Fraude aux instruments de paiement (carte bancaire et virement): quels recours?

D’après les chiffres définitifs du ministère de l’intérieur sur les crimes et délits constatés en France en 2017, les escroqueries et les abus de confiance qui regroupent notamment les utilisations frauduleuses d’instruments de paiement ont connu une augmentation de leur nombre constante jusqu’en 2016.

En 2001, le législateur avait réagi à ce phénomène au moyen de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne qui visait à protéger les titulaires de carte bancaires victimes de tels agissements.

En 2009, le gouvernement a cherché à renforcer cette protection, en adoptant l’ordonnance n° 2009-966 du 15 juillet 2009 qui, dans un souci de simplification du droit, a étendu à tous les instruments de paiement le régime de responsabilité et de répartition des pertes qui était antérieurement applicable aux seules cartes de paiement.

Il peut, néanmoins, être observé que l’application certaines règles du régime ainsi institué sont inapplicables, en pratique, pour le virement, car non adaptées. Tel est par exemple le cas du régime du vol et de la perte de l’instrument de paiement.

Aussi, convient-il de faire preuve de discernement dans l’application de ces règles qui, pour la plupart, demeurent applicables à l’ensemble des instruments de paiement.

§1 : La recevabilité de la demande

En cas de perte, vol ou de détournement d’un instrument de paiement, l’article L. 133-24 du Code monétaire et financier prévoit que la demande de remboursement est soumise à des conditions de recevabilité.

  • Principe
    • L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement.
  • Exception
    • Si l’utilisateur du moyen de paiement agit dans le cadre de l’exercice d’une activité professionnel, la convention peut prévoir un autre délai de forclusion de la demande de remboursement

§2 : Les fondements de la demande

Aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le payeur a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

La responsabilité du payeur sera envisagée différemment selon que l’on se situe avant ou après l’opposition.

I) Avant l’opposition

Le Code monétaire et financier envisage trois situations auxquelles il apporte des réponses différentes :

  • La fraude résulte d’une perte ou d’un vol de l’instrument de paiement
  • La fraude résulte d’une utilisation à distance des données de l’instrument de paiement
  • La fraude résulte d’une falsification de l’instrument de paiement

A) Perte ou vol de l’instrument de paiement bancaire

Il convient de distinguer selon que le payeur a agi frauduleusement ou selon qu’il est de bonne foi.

  1. Le payeur a agi frauduleusement

Lorsqu’il est établi que le payeur a agi frauduleusement ce qui impliquerait qu’il est, soit à l’origine de la fraude, soit a concouru à sa réalisation, il supporte, en tout état de cause, les pertes occasionnées.

Il ne disposera d’aucun recours contre le prestataire de paiement qui est totalement exonéré de sa responsabilité.

2. Le payeur n’a pas agi frauduleusement

Dans cette hypothèse, il convient de distinguer selon que le payer a ou non commis une faute.

Reste que le remboursement du payeur sera, en tout état de cause, subordonné à la recevabilité de sa demande.

==> Le payeur n’a commis aucune faute

  • Principe
    • L’article L. 133-19, I, al. 1er du CMF prévoit que « en cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.»
    • Cette disposition institue donc un principe de responsabilité du payeur dans la limite de 50 €.
    • Au-delà de ce montant, c’est au prestataire de paiement de prendre en charge les pertes constatées.
    • Il lui appartient, dans ces conditions, de procéder au remboursement du client.
  • Exceptions
    • L’article L. 133-19, I, al. 2 du CMF énonce plusieurs exceptions qui, si elles sont caractérisées, exonère de toute responsabilité le payeur.
    • A cet égard, sa responsabilité ne sera pas engagée en cas :
      • D’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées
      • De perte ou de vol de l’instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
      • De perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

==> Le payeur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où le payeur a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

B) Utilisation à distance des données de l’instrument de paiement

==> Le payeur n’a commis aucune faute

La responsabilité de l’utilisateur du moyen de paiement n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Aussi, la banque a-t-elle l’obligation de rétablir le compte débité dans l’état où il se serait trouvé si le payeur n’avait pas été victime d’une fraude

Ce dernier sera donc fondé à réclamer le remboursement :

  • D’une part, des sommes débitées à son insu
  • D’autre part, des frais consécutifs à l’utilisation frauduleuse des données de son instrument de paiement (frais d’opposition et d’émission d’un nouvel instrument de paiement, agios débités en raison du solde débiteur, frais d’incident de paiement etc.).

==> Le payeur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où l’utilisateur du moyen de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

C) La falsification de l’instrument de paiement

==> Le payeur n’a commis aucune faute

  • Le porteur était en possession de son instrument de paiement (art. L. 133-19, II, al. 2e CMF)
    • Dans cette hypothèse, en cas d’opérations frauduleuses effectuées au moyen d’un instrument de paiement contrefait, la responsabilité du porteur n’est pas engagée.
    • Il bénéficie du même régime d’exonération que le porteur dont les données de l’instrument de paiement ont été utilisées à distance
  • Le porteur n’était pas en possession de son instrument de paiement (art. L. 133-19, I CMF)
    • Dans cette hypothèse, le régime applicable est celui l’instrument de paiement perdu ou volé.
    • Il en résulte que la franchise de 50 euros est susceptible d’être appliquée au payeur, sauf à ce qu’il s’inscrive dans l’une des exceptions énoncées au I de l’article L. 133-19 CMF.

