Une attention particulière est accordée par la Cour de cassation, dans son arrêt de 28 mars 2018, à la négligence grave de la victime et par conséquent à sa responsabilité dans une opération de fraude bancaire. Selon l’article L 133-18 du Code monétaire et financier, « en cas d’opération de paiement non autorisée signalée par l’utilisateur (..), le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé (…), sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement ».
Pour évaluer la part de la responsabilité de la banque ainsi que celle du titulaire du compte (victime de la fraude), une évaluation de trois sources différentes de fraudes s’avère nécessaire:
- Le cas où la carte de paiement a été interceptée lors de son envoi par l’émetteur à son titulaire légitime
- Le cas où un fraudeur utilise la carte de paiement récupérée à la suite d’une perte ou d’un vol
- Le cas où le numéro de la carte a été usurpé par différents techniques de fraude. Il est ensuite utilisé pour les paiements frauduleux, notamment sur Internet
Dans le premier cas, la banque engagerait sa responsabilité à défaut de mesures de sécurité suffisantes empêchant une interception des données bancaires. En effet, selon l’article L133-15 du Code monétaire et financière « le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les données de sécurité personnalisées (…) ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument ». En outre, en vertu de l’article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la banque, en tant que responsable du traitement est tenue de prévoir toutes les mesures techniques et organisationnelles appropriées pour garantir efficacement la sécurité des données bancaires. Le non-respect de cette obligation peut désormais être sanctionnée jusqu’à 4% du chiffre d’affaire mondial de l’établissement depuis le 25 mai 2018 date de la mise en application du règlement européen sur la protection des données.
Dans le deuxième cas, vu le fait que la carte n’est plus en possession du titulaire, sous réserve des conditions exigées en vertu de l’article L133-19 du Code monétaire et financier, une franchise de 50 euros est appliquée par les banques.
Dans le dernier cas, la carte resterait normalement en possession du titulaire. Différents cas de figure de fraude des données bancaires sont les suivants :
– Clonage (ou skimming) : dans ce cas, les données bancaires sont capturées à l’aide d’une caméra ou par le biais d’un détournement du clavier numérique.
– Piratage de systèmes automatisés de données, de serveurs ou de réseaux : il s’agit d’une intrusion frauduleuse dans les systèmes informatiques.
– Hameçonnage (ou phishing) : dans ce cas, les fraudeurs récupèrent les données personnelles de l’utilisateur de la carte, principalement par le biais de courriels non sollicités renvoyant l’utilisateur vers des sites frauduleux.
Dans les deux premiers cas, la part de la responsabilité du titulaire du compte peut être considérée comme étant zéro car il ne fait pas en aucun cas preuve de négligence grave et que les données bancaires sont captées à l’insu de ce dernier. Ainsi, la banque doit intégralement rembourser les sommes débitées notamment lorsque le piratage de systèmes informatiques est dû à une sécurité faible du système informatique bancaire. Le cas d’hameçonnage est plus délicat, car il s’agit d’une collecte frauduleuse des données bancaires directement auprès du client et ne pas par l’intermédiaire de la banque. Dans ce cas, la banque remboursera les sommes débitées, et ce même si le titulaire du compte est tombé dans le piège (arrêt n° 15-18102 rendu par la chambre commerciale de la Cour de Cassation le 18 janvier 2017) sauf si elle (la banque) peut démontrer la « négligence grave » du titulaire du compte dans un procès d’hameçonnage. La question qui se pose ainsi est de savoir comment évaluer une « négligence grave » du titulaire du compte dans la conservation de ses données bancaires ? Il convient d’indiquer que le titulaire du compte à contractuellement la charge de prendre toute mesure raisonnable pour préserver la sécurité de ses données bancaires. En outre, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées. Dans l’arrêt n° 1327 du 25 octobre 2017 (16-11.644) du 25 octobre 2017, la cours de cassation, ch. Commerciale, financière et économique souligne que la victime « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale »
Cependant, la Cour de cassation, dans son arrêt de 28 mars 2018 (CCass, Ch. Comm. n° 16-20018) donne une portée large à la négligence du client. Cet arrêt de la Cour de cassation peut élargir la marge de manœuvre des banques pour refuser le remboursement des sommes acquises frauduleusement en démontrant l’existence des indices permettant au client de détecter la fraude. Il s’agit des indices tels que l’examen vigilant des adresses internet changeantes du correspondant, fautes d’orthographe du message ou tout autre indice permettant de soupçonner l’existence de fraude. La lecture de l’arrêt de la Cour de cassation permet de déduire que plus la banque garantie une sécurité non-défaillante des systèmes informatiques, plus elle aurait la marge de manœuvre pour s’exonérer de remboursement de la somme acquise par fraude. A cet égard, comme il a été indiqué dans l’arrêt de 28 mars 2018, « un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur internet par utilisation, outre des données afférentes à sa carte bancaire, d’un code adressé directement au client sur son téléphone mobile ou fixe, permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ».
A l’ère de l’économie numérique et de la multiplication des transactions en ligne effectuées notamment par les consommateurs, les techniques d’ « ingénierie sociale », étant considéré comme une menace croissante exploitant le facteur humain, sont en plein d’usage par les malfaiteurs. Ainsi, les titulaires de compte doivent être plus vigilants tout en se tenant informés des différents techniques d’ingénierie sociale et des instructions données par leur établissement bancaire pour éviter toute négligence grave aboutissant, le cas échéant, de subir un non remboursement des sommes acquises par la fraude bancaire tel qu’il est le cas de l’arrêt de 28 mars 2018 de la Cour de cassation.
Il s’agit d’une technique de cybercriminalité ayant pour effet de manipuler des personnes afin de contourner des dispositifs de sécurité.