Fraude aux instruments de paiement (carte bancaire et virement): quels recours?

Aurélien Bamdé

il y a 8 ans

D’après les chiffres définitifs du ministère de l’intérieur sur les crimes et délits constatés en France en 2017, les escroqueries et les abus de confiance qui regroupent notamment les utilisations frauduleuses d’instruments de paiement ont connu une augmentation de leur nombre constante jusqu’en 2016.

En 2001, le législateur avait réagi à ce phénomène au moyen de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne qui visait à protéger les titulaires de carte bancaires victimes de tels agissements.

En 2009, le gouvernement a cherché à renforcer cette protection, en adoptant l’ordonnance n° 2009-966 du 15 juillet 2009 qui, dans un souci de simplification du droit, a étendu à tous les instruments de paiement le régime de responsabilité et de répartition des pertes qui était antérieurement applicable aux seules cartes de paiement.

Il peut, néanmoins, être observé que l’application certaines règles du régime ainsi institué sont inapplicables, en pratique, pour le virement, car non adaptées. Tel est par exemple le cas du régime du vol et de la perte de l’instrument de paiement.

Aussi, convient-il de faire preuve de discernement dans l’application de ces règles qui, pour la plupart, demeurent applicables à l’ensemble des instruments de paiement.

§1 : La recevabilité de la demande

En cas de perte, vol ou de détournement d’un instrument de paiement, l’article L. 133-24 du Code monétaire et financier prévoit que la demande de remboursement est soumise à des conditions de recevabilité.

Principe
- L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement.

Exception
- Si l’utilisateur du moyen de paiement agit dans le cadre de l’exercice d’une activité professionnel, la convention peut prévoir un autre délai de forclusion de la demande de remboursement

§2 : Les fondements de la demande

Aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le payeur a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

La responsabilité du payeur sera envisagée différemment selon que l’on se situe avant ou après l’opposition.

I) Avant l’opposition

Le Code monétaire et financier envisage trois situations auxquelles il apporte des réponses différentes :

La fraude résulte d’une perte ou d’un vol de l’instrument de paiement
La fraude résulte d’une utilisation à distance des données de l’instrument de paiement
La fraude résulte d’une falsification de l’instrument de paiement

A) Perte ou vol de l’instrument de paiement bancaire

Il convient de distinguer selon que le payeur a agi frauduleusement ou selon qu’il est de bonne foi.

Le payeur a agi frauduleusement

Lorsqu’il est établi que le payeur a agi frauduleusement ce qui impliquerait qu’il est, soit à l’origine de la fraude, soit a concouru à sa réalisation, il supporte, en tout état de cause, les pertes occasionnées.

Il ne disposera d’aucun recours contre le prestataire de paiement qui est totalement exonéré de sa responsabilité.

2. Le payeur n’a pas agi frauduleusement

Dans cette hypothèse, il convient de distinguer selon que le payer a ou non commis une faute.

Reste que le remboursement du payeur sera, en tout état de cause, subordonné à la recevabilité de sa demande.

==> Le payeur n’a commis aucune faute

Principe
- L’article L. 133-19, I, al. 1^er du CMF prévoit que « en cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.»
- Cette disposition institue donc un principe de responsabilité du payeur dans la limite de 50 €.
- Au-delà de ce montant, c’est au prestataire de paiement de prendre en charge les pertes constatées.
- Il lui appartient, dans ces conditions, de procéder au remboursement du client.

Exceptions
- L’article L. 133-19, I, al. 2 du CMF énonce plusieurs exceptions qui, si elles sont caractérisées, exonère de toute responsabilité le payeur.
- A cet égard, sa responsabilité ne sera pas engagée en cas :
  - D’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées
  - De perte ou de vol de l’instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
  - De perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

==> Le payeur a commis une faute

Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
- Dans l’hypothèse où le payeur a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
- Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
  - Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
  - N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
- L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
  - Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
  - Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

B) Utilisation à distance des données de l’instrument de paiement

==> Le payeur n’a commis aucune faute

La responsabilité de l’utilisateur du moyen de paiement n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Aussi, la banque a-t-elle l’obligation de rétablir le compte débité dans l’état où il se serait trouvé si le payeur n’avait pas été victime d’une fraude

Ce dernier sera donc fondé à réclamer le remboursement :

D’une part, des sommes débitées à son insu
D’autre part, des frais consécutifs à l’utilisation frauduleuse des données de son instrument de paiement (frais d’opposition et d’émission d’un nouvel instrument de paiement, agios débités en raison du solde débiteur, frais d’incident de paiement etc.).

