Cass. com., 23 oct. 2024, n° 23-16.267
Introduction
La sécurité des paiements électroniques est une préoccupation majeure pour les consommateurs et les banques. Le spoofing téléphonique, où un escroc se fait passer pour un conseiller bancaire, soulève des questions cruciales sur la responsabilité des clients et les obligations des prestataires de services de paiement. La récente décision de la Cour de cassation (Cass. com., 23 oct. 2024, n° 23-16.267) apporte des précisions importantes sur la notion de « négligence grave » au sens de l’article L. 133-19 du Code monétaire et financier.
Un cas de spoofing téléphonique
Dans cette affaire, un client a été trompé par un faux conseiller bancaire utilisant un numéro qui semblait être celui de sa conseillère réelle. Convaincu que son compte était piraté, il a suivi les instructions de l’escroc, entraînant des débits frauduleux. La banque BNP PARIBAS a refusé de rembourser, alléguant une négligence grave du client, mais les juges du fond (Cour d’appel de Versailles, 13e chambre, 28 mars 2023, n° 21/07299) et la Cour de cassation ont rejeté cette argumentation.
La notion de négligence grave en question
La Cour de cassation rappelle que la charge de la preuve de la négligence grave incombe au prestataire de paiement.
L’arrêt relève que le numéro affiché sur le téléphone de M. [J] correspondait à celui de sa conseillère bancaire, Mme [Y], ce qui l’a conduit à croire qu’il interagissait réellement avec une employée de la banque. Sous cette confiance, il a réenregistré et validé des bénéficiaires de virement qu’il connaissait, pensant effectuer une opération sécurisée sur l’application de la banque. La Cour souligne que le mode opératoire de spoofing a réduit sa vigilance, contrairement à une fraude par courriel où une analyse plus minutieuse des anomalies aurait été possible.
Elle souligne également que :
- La négligence grave ne se limite pas à une simple faute.
- Les circonstances spécifiques jouent un rôle clé dans son appréciation, dans cette affaire, la Cour d’appel avait notamment relevé que le numéro affiché sur le téléphone de la victime correspondait à celui de sa conseillère bancaire, ce qui l’a conduite à croire qu’elle interagissait réellement avec une employée de la banque. Sous cette confiance, elle a réenregistré et validé des bénéficiaires de virement qu’elle connaissait, pensant effectuer une opération sécurisée sur l’application de la banque
- Le mode opératoire du spoofing réduit la vigilance de la victime, contrairement à d’autres formes de fraude comme le phishing, où la victime aurait pu disposer de davantage de temps pour s’apercevoir d’éventuelles anomalies révélatrices de l’origine frauduleuse du courriel.
Une jurisprudence stricte sur la responsabilité des payeurs
La décision s’inscrit dans une ligne jurisprudentielle stricte, où l’irresponsabilité du payeur est écartée avec parcimonie. Par exemple, en matière d’hameçonnage (Cass. com., 2 oct. 2007, n° 05-19.899), des circonstances particulières sont nécessaires pour admettre une négligence grave.
Une solution salutaire
En tant qu’avocat défendant les intérêts des client de banques, on ne peut évidemment que se satisfaire de la solution apportée par la chambre commerciale de la Cour de cassation. Il s’agit d’un signal fort envoyé aux Banques mais aussi aux pouvoirs publics qui ont d’ailleurs enfin agi, notamment avec l’implémentation du protocole *STIR/SHAKEN*, entré en vigueur l’année dernière, permettant de réduire les arnaques téléphoniques en authentifiant les appels entrants (Stir/Shaken fait référence à un ensemble de protocoles et de méthodes développés pour authentifier l’appelant et les données associées lors des appels effectués via le réseau VoIP).
Au-delà de ce parti pris, il est important de souligner les raisons pour lesquelles cette décision de la Cour de cassation est bienvenue, particulièrement au regard des enjeux liés à la protection des usagers du système bancaire.
En effet, avec le développement des outils technologiques à disposition des escrocs, leur facilité d’accès et leur célérité, les entreprises et les particuliers seront de plus en plus vulnérables face à des usurpations d’identité de plus en plus sophistiquées. La révolution technologique que nous sommes en train de vivre avec l’essor de l’intelligence artificielle et tous les dangers qu’elle recèle, comme le deep fake notamment, nous rend nécessairement plus fragiles face à ce genre d’escroquerie.
Le nier et se contenter de s’en remettre entièrement à la responsabilité personnelle de chaque usager pour les déjouer reviendrait, in fine, à saper la confiance indispensable que tous les acteurs économiques doivent avoir dans le système bancaire dans son ensemble.
Or, la confiance dans le système bancaire est un pilier fondamental de la stabilité économique et sociale. Les banques jouent un rôle central en tant qu’intermédiaires financiers, permettant la collecte de l’épargne et son allocation sous forme de crédits pour financer les projets des particuliers, des entreprises et des institutions. Cette confiance repose sur plusieurs éléments : la sécurité des dépôts, l’intégrité des transactions, la confidentialité des données personnelles et la fiabilité des conseils prodigués. Les fraudes comme le spoofing, les arnaques au faux conseiller bancaire, érodent cette confiance en exposant les clients à des pertes financières significatives et en fragilisant leur sentiment de sécurité.
Un système bancaire perçu comme vulnérable aux cyberattaques ou à l’usurpation d’identité peut entraîner une réticence à utiliser des services en ligne, ralentir l’innovation technologique et limiter les flux économiques. C’est pourquoi il est impératif pour les banques de renforcer leurs dispositifs de sécurité et de transparence, tout en éduquant leurs clients sur les comportements à adopter face aux menaces numériques. La confiance n’est pas un acquis, mais un équilibre fragile qu’il convient de protéger pour garantir la résilience et la pérennité du système bancaire.
Impact pour les consommateurs et les banques
Cette jurisprudence renforce la protection des consommateurs face aux fraudes sophistiquées, tout en imposant aux banques une vigilance accrue dans la sécurisation des paiements. Elle souligne l’importance pour les clients de signaler rapidement toute suspicion de fraude.
Conclusion
La jurisprudence récente montre que les tribunaux examinent attentivement chaque cas de fraude bancaire pour déterminer si une négligence grave peut être retenue. Les consommateurs, de leur côté, doivent rester prudents, mais ils bénéficient d’une protection juridique solide en cas de fraude.
