Les attaques en hameçonnage affectent aussi bien les entreprises que les particuliers. Les clients d’une banque qui ont été naïfs et ont fourni des informations personnelles en répondant à un courriel frauduleux ne seront pas remboursés s’ils ont commis une négligence grave, et ce, même s’ils n’étaient pas avisés des risques de fraude liés à la cybermalveillance.
I – La banque n’a pas à rembourser le client qui a commis une négligence grave
En se faisant passer pour des tiers de confiance à l’instar d’un opérateur téléphonique ou encore d’une administration, des personnes malveillantes peuvent récupérer des informations personnelles et confidentielles. En matière bancaire, la règlementation en vigueur à l’égard d’une victime naïve encourage les internautes à être davantage attentifs dans leurs communications électroniques face à une phishing attack.
Effectivement, dès lors qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement doit prendre « toute mesure raisonnable pour préserver la sécurité de ces dispositifs de sécurité personnalisé » C. mon. fin., art. L. 133-16, al. 1er A défaut, il doit supporter les pertes occasionnées si elles résultent d’une « négligence grave » de sa part (C. mon. fin., art. L. 133-19, IV) Le législateur met ici l’accent sur le caractère raisonnable que doit prendre l’utilisateur de ces services.
II – La banque n’a pas à rembourser le client même s’il n’était pas renseigné sur les risques de cyberattaques dont il pourrait être victime
La jurisprudence est plus sévère que le législateur (Cass. com., 28 mars 2018, n° 16-20.018). Soulignons trois points pour que l’utilisateur engage sa responsabilité :
- Il doit avoir communiqué ses données personnelles sur ce dispositif de sécurité en répondant à un courriel : par exemple, les identifiants de connexion ou les numéros de carte bancaire ;
- Ce courriel devait contenir des indices permettant à un utilisateur normalement attentif de douter de sa provenance frauduleuse : il s’agit donc d’une appréciation in abstracto où une personne placée dans une même situation aurait dû s’apercevoir que le courriel était frauduleux, le seul fait qu’une personne normalement attentive morde à l’hameçon suffit à caractériser la négligence et protège la banque d’un remboursement ;
- Il importe peu que l’utilisateur soit avisé ou non sur les risques de phishing attack: être une personne totalement inexpérimentée en informatique ou au contraire être spécialiste de la cybermalveillance est sans incidence dans l’appréciation de la négligence grave. Autrement dit, les conditions d’engagement de la responsabilité de l’utilisateur sont peu restrictives, ce qui lui est défavorable.
Il est donc primordial de noter que la législation privilégie la vigilance et sanctionne la négligence grave en matière de phishingattack. Sur ce point, le droit bancaire n’est pas du côté des clients et des consommateurs.
III – La banque peut facilement prouver la faute du client
Si le client victime d’une phishing attack peut être sanctionné pour sa négligence et son imprudence, encore faut-il que le non-respect de cette obligation de vigilance soit prouvée, et ce, par la banque. Il serait trop facile pour les banques de rejeter toute demande de remboursement en arguant le simple fait que le client a été imprudent et naïf. La négligence du client ne saurait se présumer et une solution inverse serait tout bonnement injuste. C’est d’ailleurs la raison pour laquelle les banques exigent de leurs clients de porter plainte au commissariat afin d’officialiser le fait que le client a été victime d’une phishing attack.
En réalité, cette demande de la part des banques fait surtout écho à une jurisprudence sévère pour elles. Si le client prétend qu’il n’a pas été victime d’une telle attaque, la banque ne pourra pas rejeter la demande de remboursement sur le fondement d’une négligence grave de la victime répondant à un courriel manifestement frauduleux. En effet, le refus du client de reconnaître qu’il a été victime d’une phishing attack ne peut établir à lui seul la fraude de la partie au profit de laquelle la décision a été rendue permettant un recours en révision au sens de l’article 595 du Code de procédure civile (CA Douai, 17 mai 2018). Autrement dit, si un client a obtenu un remboursement en première instance alors qu’il niait avoir été victime d’une telle attaque, la banque doit prouver le mensonge et les manœuvres le corroborant pour pouvoir ouvrir un recours en révision. Cette situation délicate pour la banque l’expose alors plus facilement à une obligation de remboursement. Obliger les clients à porter plainte contraint donc ces derniers à se confronter à la police et à éventuellement admettre qu’ils ont été victimes d’une phishing attack. Les clients se retrouveraient alors dans une situation bien moins favorable.
IV – Mieux vaut se prémunir en amont contre les attaques en hameçonnage
En définitive, assigner sa banque en remboursement, c’est prendre le risque de se voir opposer sa propre négligence face à une phishing attack. Réciproquement, rejeter la demande de remboursement d’un client en soutenant la naïveté de ce dernier, c’est perdre la confiance du client qu’il vouait envers son établissement bancaire et risquer de le voir clôturer ses comptes. Ainsi, mieux vaut prévenir que guérir. Pour se prémunir contre le hameçonnage, il convient de sensibiliser les utilisateurs aux diverses menaces numériques susceptibles de porter atteinte aux données sensibles comme les informations bancaires. Pour ce faire, il y a de très nombreux réflexes simples à adopter comme être attentif à l’adresse e-mail de l’expéditeur et au nom de domaine utilisé. Une banque, du fait de son statut de professionnel, n’utilisera jamais une adresse e-mail avec comme nom de domaine @gmail ou @hotmail !
D’ailleurs, l’Etat a mis en place toute une série de dispositifs de prévention pour notamment signaler les messages douteux reçus par e-mail grâce à Signal Spam ou encore l’adresse d’un site internet d’hameçonnage grâce à Phishing Initiative.