==> Le payeur a commis une faute

Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
- Dans l’hypothèse où l’utilisateur du moyen de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
- Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
  - Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
  - N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
- L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
  - Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
  - Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

C) La falsification de l’instrument de paiement

==> Le payeur n’a commis aucune faute

Le porteur était en possession de son instrument de paiement (art. L. 133-19, II, al. 2^e CMF)
- Dans cette hypothèse, en cas d’opérations frauduleuses effectuées au moyen d’un instrument de paiement contrefait, la responsabilité du porteur n’est pas engagée.
- Il bénéficie du même régime d’exonération que le porteur dont les données de l’instrument de paiement ont été utilisées à distance

Le porteur n’était pas en possession de son instrument de paiement (art. L. 133-19, I CMF)
- Dans cette hypothèse, le régime applicable est celui l’instrument de paiement perdu ou volé.
- Il en résulte que la franchise de 50 euros est susceptible d’être appliquée au payeur, sauf à ce qu’il s’inscrive dans l’une des exceptions énoncées au I de l’article L. 133-19 CMF.

==> Le porteur a commis une faute

Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
- Dans l’hypothèse où le porteur de l’instrument de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
- Par faute, il faut entendre que le porteur n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
  - Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
  - N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
- L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
  - Si la banque ne fournit pas de moyens appropriés au porteur de l’instrument de paiement pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
  - Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

II) Après l’opposition (art. L. 133-20 CMF)

Pour rappel, aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le porteur de l’instrument de paiement a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

Principe
- Après avoir formé opposition auprès de sa banque, le porteur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées.

Exception
- La responsabilité du porteur est rétablie en cas de fraude de celui-ci

§3 : Focus sur la notion de faute au sens de l’article L. 133-19, IV du CMF

L’article L. 133-19, IV du CMF dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :

Il ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
Il n’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Dès lors que l’une de ces deux situations est caractérisée, le prestataire de paiement n’engage pas sa responsabilité, de sorte que le payeur ne pourra prétendra à aucun remboursement.

Reste qu’il appartient à l’établissement bancaire de prouver que le client n’a pas satisfait à ses obligations, soit intentionnellement, soit par négligence.

Si le manquement à l’obligation d’information de la perte ou du vol de l’instrument de paiement ne soulève aucune difficulté particulière, plus difficile est l’appréhension de l’obligation qui impose au payeur prendre des mesures pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

L’examen de la jurisprudence révèle que le débat se focalise essentiellement sur les circonstances susceptibles de caractériser la négligence grave du payeur quant à la préservation de ses données bancaires.

I) La preuve

==> La preuve de la négligence

Régulièrement, la Cour de cassation affirme que, en cas d’utilisation frauduleuse d’un instrument de paiement, il appartient à l’établissement bancaire de rapporter la preuve de la faute de son titulaire.

Récemment, dans un arrêt du 28 mars 2018, la Cour de cassation a affirmé en ce sens que « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations »

La Chambre commerciale ajoute que « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (Cass. com. 28 mars 2018, n° 16-20018).

Cette position est partagée par la première chambre civile qui avait statué dans le même sens dans un arrêt du 28 mars 2018 en considérant que « en cas de perte ou de vol, le titulaire d’une carte de paiement qui a effectué la mise en opposition dans les meilleurs délais compte tenu de ses habitudes d’utilisation de cette carte, ne supporte intégralement la perte subie que s’il a agi avec négligence constituant une faute lourde ; qu’il appartient à l’émetteur de rapporter cette preuve »

La Cour de cassation avait, à l’instar de la Chambre commerciale précisé que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est, à elle seule, pas susceptible de constituer la preuve d’une telle faute » (Cass. 1^ère civ. 28 mars 2008, n° 16-20018).

Dans un arrêt du 4 juillet 2018, la Cour de cassation a apporté des précisions sur les éléments de preuve dont était susceptible de se prévaloir l’établissement bancaire pour démontrer la négligence grave de son client (Cass. com. 4 juill. 2018, n° 17-10158).