==> Le porteur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où le porteur de l’instrument de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que le porteur n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au porteur de l’instrument de paiement pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

II) Après l’opposition (art. L. 133-20 CMF)

Pour rappel, aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le porteur de l’instrument de paiement a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

  • Principe
    • Après avoir formé opposition auprès de sa banque, le porteur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées.
  • Exception
    • La responsabilité du porteur est rétablie en cas de fraude de celui-ci

§3 : Focus sur la notion de faute au sens de l’article L. 133-19, IV du CMF

L’article L. 133-19, IV du CMF dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :

  • Il ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
  • Il n’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Dès lors que l’une de ces deux situations est caractérisée, le prestataire de paiement n’engage pas sa responsabilité, de sorte que le payeur ne pourra prétendra à aucun remboursement.

Reste qu’il appartient à l’établissement bancaire de prouver que le client n’a pas satisfait à ses obligations, soit intentionnellement, soit par négligence.

Si le manquement à l’obligation d’information de la perte ou du vol de l’instrument de paiement ne soulève aucune difficulté particulière, plus difficile est l’appréhension de l’obligation qui impose au payeur prendre des mesures pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

L’examen de la jurisprudence révèle que le débat se focalise essentiellement sur les circonstances susceptibles de caractériser la négligence grave du payeur quant à la préservation de ses données bancaires.

I) La preuve

==> La preuve de la négligence

Régulièrement, la Cour de cassation affirme que, en cas d’utilisation frauduleuse d’un instrument de paiement, il appartient à l’établissement bancaire de rapporter la preuve de la faute de son titulaire.

Récemment, dans un arrêt du 28 mars 2018, la Cour de cassation a affirmé en ce sens que « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations »

La Chambre commerciale ajoute que « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (Cass. com. 28 mars 2018, n° 16-20018).

Cette position est partagée par la première chambre civile qui avait statué dans le même sens dans un arrêt du 28 mars 2018 en considérant que « en cas de perte ou de vol, le titulaire d’une carte de paiement qui a effectué la mise en opposition dans les meilleurs délais compte tenu de ses habitudes d’utilisation de cette carte, ne supporte intégralement la perte subie que s’il a agi avec négligence constituant une faute lourde ; qu’il appartient à l’émetteur de rapporter cette preuve »

La Cour de cassation avait, à l’instar de la Chambre commerciale précisé que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est, à elle seule, pas susceptible de constituer la preuve d’une telle faute » (Cass. 1ère civ. 28 mars 2008, n° 16-20018).

Dans un arrêt du 4 juillet 2018, la Cour de cassation a apporté des précisions sur les éléments de preuve dont était susceptible de se prévaloir l’établissement bancaire pour démontrer la négligence grave de son client (Cass. com. 4 juill. 2018, n° 17-10158).

  • Faits
    • Un client titulaire d’un compte dans les livres de la société HSBC France a assigné cette dernière en remboursement de sommes inscrites au débit de ce compte au titre d’opérations réalisées au moyen de sa carte de paiement, qu’elle contestait avoir autorisées
  • Procédure
    • Dans un arrêt du 22 septembre 2016, la Cour d’appel de Paris a condamné la banque au paiement de la somme de 4 442,60 euros au titre du remboursement des retraits effectués avec sa carte de paiement.
    • Pour parvenir à cette solution, les juges du fond ont écarté des débats les relevés du compte du client pour la période litigieuse produits par la banque qui cherchait à démontrer le caractère habituel des opérations contestées ce qui, dès lors, impliquait une autorisation de la part du client.
    • Toutefois, pour la Cour d’appel, le secret bancaire, qui ne pouvait pas être levé en l’espèce, faisait obstacle à la production desdits relevés.
  • Solution
    • Dans son arrêt du 4 juillet 2018, la Cour de cassation casse et annule l’arrêt de la Cour d’appel de Paris.
    • Elle lui reproche de n’avoir pas recherché si la production litigieuse n’était pas indispensable à l’exercice par la banque de son droit à la preuve et proportionnée aux intérêts antinomiques en présence.
    • Autrement dit, pour la Cour de cassation, dès lors que l’établissement bancaire cherche à défendre ses intérêts dans le cadre de la procédure qui l’oppose à son client, il est légitimement en droit de produire les relevés de comptes de ce dernier sans que le secret bancaire puisse lui être opposé.

II) L’appréciation de la faute

==> L’absence de négligence

Dans un arrêt du 2 octobre 2007, la Cour de cassation a considéré que « en cas de perte ou vol d’une carte bancaire, il appartient à l’émetteur de la carte qui se prévaut d’une faute lourde de son titulaire, au sens de l’article L. 132-3 du code monétaire et financier, d’en rapporter la preuve ; que la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute » (Cass. com. 2 oct. 2017, n°05-19899).

