Absence de négligence grave pour avoir répondu à un phishing

En tant qu'avocat spécialisé en droit bancaire, je constate régulièrement que les victimes de phishing se voient injustement accusées par leur banque. Pourtant, la jurisprudence évolue favorablement et protège de mieux en mieux les clients piégés par ces arnaques de plus en plus sophistiquées. Je vous explique dans cet article comment défendre vos droits face à votre banque et obtenir le remboursement des opérations non autorisées.

Comprendre le phishing et la notion juridique de négligence grave

Qu'est-ce que le phishing (hameçonnage) ?

Le phishing, ou hameçonnage en français, désigne une technique par laquelle des cybercriminels usurpent l'identité d'organismes de confiance pour obtenir des informations personnelles et bancaires. Ces fraudeurs envoient généralement des courriels ou SMS qui imitent parfaitement les communications légitimes de votre banque, vous incitant à communiquer vos identifiants, codes de carte bancaire ou codes de validation. L'hameçonnage constitue aujourd'hui l'une des principales menaces sur Internet pour les titulaires de comptes bancaires.

Comment la loi définit la négligence grave en matière bancaire ?

Le Code monétaire et financier établit un principe protecteur : en cas d'opération de paiement non autorisée, votre banque doit vous rembourser dès lors que vous l'avez signalée, article L. 133-18. Cependant, l'article L. 133-19, IV du Code monétaire et financier prévoit une exception : si vous avez commis une négligence grave, la banque peut refuser ce remboursement.

Mais qu'est-ce qu'une telle négligence exactement ? La jurisprudence a progressivement précisé cette notion : il s'agit d'une négligence grave caractérisée par un comportement qu'un utilisateur normalement attentif aurait évité.

Cette appréciation se fait de manière abstraite, sans tenir compte de votre niveau personnel de connaissance des risques informatiques, comme l'ont confirmé les juges du fond dans plusieurs arrêts.

Quand la réponse à un phishing n'est pas une négligence grave

Les décisions favorables aux victimes : absence de négligence grave

La Cour d'appel de Pau, dans un arrêt du 12 novembre 2024, a parfaitement illustré la position protectrice des tribunaux. Dans cette affaire, une cliente, titulaire d'un compte, avait reçu un courriel lui demandant d'activer le service « SecuriPass » de sa banque. Elle avait suivi scrupuleusement les instructions : validation de codes reçus par SMS, saisie des numéros de sa carte bancaire, confirmation de l'activation. Par la suite, trois virements de 3000 euros chacun, soit des opérations de paiement non autorisées, avaient été effectués à son insu.

La cour d'appel a examiné minutieusement le courriel et a relevé plusieurs éléments déterminants : l'adresse de l'émetteur n'éveillait pas la méfiance d'un utilisateur normalement attentif, le logo était parfaitement identique à celui de la banque, aucune faute d'orthographe n'était présente et la syntaxe demeurait irréprochable.

Les magistrats en ont conclu que ce courriel ne comportait aucun indice permettant à un utilisateur normalement attentif de douter de sa provenance. Par conséquent, les agissements de la cliente n'étaient pas constitutifs de négligence grave, et l'article L. 133-18 du Code monétaire et financier s'appliquait : la banque devait procéder au remboursement intégral.

Focus sur les arrêts de la Cour de cassation

La Cour de cassation a également rendu plusieurs décisions importantes en la matière. Dans un arrêt du 3 octobre 2018, la Haute juridiction a confirmé que la négligence grave ne peut être retenue lorsque le courrier ne présente aucun signe distinctif permettant de le différencier d'un courrier légitime. La Cour de cassation, dans sa chambre commerciale a réaffirmé ce principe en insistant sur le caractère exceptionnel de la négligence grave.

Ces décisions de la Cour de cassation établissent un principe clair : face à une technique particulièrement élaborée, votre réaction ne constitue pas nécessairement une négligence grave, même si vous avez communiqué vos données personnelles. Les juges ont ainsi condamné plusieurs banques à rembourser les victimes ayant répondu à un mail frauduleux.

