Phishing : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le phishing, traduit en français par hameçonnage, désigne la technique de fraude consistant à se faire passer pour un tiers de confiance (banque, administration publique, plateforme commerciale, opérateur de communications) afin d'obtenir des informations confidentielles de la victime (identifiants de connexion, données bancaires, numéros de carte, codes d'authentification).

Le phishing, traduit en français par hameçonnage, désigne la technique de fraude consistant à se faire passer pour un tiers de confiance (banque, administration publique, plateforme commerciale, opérateur de communications) afin d'obtenir des informations confidentielles de la victime (identifiants de connexion, données bancaires, numéros de carte, codes d'authentification). Cette technique combine généralement plusieurs vecteurs : usurpation d'identité par email ou SMS, faux sites web reproduisant l'identité visuelle de l'entité usurpée, manipulation psychologique pour inciter au clic ou à la communication d'informations.

L'enjeu pratique de la lutte contre le phishing est devenu central dans l'écosystème numérique. Les estimations des autorités françaises (ANSSI, gendarmerie nationale, plateforme Cybermalveillance.gouv.fr) indiquent plusieurs centaines de milliers de tentatives de phishing chaque année en France, avec des préjudices financiers cumulés se chiffrant en centaines de millions d'euros annuellement. Les secteurs particulièrement ciblés incluent la banque, les opérateurs de télécommunications, les administrations fiscales et sociales, les opérateurs de e-commerce.

La répression du phishing mobilise plusieurs qualifications juridiques complémentaires : escroquerie au sens du Code pénal, usurpation d'identité numérique, atteinte aux systèmes de traitement automatisé de données (STAD), collecte frauduleuse de données personnelles au sens du RGPD. Les actions civiles et pénales s'articulent avec les procédures de coopération internationale (Europol, INTERPOL) en raison du caractère transfrontalier des opérations.

Vous faites face à une campagne de phishing ou souhaitez sécuriser votre exposition ? Le Cabinet Aurore Bonavia accompagne les actions contre le phishing et la défense des victimes. → Voir l'accompagnement en droit du numérique

Les techniques caractéristiques du phishing

La pratique a forgé une typologie des techniques de phishing :

  • le phishing email classique : envoi massif d'emails reproduisant l'identité visuelle d'une entité de confiance (banque, plateforme commerciale), avec un lien vers un faux site web invitant la victime à saisir ses identifiants ;
  • le smishing : variante du phishing via SMS, exploitant la confiance accordée aux messages courts et la difficulté de vérifier l'authenticité des numéros expéditeurs ;
  • le vishing : variante par appel téléphonique, où l'escroc se fait passer pour un agent d'une institution de confiance pour obtenir des informations ou inciter à des actions frauduleuses ;
  • le spear phishing : phishing ciblé sur une personne ou une organisation déterminée, fondé sur une recherche préalable des informations contextuelles (identité du dirigeant, projets en cours, partenaires commerciaux) ;
  • le whaling : variante du spear phishing visant les hauts dirigeants (CEO, CFO) pour obtenir des virements frauduleux ou des informations stratégiques ;
  • le clone phishing : reproduction d'un email légitime préalablement envoyé, avec substitution des liens ou des pièces jointes par des contenus malveillants ;
  • le pharming : redirection malicieuse d'une URL légitime vers un faux site, exploitant des vulnérabilités des serveurs DNS ou du fichier hosts des appareils victimes ;
  • les attaques homographes IDN : utilisation de noms de domaine reproduisant visuellement des marques connues mais comportant des caractères Unicode différents (cyrilliques, grecs).

L'évolution récente combine ces techniques avec l'intelligence artificielle générative, qui permet de produire des emails de phishing rédigés sans fautes d'orthographe et adaptés contextuellement, ainsi que des deepfakes audio reproduisant la voix de dirigeants pour les attaques de whaling.

Les qualifications pénales du phishing

Plusieurs qualifications pénales peuvent s'appliquer cumulativement aux actes de phishing :

  • l'escroquerie au sens de l'article 313-1 du Code pénal : « Le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge » ; sanction maximale de 5 ans d'emprisonnement et 375 000 € d'amende, aggravée pour les escroqueries en bande organisée (article 313-2) ;
  • l'usurpation d'identité numérique au sens de l'article 226-4-1 du Code pénal : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende » ;
  • les atteintes aux systèmes de traitement automatisé de données au sens des articles 323-1 et suivants du Code pénal (accès frauduleux, maintien dans le système, atteinte au fonctionnement) avec des sanctions pouvant atteindre 5 ans d'emprisonnement et 150 000 € d'amende ;
  • la collecte frauduleuse de données personnelles au sens de l'article 226-18 du Code pénal : sanction de 5 ans d'emprisonnement et 300 000 € d'amende ;
  • la contrefaçon de marque au sens des articles L716-9 et suivants du CPI lorsque le phishing reproduit l'identité visuelle d'une marque enregistrée : sanction de 4 ans d'emprisonnement et 400 000 € d'amende, portée à 7 ans et 750 000 € en cas de commission en bande organisée ou via un réseau de communication au public en ligne (article L716-10 du CPI).