Par 5 arrêt du 18 janvier 2017, la Cour de cassation a jugé, dans le droit fil de cette que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés, peu importe que l’authentification prévue par l’établissement bancaire était forte (Cass. com. 18 janv. 2017, 15-18102).

Il s’agissait, en l’espèce, du système payweb qui impliquait nécessairement qu’un tiers se soit trouvé en possession des données personnelles du payeur dont ce dernier devait assurer la conservation

Aussi, était-il nécessaire que soient renseignés un certain nombre de points dont les identifiants, mots de passe et codes de clefs pour permettre la réalisation les opérations à distance.

La présence d’une authentification forte n’a, toutefois, pas suffi à convaincre la Cour de cassation de la négligence grave du payeur, celle-ci considérant que la preuve ne pouvait pas se déduire de cette seule circonstance.

Récemment, la Cour de cassation a statué dans le même sens dans un arrêt du 21 novembre 2018.

  • Faits
    • Le titulaire d’un compte de dépôt ouvert dans les livres de la société Caisse de crédit mutuel de Chauny a contesté avoir réalisé les opérations de paiement et de retrait de numéraire prélevées sur ce compte, entre le 21 et le 22 novembre 2013, pour une somme de 2 979,61 euros, et en a demandé le remboursement à la banque qui s’y est opposée.
  • Procédure
    • Par un jugement du 6 mars 2017, le Tribunal de proximité de Laon a débouté le client de sa demande de remboursement.
    • Au soutien de leur décision, les juges du fond ont relevé que :
      • Les opérations avaient été effectuées à partir du site « banque à distance » de l’établissement de crédit
      • Les coordonnées personnelles du client figurant sur ce site (numéro de téléphone et adresse électronique) avaient été modifiées, permettant ainsi de recevoir sur un autre numéro ou adresse électronique les codes de confirmation nécessaires à la validation desdites opérations,
      • Les opérations litigieuses n’avaient pu être réalisées qu’en ayant connaissance d’éléments d’identification confidentiels (identifiant et mot de passe de connexion sur le site « banque à distance », numéro de la carte bancaire avec cryptogramme et date de validité pour les opérations 3D Sécure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait)
    • Pour la juridiction de proximité, le fait que le téléphone portable du client ait pu être piraté ne peut suffire à expliquer que le « fraudeur » se soit retrouvé en possession des identifiants personnels du client et que ce dernier n’explique pas comment le « fraudeur » a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations e-retrait et payweb,
    • Le jugement en déduit que le client a nécessairement communiqué à un tiers ses données personnelles, en conséquence de quoi il était de sa responsabilité, conformément aux dispositions de l’article 4 des conditions générales de sa convention de compte, de veiller à ce qu’elles demeurent secrètes et ne soient divulguées à quiconque, et a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées
  • Solution
    • Dans son arrêt du 21 novembre 2018, la Cour de cassation casse et annule la décision rendue par la juridiction de proximité de Laon au visa des articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l’ordonnance du 9 août 2017.
    • La chambre commerciale considère que « si, aux termes des deux premiers de ces textes, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des deux autres textes, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
    • Aussi, reproche-t-elle aux juges du fond de ne déduit l’existence d’une négligence grave du client « que de l’utilisation effective de l’instrument de paiement ou des données personnelles qui lui sont liées» ( com. 21 nov. 2018, n°17-18888).

