Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020)

Référence complète: Frison-Roche, M.-A., Répondre à un email contenant de "sérieuses anomalies", transférant des données personnelles, bloque le remboursement par la banque : décision de la Cour de Cassation, 1er juillet 2020 (Responding to an email with "serious anomalies"​,transferring personal data, blocks reimbursement by the bank: French Cour de cassation, July 1st 2020), Newsletter MAFR - Law, Compliance, Regulation, 10 septembre 2020

Lire par abonnement gratuit d'autres news de la Newsletter MAFR - Law, Compliance, Regulation

Résumé de la news

Le "phishing" est une forme de cybercriminalité visant à obtenir, par des courriels frauduleux ressemblant à ceux pouvant provenir d'organismes légitimes, des informations personnelles du destinataire afin d'usurper son identité et/ou de le voler. Comme il est difficile d'en trouver les auteurs et encore plus de prouver leur intentionnalité afin de les punir directement, un des moyens de lutter contre le phishing peut être de confier la charge aux banques de sécuriser leur réseau d'information et, afin d'assortir cette obligation d'une forte incitation, de les condamner à rembourser les victimes en cas de vol de leurs données personnelles. 

En 2015, un client victime de ce type d'escroquerie a demandé à sa banque, le Crédit Mutuel, de lui rembourser la somme dérobée, ce que la banque refuse de faire au motif que le client avait commis une faute en transférant ses informations confidentielles sans vérifier l'e-mail pourtant grossièrement contrefait. Le tribunal de première instance donne raison au client parce que bien qu'ayant commis cette faute, il était de bonne foi. Ce jugement est annulé par la Chambre commerciale de la Cour de cassation par un arrêt du 1ier juillet 2020, qui pose que cette négligence grave, exclusive de toute considération de bonne foi, justifie l'absence de remboursement par la banque.

___

De ce cas particulier, on peut tirer trois leçons: 

1. La Cour de Cassation pose que la bonne foi n'est pas un critère pertinent et que, de la même façon que la banque doit réagir lorsqu'un compte bancaire est objectivement anormal, le client doit réagir face à un email manifestement anormal. 

2. La Cour de Cassation décrit la répartition des charges de preuve. Les obligations probatoires sont alternativement réparties entre la banque et son client. En premier lieu, la banque doit sécuriser son réseau d'information mais en second lieu le client  doit prendre toute mesure raisonnable pour en préserver la sécurité. Il en résulte que, si l'email reçu par le client semble normal, les dommages du phishing sont à la charge de la banque, et plus généralement de l'entreprise, tandis que s'il est manifestement anormal, ils sont à la charge du client, mais la charge de prouver l'anomalie du courriel incombe à l'entreprise et non au client. 

3. Un tel système probatoire montre que Droit de la Compliance inclut une mission pédagogique en éduquant chaque client afin qu'il soit à même de distinguer au sein de ses emails, ceux qui relèvent d'un caractère normal et ceux qui sont "manifestement suspects". Cette dimension pédagogique, avec les conséquences juridiques qui lui sont attachées, ne va cesser de s'accroitre.

______