y était invitée, si la circonstance que M. X ait répondue à un mail de phishing ne permettait pas, au regard des circonstances de l’espèce, de caractériser une négligence grave de la part de ce dernier, la juridiction de proximité aurait privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 et L. 133-23 du Code monétaire et financier.
7. La Cour de cassation se montre alors sensible à ce moyen et casse le jugement de la juridiction de proximité de Béthune. Selon elle, cette dernière aurait dû rechercher, au regard des circonstances de l’espèce, si le fait, qu’elle avait constaté, que M. X ait répondu à un courriel d’hameçonnage ne résultait pas d’un manquement de celui-ci, par négligence grave, à ses obligations mentionnées à l’article L. 313-16 du Code monétaire et financier. Sa décision était, par conséquent, privée de base légale. La haute juridiction renvoie la cause et les parties devant le tribunal d’instance de Lens.
8. Cette solution peut facilement être expliquée. On sait qu’en vertu des articles L. 133-18 et suivants du Code monétaire et financier, un payeur peut contester des opérations de paiement qu’il n’a pas autorisé2, ce qui obligera son prestataire de services de paiement (PSP) à lui en rembourser le montant. Cependant, l’article L. 133-19, IV, du Code prend soin de préciser que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 », c’est-à-dire, notamment, au fait de devoir prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé.
9. Or, l’article L. 133-23 du même code fait peser sur le PSP du payeur la charge de démontrer, le cas échéant, que l’on est dans l’un de ces cas dérogeant à son obligation de remboursement. Plus précisément encore, le 2e alinéa de cet article déclare que : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Dit autrement, la seule preuve de l’utilisation des identifiants du client ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité3. Les banques se sont alors trouvées dans une situation difficile pour parvenir à échapper à l’engagement de leur responsabilité en présence d’opérations contestées par le payeur, hormis aveux de celui-ci4. Certains auteurs ont pu parler, dans un tel cas, de « preuve diabolique »5.
10. Or, nous le voyons à la lecture de la décision étudiée : si le client de la banque reconnaît avoir été victime d’un hameçonnage, et seulement dans ce cas6, il n’est pas possible pour le juge d’écarter, « d’un revers de la main », la présence d’une négligence grave de ce payeur. Il lui appartiendra au contraire, à la vue des circonstances de fait, de déterminer si cette dernière peut effectivement être retenue ou, au contraire, doit être écartée. En l’occurrence, il reviendra à la juridiction de renvoi, c’est-à-dire le Tribunal d’instance de Lens, de se prononcer sur ce point, notamment à la vue de la présentation objective du message reçu par l’intéressé (présence de fautes d’orthographe « grossières », adresse Internet étrangère, incohérences manifestes, etc.).
11. Doit-on être surpris par la solution retenue par l’arrêt du 3 octobre 2018 ? Aucunement. Il s’agit d’une confirmation de la jurisprudence de la Cour de cassation rendue depuis quelques mois. Trois décisions, particulièrement notables, peuvent ainsi être rappelées.
12. Tout d’abord, par un arrêt de sa chambre commerciale en date du 18 janvier 20177, la Cour déclare logiquement que la preuve d’une négligence grave du payeur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. En l’occurrence, les paiements contestés avaient pu être effectués alors même que le payeur utilisait le système de paiement à distance « payweb », ayant pour caractéristique d’être hautement sécurisé. Aucune négligence grave n’avait alors été retenue contre le payeur qui, et c’est à souligner, niait avoir été victime d’un phishing.
13. Ensuite, la haute juridiction a précisé sa position par une décision du 25 octobre 20178, dans laquelle le payeur ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte. En l’espèce, l’arrêt de la juridiction de proximité de Calais, ayant refusé de voir dans la communication de telles informations une négligence grave du payeur aux obligations pesant sur lui, est cassé par la Cour de cassation. Celle-ci estime, en effet, que l’on ne pouvait écarter cette négligence grave « sans rechercher, au regard des circonstances de l’espèce » si le payeur « n’[avait] pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué » les informations en question n’était pas fautif. L’arrêt étudié se situe alors dans le prolongement même de cette jurisprudence.
