Dans un précédent article, nous évoquions le cas de deux personnes âgées, victimes de phishing, et d’une décision judiciaire rendue en la matière en 2019 par les juridictions anversoises.
Précisément, cette décision vient d’être confirmée par la cour d’appel d’Anvers, en novembre 2020 (références en fin d’article).
Le phishing est à la mode
Le « phishing » ou « hameçonnage » est une technique d’escroquerie par e-mail, SMS, whatsapp ou autre moyen de communication en ligne (messenger, internet, etc.) par laquelle des pirates informatiques tentent d’obtenir les données personnelles en vue d’une utilisation frauduleuse de celles-ci. Les pirates se font passer pour des entreprises connues, dans des messages qui paraissent aujourd’hui plus réels que jamais. Les banques et leurs clients sont évidemment une cible privilégiée.
Malgré la multiplication des avertissements par les autorités publiques et les grandes entreprises, financières ou non, certains clients tombent malgré tout dans le piège du phishing qui leur est tendu, et qui tend à faire de plus en plus de victimes de ce type d’escroquerie par internet. En 2019, dans son rapport annuel, l’Ombudsfin recensait 647 plaintes relatives aux services de paiement (pour 261 en 2015), dont 221 concernaient une fraude par internet[2].
Dans quelle mesure la banque doit-elle prendre en charge le préjudice subi par le client victime de phishing ?
Nous recevons beaucoup de questions sur les obligations des banques et leurs responsabilités en cas de fraude par internet ou autres moyens électroniques.
En droit bancaire, les principes de droit applicables en cas de phishing sont identiques à ceux applicables en cas de perte ou vol d’un instrument de paiement. En résumé (d’autres obligations sont prévues par la loi), en cas de perte, vol ou falsification d’un instrument de paiement (carte, digipass, etc.) :
- le client ne supporte qu’une responsabilité limitée de 50 EUR pour les opérations intervenues avant qu’il n’avertisse sa banque des faits constitutifs de l’escroquerie par internet ou par autre voie électronique (phishing)
- toutes les opérations passées par la suite et liées au phishing sont de la responsabilité de la banque.
- par exception, si le client se rend coupable d’une « négligence grave », il supportera l’entière responsabilité des opérations critiquées et liées à l’escroquerie.
La « négligence grave » du client : une notion subjective
La négligence grave, en cas de phishing, est une notion subjective laissée à l’appréciation du juge et qui n’est pas limitée aux exemples repris dans la loi (comme noter ses données personnelles sur sa carte bancaire ou manquer d’avertir la banque à temps).
Le principe de la responsabilité du client face au phishing et à l’égard de sa banque
Le droit bancaire – tout comme le droit commun de la responsabilité – attend du titulaire d’un instrument de paiement qu’il fasse usage de celui-ci conformément aux conditions accompagnant son émission.
Egalement, le client doit prendre toutes les mesures raisonnables pour assurer la sécurité de l’instrument de paiement et la confidentialité des données qui y sont liées.
Il lui incombe aussi de prévenir immédiatement sa banque (ou Card Stop) de toute perte, vol, utilisation illégale ou non-autorisée de son instrument de paiement (fraude par internet, escroquerie électronique, etc.).
L’appréciation de la négligence grave du client en cas de phishing
La négligence grave s’apprécie par ailleurs indépendamment des caractéristiques propres du client victime de l’escroquerie / phishing : l’âge du client n’a pas d’importance dans l’appréciation par le juge du comportement d’un client qui est attendu par le droit bancaire. En effet, sa perception des éléments ayant conduit à l’escroquerie, ou sa capacité à les percevoir (qui peut être amoindries, par exemple, par l’âge) sont inopérants pour écarter la négligence grave et entraîner la responsabilité de la banque à l’égard des conséquences d’opérations de phishing.
Tel est également l’avis des auteurs autorisés sur le sujet, et récemment de la cour d’appel d’Anvers dans son arrêt rendu en novembre 2020.
L’analyse du juge doit certes tenir compte des circonstances de l’espèce, mais uniquement de manière objective et en s’appuyant sur le comportement abstrait qu’adopterait toute personne prudente placée dans une situation identique.
En d’autres termes, en matière de responsabilité lors d’opérations de paiement non autorisées, la cour – comme le tribunal de première instance avant elle – consacre une appréciation in abstracto, et non in concreto.
(L’arrêt et la décision attaquée seront publiés in extenso dans le premier numéro de 2021 la revue « Droit bancaire et financier », aux éditions Larcier, et commentés par l’un des auteurs de ce site)
[1] https://economie.fgov.be/fr/themes/line/commerce-electronique/spam/phishing.
[2] Disponible sur le site www.ombudsfin.be. Ombudsfin a lancé un appel pour appuyer les campagnes de prévention contre les manipulations de fraudeurs qui parviennent encore trop souvent à détourner des fonds par ruse en profitant de la crédulité des victimes. Son rapport 2019 rappelle quelques consignes de sécurité pour ne pas se laisser piéger, invitant par ailleurs à consulter régulièrement le site www.safeonweb.be. Les avis rendus par Ombudsfin en cette matière sont également consultables sur le site de ce dernier.
