Le schéma technique permettant des fraudes téléphoniques peut s’avérer très simple.  

Les boîtes vocales, non configurées avec des mots de passe spécifiques et accessibles via le mot de passe par défaut (0000) sont utilisées par les fraudeurs pour accéder au PABX de l’entreprise.Une fois l’accès non autorisé ainsi réalisé, les fraudeurs sont en capacité de router des appels vers des destinations internationales, lesquels sont ensuite simplement facturés au titulaire légitime de la ligne. Le titulaire de la ligne est alerté par l’opérateur télécom plusieurs semaines après l’augmentation pourtant vertigineuse et très inhabituelle des consommations. 

Qui doit payer le cout de ces fraudes ? 

L’opérateur télécom soutient que la facture est exigible et menace de couper les lignes téléphoniques si les consommations frauduleuses ne sont pas honorées. 

  • L’obligation de conseil, pierre angulaire des analyses de responsabilité des prestations techniques

Les utilisateurs ont alors recherché la responsabilité des prestataires d’installation et de maintenance des installations sur le fondement d'un défaut de leur obligation de conseil : les installateurs doivent alerter leurs clients sur la nécessité de supprimer les mots de passe par défaut pour les remplacer par des codes plus complexes et sécuriser ainsi l'équipement.

Les jurisprudences analysant les obligations des prestataires de maintenance diffèrent en fonction des éléments factuels : certaines retenant la responsabilité du prestataire pour défaut d'alerte du client, d'autres considérant que cette obligation a été parfaitement respectée.

De façon très classique, l’analyse de la bonne exécution de l'obligation de conseil se fait au cas par cas en fonction des éléments factuels.

Ainsi, les juges ont retenu la responsabilité du prestataire qui n’avait pas procédé à la vérification annuelle de la sécurisation de l’installation téléphonique et avait fauté par négligence d’une part en ne sensibilisant pas son client aux problèmes de sécurité et d’autre part en ne lui donnant pas une formation lui permettant de gérer la sécurité de son installation (T. com. Nanterre, 5 février 2015). Dans une affaire similaire, le prestataire a également vu sa responsabilité engagée pour n’avoir pas vérifié l’état de sécurisation du système de son client à l’occasion de son contrôle annuel (CA Versailles, 25 mars 2014). 

En revanche, la responsabilité du prestataire a été écartée dès lors qu’il justifiait avoir (in)formé son client lors de l’installation du système téléphonique ce qu’il démontrait d’une part en produisant un bon d’intervention portant la mention « formation client » et d’autre part en faisant constater que la majorité des codes avaient été modifiés de ceux par défaut à la suite de ses préconisation (CA Versailles, 18 novembre 2014). 

  • Préconisations pratiques  

Les prestataires de maintenance doivent donc être en alerte sur ces jurisprudences pour ne pas voir leurs responsabilités engagées et ne pas supporter les coûts de consommation des fraudes téléphoniques. 

L’appréciation des juges concernant l’existence et la bonne exécution de l’obligation de conseil est éminemment factuelle. Il est essentiel d’analyser différents éléments relevant du contenu du contrat ou de ses modalités d’exécution.

  • Quels sont les termes des conventions sur les contours de ses obligations ? A défaut de mention expresse d’une obligation de conseil au bénéfice de son client, l’existence et les contours de cette obligation s’évincent-ils des termes contractuels ? Notamment, à l’instar de la décision du tribunal de commerce de Nanterre du 5 février 2015, le prestataire doit-il vérifier l’état de sécurisation des installations ?
  • Lors de l’installation du système, le prestataire peut-il se prévaloir d’un bon d’intervention mentionnant l’accomplissement d’une « formation client » sur l’utilisation des terminaux ? L’arrêt de la cour d’appel de Versailles du 18 novembre 2014 a jugé que le client avait ainsi été informé par le prestataire des mesures de sécurité devant être impérativement prises pour éviter tout piratage.

En revanche, un prestataire qui se contente de fournir une documentation sur les postes, sans alerter sur les risques de sécurité, n’exerce pas son obligation de conseil. 

  • Les codes de certains postes ont-ils été modifiés par les soins du client ? En effet, pour la cour d’appel de Versailles le 18 novembre 2014, le fait que la majorité des codes aient été modifiés par leurs utilisateurs semblait confirmer la bonne exécution par le prestataire de son obligation d’information.
  • Lors d’une visite, le prestataire a-t-il été informé du caractère trivial de mots de passe, sans alerter le client sur les risques associés ? Une telle circonstance a notamment été prise en compte dans l’arrêt du tribunal de commerce le 5 février 2015.

Dans l’hypothèse d’une fraude, le client a intérêt de solliciter l’assistance de son opérateur de téléphonie pour organiser au mieux les dépôts de plaintes auprès des services de police et gagner ainsi en force pour lutter contre ces nouveaux modes de criminalité. 

A bon entendeur, salut !

Voir aussi : 

Cloud confidence : la création d’un environnement de confiance Plateformes numériques : les propositions du rapport Terrasse destinées à favoriser l'économie collaborative L'accord « US-EU PRIVACY SHIELD » : vers une reconstruction du droit de la protection des données à caractère personnel transférées vers les Etats-Unis ?