14. Enfin, une décision de la chambre commerciale du 28 mars 20189 va plus loin en la matière. Ici encore, il s’agissait d’une cassation d’une décision des juges du fond ayant refusé de retenir la négligence grave du payeur qui reconnaissait pourtant avoir été victime d’un phishing. En effet, en statuant ainsi, alors que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage », la cour d’appel avait violé les articles L. 133-16 et L. 133-19 du Code monétaire et financier10. L’arrêt a pour intérêt de donner des illustrations concernant de tels indices : en l’occurrence la présence de fautes d’orthographe (mentionnées par les juges du fond).
15. Ainsi, il ressort de cette jurisprudence que le payeur ne sera pas traité de la même manière s’il conteste ou reconnaît avoir été victime d’un hameçonnage. Dans le premier cas, il sera quasiment impossible de relever une négligence grave de sa part, alors que, dans le second, cela demeurera envisageable en fonction de circonstances objectives11. L’arrêt étudié du 3 octobre 2018 confirme cette distinction importante. Mais cela n’est pas tout. La décision en question présente également un autre intérêt juridique : celui de préciser l’état du droit en cas de condamnation solidaire d’une caisse locale et d’une caisse fédérale du Crédit mutuel.
II – Sur la condamnation solidaire des caisses locale et fédérale de l’établissement
16. Le Crédit mutuel est un établissement « à part »12. En effet, cette « banque mutualise ou coopérative »13 présente une organisation particulière prévoyant trois niveaux : un niveau local (caisses locales), un niveau régional (caisses fédérales) et enfin un niveau national (Confédération nationale du Crédit mutuel)14. On notera que ces caisses locales ne sont pas agréées individuellement en tant qu’établissements de crédit, mais bénéficient d’un agrément collectif avec la caisse fédérale dont elles sont sociétaires.
17. Dans l’affaire étudiée, la juridiction de proximité de Béthune avait condamné in solidum les sociétés Caisse de Crédit mutuel de Pernes-en-Artois et Caisse fédérale du Crédit mutuel Nord Europe à rembourser à M. X le montant des opérations de paiement contestées, soit la somme de 1 568,56 €. Pour le jugement, si le compte bancaire de M. X était ouvert dans les livres de la société Caisse de Crédit mutuel de Pernes-en-Artois, c’était « à bon droit que celui-ci a choisi de mettre en cause la société Caisse fédérale du Crédit mutuel Nord Europe, dès lors qu’il pouvait supposer que les services informatiques ayant effectué les paiements litigieux, qui pouvaient vérifier l’origine géographique des adresses IP15 à l’origine de ceux-ci et prouver son absence de responsabilité, dépendaient de cette société ».
18. Cette solution était alors contestée par la Caisse de Crédit mutuel de Pernes-en-Artois et la Caisse fédérale du Crédit mutuel Nord Europe qui rappelaient, dans leur pourvoi, que l’obligation de rembourser les sommes débitées d’un compte bancaire sans que l’opération de paiement n’ait été autorisée par le client incombe au seul prestataire de services de paiement. Elles estimaient alors que la juridiction de proximité, qui avait statué par des motifs ne permettant pas de justifier la condamnation du Crédit mutuel Nord Europe, « personne morale distincte du prestataire de services de paiement de Monsieur X. qu’était la Caisse de Crédit mutuel de Pernes-en-Artois », aurait violé l’article 1134 du Code civil dans sa rédaction applicable au litige, mais aussi les articles L. 133-4, L. 133-18 et L. 133-23 du Code monétaire et financier.
19. Ici encore, le moyen parvient à convaincre les magistrats de la haute juridiction qui se fonde sur l’article L. 133-18 du Code monétaire et financier. Selon elle, en statuant comme elle l’avait fait « alors que seul le prestataire de services de paiement contractuellement lié au payeur est seul tenu de rembourser à ce dernier, en application du texte susvisé, le montant des opérations non autorisées », la juridiction de proximité a violé ce même article.
20. Nous le voyons, une différenciation s’impose entre les caisses locales et les caisses fédérales du Crédit mutuel. On notera, sur ce point, que le pourvoi évoquait le fait que ces caisses avaient une personnalité morale distincte. Cet argument échappe à la critique : nous étions bien ici en présence de deux sociétés différentes16. Mais la haute juridiction préfère placer le débat sur l’un des articles invoqués par les auteurs du pourvoi : l’article L. 133-18 du Code monétaire et financier. Pour mémoire, celui-ci dispose qu’: « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France17 »18. Ainsi, seul le PSP du payeur est visé par cette disposition. L’action du client contestant une opération de paiement non autorisée ne peut donc être menée que contre lui.
