Il convient d'être particulièrement prudent lors de la réception de courriels ou d'appels téléphoniques sollicitant la communication de données personnelles, plus encore lorsqu'il s'agit des données concernant une carte bancaire.

Ces demandes sont souvent liées à une tentative de piratage, autrement appelé "Phishing".

 

Dans une affaire récente, jugée le 25 octobre 2017 (RG 16-11644), la chambre commerciale de la Cour de cassation a ainsi sanctionné la juridiction de proximité de CALAIS de ne pas avoir recherché si, compte-tenu des circonstances dans lesquelles elle avait communiqué les informations concernant sa carte bancaire, la personne titulaire du compte n'avait pas commis une négligence grave, exonérant la banque de son obligation de rembourser les opérations frauduleuses effectuées au moyen de la carte bancaire.

 

En l'espèce, cette personne avait reçu un courriel émanant soi-disant de son opérateur téléphonique, la société SFR, qui lui demandait de communiquer un certain nombre d'informations portant sur sa ligne de téléphone et sur sa carte bancaire (nom, numéro de carte, date d'expiration et cryptogramme figurant au verso de la carte).

Ces informations avaient permis aux pirates de mettre en place un renvoi d'appel et d'effectuer des opérations à partir de la carte bancaire pour un montant de l'ordre de 3.300 euros.

La cliente a alors fait opposition à sa carte bancaire et a demandé à sa banque, le CREDIT MUTUEL, de lui rembourser les opérations frauduleuses.

La banque s'est opposée à cette demande, considérant que sa cliente avait commis une négligence dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.

Rappelons que l'article L 113-16 du Code monétaire et financier dispose que : "Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisées. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation."

 

La cliente de la banque a saisi la juridiction de proximité de CALAIS d'une demande de remboursement et de dommages-intérêts.

 

Dans la décision sanctionnée par la Cour de cassation, la juridiction de proximité avait jugé que, si la demanderesse avait communiqué volontairement les informations relatives à sa carte de paiement, celles-ci avaient été détournées à son insu car communiquées à une personne agissant sous une fausse identité.

 

La Cour de cassation reproche à la juridiction de proximité de ne pas avoir recherché si, compte-tenu des circonstances, la plaignante ne pouvait pas avoir conscience du caractère frauduleux du courriel reçu et si le fait d'avoir néanmoins communiqué ses données personnelles ne constitue pas une négligence grave aux obligations mentionnées à l'article L 113-16 du Code monétaire et financier.

 

On se répétera jamais assez qu'aucun opérateur téléphonique ou établissement bancaire ne vous demandera jamais de lui communiquer, par téléphone ou par courriel, vos codes d'accès à votre espace personnel et/ou vos coordonnées de cartes bancaires.

 

Il convient donc de faire preuve de prudence.

 

Cour de cassation, chambre commerciale, 25 octobre 2017 (RG 16-11644)