Actions sur le document

Hameçonnage : la victime peut être condamnée !

K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, Marion Moine, 24/10/2018

La réponse à un courriel d’hameçonnage est susceptible de constituer une négligence grave impliquant pour le titulaire inattentif d’en supporter les pertes occasionnées. C’est en tout cas ce qu’a considéré la chambre commerciale de la Cour de cassation dans un arrêt du 3 octobre 2018 (pourvoi n° 17-21395), en censurant la décision des juges d’appel qui avaient condamné l’établissement financier à rembourser les montants débités sur le compte bancaire de l’utilisateur victime d’une fraude. Une décision qui doit inciter tous les utilisateurs à se montrer vigilant avec les courriels qu’ils reçoivent !
l’hameçonnage ou le phishing
Pour rappel, l’hameçonnage ou le phishing consiste en l’usurpation, par un tiers fraudeur, de l’identité d’une personne morale avec laquelle les victimes sont en relation (banque, administration…), qui est généralement reproduite dans un courriel ; ce « faux » courriel va leurrer – à la manière d’un appât (d’où le terme « hameçonnage ») – la victime, et solliciter de celle-ci, sous un prétexte quelconque (offre de réduction, vérification…), de saisir des données à caractère personnel (comme un numéro de compte bancaire par exemple) ; ayant ainsi dérobé ces données, l’auteur de la fraude sera libre d’effectuer des actes à l’insu et au préjudice des personnes trompées (paiement,…).

En l’espèce :
Bien que la décision commentée ne donne pas de détail sur les faits litigieux, il est permis d’imaginer le scénario : un utilisateur, titulaire d’un compte et de services bancaires, reçoit un courriel d’un pirate qui l’invite à saisir ensuite des identifiants ou une demande de paiement illégitime. L’utilisateur s’exécute en pensant que la demande provient de sa banque. S’apercevant (trop tard) de la duperie, la victime conteste ensuite le débit des fonds qui lui ont été soustraits par le pirate, et met en cause sa banque pour négligence, en lui reprochant de ne pas avoir vérifié « l’origine des adresses IP » à partir desquelles avaient été adressées les demandes de paiement.

Cassant la décision des juges d’appel – qui avaient condamné la banque –, la Cour de cassation s’est fondée sur les articles L. 133-19, IV, et L.133-16 du Code monétaire et financier pour exclure la responsabilité d’un établissement bancaire.

Selon le premier de ces textes, « la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, les données qui lui sont liées » (1) . C’est d’ailleurs ce qu’a tenté d’invoquer l’utilisateur victime mais en vain, et pour cause : l’affaire a révélé qu’il ne s’était pas contenté de cliquer sur le courriel d’hameçonnage mais avait communiqué à son auteur des données confidentielles permettant l’utilisation du service de paiement en ligne.

Il y avait là assez d’éléments pour considérer que l’utilisateur avait, ici, manqué à son obligation de préserver la sécurité de ses données de paiement. En effet, les textes sont clairs : le titulaire d’un instrument financier « supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent (…) d’une négligence grave (…) » à son obligation « de préserver la sécurité de ses données de sécurité personnalisées» (2) .

La sévérité que certains trouveront, à cette décision, est, somme toute, relative si on la transpose du monde virtuel au monde réel : quel client, hormis un inconscient, accepterait de donner ses codes de carte bancaire à une personne qui le lui demanderait par courrier postal ou appel téléphonique ? Ainsi importuné, le client y réfléchirait à deux fois avant de donner ses données à un organisme qui, s’il est authentique, détient déjà de telles informations.

À bien y réfléchir, la cyber-sécurité est souvent une affaire de bon sens qui, dans le monde bien réel de nos aïeux, est ancré dans nos consciences.…
Ce bon sens, l’artifice du numérique ne doit pas nous le faire oublier….

(1) Article L.133-19, II, du Code monétaire et financier.
(2) Articles L. 133-19, IV, et L.133-16 du Code monétaire et financier


Retrouvez l'article original ici...

Vous pouvez aussi voir...