Questions de responsabilité de la banque en cas de phishing : motifs de décision et implications de l’OLG Francfort-sur-le-Main
La Cour d’appel supérieure (OLG) de Francfort-sur-le-Main a récemment eu à juger une affaire qui, face à la recrudescence des attaques numériques contre la clientèle bancaire, risque d’avoir une grande portée pratique pour le droit des services de paiement (arrêt du 19.02.2024, n° 3 U 323/22). La question portait sur l’obligation éventuelle d’un établissement de crédit de rembourser à un client une somme d’argent prélevée sur son compte suite à une attaque dite de phishing — le client ayant été victime d’un logiciel malveillant. Après une analyse juridique approfondie, l’OLG a décidé que la banque n’est pas tenue d’indemniser le client lorsque celui-ci a fait preuve d’une négligence grave.
Situation initiale et faits
Au cœur de la procédure se trouvait un virement autorisé par un client bancaire après réception d’un courriel d’apparence authentique. Ce message l’a mené sur un faux site internet, sur lequel il a communiqué des données d’authentification sensibles. Par la suite, une importante somme d’argent a été transférée sans autorisation effective sur un compte étranger.
Par la suite, le titulaire du compte a fait valoir que la banque avait prélevé indûment des fonds sur son compte, en l’absence d’une autorisation de paiement valable. En se fondant sur les §§ 675u, 675y BGB, il a réclamé le remboursement de l’intégralité de la somme transférée.
Critère de la négligence grave
L’OLG Francfort-sur-le-Main a d’abord examiné s’il existait des fondements contractuels ou légaux pour une telle demande. L’élément central était la question de l’autorisation au sens du § 675j BGB. Lorsqu’un paiement a manifestement été initié par le titulaire du compte, le remboursement dépend de la présence ou non d’une négligence grave dans la conservation des données d’authentification (§ 675v al. 3 n° 2 BGB).
Absence de droit au remboursement en cas de comportement gravement négligent
Dans son jugement, le tribunal a clairement indiqué que le client de la banque doit assumer les pertes subies si son comportement est qualifié de négligence grave. Il suffit pour cela de violer des obligations élémentaires de diligence dans l’utilisation des instruments d’authentification. Cela inclut notamment le fait de ne pas divulguer de données de sécurité sensibles de manière imputable à l’émetteur du paiement.
Dans l’affaire jugée, le demandeur aurait dû tenir compte des avertissements personnalisés de la banque concernant le phishing et examiner attentivement les liens ou sites suspects. Ignorer de tels avertissements et communiquer sans réflexion des codes TAN ou des mots de passe malgré des recommandations insistantes de la banque ne saurait constituer une simple négligence, mais doit être qualifié de négligence grave.
Absence d’obligation d’indemnisation de la banque
Selon le tribunal, le prestataire de services de paiement n’est pas tenu d’indemniser lorsque le dommage résulte d’une violation des obligations de protection et de diligence. L’obligation de la banque de rembourser les transferts erronés cesse lorsque le client n’a pas suffisamment protégé ses éléments d’authentification, voire les a divulgués à des tiers.
Portée pour les clients bancaires et les établissements de crédit
Conséquences pratiques pour les utilisateurs de services de paiement
Si les avertissements de sécurité de la banque ne sont pas respectés et qu’il en résulte un cas de phishing, la décision de l’OLG Francfort-sur-le-Main place généralement le risque à la charge du client. Le cadre juridique du § 675v BGB protège certes les droits des consommateurs, mais ne s’applique pas en cas de négligence grave.
Exigences en matière de sensibilisation à la sécurité
La décision montre clairement que les banques doivent remplir leurs obligations d’information et avertir régulièrement de la fraude et des risques. De plus, il est attendu des clients qu’ils respectent avec soin les consignes de sécurité ainsi que les exigences techniques. Ceux qui communiquent des données d’authentification malgré des avertissements répétés compromettent leur droit à un remboursement.
Analyse juridique et stratégique
Portée pour la prévention au sein des banques
Pour les établissements de crédit, cela renforce leur position juridique, à condition qu’ils aient mis en place des mécanismes d’alerte complets et transparents, et qu’ils puissent prouver la négligence grave du client. L’arrêt souligne le principe selon lequel une information adéquate du client est indispensable à la prévention de la fraude aux paiements.
Évolution de la jurisprudence
La décision s’inscrit dans une série croissante de jugements où les tribunaux précisent davantage les critères de la négligence grave au sens du § 675v BGB. L’appréciation au cas par cas demeure toutefois essentielle, car chaque scénario de phishing possède ses propres caractéristiques qui doivent être prises en compte lors de la qualification juridique.
Obligations de preuve et charge d’exposition
La Cour d’appel supérieure a souligné que la banque, en cas de litige, est la partie qui doit présenter les faits en détail, garantir une information complète sur les consignes de sécurité et démontrer les mesures de prévention mises en œuvre. En retour, le client doit expliquer lors de la procédure dans quelle mesure il a effectivement suivi les recommandations de la banque.
Conclusion
En définitive, par sa décision, l’OLG Francfort-sur-le-Main a apporté de nouveaux éclairages sur la répartition de la responsabilité en cas d’attaque par phishing. Les clients bancaires doivent prendre au sérieux la protection de leurs données d’authentification et suivre les avertissements des établissements de crédit. Ce n’est qu’ainsi qu’une responsabilité de la banque peut être envisagée en cas de litige. La décision renforce la position des prestataires de services de paiement, dès lors qu’un comportement gravement négligent du client est démontré.
Les clients bancaires, les entreprises et les prestataires de services de paiement font toujours face à des défis juridiques complexes dans le contexte des transactions financières numériques. Notamment, dans le champ de tension entre exigences techniques de sécurité et devoirs de prévention des dommages, de nombreuses questions ne peuvent trouver réponse qu’au cas par cas. Pour toute question en droit bancaire ou financier relative aux risques de responsabilité et aux services de paiement, les Rechtsanwälte de MTR Legal sont à votre disposition en tant qu’interlocuteurs.
