BFM Business

Carte bancaire piratée: la banque ne rembourse pas si le client est négligent

L’aveu de l’envoi de ses coordonnées de carte bancaire en réponse à un email manifestement frauduleux constitue une preuve de négligence grave, selon la Cour de cassation.

L’aveu de l’envoi de ses coordonnées de carte bancaire en réponse à un email manifestement frauduleux constitue une preuve de négligence grave, selon la Cour de cassation. - Denis Charlet-AFP

La Cour de cassation donne raison au Crédit Mutuel de Calais dont un des clients réclamait le remboursement d'achats en ligne frauduleux. Trompée par un email l'ayant amenée à révéler ses coordonnées bancaires, cette victime a fait preuve de négligence grave, selon les juges.

Attention, le remboursement de paiements frauduleux sur Internet par la banque n'est pas systématique. Tout dépend s'il est prouvé (ou pas) une négligence grave du consommateur, victime de ces achats en ligne indus.

La Cour de cassation a ainsi donné raison au Crédit mutuel de Calais contre un client dont la carte bancaire avait été piratée, révèle le site legalis. Ce client avait été trompé par un courriel de phishing (ou hameçonnage) émis au nom de son opérateur télécom lui réclamant ses coordonnées bancaires à la suite d'un impayé et d'un rejet. En réponse, il avait eu le tort de communiquer à l'émetteur de cet email ses coordonnées bancaires, y compris le cryptogramme au dos de sa carte de paiement.

La victime avait fait opposition sur sa carte bancaire dès la réception d'un SMS de sa banque, contenant un code à six chiffres 3D Secure (code unique envoyé par SMS à l'acheteur et utilisé pour valider le paiement en ligne, NDLR) pour valider des paiements frauduleux sur Internet. Trop tard. Le cyber-escroc, grâce aux données reçues du consommateur, avait pu mettre en place un renvoi automatique des SMS envoyés par la banque.

L'escroc avait pu effectuer 3300 euros d'achats en ligne

Il a pu ainsi effectuer 3300 euros d'achats en ligne au détriment de la victime, que sa banque n'a pas voulu rembourser, d'où le litige. Le Crédit mutuel de Calais considérait que son client avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition, bien qu’il n’ait pas transmis son code confidentiel (code PIN à 4 chiffres). 

Attaquant en première instance sa banque, la victime avait vu le tribunal lui donner raison. Celui-ci ordonnait au Crédit Mutuel de Calais de lui rembourser les paiements litigieux au motif que les informations sur cette carte de paiement "avaient été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure".

Saisie, la Cour de cassation a, au contraire, jugé dans un arrêt récent (daté du 27 octobre 2017) que cette absence de négligence n’avait pas été suffisamment établie. Elle a cassé le jugement qui ordonnait le remboursement des paiements frauduleux par la banque. Pour motiver sa décision, elle précise "que le courrier électronique de phishing comportait de nombreux éléments d’alerte (aucun nom de destinataire ni d’expéditeur, un numéro de facture erroné, la mention d’un impayé ou d’un rejet alors que le compte de madame X. était créditeur)". Autrement dit, le courriel était un faux grossier qui aurait dû éveiller la vigilance du client.

Pour la Cour de cassation, il y a eu "négligence grave"

En outre, la Cour reproche au juge de proximité de ne pas avoir tiré les conséquences de ses propres constatations. "Mme X. avait communiqué à un tiers des données confidentielles relatives à sa carte bancaire, sans lesquelles l’opération litigieuse n’aurait pu être exécutée, ce qui caractérisait une méconnaissance de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisées" argumente l'arrêt de la Cour de cassation.

Selon ce document, la fraude effectuée fait "tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles". 

Commentant cette décision, UFC-Que Choisir rappelle que, pour être exemptée de l'obligation de rembourser un client en cas de paiement en ligne frauduleux, la banque doit prouver la négligence du consommateur. "L’aveu d’envoi de données personnelles mais aussi le caractère grossier du courrier électronique apportent cette preuve, ce pourquoi cet arrêt ne devrait pas créer un revirement de jurisprudence" selon l'association de consommateurs.

Frédéric Bergé