L’utilisateur qui communique ses données personnelles en réponse à un courriel qui contient des indices lui permettant de douter de sa provenance manque à son obligation de préserver la sécurité de ses données, estime la Cour de cassation. Dans son arrêt du 6 juin 2018, elle a invalidé la décision de la cour d’appel de Douai qui avait condamné la Caisse du crédit mutuel de Fruges à rembourser les sommes prélevées sur le compte de sa cliente qui avait communiqué ses données confidentielles bancaires. Pour la cour d’appel, cette dernière, qui avait répondu à un courriel comportant le logotype de son opérateur de téléphonie, n’avait pas commis de négligence grave dans la mesure où le message revêtait l’apparence de l’authenticité.
Selon l’article L. 133-16 du code monétaire et financier, « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. ». Dès lors, il convenait de déterminer si, comme un utilisateur normalement attentif, la cliente avait été en mesure de douter de la provenance de ce message. La Cour de cassation a considéré qu’« après avoir relevé que Mme Y… réglait ses factures de téléphone par prélèvements et non par carte bancaires et qu’un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés, la cour d’appel, qui n’a pas tiré les conséquences légales de ses constatations ».