BFM Business
Assurance Banque

Victime d'hameçonnage, un client n'est pas dédommagé par sa banque

La Cour de cassation estime que le client d'une banque a fait preuve d'une négligence grave pour avoir communiqué ses coordonnées bancaires en réponse à un courriel trompeur. Il ne sera pas remboursé des dépenses frauduleuses. C'est la deuxième décision de justice défavorable aux victimes de phishing, rendue en 6 mois.

Il faut vraiment faire attention aux courriels trompeurs (phishing ou hameçonnage) usurpant l'identité de votre banque pour soutirer vos coordonnées bancaires. Si la banque prouve qu'il y a négligence de votre part, elle ne sera pas obligée de vous dédommager des dépenses frauduleuses induites par le fait d'avoir communiqué vos coordonnées à des inconnus en réponse à ces faux email.

C'est en substance ce qu'a jugé la Cour de cassation. Dans un arrêt récent publié sur le site legalis et pour la deuxième fois en six mois, elle a retenu la négligence grave du client, victime d’une opération de hameçonnage. La décision dispense par la même occasion la banque de son obligation de garantie qui l'aurait contrainte à rembourser à son client les sommes prélevées indûment.

En l'occurrence, l'affaire oppose un client à sa banque, la caisse du Crédit Mutuel de Beauvais, alors qu'il avait été trompé par des messages électroniques successifs portant le logo bien imité de la banque. Il avait communiqué (de bonne foi) à des escrocs du Net ses coordonnées bancaires, grâce auxquelles plus de 7000 euros avaient été soustraits de son compte bancaire et de son livret bleu.

La cour d'appel a donné raison au client contre la banque

Dans un premier jugement, la cour d'appel avait soutenu que, si le client avait montré "sa totale naïveté", seul "un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, étaient de nature à interpeller le client". Or ce client se connectait rarement au site de sa banque (une fois en deux ans), et n'avait pas vu les messages de mise en garde contre le phishing et n'était pas à même de détecter le contenu malveillant. En conséquence de quoi, la cour d'appel d'Amiens avait condamné le Crédit Mutuel de Beauvais à rembourser au client les sommes indûment prélevées sur son compte.

La Cour de cassation a infirmé totalement ce jugement. Elle a estimé au contraire que le client a "manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés". Enfonçant le clou, l'arrêt de la Cour juge que le courriel incriminé contenait "des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage". Autrement dit, le fait de n'avoir pas pris connaissance des messages d'alerte expédiés par la banque sur le phishing, n'est pas un argument à faire valoir. Il ne saurait dispenser le client d'exercer sa vigilance vis-à-vis de tout email lui demandant ses coordonnées bancaires. Cette décision rappelle que le remboursement des clients victimes d'opérations bancaires illicites à la suite d'une opération de phishing n'est pas automatique.

Frédéric Bergé