Cabinet Cloix & Mendès-Gil, cabinet d'avocats à Paris
LETTRE D'ACTUALITÉ / Mars 2019
Droit de l’informatique et des nouvelles technologies – Droit des contrats
INSTRUMENTS DE PAIEMENT
Hameçonnage : un durcissement de la Cour de cassation à l'égard des clients.

Un client d'une banque a reconnu avoir répondu à un courriel d’hameçonnage reçu par ses soins sollicitant la communication de données confidentielles permettant l'utilisation du service de banque en ligne.

La banque avançant que les opérations de paiements ainsi réalisées avaient été dûment authentifiées et enregistrées selon le système sécurisé 3D SECURE, l'authentification réalisée au moyen de cette technologie démontrant ainsi que les données confidentielles du client avaient été utilisées aux fins de valider les paiements.

Dès lors, le client de la banque ne pouvait s'être simplement contenté d'avoir cliqué sur le courriel frauduleux mais a aussi renseigné des données confidentielles qu'il se devait de garder secrètes.

L'hameçonnage ou phishing consiste à adresser massivement des courriels imitant de façon plus ou moins perfectionnée les signes distinctifs d'une banque (logo, en-tête, mentions légales, etc.) afin d'inciter le destinataire à la communication d'informations confidentielles, de numéros de carte bancaire ou du paiement d'une certaine somme.

Dans ce cadre, de nombreuses sociétés invitent leurs clients à la plus grande prudence lors de la réception de tels courriels et notamment à ne jamais communiquer de données confidentielles dans ces cas.

Le client victime d'opérations de paiements réalisées à son insu avait saisi le tribunal de proximité de Béthune afin d'obtenir paiement de la somme de 1 586, 56 € à la suite du refus de sa banque de procéder au remboursement en raison d'une négligence grave du client alléguée par cette dernière.

La juridiction de proximité a, par un jugement du 18 mai 2017, écarté les allégations de négligence grave du client et condamné l'établissement bancaire au remboursement de la somme litigieuse. Dans son raisonnement, le tribunal ne prend pas en compte la mention faite par le client qu'il aurait commis une erreur en répondant au courriel d'hameçonnage pour apprécier de l'existence d'une négligence grave de sa part.

La Chambre commerciale de la Cour de cassation, dans un arrêt du 3 octobre 2018 considère que le tribunal de proximité n'a pas suffisamment recherché si au regard des circonstances de l'espèce, le client n'avait pas commis une négligence grave au sens de l'article L. 133-16 du Code monétaire et financier en répondant au courriel frauduleux. Dès lors, la Haute Cour va considérer que le jugement rendu fait preuve d'un défaut de motivation en faits de la solution rendue en droit et casser ce jugement pour défaut de base légale.

Cet arrêt rendu par la Cour de cassation est très instructif sur le raisonnement de la Chambre commerciale qui va considérer que le fait pour un client de répondre à un courriel d'hameçonnage peut caractériser une négligence grave. Elle impose ainsi aux juges du fond de rechercher dans les faits, si le client n'a pas commis une négligence grave en répondant à un tel courriel.

Cette position, illustre un durcissement de la position de la Cour de cassation à l'égard des clients victimes d'hameçonnage et contraste avec la bienveillance de la Cour pour les victimes de fraude aux instruments de paiement ne résultant pas d'un hameçonnage.

Cass., com., 3 octobre 2018, pourvoi n°17-21395




FRAUDE AUX INSTRUMENTS DE PAIEMENT
La preuve de la négligence grave ne se déduit pas de la seule utilisation effective de l'instrument de paiement ou des données personnelles qui lui sont liées.

Les fraudes à la carte bancaire notamment sur Internet étant courantes, l'arsenal législatif est très protecteur des utilisateurs d'instruments de paiement (voir ainsi les articles L. 133-16 et suivants du Code monétaire et financier) transposant la directive du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (Directive n°2015/2366, 25 novembre 2015, JOUE n° L.337/35). Cette transposition illustre la volonté d'accroitre la protection des porteurs d'instruments de paiement en abaissant le montant du plafond supporté par le payeur en cas de demande de remboursement d'un montant de 150 € vers un montant de 50 €.

Dans ce cadre, un arrêt rendu le 21 novembre 2018 a concerné un client de la banque Crédit Mutuel qui a dénoncé des opérations de paiement effectuées à partir d'une modification de ses coordonnées de contact afin de permettre la réception des codes de confirmation sur d'autres adresses que celle du titulaire du compte.

La banque en a déduit dans un rapport de ses services que le client avait commis une négligence grave de nature à exclure le remboursement des sommes payées. Cela en raison du fait que le fraudeur aurait eu accès à la clé personnelle du client remise sur papier et permettant seule la modification des coordonnées personnelles ayant permis la réalisation de la fraude.

En conséquence, la demande remboursement de la somme de 2 979, 79 € émise par le client a été rejetée par la banque retenant que ce dernier avait nécessairement communiqué à un tiers ses données personnelles alors qu'il été responsable de leur confidentialité caractérisant une négligence grave de nature à exclure le remboursement des sommes litigieuses.

Le jugement rendu par la juridiction de proximité de Laon, le 6 mars 2017, avait relevé que les coordonnées de contact permettant la réception des codes de confirmation avaient été modifiées. Que cette modification n'avait pu être réalisée qu'avec l'accès à la carte de clés personnelles fournie sur support papier. La juridiction en a conclu que le client avait nécessairement communiqué ces données confidentielles à un tiers retenant dès lors sa responsabilité résultant d'une négligence grave de sa part.

