Par un arrêt du 28 mars 2018, la Cour de cassation a retenu la négligence grave du client, victime d’une opération de hameçonnage, pour exclure l’obligation de garantie de la banque. Elle a cassé et invalidé la décision de la cour d’appel qui avait condamné la banque à payer à son client les sommes indûment prélevées du fait de paiements frauduleux par carte bancaire et de virements frauduleux. Elle a estimé que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».
Un client de la Caisse de crédit mutuel de Beauvais avait reçu des messages électroniques successifs portant le logo bien imité de la banque et accompagnés d’un « certificat de sécurité à remplir attentivement » qu’il avait scrupuleusement renseigné, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux. Grâce à ces données, plus de sept mille euros avaient été soustraits de son compte bancaire et de son livret bleu. En principe, la banque est tenue de rembourser à son client les opérations réalisées en fraude sur son compte, sauf faute ou négligence de ce dernier, en vertu de l’article L. 133-18 du code monétaire et financier. La cour d’appel avait ordonné le remboursement des sommes au client considérant que ce dernier avait fourni à son insu ses données personnelles. Selon elle, il n’avait pas commis de négligence grave car en tant que client « normalement » attentif il ne pouvait percevoir les indices propres à douter de la provenance des messages reçus.