Fraude à la carte bancaire et phishing : des nouveautés réglementaires ?

Gouvernance Risques et Conformité
Fraude à la carte bancaire et phishing : des nouveautés réglementaires ?

Les techniques de phishing (ou hameçonnage) sont de plus en plus ingénieuses, avec des dispositifs très perfectionnées pour tromper les internautes et leur soutirer des données parfois très sensibles. L’enjeu financier est important pour les établissements bancaires puisqu’ils sont dans l’obligation de rembourser leurs clients des sommes ainsi détournées… sous réserve d’établir la négligence grave de ces derniers.

Les tribunaux ont considéré qu’il appartenait aux banques d’établir la preuve de cette négligence grave. Dans un arrêt rendu le 27 octobre 2017, la Cour de Cassation a précisé cette notion de négligence grave. Charles Delavenne, avocat et associé gérant du cabinet DLGA, répond à nos questions sur l'un de ses sujets d'expertise.

 

En quoi consiste la décision de justice rendue le 27 octobre 2017 ?

Aux termes d’un jugement rendu par le tribunal de proximité de Calais du 7 décembre 2015 il a été considéré que Mme X…  n’avait pas commis de négligence grave. En effet, si elle avait communiqué volontairement  les informations relatives à sa carte de paiement , celles-ci avaient été détournées à son insu  car communiquées à une personne  se présentant sous une fausse identité. Et elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure.

La cour de cassation (dans sa décision du 27 octobre 2017) a cassé cette décision au motif suivant  il convenait, au regard des circonstances de l’espèce, de rechercher, si Mme X..  n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si en conséquence, le fait d’avoir communiqué différentes informations permettant à un tiers de prendre connaissance de son code 3D Secure ne caractérisait pas un manquement pour négligence grave. 

 

Que représente la notion de négligence grave ?

Avez-vous un exemple pour l’illustrer ?

Il n’y a pas de définition légale de la négligence grave.

Elle s’apprécie au regard de l’article L133-16 du code monétaire et financier qui impose aux utilisateurs de  services de paiement  de prendre toute mesure raisonnable pour préserver  la sécurité de ses dispositifs de sécurité personnalisés  et d’utiliser l’instrument de paiement conformément  aux conditions régissant sa délivrance et son utilisation.

Elle s’apprécie également au regard de l’article L133-17 du même code  qui précise qu’en  cas de paiement non autorisé, l’utilisateur de  l’instrument de paiement non doté d’un système de sécurité  doit en informer le prestataire.

Les tribunaux font une interprétation stricte de la négligence grave.

 

Quels sont les impacts pour les établissements bancaires et les établissements de paiement ?

Désormais le simple fait de répondre à un courriel frauduleux pourra constituer une négligence grave sous réserve que soit démontré que l’utilisateur a pu avoir conscience  du caractère frauduleux du courriel. Il s’agira d’une appréciation au cas par cas - sachant que cet arrêt n’opère pas un revirement de jurisprudence en ce qui concerne la charge de preuve de la négligence grave qui appartient toujours aux établissements bancaires. Ils devront donc établir la conscience qu’avait l’utilisateur du caractère frauduleux du courriel.

 

Y a-t-il des impacts pour les e-commerçants ?

IIs ne sont pas impactés par cette jurisprudence. En cas de paiement non autorisé, leurs prestations sont réglées et c’est la banque qui indemnise les utilisateurs des instruments de paiement sauf en cas de faute grave de ces derniers.

On peut cependant imaginer un transfert de cette jurisprudence dans le cadre du e-commerce où les responsables de traitement et leurs sous-traitants  doivent respecter les règles issues du nouveau règlement européen sur la protection des données personnelles qui a pour objet de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données personnelles.

Dans un souci de protéger la partie faible, on peut imaginer que dans l’hypothèse d’une faute ou négligence grave des personnes dont les données sont collectées, il appartiendra aux e-commerçants d’établir cette dernière pour s’exonérer de toute responsabilité. Comme pour les établissements bancaires cette faute sera difficile à établir et on pourra ici s’inspirer de la jurisprudence relative à la négligence grave pour apprécier la faute dans ce cadre.

 

Quelle est la leçon à tenir pour les RSSI ?

Au vu des développements qui précèdent il ne peut qu’être recommandé aux RSSI d’imaginer des systèmes permettant non seulement d’établir qu’ils ont régulièrement respecté leurs obligations; mais encore et surtout des systèmes permettant d’établir les fautes et négligences des personnes dont les données sont collectées et qui auraient empêché de respecter l’obligation d’assurer la sécurité des données.

 

Quels conseils à donner aux internautes ?

Il convient d’éduquer les internautes à un maximum de vigilance et de prudence et de multiplier les campagnes d’informations à ce sujet. Celles-ci sont déjà très nombreuses… et parfois sans effet - les utilisateurs ayant conscience de la protection dont ils bénéficient.

 

En conclusion, cette décision va une fois encore dans le sens de la sensibilisation, en interne comme pour les clients et citoyens concernés par vos services en ligne. Il est tout de même intéressant de noter que l’internaute ne sera pas automatiquement remboursé en cas d’arnaque, si celle-ci était trop grossière, ou si le montant était aberrant par exemple. Internautes, soyez vigilants ! RSSI de la sphère bancaire, sensibilisez ! Et vous les fraudeurs, soyez encore plus malins, on vous attend !

 

Benjamin Leroux, Innovation & Marketing, Advens