==> L’admission de la négligence

  • Composition du code confidentiel
    • S’il est de jurisprudence constante que le seul fait que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est à lui seul, pas susceptible de constituer la preuve d’une négligence grave, dans un arrêt du 31 mai 2016 la Cour de cassation a considéré que le payeur avait commis une négligence grave dès lors qu’il est établi que « les opérations litigieuses ont toutes été effectuées, sur une brève période de quinze jours et à de multiples reprises, au moyen de la carte, que le code confidentiel a été composé à chaque fois et qu’à la suite du dépôt de plainte, aucune infraction pénale n’a été mise en évidence» ( com. 31 mai 2016, n°14-29.906).
  • Préservation du code confidentiel
    • Dans un arrêt du 16 octobre 2012, la Cour de cassation a jugé que le fait de laisser la carte bancaire dans un véhicule et le code confidentiel dans la boîte à gants peut être qualifié d’imprudence constituant une faute lourde ( com. 16 oct. 2012, n° 11-19.981).
  • Déclaration de la perte ou du vol de l’instrument de paiement
    • Dans un arrêt du 3 septembre 2013, la Cour d’appel de Dijon a estimé que le fait d’avoir attendu plus de trois mois après avoir pris conscience de la perte de sa carte, est constitutif de la part du titulaire d’une négligence grave, constitutive d’une faute lourde, au sens de l’article L. 133-19 du Code monétaire et financier (CA Dijon, 3 sept. 2013).
  • Phishing
    • Première étape
      • Dans un arrêt du 25 octobre 2017, la Cour de cassation a reproché à une Cour d’appel de n’avoir pas recherché si, au regard des circonstances de l’espèce, la cliente « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale» ( com. 25 oct. 2017, n°16-11.644)
      • Par cet arrêt, la Cour de cassation réfute la thèse qui tendrait à dire que, en cas de phishing, le payeur ne pourrait se voir reprocher aucune faute et que, par voir de conséquence, la responsabilité de la banque serait nécessairement engagée.
    • Deuxième étape
      • Dans un arrêt du 28 mars 2018, la Cour de cassation a précisé sa position en jugeant que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage» ( com. 28 mars 2018, n°16-20018).
      • Par cet arrêt, la Cour de cassation affirme que la faute du client devait être appréciée in abstracto, soit au regard de l’utilisateur normalement attentif.
      • Ainsi, la négligence grave du payeur est susceptible d’être caractérisée dès lors qu’il est établi que des indices auraient dû l’alerter sur l’existence d’un hameçonnage.
    • Troisième étape
      • Dans un arrêt du 6 juin 2018, la Cour de cassation réaffirme que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance»
      • Il ressort de cette décision que, si la faute du payeur ne résulte pas de l’utilisation de son instrument de paiement, elle peut être déduite de son comportement lorsque confronté à une tentative d’hameçonnage.
      • La chambre commerciale reproche, en l’espèce, aux juges du fond de n’avoir pas tiré les conséquences de leurs constations après avoir relevé que le client « réglait ses factures de téléphone par prélèvements et non par carte bancaires et qu’un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés»
      • Dans un arrêt du 3 octobre 2018, la Cour de cassation reproche aux juges du fond qui avait constaté que le payeur avait répondu à un courriel d’hameçonnage, de n’avoir pas recherché s’il ne résultait pas, de cette circonstance, un manquement de celui-ci, par négligence grave, à ses obligations ( com. 3 oct. 2018, n° 17-21395).

Les origines du principe de neutralité de l’internet

Révolution. L’Histoire nous l’enseigne : tout changement de paradigme est le fruit d’un long processus auquel sont mêlés d’innombrables protagonistes[1]. D’ordinaire, il est pourtant admis que les révolutions, sociales ou scientifiques, s’apparentent en un coup de tonnerre pourfendant le ciel. Sans nul doute, la cause de ce sentiment que beaucoup partagent, à tort, n’est pas à rechercher dans une quelconque faculté dont seraient dotés les instigateurs des révolutions de les déclencher selon leur bon vouloir, mais plutôt dans l’incapacité de leurs observateurs à les prévoir. L’idée révolutionnaire, de relier des ordinateurs entre eux n’échappe pas à la règle. Elle est la résultante d’une lente évolution qui s’est enclenchée lorsque l’Homme a pris conscience que, le salut de l’humanité dépendait, pour une large part, de son aptitude à communiquer avec ses semblables. Le choix de l’architecture qu’il a entendu conférer au premier réseau numérique qui, rapidement, allait devenir un phénomène planétaire, voit ses racines profondément enfouies dans le passé. Ceux qui seraient tentés d’attribuer la paternité de la grande révolution sociale, dont a été porteuse l’architecture de l’ARPANET, aux seuls bâtisseurs de cet ouvrage, risquent, par conséquent, d’occulter que celle-ci a, en réalité, été amorcée bien avant que, Licklider et les savants qui lui ont succédé, aient eu et mis en œuvre leurs idées. La croyance tendant à admettre que cette révolution serait le pur produit de la structure décentralisée du réseau est véhiculée lorsque, par exemple, certains affirment que « l’intelligence distribuée [d’une infrastructure globale d’information] diffusera une démocratie participative […] en accroissant la participation des citoyens à la prise de décision et […] favorisera la capacité des nations à coopérer entre elles»[3]. Cette idée apparaît, cependant, comme partiellement erronée.

Réseau et choix de société. Pour s’en persuader, il suffit de se remémorer les propos de Michel Chevalier qui, déjà en 1836, avait une idée très précise de la finalité vers laquelle devait tendre tout système de communication. Pour lui, « améliorer la communication, c’est […] travailler à la liberté réelle, positive et pratique […], c’est faire de l’égalité et de la démocratie. Des moyens de transport perfectionnés ont pour effet de réduire les distances non-seulement d’un point à un autre, mais encore d’une classe à une autre»[4]. La pensée selon laquelle un réseau de communication peut se révéler comme un formidable instrument pour combattre les inégalités sociales et faire « s’évanouir les plus grands obstacles qui s’opposent à la civilisation des hommes et à leur réunion en grandes républiques »[5], est donc loin d’être nouvelle. Selon toute vraisemblance, l’ambition des architectes du réseau ARPANET était plus modeste que celle qui leur est habituellement prêtée. Pour autant, ils n’en sont pas moins parvenus à inscrire, dans l’architecture de l’édifice numérique, les valeurs que n’ont cessé de prêcher les héritiers de la pensée saint-simonienne. Probablement, certains se demandent comment de telles valeurs peuvent être incarnées et portées par pareille entité qui, en définitive, n’est qu’un simple agglomérat de câbles et d’ordinateurs. Afin de montrer en quoi derrière l’adoption de l’architecture d’un réseau peut se cacher un véritable choix – même inconscient – de modèle de société, il convient dès lors d’approfondir l’examen de celle pensée par les bâtisseurs de l’ARPANET.