21. La décision étudiée, qui rappelle alors logiquement cette règle, emporte notre conviction. Le Code monétaire et financier n’ayant pas envisagé de possibilité de partage de responsabilité entre différents établissements de crédit, il n’y avait pas lieu pour le juge de faire preuve de créativité en retenant également la responsabilité de la Caisse fédérale du Crédit mutuel Nord Europe.
Notes de bas de pages
-
1.
Cass. com., 3 oct. 2018, n° 17-21395.
-
2.
Lasserre Capdeville J., « La contestation des opérations de paiement non autorisées », RD bancaire et fin. 2011, dossier 6 ; Torck S., « L’exécution et la contestation des opérations de paiement », JCP E 2010, 1033.
-
3.
Cette disposition va dans le sens d’une jurisprudence de la Cour de cassation, dégagée il y a une dizaine d’années : Cass. com., 2 oct. 2007, n° 05-19899 : Bull. civ. IV, n° 208 ; JCP E 2007, 2376, note Bouteiller P. ; RTD com. 2007, p. 813, obs. Legeais D. ; Contrats, conc. consom. 2008, comm. 26, obs. Raymond G. – Cass. 1re civ., 28 mars 2008, n° 07-10186 : Bull. civ. I, n° 91 ; JCP E 2008, 1735, note Bouteiller P. ; RTD com. 2008, p. 607, obs. Legeais D. ; RD bancaire et fin. 2008, comm. 122, obs. Caprioli E. – Cass. com., 21 sept. 2010, n° 09-16534 : JCP E 2010, 2008, obs. Stoufflet J. ; LEDB nov. 2010, p. 4, obs. Lasserre Capdeville J. – Cass. com., 1er mars 2016, n° 14-22946 : LEDB avr. 2016, n° 055, p. 2, obs. Lasserre Capdeville J.
-
4.
Pour un exemple de caractérisation, v. CA Aix-en-Provence, 24 mai 2017, n° 15/07438 : LEDB sept. 2017, n° 110t5, p. 1, obs. Lasserre Capdeville J.
-
5.
Storrer P., Revue Banque, févr. 2017, n° 806, p. 72 ; Danis-Fâtome A., RDC juin 2017, n° 114d7, p. 270.
-
6.
V. infra, n° 12.
-
7.
Cass. com., 18 janv. 2017, n° 15-18102 : Dalloz actualité, 31 janv. 2017, obs. Delpech X. ; LEDB mars 2017, n° 110j2, p. 1, obs. Piédelièvre S. ; JCP G 2017, 241, note Lasserre Capdeville J. ; RTD com. 2017, p. 154, obs. Legeais D. ; CCE 2017, comm. 33, obs. Loiseau G. ; JCP E 2017, n° 9, 1122, note Rodriguez K. ; CCE 2017, comm. 39, Caprioli E., Gaz. Pal. 13 juin 2017, n° 297k3, p. 55, obs. Roussille M. ; RLDA mai 2017, p. 30, note Mathey N. ; Banque et droit mars-avr. 2017, n° 172, p. 32, obs. Bonneau Th. ; RD bancaire et fin. 2017, comm. 44, obs. Samin Th. et Torck S. ; Revue Banque, févr. 2017, n° 806, p. 72, note Storrer P. – V. égal. Cass. com., 18 janv. 2017, n° 15-18224, 15-18466, 15-26058 et 15-22783 – CA Paris, 12 janv. 2018, n° 16/12983 : Gaz. Pal. 27 févr. 2018, n° 315c0, p. 22, note Lasserre Capdeville J. – CA Douai, 17 mai 2018, n° 18/02690 : Dalloz IP/IT 2018, obs. Lasserre Capdeville J., à paraître.
-
8.
