Prélèvement sur un compte bancaire après un hameçonnage : la négligence grave du client doit être prouvée ! Les articles L.133-16 et L.133-17 du Code monétaire et financier imposent à l’utilisateur d’un service de paiement de prendre « toutes mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » et d’avertir le prestataire de service de toute utilisation non autorisée de son instrument de paiement ou de ses données personnelles.
Cependant, si le moyen de paiement est utilisé par un tiers, le client n’est pas automatiquement responsable. Il ne l’est que si ces paiements ont eu lieu en raison d’un agissement frauduleux du client ou d’une négligence grave de celui-ci à l’égard de ses obligations mentionnées ci-dessus (article L.133-19 du CMF).
Or, dans cinq arrêts rendus le 18 janvier 2017 (Achats frauduleux en ligne : la banque doit prouver la faute de son client, Légalis, 10 février 2017) , la Cour de cassation avait affirmé que la négligence du client ne peut pas être déduite du fait que le titre de paiement ou les données confidentielles avaient été utilisées pour effectuer des achats frauduleux. Autrement dit, il faut une preuve positive de la négligence grave du client à ses obligations mentionnées aux articles L.133-16 et 17 du CMF.
Dans l’espèce ayant donné lieu à l’arrêt rendu par la Cour de cassation le 3 octobre 2018 (Hameçonnage : recherche nécessaire de l’absence de négligence grave du client, Légalis, 17 octobre 2018), le service informatique de la banque avait retracé l’origine géographique des adresses IP qui avaient permis ces paiements frauduleux, ce dont il résultait que le client ne pouvait pas en être à l’origine. Les juges en avaient alors déduit que ces pertes n’étaient pas imputables au client.
Cependant, la Cour de cassation ne se satisfait pas de cette motivation, bien illusoire dans l’univers mobile d’Internet. En effet, ce n’est pas parce que le client n’a pas réalisé lui-même ces paiements qu’il n’a pas manqué à ses obligations pour en préserver la sécurité et, ce faisant, empêcher qu’ils soient utilisés par des tiers.
C’est donc fort logiquement que cette motivation a été censurée par la Cour de cassation : les juges auraient dû rechercher si la réponse du client à un « courriel d’hameçonnage ne résultait pas d’un manquement de celui-ci, par négligence grave, à ses obligations mentionnées » à l’article L.133-16 du CMF.
Cette solution est en tous points conforme aux dispositions de l’article L.133-23 du CMF, qui précisent que « l’utilisation de l’instrument de paiement (…) ne suffit pas nécessairement, en tant que telle, à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».
Droit à l’effacement des données personnelles figurant dans le TAJ :
Le juge judiciaire est compétent en cas de refus opposé par le Procureur de la République
Le traitement des antécédents judiciaires (TAJ) est un fichier commun à la police et à la gendarmerie nationales, qui a succédé aux fichiers STIC (de la police) et JUDEX (de la gendarmerie) qui ont ainsi été supprimés.
Il constitue un traitement de données à caractère personnel qui, comme tel, relève des dispositions prévues par la loi Informatique et liberté et le RGPD, qui consacrent un droit à l’effacement.
Toute personne concernée peut ainsi demander au Procureur de la République territorialement compétent l’effacement de ses données identifiantes soit « à la suite d’une décision devenue définitive de relaxe, d’acquittement, de condamnation avec dispense de peine ou dispense de mention au casier judiciaire, de non-lieu ou de classement sans suite », soit « lorsque ne figure plus aucune mention de nature pénale dans le bulletin n° 2 de son casier judiciaire » (art. L.230-8 du Code de procédure pénale).
Dans l’espèce ayant donné lieu à la décision du Tribunal des conflits du 8 octobre 2018 (La juridiction judiciaire compétente pour les recours sur l’effacement dans le TAJ, Légalis, 19 octobre 2018), un homme avait bénéficié d’un non-lieu et avait demandé l’effacement des données le concernant. Mais le Procureur de la République avait rejeté sa requête. Il avait alors saisi le tribunal judiciaire, puis le tribunal administratif, mais l’un et l’autre s’étaient déclaré incompétents.
Cependant, l’article 230-8 du Code de procédure pénale dispose que « les décisions du Procureur de la République sont susceptibles de recours devant le président de la chambre de l’instruction ». Il en résulte que la compétence appartient aux tribunaux judiciaires.
Certes, cette disposition est issue de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, entrée en vigueur après la décision de refus du procureur de la République. Cependant, comme le relève le Tribunal des conflits, « les lois de compétence des juridictions, notamment en matière pénale, sont d’application immédiate tant que, comme en l’espèce, un jugement au fond n’a pas été rendu en première instance ».
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 12/11/2018