Partage et accroissement de la puissance du réseau. Au préalable, il apparaît toutefois nécessaire de se rappeler la raison première pour laquelle ils ont été conduits à faire communiquer des machines entre elles. Pour mémoire, lorsqu’est venue à Licklider, l’idée de mettre en réseau des ordinateurs, il n’était habité que par la seule intention de développer le concept qui lui était si cher de l’informatique en temps partagé. Et si, pour ce faire, celui-ci s’est, d’abord, focalisé sur la recherche d’un moyen permettant aux chercheurs d’utiliser simultanément les ressources informatiques d’une seule et même machine[6], très vite, il lui a semblé plus judicieux de réfléchir à la conception d’un système plus global, qui offrirait la possibilité de mettre en commun les ressources de plusieurs machines[7]. Dans son esprit, cela supposait, en toute logique, que le réseau ainsi créé soit alimenté par la puissance de calcul de chaque ordinateur s’y connectant. Plus le nombre de ses utilisateurs augmenterait, plus grand serait le bénéfice que ces derniers pourraient en retirer. Envisager l’hypothèse inverse de l’adoption d’un système de communication pourvu d’une puissance de calcul initiale qui, par suite, aurait vocation à être partagée entre tous les utilisateurs du système serait revenu à admettre que la part revenant à chacun d’eux puisse diminuer à mesure de l’augmentation de leur nombre. Mais tel n’était pas le résultat recherché par Licklider. Il avait en tête de réaliser un réseau qui, lors de l’agrégation de toute nouvelle ramification, devait voir ses performances s’améliorer et non se dégrader ; autrement dit, un réseau où tout ce que l’on y partagerait, serait destiné à s’accroitre. L’architecture du réseau imaginé par Licklider ne pouvait, dans ces conditions, qu’être décentralisée.

Incertitude quant à l’utilité du réseau. Outre l’acception renvoyant à un réseau dont la disposition des nœuds forme un échiquier, par décentralisé, il faut entendre, un système où la puissance de calcul se trouve à ses extrémités. Chaque utilisateur doit pouvoir prétendre à une puissance de calcul qui soit le fruit d’une multiplication et non d’une division. Les dignes successeurs de Licklider avaient bien compris les avantages que pouvait procurer le choix d’une telle architecture – en plus de ceux précédemment évoqués[8]. C’est pourquoi, lorsque l’ARPANET a été élaboré, le recours à une structure centralisée a, d’emblée, été écarté. Elle était pourtant utilisée par AT&T comme support du réseau téléphonique. Nombreux étaient ses partisans, même au sein de l’ARPA[9]. A l’évidence, cela n’a pas été suffisant pour convaincre Taylor, Roberts et Baran de l’adopter. Alors que les deux premiers, étaient déterminés à appliquer le concept de l’informatique en temps partagé au réseau d’ordinateurs qu’ils ambitionnaient de réaliser, le troisième pointait, quant à lui, du doigt, la vulnérabilité des systèmes de communication en forme d’étoile. En définitive, c’est bien pour une architecture décentralisée qu’ils ont opté, malgré le scepticisme ambiant qui régnait à l’intérieur de l’agence gouvernementale. Au commencement du projet, ils n’étaient que quelques-uns à percevoir l’utilité de doter un réseau d’une pareille structure. La plupart ne parvenait pas à voir quelles répercussions pouvait avoir le fait de partager avec d’autres les ressources d’une machine, sinon celle de les rendre plus faibles qu’elles ne l’étaient déjà. Comme le souligne Laurence Lessig, il est difficile de blâmer ceux qui, à l’époque, ne savaient pas à quoi serait susceptible de servir le réseau qui était en passe de se construire. En vérité, même ses pères spirituels l’ignoraient[10]. C’est justement là que réside tout leur génie.

Un silex taillé. Pour reprendre l’assimilation faite par Philippe Breton de l’ordinateur au « silex taillé », le réseau ARPANET partage également quelques affinités avec le célèbre « caillou ». Tout comme lui, son invention « précéda l’intelligence que les hommes purent avoir de son usage»[11]. La préoccupation des bâtisseurs n’était nullement de conférer à leur ouvrage une quelconque utilité. Elle résidait dans sa seule mise à disposition ; libre à ses utilisateurs de lui en trouver une. Tel un morceau de bois ou un bloc de pierre, dont l’utilisation peut varier d’une extrémité à l’autre, selon l’intention qui anime celui qui s’en sert, le réseau ARPANET a cette particularité d’être tout à la fois dépourvu d’utilité lorsqu’il se trouve à l’état brut et, à l’inverse, susceptible de se révéler infiniment utile si quelqu’un exploite l’une ou plusieurs de ses propriétés. Peu nombreux étaient ceux qui, à la fin des années soixante-dix, avaient compris l’intérêt de laisser aux utilisateurs du réseau le soin de déterminer les usages auxquels son exploitation pouvait donner naissance. Pour autant, peu à peu, cette idée a fait son chemin dans les esprits, jusqu’à être conceptualisée, au début des années quatre-vingts, dans une publication de David Clark, Jérôme Saltzer et David Reed[12]. Dans cet article, pour la première fois est décrit le principe sur lequel repose l’architecture adoptée par les bâtisseurs de l’ARPANET.