Faits
- Un client titulaire d’un compte dans les livres de la société HSBC France a assigné cette dernière en remboursement de sommes inscrites au débit de ce compte au titre d’opérations réalisées au moyen de sa carte de paiement, qu’elle contestait avoir autorisées

Procédure
- Dans un arrêt du 22 septembre 2016, la Cour d’appel de Paris a condamné la banque au paiement de la somme de 4 442,60 euros au titre du remboursement des retraits effectués avec sa carte de paiement.
- Pour parvenir à cette solution, les juges du fond ont écarté des débats les relevés du compte du client pour la période litigieuse produits par la banque qui cherchait à démontrer le caractère habituel des opérations contestées ce qui, dès lors, impliquait une autorisation de la part du client.
- Toutefois, pour la Cour d’appel, le secret bancaire, qui ne pouvait pas être levé en l’espèce, faisait obstacle à la production desdits relevés.

Solution
- Dans son arrêt du 4 juillet 2018, la Cour de cassation casse et annule l’arrêt de la Cour d’appel de Paris.
- Elle lui reproche de n’avoir pas recherché si la production litigieuse n’était pas indispensable à l’exercice par la banque de son droit à la preuve et proportionnée aux intérêts antinomiques en présence.
- Autrement dit, pour la Cour de cassation, dès lors que l’établissement bancaire cherche à défendre ses intérêts dans le cadre de la procédure qui l’oppose à son client, il est légitimement en droit de produire les relevés de comptes de ce dernier sans que le secret bancaire puisse lui être opposé.

II) L’appréciation de la faute

==> L’absence de négligence

Dans un arrêt du 2 octobre 2007, la Cour de cassation a considéré que « en cas de perte ou vol d’une carte bancaire, il appartient à l’émetteur de la carte qui se prévaut d’une faute lourde de son titulaire, au sens de l’article L. 132-3 du code monétaire et financier, d’en rapporter la preuve ; que la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute » (Cass. com. 2 oct. 2017, n°05-19899).

Par 5 arrêt du 18 janvier 2017, la Cour de cassation a jugé, dans le droit fil de cette que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés, peu importe que l’authentification prévue par l’établissement bancaire était forte (Cass. com. 18 janv. 2017, 15-18102).

Il s’agissait, en l’espèce, du système payweb qui impliquait nécessairement qu’un tiers se soit trouvé en possession des données personnelles du payeur dont ce dernier devait assurer la conservation

Aussi, était-il nécessaire que soient renseignés un certain nombre de points dont les identifiants, mots de passe et codes de clefs pour permettre la réalisation les opérations à distance.

La présence d’une authentification forte n’a, toutefois, pas suffi à convaincre la Cour de cassation de la négligence grave du payeur, celle-ci considérant que la preuve ne pouvait pas se déduire de cette seule circonstance.

Récemment, la Cour de cassation a statué dans le même sens dans un arrêt du 21 novembre 2018.

Faits
- Le titulaire d’un compte de dépôt ouvert dans les livres de la société Caisse de crédit mutuel de Chauny a contesté avoir réalisé les opérations de paiement et de retrait de numéraire prélevées sur ce compte, entre le 21 et le 22 novembre 2013, pour une somme de 2 979,61 euros, et en a demandé le remboursement à la banque qui s’y est opposée.

Procédure
- Par un jugement du 6 mars 2017, le Tribunal de proximité de Laon a débouté le client de sa demande de remboursement.
- Au soutien de leur décision, les juges du fond ont relevé que :
  - Les opérations avaient été effectuées à partir du site « banque à distance » de l’établissement de crédit
  - Les coordonnées personnelles du client figurant sur ce site (numéro de téléphone et adresse électronique) avaient été modifiées, permettant ainsi de recevoir sur un autre numéro ou adresse électronique les codes de confirmation nécessaires à la validation desdites opérations,
  - Les opérations litigieuses n’avaient pu être réalisées qu’en ayant connaissance d’éléments d’identification confidentiels (identifiant et mot de passe de connexion sur le site « banque à distance », numéro de la carte bancaire avec cryptogramme et date de validité pour les opérations 3D Sécure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait)
- Pour la juridiction de proximité, le fait que le téléphone portable du client ait pu être piraté ne peut suffire à expliquer que le « fraudeur » se soit retrouvé en possession des identifiants personnels du client et que ce dernier n’explique pas comment le « fraudeur » a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations e-retrait et payweb,
- Le jugement en déduit que le client a nécessairement communiqué à un tiers ses données personnelles, en conséquence de quoi il était de sa responsabilité, conformément aux dispositions de l’article 4 des conditions générales de sa convention de compte, de veiller à ce qu’elles demeurent secrètes et ne soient divulguées à quiconque, et a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées

