Le client d’une banque, victime d’un hameçonnage / phishing de ses données bancaires, peut  obtenir le remboursement des sommes indûment prélevées sur son compte bancaire, y compris en présence d‘un système de protection à trois niveaux : i) accès à un espace personnel en renseignant son identifiant et son mot de passe, ii) saisie d’une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client ; iii) code de confirmation adressé sur l’adresse email ou le téléphone portable du client.  

Le Phishing « parfait »

Si la preuve de la négligence grave commise par l’utilisateur d’un service de paiement peut être rapportée par tout moyen (négligence de nature à dédouaner la banque), le client qui communique ses données personnelles en réponse à un courriel qui ne contient pas d’indices permettant à un utilisateur normalement attentif de douter de sa provenance, ne commet pas de négligence fautive.

Charge de la preuve

Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, dans leur rédaction alors applicable, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations.  Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.   

Utilisateur normalement attentif

En l’occurrence, rien ne permettait d’établir que le message d’hameçonnage, en réponse auquel le client aurait communiqué des données personnelles, ait contenu des indices permettant à un utilisateur normalement attentif de douter de sa provenance.

La juridiction n’a pas exigé de la banque qu’elle démontre que son système de paiement était  totalement inviolable et qu’il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte mais s’est bornée à retenir qu’en l’absence d’une telle démonstration, il appartenait à la banque d’établir, par d’autres moyens, la négligence grave qu’elle imputait à sa cliente.