Données personnelles – CB – Hameçonnage

Sécurité et données personnelles

Le titulaire d’une carte bancaire commet une faute le privant de toute réparation s’il révèle des données personnelles liées à sa carte en réponse à un courriel imitant sa banque mais contenant des indices permettant de douter de sa provenance, comme des fautes d’orthographe.

Cass. com. 28-3-2018 n° 16-20.018 – CASSE et ANNULE

Extrait analyse :

AUX MOTIFS PROPRES QU’ « II est renvoyé pour un plus ample exposé des faits, prétentions et moyens des parties au jugement entrepris duquel il résulte essentiellement que : – M. Y… est titulaire auprès du Crédit Mutuel en vertu d’un contrat Eurocompte Confort souscrit le 30 novembre 2010, d’un compte-courant et d’un Livret bleu sur lesquels ont été débitées les 13,14 et 18 septembre 2012 les sommes de 2 731,98 € (compte-courant) et 4 500 € (Livret bleu) dont M. Y… a sollicité, amiablement puis judiciairement, le remboursement auprès de sa banque au prétexte qu’ils étaient frauduleux, – le Crédit Mutuel s’y est opposé reprochant à M. Y… une négligence grave dans la garde et la conservation de ses données personnelles. C’est dans ces conditions qu’est intervenu le jugement entrepris qui a estimé au regard de la convention des parties la banque tenue de rembourser les paiements, effectués par carte bancaire faute d’établir que M. Y… avait communiqué les données concernant sa carte bancaire, mais non le virement opéré à partir du Livret bleu, M. Y… ayant reconnu la communication, sans précaution, de ses codes d’accès internet. Sur l’obligation de la banque : * Au titre des paiements par carte bancaire : Le Crédit Mutuel, qui rappelle les dispositions de l’article L 133-9 du code monétaire et financier applicables en l’espèce, se défend de toute obligation de prise en charge dès lors qu’il résulte du rapport établi par son service des fraudes que les opérations litigieuses étaient sécurisées par le procédé  » 3-D SECURE », protocole développé par Visa et Mastercard, qui impose à l’auteur du paiement de fournir en sus des informations usuelles fournies pour tout paiement « classique » (nom, numéro de carte, date de validité, cryptogramme), son identifiant d’accès au site du crédit mutuel, un mot de passe, une carte de clefs personnelle, son adresse mail et son mot de passe de messagerie. Il souligne la négligence grave commise par M. Y… pour avoir communiqué l’ensemble de ses données à la faveur de messages de « phishing » ne provenant manifestement pas du Crédit Mutuel mais d’expéditeurs inconnus, les dispositions de l’article 2.5.2 alinéa 2 des conditions générales de la convention de compte excluant toute obligation de paiement de la banque en cas de faute du client. M. Y… dément le rôle causal de la fourniture de ses codes personnels à la faveur du phishing dont il a été victime dans la mesure où ceux-ci étaient insuffisants pour procéder au paiement par carte bancaire sur internet, celui-ci requérant la communication de son cryptogramme qu’il conteste avoir fourni. Ainsi que le rappelle le Crédit Mutuel, les dispositions légales en la matière sont celles de l’article L 133-19 du code monétaire et financier dont il résulte notamment : – que la responsabilité du payeur (en l’espèce M. Y…) n’est pas engagée si l’opération de paiement a été effectuée en détournant à son insu l’instrument de paiement ou les données qui y sont liées, – que le payeur supporte toutes les pertes occasionnées par les opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L 133-16 et L 133-17 du code monétaire et financier lesquelles obligent notamment l’utilisateur d’un instrument de paiement à prendre toute mesure « raisonnable » pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition et à informer « sans tarder » le prestataire de toute utilisation de l’instrument de paiement sans son autorisation. Ces dispositions posent le principe de la prise en charge par la banque de toute utilisation frauduleuse d’un instrument de paiement mis à disposition du client (ainsi, comme en l’espèce, une carte bancaire) qui serait la conséquence d’une défaillance technique du dispositif de sécurité et/ou qui ne serait pas imputable à une démarche frauduleuse ou une négligence grave du client. L’analyse du Crédit Mutuel repose sur un rapport de ses propres services dont il résulterait en substance d’une part que son système de sécurité 3-D SECURE serait infaillible, d’autre part que M. Y… aurait commis une négligence grave. Aucun rapport d’un expert indépendant ne vient tout d’abord confirmer l’infaillibilité de ce système de sécurité 3-D SECURE et l’impossibilité absolue pour un informaticien de le détourner pour pouvoir utiliser à son insu la carte bancaire d’un client, étant observé que M. Y… prétend n’avoir jamais fourni le cryptogramme situé au dos de sa carte (laquelle est toujours restée en sa possession).Il sera ensuite rappelé que, dès la réception de messages « SMS » l’avisant d’opérations de paiement en cours, M. Y… s’est rapproché de sa banque et, sur ses conseils, a fait opposition, ce qui prouve une attitude « raisonnable » du client. S’agissant de la négligence grave, il ressort des explications et pièces fournies que M. Y… a été victime d’un « phishing » (hameçonnage) qui consiste, pour des tiers non identifiés, à adresser au client d’une banque des mails pouvant laisser croire qu’ils émanent de celle-ci, prétextant une nouvelle réglementation, la mise en oeuvre d’un nouveau système de sécurité (etc…), l’invitant pour ce faire à fournir l’ensemble des données personnelles composant le protocole sécurisé de paiement par carte bancaire, ce qui s’est produit en l’espèce, M. Y… ayant reçu des mails successifs portant le logo parfaitement imité du Crédit Mutuel accompagnés d’un « certificat de sécurité à remplir attentivement » qu’il a scrupuleusement renseignés, allant même, semble-t-il, jusqu’à solliciter par mail de la banque la communication de sa nouvelle carte de clefs personnelle (élément essentiel du protocole 3-D SECURE) pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté… Le Crédit Mutuel convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message (!), sont de nature à interpeller le client, ce à quoi n’est pas nécessairement sensible un client non avisé, étant observé que M. Y… affirme sans être contredit qu’il ne se connectait quasiment jamais au site intemet du Crédit Mutuel (selon lui une fois en deux ans) en sorte qu’il ignorait les alertes du Crédit Mutuel sur le phishing. De ces circonstances la Cour déduit que c’est véritablement à son insu que M. Y… a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n’est pas constitutive d’une négligence grave le fait pour un client « normalement » attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. Le jugement sera, par suite, confirmé en ce qu’il condamne la banque à rembourser à l’intéressé les paiements litigieux. * Au titre du virement : Le phishing dont a été victime M. Y… a permis de même un virement d’une somme de 4 500 € dont, pour les motifs sus exposés, l’intéressé est fondé à solliciter le remboursement. Le jugement sera, par suite, réformé de ce chef et la banque condamnée au remboursement de cette somme. Sur les demandes accessoires : L’équité commande de faire application de l’article 700 du code de procédure civile au profit M. Y… exclusivement de suivant modalités prévues au dispositif » ;