Principe du end-to-end. Baptisé end-to-end argument (bout en bout), ce principe consiste à placer la puissance de calcul, soit ce que Lawrence Lessig appelle « l’intelligence du réseau»[13], à ses extrémités, de sorte que le système puisse se développer de manière organique[14]. Plus concrètement, doivent être distingués les ordinateurs qui se trouvent au centre du réseau, qui ont pour fonction d’assurer la communication entre deux machines distantes, de ceux, situés à sa lisière, dont la vocation n’est autre que d’émettre et de recevoir. Alors que les premiers doivent, selon David Clark, n’effectuer que des tâches rudimentaires, tendant au transport des paquets de données, les seconds ont, quant à eux, pour rôle de réaliser les opérations informatiques les plus complexes, celles en rapport, non pas avec l’acheminement de l’information, mais avec la finalité de cet acheminement. En vertu du principe du end-to-end, c’est donc à travers les ordinateurs localisés aux extrémités du réseau que peuvent être identifiés les usages qui en sont fait[15]. Là n’est pas la seule conséquence qu’emporte la réalisation de ce principe. En plus de voir les utilisateurs maîtres des fonctions dont est pourvu le système de communication auquel ils ont recours, l’adoption d’une architecture décentralisée est de nature à les mettre tous sur un pied d’égalité[16]. Pour anodine et insignifiante que puisse paraître, d’un point de vue technique, cette caractéristique qui découle de l’application du principe du end-to-end, comme s’accordent à le dire de nombreux auteurs, les effets qui s’ensuivent n’en sont pas moins cruciaux sur le plan sociopolitique[17].

Forme du réseau et modèle de société. S’il est indéniable que le réseau ARPANET est la résultante d’une grande prouesse technologique, en ce qu’il a été doté de la faculté de se développer organiquement, il ne faut pas non plus oublier qu’il a surtout été conçu comme le medium auquel pouvaient recourir les scientifiques de tous lieux pour communiquer. Avant d’être un réseau d’ordinateurs, il devait former, comme aimait à le rappeler Taylor et Licklider, une « supercommunauté»[18]. Or toute communauté, quel que soit le lien qui unit ses membres, répond nécessairement à une logique organisationnelle ; car la nature de l’Homme est de toujours vouloir rechercher un cadre social stable dans lequel il peut évoluer. Aussi, cela nous renvoie-t-il à la pensée d’illustres auteurs tels que Diderot, d’Alembert, Proudhon ou encore Saint-Simon et ses disciples, qui voyaient dans la figure du réseau, au-delà de son aspect technique, différents cadres sociaux. Pour eux, et notamment Proudhon, deux sortes de réseaux s’opposent. Ils ne nous sont pas inconnus, puisqu’il s‘agit du réseau étoilé et de celui dit « en échiquier ». Le premier correspond, de par son architecture centralisée, à un modèle de société dans laquelle ses membres seraient unis par un lien hiérarchique[19]. Le second se rapporte plutôt à une organisation décentralisée où les membres du groupe seraient placés sous le signe de l’égalité. Proudhon soutient que derrière l’architecture technique de n’importe quel réseau se cache presque toujours un choix politique[20].

Neutralité et égalité. Il ne saurait, toutefois, être imputé aux bâtisseurs de l’ARPANET la velléité d’avoir voulu recréer une agora artificielle sur laquelle viendraient se réunir les nostalgiques de la démocratie athénienne. Quand bien même, il n’est jamais de pur hasard, leur intention première n’était autre que de fournir aux communautés scientifiques et universitaires un instrument par le biais duquel elles pourraient s’adonner au travail collaboratif. Le choix d’une architecture qui repose sur le principe du end-to-end a, pourtant, bel et bien été accompagné de répercussions propres à un choix politique ; d’où, la difficulté de les dissocier. Parce que l’ARPANET a été élaboré sur un modèle de réseau décentralisé, il génère une égalité parfaite entre ses utilisateurs dans les rapports qu’ils entretiennent avec ce dernier[21]. Dans pareil système, un enfant se trouve être l’égal du savant ou du milliardaire[22]. Peu importe l’âge, la qualité, la nationalité, le niveau de connaissance ou de ressources financières de l’utilisateur, seul compte le fait d’être connecté au système via un ordinateur. Cette égalité, qui règne au sein du réseau, fait de lui une entité neutre, en ce sens qu’il n’est procédé à aucune discrimination à l’égard de la source, de la destination ou encore du contenu de l’information acheminée[23]. Neutralité et égalité sont indubitablement liées. Plus encore, la neutralité dont est empreinte quelque entité que ce soit, fait naître une égalité entre ses sujets. Comme a pu l’écrire un auteur, s’agissant de la neutralité à laquelle est soumise toute autorité administrative, elle a pour effet de « garantir le respect du principe d’égalité»[24] entre les administrés. Le réseau ARPANET est manifestement teinté de la même neutralité que celle que l’on connait à nos institutions[25]. De cette neutralité qu’il arbore, nous pouvons déduire deux conséquences principales s’agissant de la liberté d’action des internautes.