Solution
- Dans son arrêt du 21 novembre 2018, la Cour de cassation casse et annule la décision rendue par la juridiction de proximité de Laon au visa des articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l’ordonnance du 9 août 2017.
- La chambre commerciale considère que « si, aux termes des deux premiers de ces textes, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des deux autres textes, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
- Aussi, reproche-t-elle aux juges du fond de ne déduit l’existence d’une négligence grave du client « que de l’utilisation effective de l’instrument de paiement ou des données personnelles qui lui sont liées» ( com. 21 nov. 2018, n°17-18888).

==> L’admission de la négligence

Composition du code confidentiel
- S’il est de jurisprudence constante que le seul fait que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est à lui seul, pas susceptible de constituer la preuve d’une négligence grave, dans un arrêt du 31 mai 2016 la Cour de cassation a considéré que le payeur avait commis une négligence grave dès lors qu’il est établi que « les opérations litigieuses ont toutes été effectuées, sur une brève période de quinze jours et à de multiples reprises, au moyen de la carte, que le code confidentiel a été composé à chaque fois et qu’à la suite du dépôt de plainte, aucune infraction pénale n’a été mise en évidence» ( com. 31 mai 2016, n°14-29.906).

Préservation du code confidentiel
- Dans un arrêt du 16 octobre 2012, la Cour de cassation a jugé que le fait de laisser la carte bancaire dans un véhicule et le code confidentiel dans la boîte à gants peut être qualifié d’imprudence constituant une faute lourde ( com. 16 oct. 2012, n° 11-19.981).

Déclaration de la perte ou du vol de l’instrument de paiement
- Dans un arrêt du 3 septembre 2013, la Cour d’appel de Dijon a estimé que le fait d’avoir attendu plus de trois mois après avoir pris conscience de la perte de sa carte, est constitutif de la part du titulaire d’une négligence grave, constitutive d’une faute lourde, au sens de l’article L. 133-19 du Code monétaire et financier (CA Dijon, 3 sept. 2013).

Phishing
- Première étape
  - Dans un arrêt du 25 octobre 2017, la Cour de cassation a reproché à une Cour d’appel de n’avoir pas recherché si, au regard des circonstances de l’espèce, la cliente « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale» ( com. 25 oct. 2017, n°16-11.644)
  - Par cet arrêt, la Cour de cassation réfute la thèse qui tendrait à dire que, en cas de phishing, le payeur ne pourrait se voir reprocher aucune faute et que, par voir de conséquence, la responsabilité de la banque serait nécessairement engagée.
- Deuxième étape
  - Dans un arrêt du 28 mars 2018, la Cour de cassation a précisé sa position en jugeant que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage» ( com. 28 mars 2018, n°16-20018).
  - Par cet arrêt, la Cour de cassation affirme que la faute du client devait être appréciée in abstracto, soit au regard de l’utilisateur normalement attentif.
  - Ainsi, la négligence grave du payeur est susceptible d’être caractérisée dès lors qu’il est établi que des indices auraient dû l’alerter sur l’existence d’un hameçonnage.
- Troisième étape
  - Dans un arrêt du 6 juin 2018, la Cour de cassation réaffirme que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance»
  - Il ressort de cette décision que, si la faute du payeur ne résulte pas de l’utilisation de son instrument de paiement, elle peut être déduite de son comportement lorsque confronté à une tentative d’hameçonnage.
  - La chambre commerciale reproche, en l’espèce, aux juges du fond de n’avoir pas tiré les conséquences de leurs constations après avoir relevé que le client « réglait ses factures de téléphone par prélèvements et non par carte bancaires et qu’un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés»
  - Dans un arrêt du 3 octobre 2018, la Cour de cassation reproche aux juges du fond qui avait constaté que le payeur avait répondu à un courriel d’hameçonnage, de n’avoir pas recherché s’il ne résultait pas, de cette circonstance, un manquement de celui-ci, par négligence grave, à ses obligations ( com. 3 oct. 2018, n° 17-21395).