La lettre juridique n°848 du 17 décembre 2020 : Bancaire

[Jurisprudence] Durcissement de la preuve que doit apporter le banquier désireux de s’exonérer en matière de phishing

Réf. : Cass. com., 12 novembre 2020, n° 19-12.112, FS-P+B (N° Lexbase : A514434B)

Lecture: 14 min

N5727BYR

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Jurisprudence] Durcissement de la preuve que doit apporter le banquier désireux de s’exonérer en matière de phishing. Lire en ligne : https://www.lexbase.fr/article-juridique/62861915-jurisprudence-durcissement-de-la-preuve-que-doit-apporter-le-banquier-desireux-de-sexonerer-en-matie
Copier

par Karine Rodriguez, Maître de conférences - HDR, Université de Pau et des Pays de l'Adour, Responsable du M2 Droit de la consommation

le 16 Décembre 2020

Mots-clés : phishing • opération non autorisée • contestation • négligence grave du payeur • preuve de l’absence de déficience technique

Il résulte des articles L. 133-19, IV, et L. 133-23 du Code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

S’oriente-t-on en matière de phishing vers une preuve impossible à la charge du banquier qui souhaite s’exonérer de sa responsabilité ? C’est la voie que semble emprunter la Chambre commerciale de la Cour de cassation le 12 novembre 2020 dans un arrêt qui pourrait sonner le glas de la jurisprudence établie en la matière.

L’espèce commentée est pourtant bien connue des spécialistes du droit bancaire puisqu’elle a déjà fait l’objet d’une décision largement commentée. Il s’agissait du premier arrêt important rendu en la matière après la réforme du Code monétaire et financier sur les instruments de paiement dématérialisés, l’arrêt de la Chambre commerciale de la Cour de cassation du 18 janvier 2017 [1].

Dans cette affaire, la cliente d’une banque ayant répondu à un courriel provenant en apparence de l’opérateur SFR, elle avait communiqué les informations correspondant à son compte chez l’opérateur permettant ainsi au fraudeur de bénéficier d’un renvoi téléphonique des messages reçus de la banque, ainsi que ses données personnelles (nom, numéro de carte de paiement, date d’expiration et cryptogramme). La cliente avait formé opposition le jour où elle avait reçu deux messages lui communicant un code « 3 D Secure » aux fins de confirmation d’opérations effectuées par internet qu’elle n’avait de toute évidence pas autorisées. Elle avait en conséquence demandé au banquier le remboursement des sommes perdues et la réparation de son préjudice moral.

Dans la lignée de sa jurisprudence antérieure à l’ordonnance n° 2009-866  du 15 juillet 2009, relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement (N° Lexbase : L4658IEA) [2], la Haute Cour affirmait dans son arrêt de 2017 que, d’une part, il revient au banquier de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations et que, d’autre part, cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. La preuve de la faute de la cliente n’était pas rapportée.

Mais il semble que le débat se soit quelque peu déplacé puisque la preuve de la faute de la cliente ne semble ensuite plus faire de doute, l’arrêt sous commentaire explicitant dans l’exposé des faits que la cliente ne contestait pas avoir répondu à un courriel frauduleux. En effet, se prononçant sur renvoi après cassation, le tribunal d’instance de Dunkerque rend un jugement le 12 décembre 2018 dans lequel il retient la responsabilité des banques qui doivent rembourser à la cliente la totalité de la somme détournée dès lors qu’elles ne démontrent pas que l’opération litigieuse n’a pas été affectée par une déficience technique ou autre.

La banque contestant cette dernière exigence, la Chambre commerciale est de nouveau saisie d’un pourvoi qu’elle rejette. Elle affirme qu’ « il résulte des articles L. 133-19, IV (N° Lexbase : L5118LGN) et L. 133-23 (N° Lexbase : L5125LGW) du Code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 (N° Lexbase : L5114LGI) et L. 133-17 (N° Lexbase : L5113LGH) de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. » Or, précisément, les juges du fond ont souverainement estimé que la banque ne rapportait pas une telle preuve.

En approuvant la position des juges du fond, la Haute Cour confirme les preuves qui sont exigées de la part du banquier qui souhaite s’exonérer dans le cadre d’un phishing, celle d’un manquement du client à ses obligations. Toutefois, et cela pourrait tout changer, elle identifie avec le tribunal d’instance une nouvelle condition à remplir : le banquier doit également démontrer que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.

I. La confirmation opportune de l’exigence de la preuve d’un manquement du client à ses obligations

En présence d’une opération non autorisée par le payeur, c’est le prestataire de service de paiement qui engage en principe sa responsabilité. Il doit rembourser son client après que celui-ci a contesté le débit, règle incontestablement dictée par la prise en compte de l’inégalité des situations économiques et juridiques du prestataire et de son client.

