Vos conditions générales de vente sont elles conformes ?

Vos mentions légales le sont elles vraiment ?

Votre site Internet a t-il une politique de confidentialité ?

Quel est le risque en cas de litige ?

CGV Expert s'occupe de vos CGV/CGU et contrats







Europe

CGV-Expert.fr a été cofinancé par l’Union Européenne. L’Europe s’engage en Basse Normandie avec le fonds européen de développement régional.







L’obligation de vigilance de l’internaute victime de fishing

Publié le 04/03/2020 par , vu 127 fois, catégorie : Autre
Mis à jour le 04/03/2020.

La Cour de cassation a surpris le monde du numérique, en reconnaissant à une banque, en 2018, la possibilité de s’exonérer de son obligation de rembourser les internautes victimes de fishing. La plus grande vigilance s’impose donc à ces derniers.


Le fishing, un phénomène toujours aussi présent sur Internet

Le fishing, autrement appelé hameçonnage, se définit comme un comportement malveillant consistant à récupérer les données personnelles d’un internaute, afin de pouvoir par la suite les revendre à des tiers peu scrupuleux, ou s’en servir. Le fishing se manifeste le plus souvent à travers des e-mails envoyés par des pirates informatiques se faisant passer pour des organismes officiels ou sociétés réellement existantes. Cherchant à gagner la confiance de l’internaute ou à lui faire peur, le message contient le plus souvent une adresse internet renvoyant à une page sur laquelle l’internaute sera invité à entrer ses informations personnelles. Celles-ci seront en réalité transmises par l’internaute au pirate informatique, qui pourra alors en disposer comme il l’entend.

Après avoir connu son apogée en 2010, cette pratique frauduleuse a légèrement décliné, jusqu’à représenter tout de même, en 2019, 60% des SPAMS reçus dans nos boites aux lettres électroniques. Parmi toutes ces tentatives de fishing, durant l’année 2018, 44 % des mails frauduleux visaient à récupérer des informations d’ordre bancaires[1].

Fort heureusement, si les outils technologiques employés par les pirates peuvent parfois convaincre des internautes peu méfiants, plusieurs indices permettent de les détecter : de nombreuses fautes d’orthographe dans le corps du texte, l’absence de mentions légales en bas des mails, des adresses URL ne renvoyant pas sur les sites officiels des organismes, ou tout simplement une prise de contact physique avec l’organisme concerné, qui pourra alors réfuter les allégations contenues dans le mail.

 

Des juges peu compréhensifs vis-à-vis des victimes

La vigilance est de mise, et pour cause. Outre les conséquences désastreuses que peuvent avoir les mails frauduleux pour les victimes ciblées, la Cour de cassation fait preuve de sévérité à leur égard, lorsqu’il s’agit pour elles d’obtenir ensuite le remboursement des fonds dérobés auprès de leur établissement bancaire.

Ainsi, un arrêt de la Cour de cassation en date du 28 mars 2018 s’est penché sur le cas d’un internaute ayant reçu un mail portant le logo du Crédit Mutuel, accompagné d’un « certificat de sécurité à remplir attentivement ». La Cour d’appel a précisé que ce certificat avait été scrupuleusement renseigné, « la victime allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté ». Selon elle, le client de la banque devait être indemnisé, dès lors qu’il a fourni des informations confidentielles à son insu, et que « n’est pas constitutive d’une négligence grave le fait pour un client « normalement » attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. »

La Cour de cassation casse toutefois l’arrêt d’appel. Selon elle, « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».

Autrement dit, peu importe que l’internaute client d’un organisme bancaire ne soit pas avisé des risques de fishing, ni informé sur les moyens de les détecter. Il suffit à l’établissement bancaire, qui supporte la charge de la preuve de la négligence de son client, de mettre en avant les indices qui auraient dû permettre à ce dernier de détecter la fraude, et que nous avons évoqué plus haut.

Une telle position apparaît nécessairement sévère pour les internautes victimes de fishing, dès lors que selon les mots de la Cour d’appel, seul un « examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client ».

La prudence dicte donc plus que jamais aux clients d’établissements bancaires destinataires de mails sollicitant certaines informations personnelles de ne pas y donner suite, et de contacter l’organisme mentionné dans le mail par le biais de son site internet officiel, ou par téléphone.

 


[1] Etude Kaspersky.fr, 20 mars 2019, https://www.kaspersky.fr/blog/phishing-spam-report/11527/