Phishing : pas de pitié pour les poissons négligents !
La Cour d’appel de Liège s’est penchée sur l’une des fraudes informatiques les plus classiques : le « phishing ». Les faits étaient les suivants : des escrocs, prétendant agir pour le compte d’un célèbre moteur de recherche, parviennent à convaincre leur victime d’acquérir un logiciel de protection informatique pour la modique somme de 25 euros.
Une page, semblant être celle d’une banque – bien connue elle aussi –, s’ouvre alors pour inviter la victime à procéder au paiement.
Dans les heures qui suivent, cette dernière réalise que son compte bancaire est inaccessible et procède, affolée, au blocage de ses différents comptes bancaires par téléphone : hélas, il est déjà trop tard, puisque l’un d’eux a été débité de la coquette somme de 5.236,87 euros …
En quoi consiste le « phishing » (ou « hameçonnage ») ?
Selon le SPF Finances, le « phishing » est une forme d’escroquerie par e-mail, SMS, Whatsapp ou autre moyen de communication en ligne, par laquelle des pirates informatiques tentent d’obtenir les données personnelles des internautes, le plus souvent à l’aide de sites factices, dans le but de les utiliser frauduleusement et, par exemple, de vider le compte bancaire de la victime en un rien de temps.
Or, malgré la multiplication des avertissements des autorités publiques, des banques ou encore de la presse, certaines personnes tombent malgré tout dans le piège qui leur est tendu.
Le droit bancaire protège-t-il les consommateurs du « phishing » ?
Les principes de droit applicables au « phishing » sont les mêmes qu’en cas de perte ou de vol d’un instrument de paiement, s’agissant ici aussi d’opérations de paiement « non autorisées »[1].
A cet égard, bien que le Code de droit économique semble à première vue favorable à la victime de « phishing », puisqu’il prévoit que sa responsabilité peut être limitée à 50 euros, il n’en est rien…
En effet, le Code de droit économique prévoit également que si la victime de « phishing » se rend coupable d’un comportement frauduleux ou qu’elle fait preuve d’une négligence grave, elle supportera l’entière responsabilité des opérations intervenues suite au vol de ses données.
Bref état des lieux de la jurisprudence actuelle en matière de « négligence grave » de la victime
La notion de « négligence grave », toute subjective, est laissée en dernier ressort à l’appréciation des juges, qui se montrent, nous allons le voir, plutôt sévères à l’égard des victimes de « phishing » …
La Cour d’appel de Liège, dans un arrêt du 9 janvier 2020[2] (dont les faits ont été introduits au début de cet article), a fondé son raisonnement sur une analyse sévère du comportement de la victime de « phishing ». En effet, bien que la Cour ait très vite admis que le paiement de 5.236,87€ n’avait pas été autorisé par la victime, elle considéra que son comportement était constitutif d’un manquement aux règles d’utilisation de l’instrument de paiement consécutif à une négligence grave, pour plusieurs raisons. En premier lieu, la banque concernée rappelle régulièrement à ses clients les consignes de sécurité à respecter, et notamment la nécessité de refuser de communiquer par téléphone quelque information que ce soit concernant les codes d’accès aux services de paiement. En outre, la presse relate fréquemment les cas de fraudes informatiques similaires à celle qu’a subi la victime, et d’usage courant chez les hackers et autres pirates voguant sur les eaux tumultueuses du net. Enfin, le fait que la victime se soit elle-même – et très rapidement d’ailleurs – rendue compte du caractère anormal de la situation et ait vérifié la validité du paiement dès qu’il fut exécuté démontre, selon la Cour, et à côté des autres éléments cités, que la victime a fait preuve d’une négligence grave.
Le Tribunal de première instance d’Anvers, dans un jugement du 27 novembre 2019[3], avait déjà considéré qu’il ne faisait aucun doute que l’attention des clients de la banque X aurait dû être attirée par le faisceau d’éléments troublants rencontrés lors de la lecture et du traitement subséquent de l’e-mail frauduleux prétendument adressé par le service clients de la banque et sollicitant l’actionnement d’une procédure en ligne pour le remplacement de leur carte bancaire. L’argumentation des victimes, mettant en avant leur grand âge et leur ignorance de l’existence de tels mécanismes de « phishing », fut balayée par le Tribunal d’un revers de la main, ce dernier rappelant l’existence de communications régulières des autorités belges, des médias et de la banque X elle-même quant aux risques de « phishing » et à la manière de détecter les pratiques des auteurs de « phishing ».
Ce jugement fut d’ailleurs confirmé par la Cour d’appel d’Anvers dans un arrêt du 5 novembre 2020[4], qui rappela que la négligence grave s’apprécie indépendamment des caractéristiques propres de la victime du « phishing », et que sa perception des éléments ayant conduit à l’escroquerie, ou sa capacité à les percevoir (qui peuvent être amoindries, par exemple, par l’âge) sont inopérantes pour écarter la négligence grave et entraîner la responsabilité de la banque à l’égard des conséquences du « phishing ».
Dans un second jugement rendu, lui aussi, le 27 novembre 2019[5], le Tribunal de première instance d’Anvers considéra qu’un utilisateur de services de paiement prudent et diligent se devait de lireses e-mails avec une attention particulière lorsqu’il lui était demandé de cliquer sur un lien, et que s’il cliquait malgré tout sur ce lien et qu’il était ensuite contacté par un inconnu sollicitant la communication de codes de sécurité personnels, il ne devait les communiquer sous aucun prétexte, sous peine d’être considéré comme gravement négligent.
L’arrêt de le Cour d’appel de Liège du 9 janvier 2020 s’inscrit en fait dans une tendance jurisprudentielle quasi constante qui fait du comportement de la victime elle-même, un critère central de l’évaluation de sa responsabilité, sans même avoir égard à sa situation personnelle et à ses particularités telles que, par exemple, son âge ou sa mauvaise connaissance des nouvelles technologies de l’information.
Quelles leçons en tirer ?
Il ne fait nul doute que le « phishing » a le vent en poupe, comme le montrent les nombreux cas soumis aux cours et tribunaux belges.
Pourtant, la jurisprudence semble s’accorder sur le fait que même sile « phishing » est un phénomène aujourd’hui très répandu, il ne peut être accepté qu’une personne normalement prudente et prévoyante placée dans les mêmes circonstances soit également victime de pareilles pratiques …
Voilà qui fait réfléchir et qui doit inciter les moins aguerris à se montrer prudents lorsqu’ils surfent sur internet !
Laura DE SABATO – Avocate au Barreau de Liège
[1] Article VII.44 du Code de droit économique.
[2] Liège, 9 janvier 2020, D.A.O.R., 2022/3, n°143, p. 55.
[3] Civ. Anvers, 27 novembre 2019, inédit, R.G. 19/1351/A.
[4] Anvers, 5 novembre 2020, R.D.C., 2022, liv. 2, p. 220.
[5] Civ. Anvers, 27 novembre 2019, inédit, R.G. 19/361/A.