Parfois, les banquiers cherchent à s’exonérer en invoquant l’article L.133-19, IV du Code monétaire et financier qui prévoit la responsabilité du payeur qui n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, en particulier parce qu’il n’aurait pas pris toutes les mesures raisonnables pour préserver la sécurité de ses données de sécurité personnalisées, parce qu’il les aurait perdues, communiquées ou laissées en évidence. Or, effectivement, la technique du phishing repose sur la réponse par le payeur à un mail frauduleux qui permet au fraudeur de collecter les informations qui lui sont nécessaires pour déclencher l’opération de paiement en sa faveur : les éléments qui concernent le compte bancaire du payeur, mais aussi les données personnelles relatives à son compte chez l’opérateur téléphonique de manière à pouvoir récupérer le code « 3D Secure ».

Toutefois, il revient à la banque de prouver la faute du payeur, cette dernière ne pouvant invoquer la fiabilité de son système pour en déduire une présomption de faute du titulaire de la carte (C.  mon. fin., art..L. 133-23 al.2). Quand le client avoue avoir répondu à un mail frauduleux comme en l’espèce, la preuve est aisée. À défaut d’aveu de sa part, le banquier devra prouver qu’un utilisateur normalement attentif n’aurait pas répondu au mail envoyé par le fraudeur en raison des indices (fautes d’orthographe, syntaxe inexacte, logos approximatifs,…) lui permettant de douter de la provenance du courriel. En effet, après avoir invité à une appréciation in concreto de la négligence grave [3], la Haute Cour a privilégié une appréciation in abstracto de cette négligence grave [4], précisant même que la bonne foi du client importe peu [5].

Si l’on pouvait regretter l’absence de prise en compte de la fragilité de certains utilisateurs âgés, la jurisprudence de la Cour de cassation avait, ce faisant, abouti à un certain équilibre, l’utilisateur du service de paiement qui contestait une opération de paiement n’obtenant gain de cause que s’il n’avait pas lui-même commis de négligence grave dans la conservation de ses dispositifs de sécurité personnalisés.

Par l’arrêt commenté, la Chambre commerciale vient assurément bouleverser cet équilibre. Elle rappelle certes la nécessité d’établir le manquement de l’utilisateur, mais elle ajoute une nouvelle condition à l’exonération du banquier qui jette manifestement le trouble.

II. L’ajout troublant de l’exigence de la preuve de l’absence de déficience technique ou autre

Le banquier qui entend s’exonérer de sa responsabilité en présence de la négligence grave de l’utilisateur doit désormais prouver en outre que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

En réalité, la Chambre commerciale fait la stricte application de l’article L. 133-23, alinéa 1er, du Code monétaire et financier en vertu duquel « lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. »

Cet alinéa avait jusque-là été passé sous silence dans le cadre de la détermination des responsabilités en matière de phishing. Certes, il ne figure pas dans la section 6 sur la « Contestation et responsabilité en cas d’opération de paiement non autorisée » [6], mais ce constat n’a pas constitué un obstacle à l’application par les juges, dès le départ, de l’alinéa 2 de ce même article en vertu duquel « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Aucune raison d’ordre juridique ne justifiait donc que l’alinéa premier ne soit pas appliqué.

Loin d’être symbolique, l’exigence que pose cet article remet en cause la construction plutôt équilibrée qui avait été bâtie jusque-là et elle interroge sur ce qu’il faut entendre par « preuve que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ». Car la portée de cette exigence nouvelle dépendra en réalité des éléments de preuve réellement attendus.

Or, sur ce point, l’arrêt commenté nous donne quelques indications qui permettent d’entrevoir une conception restrictive des moyens de preuves recevables. Plus précisément, le jugement du tribunal d’instance de Dunkerque, auquel la Cour de cassation renvoie pour une appréciation souveraine de cette preuve, estime que le tableau chronologique et le rapport établi par les services de la banque mentionnant l'ensemble des informations relatives à l'opération contestée (date et heure de l'opération, numéro de la carte bancaire, montant des opérations, site sur lequel la transaction a été effectuée) et dont il résultait que le code unique à six chiffres utilisé pour valider l'opération avait été reçu par la cliente ne prouvent pas que cette opération avait été « enregistrée, comptabilisée, authentifiée », et n'avait « été affectée d'aucune déficience technique ».

N’est-ce pas une preuve impossible qui est finalement exigée ? Nécessitera-t-elle un recours systématique à une expertise technique pour examiner les systèmes informatiques des banques ? Sera-telle seulement possible ? Rien n’est moins sûr, et il en résulte un risque évident de déresponsabilisation des clients. Ces derniers auraient pourtant sans doute été suffisamment protégés par une appréciation de la négligence grave qui, sans nécessairement être complètement in concreto, aurait pu être davantage inclusive que l’appréciation in abstracto retenue par l’arrêt de la Cour de cassation du 25 octobre 2017 par la prise en compte de certaines faiblesses individuelles qui fragilisent les destinataires de mails frauduleux.