Conséquences de la neutralité du réseau. La première d’entre elles tient aux capacités dont est pourvu le réseau : elles sont les mêmes pour tous les utilisateurs. Ils sont, en d’autres termes, égaux devant son fonctionnement. À l’image de deux peintres qui se tiennent en un même lieu, profitant à part égale de la lumière du soleil pour réaliser leur toile, les utilisateurs de l’ARPANET bénéficient à part égale de la puissance qu’il dégage. Le réseau traite, en somme, leurs instructions de manière équivalente, peu importe la nature des données qu’il lui est demandé de transporter, leur provenance ou encore leur destination. Chaque utilisateur est en droit d’attendre qu’il soit mis – dans la mesure du possible – au service de sa requête, la plénitude de la capacité du réseau à acheminer de l’information. La seconde conséquence que fait naître la neutralité du réseau consiste en l’octroi à quiconque s’y connecte d’une absolue liberté quant à lui conférer une utilité. C’est aux utilisateurs du réseau qu’il incombe de déterminer quelles sont les fonctions qu’il doit remplir et donc de le développer. C’est à eux, que revient le pouvoir de création de toute chose qui se trouve à ses extrémités[26]. Le réseau étant neutre, aucune discrimination ne saurait être opérée entre les différentes innovations dont l’existence repose sur l’exploitation de ses capacités. Que celui-ci soit utilisé comme support de communication pour téléphoner, pour recevoir la télévision ou la radio, pour partager des données, pour déclencher des tirs de missiles à distance, pour espionner l’humanité toute entière ou encore pour procéder à une greffe de cœur par-delà les océans, peu importe. La neutralité du réseau garantit aux utilisateurs la possibilité d’y recourir librement, afin que s’exprime leur imagination. Comme le souligne Lawrence Lessig « le réseau ne peut pas exercer de discrimination contre une nouvelle structure innovante»[27]. Dit autrement, qu’une innovation soit bonne ou mauvaise, performante ou inefficace, populaire ou décriée, dès lors qu’elle répond aux caractéristiques techniques que requiert le système, elle en fait partie intégrante. La décision de la retirer ou de la modifier appartient à son seul créateur. De par sa neutralité, le réseau est ainsi doté de l’incroyable faculté d’accueillir en son sein une infinité d’innovations toutes plus différentes les unes des autres.

Neutralité et concurrence. Au total, les bâtisseurs jouissent, à part égale, d’une grande liberté d’action. Cette conjugaison de la liberté avec l’égalité est de nature à créer un terrain extrêmement fertile pour que se réalise une vive concurrence entre les architectes du réseau quant à la production d’innovations. Ne dit-on pas au sujet de la concurrence qu’elle est déloyale, et donc faussée, lorsque l’avantage dont bénéficie un opérateur sur ses concurrents procède d’un traitement différent dont il ferait l’objet par une entité extérieure au marché ? Assurément, aucune concurrence ne saurait exister – et encore moins être parfaite – lorsque des agents sont discriminés par rapports aux autres. La raison en est que, pour s’engager dans une compétition, quelle qu’elle soit, les opérateurs doivent être animés par la certitude, sinon le sentiment, d’avoir une chance de se positionner en bonne place sur le marché qu’ils convoitent. L’existence même de la concurrence dépend en grande partie de l’idée que se font les agents de gagner la compétition à laquelle ils décident de participer. Parce que le réseau est neutre, ses bâtisseurs n’ont jamais eu à douter de leurs chances de réussite dans le cyberespace. Ils pouvaient, de la sorte, entretenir l’espoir que le bénéfice qu’ils retireraient de leurs investissements serait, a minima, proportionnel aux efforts consentis. Immédiatement, une question se pose. Pourquoi les architectes du réseau ont-ils pu avoir une confiance si grande dans la neutralité du réseau ? Pour certains, les enjeux financiers étaient grands. Ces derniers étaient, certes, animés par le désir d’apporter leur pierre à l’édifice numérique. Cette entreprise comportait, cependant, une dimension matérielle qui ne saurait être négligée. D’où, la question de savoir, pour quelle raison les bâtisseurs de l’internet ont-ils eu le sentiment qu’ils étaient sur un pied d’égalité, et qu’ils participaient à une concurrence non faussée. Sans aucun doute, cela s’explique, en partie, par le fait qu’ils ne se voyaient pas que comme des concurrents, mais aussi comme des collaborateurs.

