Escroquerie par phishing ou hameçonnage : étude de cas

Adeline a répondu à un mail se présentant comme émanant de l’opérateur téléphonique SFR. En réalité, il s’agissait d’une personne qui a usurpé l’identité de SFR, ce que Aline n’a pas perçu.

Elle a donc communiqué à cette personne des informations confidentielles ( coordonnées bancaires et téléphoniques… ), ce qui a permis à cette dernière d’essayer de lui soutirer de l’argent en réalisant des achats sur Internet.

Adeline a reçu sur son téléphone deux messages lui communiquant un code d’accès à six chiffres permettant de valider les opérations que l’usurpateur a essayé de faire. Le jour même, elle a donc décidé de faire opposition à sa carte bancaire auprès de la Caisse de crédit mutuel de Calais. Elle a également demandé le remboursement de la somme qui a finalement pu être prélevée sur son compte.

La juridiction de proximité de Calais a accepté la demande d’Adeline en condamnant la banque à lui verser 3300,28 euros au titre du remboursement des sommes prélevées. La banque maintient sa position et décide porter l’affaire devant la Cour de cassation ( car l’appel d’un jugement rendu par la juridiction de proximité est reçu directement par la Cour de cassation ).

Problème de droit

Dans quelles conditions une banque peut-elle refuser de rembourser l’argent escroqué par phishing à un de ses clients ?

Parties

Demandeur : la banque( la Caisse de crédit mutuel de Calais )

Défendeur : Adeline ( la victime de l’escroquerie par phishing )

Demandes des parties

La banque soutient que Adeline a été gravement négligente dans la conservation de ses données personnelles car elle a communiqué ses coordonnées bancaires et téléphoniques à une personne malveillante.

Adeline soutient, quant à elle, que si elle a bien communiqué volontairement ses données personnelles à la personne qui s’est faite passer pour SFR, c’est à son insu que ses données ont été détournées car elle ignorait qu’elle les transmettait à une personne se présentant sous une fausse identité. Elle n’a donc pas fait preuve d’une « grave négligence », d’autant plus qu’elle a bien conservé son code confidentiel et le code 3D secure qui permettent de finaliser une transaction.

Solution de la Cour de cassation

 La Cour de cassation casse le jugement rendu par la juridiction de proximité de Calais car elle considère que cette dernière n’a pas déterminé si Adeline aurait dû avoir conscience du caractère frauduleux du mail qu’elle reçut. Si les juges avaient établi cela, alors ils auraient pu reprocher à Adeline d’avoir communiqué ses données personnelles de façon gravement négligente.

En conséquence, la Cour de cassation n’a pas condamné la banque à rembourser les sommes détournées.

La Cour de cassation a donc invité d’autres juges ( en l’occurrence le tribunal d’instance de Dunkerque ), à établir ces éléments.

Cour de cassation, chambre commerciale, 25 octobre 2017