|
Le client d’une banque, victime d’un hameçonnage / phishing de ses données bancaires, peut obtenir le remboursement des sommes indûment prélevées sur son compte bancaire, y compris en présence d‘un système de protection à trois niveaux : i) accès à un espace personnel en renseignant son identifiant et son mot de passe, ii) saisie d’une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client ; iii) code de confirmation adressé sur l’adresse email ou le téléphone portable du client. Le Phishing «parfait»Si la preuve de la négligence grave commise par l’utilisateur d’un service de paiement peut être rapportée par tout moyen (négligence de nature à dédouaner la banque), le client qui communique ses données personnelles en réponse à un courriel qui ne contient pas d’indices permettant à un utilisateur normalement attentif de douter de sa provenance, ne commet pas de négligence fautive. Charge de la preuveSi, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, dans leur rédaction alors applicable, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. Utilisateur normalement attentifEn l’occurrence, rien ne permettait d’établir que le message d’hameçonnage, en réponse auquel le client aurait communiqué des données personnelles, ait contenu des indices permettant à un utilisateur normalement attentif de douter de sa provenance. La juridiction n’a pas exigé de la banque qu’elle démontre que son système de paiement était totalement inviolable et qu’il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte mais s’est bornée à retenir qu’en l’absence d’une telle démonstration, il appartenait à la banque d’établir, par d’autres moyens, la négligence grave qu’elle imputait à sa cliente.  |
→ Questions / Réponses juridiques
Qu’est-ce que le phishing et comment cela affecte-t-il les clients des banques ?Le phishing, ou hameçonnage, est une technique frauduleuse utilisée par des cybercriminels pour obtenir des informations sensibles, telles que des données bancaires, en se faisant passer pour une entité de confiance. Les clients des banques peuvent devenir victimes de phishing lorsqu’ils reçoivent des courriels ou des messages trompeurs les incitant à fournir leurs informations personnelles. En cas de préjudice, les clients peuvent demander le remboursement des sommes indûment prélevées, même si des mesures de sécurité sont en place. Ces mesures incluent un accès sécurisé à un espace personnel, l’utilisation d’une clé personnelle et un code de confirmation envoyé par la banque.Quelles sont les obligations de l’utilisateur en matière de sécurité des paiements ?Selon les articles L. 133-16 et L. 133-17 du code monétaire et financier, l’utilisateur de services de paiement doit prendre des mesures raisonnables pour protéger ses dispositifs de sécurité. Cela inclut la nécessité d’informer rapidement le prestataire de services de paiement en cas d’utilisation non autorisée de ses données. Cependant, la charge de la preuve incombe au prestataire, qui doit démontrer que l’utilisateur a agi de manière frauduleuse ou a négligé ses obligations. Cette preuve ne peut pas être simplement déduite de l’utilisation des données personnelles ou de l’instrument de paiement.Qu’est-ce qu’un utilisateur normalement attentif ?Un utilisateur normalement attentif est une personne qui fait preuve de vigilance et de prudence dans ses interactions en ligne, notamment en vérifiant la provenance des messages qu’elle reçoit. Dans le contexte du phishing, si un client communique ses données personnelles en réponse à un courriel sans indices suspects, il ne peut pas être considéré comme négligent. La juridiction a souligné qu’il n’était pas nécessaire pour la banque de prouver que son système de paiement était totalement inviolable. Elle devait plutôt établir, par d’autres moyens, la négligence grave qu’elle imputait à sa cliente, en l’absence de preuves de fraude de la part de l’utilisateur. |
Laisser un commentaire