FICHE PRATIQUE FRAUDE TELEPHONIQUE

FICHE PRATIQUE
FRAUDE TELEPHONIQUE
05/05/2015
FEDERATION EBEN/
ASSISTANCE JURIDIQUE
11 05 2015
Sommaire analytique
1.
Approche générale
3
1.1
1.2
1.3
3
3
3
Technique
Economique
Juridique
2.
Les fondements du risque de la fraude
téléphonique pour les installateurs
3
2.1 L’obligation d’information, de conseil
et de mise en garde.
3
2.2 La forme de l’obligation
4
3.
Maîtrise du risque
4
3.1
3.2
4
5
Maîtrise juridique
Maîtrise pratique
LEXING ®
2
FEDERATION EBEN/
ASSISTANCE JURIDIQUE
11 05 2015
1. Approche générale
1.1 Technique
1. La fraude téléphonique consiste au piratage des PABX ou IPBX se traduisant, notamment, en un
détournement des communications vers l’international ou vers des numéros surtaxés.
2. En contournant les mesures de sécurité des systèmes téléphoniques ou informatiques, les pirates peuvent
utiliser les lignes téléphoniques des sociétés cibles.
3. La grande majorité des cas de fraude téléphonique sont dus à un niveau de sécurité insuffisant des
systèmes informatiques de la société cible comme l’utilisation de mots de passe simple ou évident, ou
l’absence de modification du mot de passe constructeur (qui peut facilement être trouvé depuis l’internet).
1.2 Economique
4. La fraude téléphonique est extrêmement préjudiciable pour les sociétés cibles avec des montants
s’élevant en moyenne à 30 000€ selon les services de la BEFTI.
5. Au niveau mondial, la fraude a couté 4,42 milliards de dollars en 20131.
6. En outre, ce sont généralement les PME qui se retrouvent victime de fraude téléphonique avec des
conséquences extrêmement dommageables pour leur trésorerie.
1.3 Juridique
7. Les opérateurs, refusent de prendre à leur charge le coût des appels frauduleux au motif que leur mission
est simplement de transmettre le signal depuis le réseau public vers le point de terminaison du client.
8. Les clients se retournent alors contre les installateurs de leur réseau et cherchent à engager leur
responsabilité.
2. Les fondements du risque de la fraude téléphonique pour les
installateurs
2.1 L’obligation d’information, de conseil et de mise en garde.
9. L’obligation d’information et de conseil est un ensemble d’obligations, d’informations, de préconisations
et de dissuasions qui s’inscrivent dans les phases pré-contractuelles et contractuelles.
10. L’étendue du devoir de conseil dépend de la qualification des parties. Plus le client de l’installateur est
néophyte, plus son obligation de conseil sera renforcée à l’égard de celui-ci.
11. Le devoir de conseil est accessoire à l’obligation de délivrance et « […] le vendeur professionnel d’un
matériel informatique est tenue d’une obligation de renseignement et de conseil envers un client dépourvu
de toute compétence en la matière2 ».
1
2
CFCA, 2013 Global Fraud Loss Survey.
ère
Cass. civ. 1 , 25 juin 2002.
LEXING ®
3
FEDERATION EBEN/
ASSISTANCE JURIDIQUE
11 05 2015
12. Une jurisprudence défavorable aux installateurs s’est développée autour de l’obligation d’information, en
particulier en ce que cette obligation doit s’appliquer pendant toute l’exécution de contrat et non
uniquement lors de sa formation.
13. La responsabilité des installateurs est ainsi souvent retenue par la jurisprudence qui leur impose
notamment de :
-
« vérifier l’état de sécurisation de l’installation téléphonique » ;
« vérifier que [sa cliente] utilisait l’installation dans des conditions optimales de sécurité et
d’efficacité » ;
« s’assurer que [sa cliente] était informée de modifier son mot de passe régulièrement3 ».
14. En outre, L’obligation d’information et de conseil doit être :
-
Spontanée en ce qu’elle oblige le professionnel « à se renseigner préalablement sur [les] besoins [des
clients] et à les informer des contraintes techniques de l’installation téléphonique proposé4 » ;
« circonstanciée et personnalisée », même en cas de dispositions contractuelles imposant au client
de déterminer la configuration de l’installation et de se doter lui-même des équipements
nécessaires5.
15. Les installateurs doivent faire preuve de démarches actives envers leurs clients et doivent s’adapter tant
à la compétence du client qu’à son installation.
2.2 La forme de l’obligation
16. La délivrance de l’information est un fait juridique qui peut se prouver par tout moyen.
17. Néanmoins, pour des raisons d’efficacité probatoire, il est préférable de procéder par écrit à
l’information du client.
18. Celle-ci pourra ainsi se faire par l’apposition de mentions particulières dans les contrats, les factures, les
méls adressés au client, les documents d’intervention des équipes de maintenance, etc.
3. Maîtrise du risque
3.1 Maîtrise juridique
19. L’obligation d’information peut se traduire pour les installateurs par :
-
-
une forte information du cocontractant, par écrit, durant la formation du contrat en apportant un
soin particulier à l’expertise du client en matière de sécurité des systèmes d’information et à son
installation ;
une information continue et régulière, par écrit, durant l’exécution du contrat, notamment en cas de
contrat de maintenance associé.
3
CA Versailles, 25 mars 2014 ; T. com. 5 février 2015.
ère
Cass. civ. 1 , 2 juillet 2014.
5
ère
Cass. civ. 1 , 2 juillet 2014.
4
LEXING ®
4
FEDERATION EBEN/
ASSISTANCE JURIDIQUE
11 05 2015
3.2 Maîtrise pratique
20. En sus de cette maîtrise de l’information du cocontractant, il convient d’étendre les mesures de maîtrise
des risques à des domaines plus large que la simple relation avec les clients.
21. Ainsi, il est peut être recommandé :
-
-
de renégocier les contrats avec les opérateurs télécoms en vue de réorganiser, voir de répartir, la
responsabilité d’un piratage (par exemple par l’implémentation de mesures d’urgence, côté
opérateur, en cas de comportements suspects sur un compte client) ;
d’entreprendre une négociation avec les assurances afin de couvrir les risques d’un piratage ;
de prendre des mesures internes afin de réduire les risques de complicité au sein des employés des
installateurs.
22. Dans le cadre de cette maîtrise du risque globale, il est proposé de mettre en place les actions suivantes :
• Renforcement architecture contractuelle Opérateurs télécoms et
Etape 1 clients
Etape 2
Etape 3
Etape 4
Etape 5
Etape 6
• Optimisation et développement des outils d’information
• Rendre le risque assurable
• Sécurisation des règles internes
• Concertation professionnelle avec l’Arcep
• Test de la solidité du plan via un ou deux contentieux
LEXING ®
5