Cette nouvelle exigence de preuve de l’absence de déficience technique ou autre jette donc incontestablement un trouble dans la jurisprudence sur le phishing. Car si la solution est juridiquement justifiée, elle ne parait pas très juste pour le banquier qui devra assumer la responsabilité d’opérations non autorisées dans des cas de négligence flagrante des clients.  Aussi, si la Cour de cassation devait maintenir sa position, il reste à espérer que l’authentification forte désormais requise des banques rendra la fraude plus difficile [7].

 

[1] Cass. com., 18 janvier 2017, n°15-18.102, FS-P+B+I (N° Lexbase : A0605S9B), JCP E, 2017, 1122 ; Banque et droit 2017, 32, G. Helleringer et Th. Bonneau  Dr. & patr., 2017, n° 272 p. 83, J.-P. Mattou et H. de Vauplane ; Gaz.Pal., 2017, n° 22, 55-56, M. Roussille ; JCP E, 2017, n° 18, p. 42, H. Causse ; Contrats, conc. consom., 2017, n° 4 p. 45 Carpili ; Revue Banque, 2017, n° 814, p. 64, P. Storrer ; RJDA, 2017, n° 3 p. 237 ; H. Causse, Lexbase Affaires, 2017, n° 501 (N° Lexbase : N6987BWP).

[2] Cass. com., 2 octobre 2007, n° 05-19.899, FS-P+B+I+R (N° Lexbase : A6190DYW), D., 2007, 2765, M.-L. Belaval ; D., 2008, 454, A. Boujeka ; JCP G, 2008, II, 10014, E. Bazin ; RDBF, 2007, 42, F.-J. Crédot et Th. Samin.

[3] Cass. com., 25 octobre 2017, n° 16-11.644, FS-P+B+I (N° Lexbase : A6296WW4), JCP E, 2017 1685, D. Legeais, 1639, act. 787 ; RDBF, 2017, comm. 233, Th. Samin et S. Storck ; Contrats, conc. consom., 2018 comm. 20, S. Bernheim-Desvaux ; D., 2017 p. 2465 ; D., 2017, p. 2465, F. Mélin ; D. Bondat, Lexbase Affaires, novembre 2017, n° 531 (N° Lexbase : N1325BXD) ; C. Houin-Bressand, Utilisation frauduleuse des données personnalisées : être victime d’un hameçonnage n’exclut pas la négligence grave, Gaz. Pal., 27 février 2018, p. 55.

[4] « Manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage » : Cass. com., 28 mars 2018 n° 16-20.018, FS-P+B (N° Lexbase : A8613XIT), Banque et droit, 2018, n° 180, p. 9 ; Revue Banque, n° 821, p. 75, P. Storrer ; Banque et Droit, avril 2017, 32, G. Helleringer et Th. Bonneau ; Revue Lamy dr. civ., 1er juillet 2018, n° 161, p. 3 ; Contrats, conc. consom., 2018 n° 5, p. 27.

[5] Cass. com., 1er juillet 2020, n° 18-21.487, F-P+B (N° Lexbase : A56703Q3), J. Lasserre Capdeville, Lexbase Affaires, juillet 2020, n° 642 (N° Lexbase : N4049BYM).

[6] Il figure dans la section 8 sur « Les modalités pratiques et délais en cas d’opérations de paiement non autorisées ou mal exécutées ». 

[7] V. C. mon. fin., art. L. 133-4, f (N° Lexbase : L5108LGB). Il s'agit d’« une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ». Les deux éléments doivent être indépendants entre eux et l’authentification doit être à usage unique. L’authentification forte reposera donc, selon les prestataires concernés, sur l'utilisation de deux de ces éléments, voire plus, de sorte que la sécurisation des paiements en ligne par SMS (tel avec le 3D Secure) sera désormais insuffisante. En effet, si la notion de « connaissance » (par exemple un mot de passe ou un code confidentiel) est assez claire, il en va différemment de celles de « possession » et d’« inhérence ». Des précisions s’imposent. En premier lieu, concernant la « possession », il s’agira d’un objet que seul l’utilisateur possède (smartphone, ordinateur, tablette, etc.). En second lieu, l’« inhérence » doit être entendue comme une donnée biométrique, telles les empreintes digitales ou une reconnaissance faciale (et notamment le visage ou les yeux). On peut également imaginer une reconnaissance par la voix. De nouveaux dispositifs d’authentification renforcée viendront progressivement remplacer l’utilisation d’un code reçu par SMS. Ils pourront, par exemple, reposer sur une application, pour smartphone ou carte SIM (compatible avec tous les téléphones), nécessitant la saisie d’un code secret ou la vérification d’une donnée biométrique (empreinte digitale, reconnaissance de la voix ou du visage).

© Reproduction interdite, sauf autorisation écrite préalable

newsid:475727

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.