Par un pourvoi en cassation, la Chambre commerciale par un arrêt du 21 novembre 2018 va rappeler que la preuve que le client, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées.

Conformément à la rédaction de l'article L. 133-19 du Code monétaire et financier dans leur rédaction antérieure à celle issue de l'ordonnance du 9 août 2017, la Cour va rappeler que l'utilisation effective de l'instrument de paiement ou des données personnelles de l'utilisateur du service de paiement qui lui sont liées ne permet pas d'établir la négligence grave de ce dernier.

Cette décision de la Cour de cassation s'inscrit dans la lignée d'une jurisprudence rendue en 2017 (Com., 18 janvier 2017, pourvoi n° 15-18.102). Elle démontre la volonté affichée à la fois par le législateur européen et national ainsi que par la jurisprudence d'apporter une protection accrue du titulaire du compte face aux risques de fraudes. Pour cela, elle impose à l'émetteur de l'instrument de paiement de rapporter une preuve très difficile à établir.

Cass., com., 21 novembre 2018, pourvoi n°17-18.888




DROIT DES DONNEES PERSONNELLES
L'avocat général Szpunar a rendu ses conclusions concernant la portée du droit au déréférencement dans l'affaire Google c/ CNIL

Les conclusions rendues par l'avocat général font suite à une demande préjudicielle posée par le Conseil d'Etat à la CJUE concernant une affaire opposant la Commission Nationale Informatique et libertés (CNIL) à Google concernant la portée globale, européenne ou nationale du droit au déréférencement dans le cadre de la directive 95/46 du 24 octobre 1995 précédant l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le 25 mai 2018.

La CNIL imposant à Google un déréférencement à l'échelle mondiale, Google lui oppose un déréférencement limité aux recherches effectuées depuis le seul territoire de l'Union européenne.

Le droit au déréférencement a été reconnu par la Cour de Justice de l'Union européenne à la suite du célèbre arrêt Google (CJUE, 13 mai 2014, Affaire n° C-131/12).

La CJUE consacrant ainsi un « droit à l'oubli » qui permet à tout individu de demander, sous certaines conditions, au responsable du traitement d'un site proposant un moteur de recherche de retirer de son référencement en ligne des liens vers des sites Internet qui comportent des données personnelles le concernant.

Dans ses conclusions, M. Szpunar propose à la Cour de Justice qu'il soit fait droit à une demande de déréférencement exercée par un utilisateur situé sur le territoire de l'Union européenne dans la limite territoriale des résultats affichés à la suite d'une recherche effectuée sur le territoire de l'Union.

Ainsi, M. Szpunar recommande la Cour à ce que les dispositions de l'article 12 et de l'article 14 de la directive 95/46/CE du 24 octobre 1995 soient interprétées en ce sens que l'exploitant d'un moteur de recherche n'est pas tenu, lorsqu'une demande de déréférencement lui est adressée, d'opérer ce déréférencement sur l'ensemble des extensions de son site, quel que soit le lieu où la requête est effectuée.

L'exploitant du moteur de recherche étant simplement tenu de procéder au déréférencement des liens litigieux dès lors que la requête est effectuée à partir d'un lieu situé sur le territoire de l'Union européenne.

L'avocat général rappelle cependant que dans ce cas l'exploitant du moteur de recherche est « tenu de prendre toute mesure à sa disposition afin d'assurer un déréférencement efficace et complet ».

Ces conclusions tendent à contredire les différentes délibérations rendues par la CNIL contre Google lui imposant de procéder au niveau mondial au déréférencement demandé. Elles font écho à d'autres décisions rendues à l'étranger et notamment par les juridictions japonaises qui ont refusé d'obliger Google à y procéder au niveau mondial contrairement à la Cour suprême du Canada qui elle a fait injonction à Google de procéder à un déréférencement à l'échelle globale.

La proposition faite par M. Szpunar à la Cour se comprend par l'extrême complexité que pourrait impliquer une injonction de procéder à un déréférencement international notamment face à l'applicabilité des décisions européennes dans certains Etats étrangers et leur opposition avec la liberté d'expression et d'informer qui pourraient être opposées.

Ne reste plus qu'à attendre la réponse de la CJUE.

Conclusions Av. Gén., 10 janvier 2019, affaire n° C-507/17, Google c/ CNIL




Maîtres Sylvain JOYEUX, Pierre FUMERY
Et Marion-Esperanza VARGAS-MORISSE

Cabinet Cloix & Mendès-Gil, cabinet d'avocats à Paris
Depuis sa création en 2001, le Cabinet s’est développé et renforcé
afin d’offrir à ses clients des compétences étendues dans l’ensemble
des aspects de la vie économique et sociale, tant auprès des
opérateurs privés que publics. N’hésitez pas à consulter
les autres lettres d’actualité du Cabinet.

Lettre d’actualité du Cabinet en droit bancaire
Lettre d’actualité du Cabinet en droit des sociétés
Lettre d’actualité du Cabinet en droit immobilier
Lettre d’actualité du Cabinet en droit public

www.cloix-mendesgil.com
Paris
7 rue auber - 75 009 Paris
Tél. (33) 01.48.78.92.42 - Fax. (33) 01.48.78.92.40
Saint-Denis de La Réunion
3 rue de la Cité Jasmin - 97 400 Saint-Denis de La Réunion
Tél. (33) 02.62.73.00.15 - Fax. (33) 02.62.73.00.25