Cass. com., 25 oct. 2017, n° 16-11644 : D. 2017, p. 2465, note Mélin J. ; JCP E 2017, 1685, note Legeais D. ; Gaz. Pal. 7 nov. 2017, n° 306p2, p. 18, avis de Guinamant M.-L. et note Lasserre Capdeville J. ; Gaz. Pal. 27 févr. 2018, n° 314v6, p. 55, obs. Houin-Bressand C. ; RD bancaire et fin. 2017, comm. 233, obs. Samin Th. et Torck S. ; D. 2017, p. 2465, note Melin F. ; Banque et droit janv.-févr. 2018, p. 20, obs. Bonneau Th.
-
9.
Cass. com., 28 mars 2018, n° 16-20018 : JCP 2018, 458, obs. Kilgus N. ; Gaz. Pal. 15 mai 2018, n° 322h4, p. 20, note Lasserre Capdeville J. ; LEDB mai 2017, n° 110n6, p. 2, obs. Mathey N. ; Dalloz actualité, 10 avr. 2018, obs. Delpech X. ; RTD com. 2018, p. 436, obs. Legeais D. ; Dalloz IP/IT 2018, p. 440, obs. Kilgus N. ; JCP E 2018, 1272, note Rodriguez K. ; Banque et droit juill.-août 2018, p. 8, obs. Bonneau Th. ; CCE 2018, comm. 34, obs. Loiseau G.
-
10.
Dans le même sens, Cass. com., 6 juin 2018, n° 16-29065 : RJDA 2018, n° 766 ; CCE 2018, comm. 68, obs. Caprioli E. ; Dalloz IP/IT 2019, obs. Lasserre Capdeville J., à paraître.
-
11.
On ne sera donc pas surpris de constater qu’en pratique les banques exigent de leurs clients, contestant être les auteurs de diverses opérations de paiement, de déposer une plainte devant les services de police ou de gendarmerie. L’objectif est ici que les intéressés parlent aux officiers de police judiciaire, et reconnaissent, le cas échéant, avoir été victimes d’une opération de phishing. En faisant cela, nous le voyons, ils se retrouveront de facto dans une situation moins privilégiée au regard du droit applicable. Beaucoup de commissariats refusent cependant, désormais, de recevoir de tels dépôts de plainte.
-
12.
Son actualité est tout autant « originale », avec le désir de sécession du Crédit Mutuel Arkéa : Lederer E., « Arkéa veut rendre son projet de sécession irréversible », Les Échos, 2 mars 2018, p. 30 ; Lederer E., « Crédit Mutuel, Arkéa dévoile le volet technique de son projet de divorce », Les Échos, 2 juill. 2018, p. 29.
-
13.
C. mon. fin., art. L. 511-9. Quatre réseaux relèvent, aujourd’hui, de cette catégorie : le Crédit mutuel, le Crédit agricole, la Banque populaire et enfin la Caisse d’épargne. On notera que les deux derniers réseaux forment aujourd’hui un même groupe : BPCE.
-
14.
C. mon. fin., art. L. 312-55 et s.
-
15.
L’adresse IP (Internet Protocol) est un numéro d’identification qui est attribué de façon permanente ou provisoire à chaque périphérique relié à un réseau informatique qui utilise l’Internet Protocol.
-
16.
La Cour de cassation a déjà eu l’occasion de dire qu’une caisse de Crédit mutuel, en sa qualité de société coopérative, n’est pas une société commerciale soumise à la loi n° 66-537 du 24 juillet 1966, et que dès lors c’est à bon droit qu’une cour d’appel a considéré qu’aux dates auxquelles les actes litigieux avaient été signés (un commandement de payer délivré le 15 juillet 2003), la caisse de Crédit mutuel, constituée le 15 janvier 1966, n’avait pas l’obligation de s’immatriculer au registre du commerce et des sociétés, Cass. com., 23 mai 2006, n° 04-20198 : Bull. civ. IV, n° 127 ; D. 2006, AJ, p. 1894, obs. Lienhard A. ; RJDA 2006, n° 922.
-
17.
Ce passage résulte de l’ordonnance n° 2017-1252 du 9 août 2017 (JO 10 août 2017, texte n° 26) ayant transposé en droit interne la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite DSP 2. Les nouveautés en question viennent de faire l’objet d’une loi de ratification, L. n° 2018-700, 3 août 2018 : JO, 5 août 2018, texte 4 ; Lasserre Capdeville J., « De la ratification à la reconnaissance du cash-back », JCP G 2018, n° 37, 920.
-
18.
La suite de l’alinéa dispose encore que : « Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».