Le spoofing et l'absence de négligence du payeur

Le spoofing, technique qui consiste à falsifier l'adresse d'expédition d'un message électronique, rend pratiquement impossible pour un utilisateur lambda de détecter l'arnaque.

Les juridictions reconnaissent désormais que lorsqu'un courriel provient d'une adresse parfaitement imitée ou lorsque le numéro de téléphone d'expédition d'un SMS correspond exactement à celui habituellement utilisé par votre banque, vous ne pouvez être accusé de négligence en y répondant. Le payeur, dans ces circonstances, bénéficie de la protection légale.

La charge de la preuve : qui doit prouver la négligence du payeur ?

L'obligation de la banque de prouver la négligence du client

C'est un point essentiel que je rappelle systématiquement à mes clients : ce n'est pas à vous de prouver que vous n'avez pas été négligent.

Au contraire, c'est à votre banque de prouver la négligence grave que vous auriez commise. Cette charge inversée constitue une protection importante pour les victimes de phishing, comme l'ont rappelé les juges du fond.

Votre banque devra donc apporter des éléments concrets et objectifs établissant que le courriel ou SMS comportait des indices évidents permettant à une personne normalement attentive d'identifier l'arnaque, base légale de toute demande de non-remboursement.

Les indices que les internautes normalement attentifs doivent détecter

Les tribunaux considèrent qu'un utilisateur normalement attentif doit pouvoir identifier certains signes d'alerte manifestes :

• fautes d'orthographe ou de syntaxe grossières,
• adresse email manifestement douteuse avec des caractères étranges ou des noms de domaine fantaisistes,
• logo de mauvaise qualité,
• demandes inhabituelles ou urgentes,
• liens redirigeant vers des sites dont l'URL ne correspond pas au nom de la banque.

En revanche, lorsque ces indices sont absents et que le message présente toutes les apparences d'un message authentique émanant de votre banque, la négligence grave ne peut être retenue à votre encontre. Les juges du fond ont été clairs sur ce point dans leur décision.

Que faire si votre banque refuse le remboursement en invoquant une négligence grave ?

Les étapes pour contester cette accusation

Si votre banque refuse de vous rembourser en invoquant votre prétendue négligence, ne restez pas passif. Voici la démarche que je recommande systématiquement :

Premièrement, contestez par écrit le refus en rappelant les principes que je viens d'exposer. Demandez formellement les éléments précis sur lesquels la banque fonde l'accusation de négligence grave. Le Code de la consommation vous protège dans cette démarche.

Recueillir les preuves et s'appuyer sur les décisions de justice

Constituez un dossier solide en conservant tous les éléments :

• copies des courriels ou SMS,
• captures d'écran,
• historique de vos échanges avec la banque,
• attestations éventuelles.

Ces éléments démontreront le caractère sophistiqué de l'arnaque et l'absence d'indices détectables, des faits essentiels pour votre défense.

N'hésitez pas à vous référer aux décisions de justice favorables aux victimes, notamment l'arrêt de la Cour d'appel de Pau du 12 novembre 2024 et les arrêts de la Cour de cassation qui constituent des références particulièrement solides en la matière.

Saisir le médiateur bancaire et engager une action en justice

Si votre réclamation écrite reste sans effet positif, saisissez le médiateur bancaire. Cette procédure gratuite et relativement rapide permet souvent de débloquer des situations sans passer par la voie judiciaire, comme l'ont mis en évidence plusieurs décisions.

En cas d'échec de la médiation, je vous recommande vivement de faire appel à un avocat spécialisé en droit bancaire pour engager une action en justice. L'évolution des décisions vous est très favorable, et les chances d'obtenir gain de cause sont réelles lorsque l'arnaque était difficilement détectable. Le juge saisi de votre demande examinera les faits en espèce et statuera sur la base des articles du Code monétaire et financier.

Comment se protéger durablement contre le phishing et sécuriser son compte ?