[1] S’agissant des révolutions scientifiques, Thomas Kuhn affirme que « une nouvelle théorie, quelque particulier soit son champ d’application, est rarement ou n’est jamais un simple accroissement de ce que l’on connaissait déjà. Son assimilation exige la reconstruction de la théorie antérieure et la réévaluation des faits antérieurs, processus intrinsèquement révolutionnaire qui est rarement réalisé par un seul homme et jamais du jour au lendemain » (T. Kuhn, La structure des révolutions scientifiques, Flammarion, coll. « Champs », 1999, p.24).

[2] V. supra, n°9 et s.

[3]Al. Gore, « Remarks prepared for delivery by Vice President Al Gore to the International Telecommunications Union Development Conference in Buenos Aires », Argentina on March 21, 1994, Washington D.C., Department of state, USIA, mars 1994.

[4] M. Chevalier, Lettres sur l’Amérique du Nord, Paris, éd. Gosselin, 1836, t. II, p. 3.

[5] V. en ce sens la pensée de Bertrand Barrère, député de la Convention et membre du Comité du salut public, qui s’est montré très enthousiaste face à l’émergence des nouveaux moyens de communication. A. Vandermonde, « Quatrième leçon d’économie politique », 23 ventôse/13 mars”, in L’École normale de l’an III, éd. Nordman D., Paris, Dunod, 1994. Cité in A. Mattelart, « La communication et la promesse de rédemption », Quaderni, n°40, Hiver 1999-2000, p. 70.

[6] V. supra, n°23.

[7] V. supra, n°26 et s.

[8] V. supra, n°54.

[9] Pour avoir une idée du scepticisme ambiant qui régnait à cette époque au sein de l’ARPA, v. K. Hafner et M. Lyon, op. cit. note 21, p. 86.

[10] Comme l’explique David reed, « les différentes formes d’utilisations du réseau par ces applications étaient intéressantes en elles-mêmes. C’est pourquoi il nous semblait que nous ne pouvions pas présumer quoi que ce soit de la manière dont le réseau serait utilisé par les applications » (cité in L. Lessig, op. cit. note 22, p. 52).

[11] Ph. Breton, « Le rôle du contexte dans la genèse d’une innovation : (questions à propos de l’invention de l’ordinateur) », Réseaux, 1987, vol. 5, n°24. p. 64.

[12] J. Saltzer, D. Reed, et D. Clark, « End-to-End Arguments in System Design », Second International Conference on Distributed Computing Systems, avr. 1981, pp. 509-512, in ACM Transactions on Computer Systems, 1984, vol. 2, n°4, nov., pp. 277-288.

[13] L. Lessig, op. cit. note 22, pp. 45 et s.

[14] V. en ce sens B. Carpenter, Architectural Principles of the Internet, RFC 1958, 1996.

[15] Illustrer cette affirmation avec des exemples.

[16] Sur les conséquences du principe de neutralité v. notamment l’article devenu célèbre de Tim Wu, lequel est l’un des premiers auteurs à évoquer cette question sous l’angle de l’égalité et de la non-discrimination. T. Wu, « Network Neutrality, Broadband Discrimination », Journal of Telecommunications and High Technology Law, 2003, vol. 2, p. 141.

[17] V. en ce sens L. Lessig, Code and orther laws of cyberspace, Basic Books, 1999, pp. 3 et s ; B. Benhamou, « Organiser l’architecture de l’Internet », Revue Esprit, mai 2006, pp. 154-158.

[18] J. Licklider et R. Taylor, « The Computer as a communication Device », Science and Technology, avril 1968, réédité dans In Memoriam, 1990, p. 31.

[19] Ainsi Proudhon parle-t-il en terme de « pensée princière, gouvernementale du réseau étoilée », P.-J. Proudhon, œuvres complètes, t. XII, Librairie internationale, Paris, 1968, pp. 97 et 98, cité in P. Musso, « La raison du Réseau », Quaderni, n° 52, Automne 2003, Secret et pouvoir : les faux-semblants de la transparence. p. 62.

[20] V. en ce sens P. Musso, art. préc.

[21] V. en ce sens V. Serfaty, « L’Internet : fragments d’un discours utopique ». Communication et langages, n°119, 1er trimestre 1999. pp. 106-117.

[22] V. en ce sens P. Levy, « La montée vers la noosphère », Sociologie et sociétés, vol. 32, n° 2, 2000, p. 19-30.

[23] D’un point de vue étymologique, le terme neutralité vient du latin neuter, qui signifie « ni l’un ni l’autre », formé de ne, adverbe de négation, et uter, l’un des deux.

[24] V. Donier, « Les lois du service public : entre tradition et modernité », RFDA, nov.- déc. 2006 p. 1219 et s.

[25] Pour une analyse approfondie de ce principe de neutralité qui gouverne le réseau v. notamment, W. Maxwell et N. Curien, La neutralité d’Internet, La découverte, 2011.

[26] V. en ce sens J. Vallée pour qui « la vision d’origine était idéaliste : elle voulait libérer la créativité en étendant l’accès à l’information » (J. Vallée, op. cit. note 9, p. 23).

[27] L. Lessig, L’avenir des idées, op. cit. note 22, p. 48.