En tête UFC Que Choisir de l'Ardèche

Contacts Ardèche

Association Locale de l'Union Fédérale des Consommateurs Que Choisir


Siège: Place de la Gare - 07200 AUBENAS - Tel : 04 75 39 20 44 - Email : contact@ardeche.ufcquechoisir.fr

Accueil > Information > Argent et Assurances :

Phishing: En cas de négligence avérée, la banque ne rembourse pas

La Cour de cassation vient de donner raison au Crédit mutuel de Calais dans une affaire qui oppose l’établissement bancaire à une victime de phishing (ou hameçonnage). L’aveu de cette dernière de l’envoi de ses coordonnées personnelles en réponse à un courrier électronique manifestement frauduleux constitue une preuve de négligence, selon la plus haute juridiction. Cet arrêt ne crée cependant pas de revirement de jurisprudence car il appartient toujours à la banque de prouver la négligence.


L’arnaque au phishing est classique. Madame X. reçoit un courrier électronique censé provenir de SFR, son opérateur téléphonique, indiquant qu’à la suite d’un impayé ou d’un rejet, elle doit fournir ses coordonnées bancaires mais aussi des informations relatives à son compte SFR. Bien mal lui a pris de s’exécuter, puisque derrière l’expéditeur se cachait une personne malveillante qui a utilisé ces données pour effectuer des achats d’un montant de 3 300,28 €. La victime a pourtant fait opposition sur sa carte bancaire dès qu’elle a reçu un SMS de sa banque (le Crédit mutuel de Calais), contenant un code « 3D Secure » pour valider deux paiements sur Internet qu’elle n’avait jamais réalisés. Trop tard. L’escroc, grâce aux éléments préalablement reçus, avait pu mettre en place un renvoi automatique des messages envoyés par la banque.

Négligence grave soutenue par la Cour de cassation

Si la juridiction de proximité de Calais a indiqué qu’il n’y avait pas eu de négligence de la part de la victime, dont les informations ont été détournées à son insu, la Cour de cassation a jugé que cette absence de négligence n’a pas été suffisamment établie. Ainsi, la haute juridiction estime qu’il y a eu négligence grave dans l’hypothèse où madame X. a avoué avoir transmis ses données personnelles suite à un mail ostensiblement frauduleux. Par son arrêt du 25 octobre 2017, elle casse alors le jugement qui avait requis l’indemnisation par la banque. Elle considère que la juridiction de proximité n’a pas pris tous les éléments nécessaires en compte dans sa décision. La plus haute juridiction s’appuie notamment sur l’article 133-16 du code monétaire et financier, qui prévoit que « l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ». Elle précise que le courrier électronique de phishing comportait de nombreux éléments d’alerte (aucun nom de destinataire ni d’expéditeur, un numéro de facture erroné, la mention d’un impayé ou d’un rejet alors que le compte de madame X. était créditeur). L’affaire est alors renvoyée au tribunal d’instance de Dunkerque.

Par cette décision, la Cour de cassation énonce qu’un établissement bancaire n’est pas nécessairement tenu de rembourser une victime d’hameçonnage et donne raison au Crédit mutuel Nord Europe, précédemment condamné pour n’avoir pas respecté, à maintes reprises, l’obligation de rembourser ses clients en cas de fraude. Pour en être exemptée, la banque doit prouver la négligence du client. Dans le cas présent, l’aveu d’envoi de données personnelles mais aussi le caractère grossier du courrier électronique apportent cette preuve, ce pourquoi cet arrêt ne devrait pas créer un revirement de jurisprudence.

Ne jamais transmettre ses données personnelles par courriel

Contre ce type d’arnaque, la vigilance est de mise, de nombreuses enseignes faisant l’objet d’usurpations d’identité, comme le démontrent la dernière alerte d’Ikea. Mieux vaut ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…).

En cas de doute, contactez l’organisme officiel censé vous avoir envoyé le courriel pour effectuer une vérification. S’il est trop tard, un portail web émanant du ministère de l’Intérieur vous permet de signaler une tentative de phishing (Internet-signalement.gouv.fr). Vous pouvez également vous rendre sur la nouvelle plateforme officielle Cybermalveillance.gouv.fr, qui vous aide à savoir comment réagir et qui contacter.




Source: Que Choisir en Ligne . Publié le: 13/11/2017
Marie Bourdellès


Pied de page - UFC Que Choisir de l'Ardèche

Haut de page | Accueil | UFC Que Choisir de l'Ardèche | Mentions légales | Plan du site
Site de l'union fédérale des consommateurs Que Choisir: UFC Que Choisir - Association de consommateurs
Site de l'union régionale des consommateurs Que Choisir: UFC Que Choisir Rhône Alpes