Reconnaître un email de phishing et les signes qui ne trompent pas

Bien que les décisions de justice vous protègent en cas d'arnaque sophistiquée, la vigilance reste votre première ligne de défense.

Méfiez-vous systématiquement des messages qui créent un sentiment d'urgence, vérifiez toujours l'adresse email complète de l'expéditeur, passez votre souris sur les liens sans cliquer pour visualiser l'URL de destination, et gardez à l'esprit qu'aucune banque sérieuse ne vous demandera jamais vos codes confidentiels par email ou SMS.

Ces mesures de sécurité sont essentielles pour protéger votre compte et vos données personnelles.

Sécuriser vos comptes et vos moyens de paiement

Activez systématiquement l'authentification forte sur vos comptes bancaires, un dispositif de sécurité essentiel.

Modifiez régulièrement vos mots de passe en choisissant des combinaisons complexes et uniques pour chaque service, consultez fréquemment vos relevés bancaires pour détecter rapidement toute opération suspecte, et ne communiquez jamais vos codes de validation par téléphone, même si votre interlocuteur prétend être votre conseiller.

L'utilisation prudente de votre instrument de paiement limite les risques de pertes occasionnées par des opérations de paiement non autorisées.

Protégez l'accès à vos comptes en appliquant ces mesures de sécurité et en surveillant régulièrement vos opérations.

Questions fréquentes sur le phishing et la négligence grave du titulaire

Puis-je être considéré comme négligent si j'ai communiqué mes codes après avoir reçu un SMS qui semblait provenir de ma banque ?

Dans cette espèce, si le SMS présentait toutes les apparences d'un message authentique avec un numéro de téléphone identique à celui habituellement utilisé, un contenu professionnel, absence de fautes, vous ne pouvez être accusé de négligence grave.

Les décisions reconnaissent que le spoofing rend l'arnaque indétectable pour un utilisateur normalement attentif, et le payeur est protégé par les dispositions légales du Code monétaire.

Combien de temps ai-je pour signaler une opération de fraude à ma banque ?

Vous disposez de 13 mois à compter de la date de débit pour contester une opération. Toutefois, je vous conseille vivement de réagir dès que vous constatez l'anomalie, car un signalement rapide renforce votre position et limite les pertes occasionnées.

Ma banque peut-elle me facturer les opérations de fraude si je n'ai pas détecté un indice pourtant présent ?

Tout dépend de la nature et de l'évidence de cet indice. S'il s'agit d'un élément que seule une personne particulièrement avertie aurait pu détecter, la négligence grave ne pourra être retenue.

Seuls des indices manifestes et évidents pour un utilisateur normalement attentif peuvent fonder une accusation, comme l'ont rappelé les juges. La banque doit prouver votre négligence grave.

Dois-je porter plainte au commissariat en plus de déclarer l'arnaque à ma banque ?

Oui, je recommande systématiquement de déposer une plainte auprès des services de police ou de gendarmerie.

Ce dépôt de plainte constitue un élément important de votre dossier et facilite vos démarches ultérieures auprès de votre banque et, le cas échéant, devant les tribunaux. Cette preuve sera utile si vous êtes assigné ou si vous devez assigner votre banque.

Face à un refus injustifié de remboursement de la part de votre banque suite à une arnaque par phishing, n'hésitez pas à faire valoir vos droits.

Les décisions évoluent dans un sens de plus en plus protecteur pour les victimes ayant répondu à un mail, et un accompagnement juridique adapté maximise vos chances d'obtenir le remboursement intégral de la somme dérobée.

Le Code monétaire et financier vous protège contre les pertes occasionnées par des paiements non autorisés, et le juge pourra condamner la banque sur cette base.

Maître Guillaume PIERRE
Avocat en droit bancaire

• Phishing et comptes professionnels : sécurité pour dirigeants
• Prélèvement abusif : Comment le contester et obtenir son remboursement ?
• Porter plainte contre sa banque pour négligence
• Comment se faire rembourser en cas de fraude bancaire ?
• Le piratage de compte bancaire