L'aggravation par bande organisée s'applique aux opérations de phishing structurées, qui sont la règle plutôt que l'exception. Les sanctions pénales peuvent ainsi atteindre 10 ans d'emprisonnement et 1 000 000 € d'amende dans les cas les plus graves.

Les obligations des plateformes face au phishing

Les plateformes (hébergeurs, fournisseurs d'accès, registres et bureaux d'enregistrement, plateformes de messagerie) sont soumises à plusieurs obligations relatives au phishing :

  • l'obligation de retrait des contenus de phishing après notification au titre de l'article 6 I 5 de la LCEN : la plateforme doit agir promptement après notification du caractère manifestement illicite ;
  • les obligations renforcées du DSA (Règlement (UE) 2022/2065) : mécanismes de signalement, transparence des décisions de retrait, coopération avec les signaleurs de confiance, gestion des risques systémiques ;
  • les obligations sectorielles des opérateurs de communications électroniques (article L33-1 du Code des postes et des communications électroniques) sur la sécurité et la protection des utilisateurs ;
  • la coopération avec les autorités publiques (parquet, ANSSI, plateforme Cybermalveillance, services de police spécialisés) pour la détection et la suppression des dispositifs frauduleux.

L'article 6 II de la LCEN organise par ailleurs une obligation pour les hébergeurs et fournisseurs d'accès de conserver les données d'identification des auteurs de contenus, qui peuvent être communiquées sur réquisition aux autorités judiciaires en cas d'enquête sur des opérations de phishing.

Le dispositif Phishing Initiative géré par la Direction générale de la gendarmerie nationale et les services de police centralise les signalements et coordonne les actions de retrait au niveau national. Le portail Cybermalveillance.gouv.fr propose aux victimes des conseils pratiques et l'orientation vers les dispositifs adaptés.

Les actions civiles des victimes

Les victimes de phishing disposent de plusieurs voies d'action civile :

  • les actions en réparation contre les auteurs identifiés au titre de l'article 1240 du Code civil, fondées sur la responsabilité civile délictuelle ;
  • les actions contre les banques lorsqu'elles n'ont pas correctement vérifié les opérations frauduleuses ; l'article L133-19 du Code monétaire et financier prévoit que la banque doit rembourser les paiements non autorisés sauf à démontrer la négligence grave du client (concept strictement interprété par la jurisprudence Cass. com. 1er juin 2022) ;
  • les actions contre les plateformes pour défaut de retrait prompt de contenus signalés ou pour défaut de mesures de sécurité appropriées ;
  • les actions contre les bureaux d'enregistrement pour défaut de coopération dans la suspension de noms de domaine frauduleux après notification justifiée.

L'arrêt Cass. com. 1er juin 2022 (n° 20-22.500) a précisé que le client victime de phishing peut bénéficier du remboursement de la banque lorsqu'il s'est laissé tromper par une opération frauduleuse sophistiquée, sauf à démontrer une négligence grave caractérisée. Cette jurisprudence favorable aux victimes a renforcé l'obligation des banques de mettre en place des dispositifs de détection et d'authentification renforcée.

Spécificité juridique sur la coopération internationale et les sanctions

Le caractère transfrontalier du phishing impose une coopération internationale structurée. Plusieurs mécanismes sont mobilisés :

  • la Convention de Budapest sur la cybercriminalité du 23 novembre 2001 (Conseil de l'Europe) : premier instrument international structurant la coopération pénale en matière de cybercriminalité, ratifié par plus de 65 États ;
  • l'Europol et son European Cybercrime Centre (EC3) : coordination opérationnelle des enquêtes au niveau européen, démantèlement de réseaux de phishing transnationaux ;
  • les demandes d'entraide judiciaire au titre des conventions bilatérales et multilatérales, particulièrement avec les juridictions accueillant des opérateurs identifiés (ressources techniques, infrastructure, encaissement des fonds frauduleux) ;
  • la plateforme PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) gérée par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) du ministère de l'Intérieur.

Plusieurs opérations internationales ont permis le démantèlement de réseaux majeurs de phishing dans les dernières années : opération Avalanche (novembre 2016), opération Endgame (mai 2024), opérations ciblant les groupes liés à des États (notamment Corée du Nord, Russie). Ces opérations témoignent de l'efficacité de la coopération mais aussi de la persistance des menaces, qui se reconstituent rapidement après chaque démantèlement.

L'ANSSI et la CNIL publient régulièrement des alertes et des recommandations sur les techniques de phishing émergentes. Ces ressources guident la mise en place de mesures préventives par les organisations concernées et constituent des outils de sensibilisation pour les utilisateurs finaux.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de phishing

  • les actions civiles en réparation contre les auteurs de phishing identifiés ;
  • les actions contre les banques fondées sur l'article L133-19 du Code monétaire et financier ;
  • les notifications LCEN aux hébergeurs et bureaux d'enregistrement pour retrait de dispositifs frauduleux ;
  • les actions en référé pour obtenir la suspension urgente de noms de domaine et de sites frauduleux ;
  • les plaintes pénales et la constitution de partie civile dans les procédures contre les auteurs ;
  • les actions en contrefaçon de marque contre les usurpations d'identité visuelle ;
  • la coordination avec l'OCLCTIC, la plateforme Cybermalveillance et les services spécialisés ;
  • la mise en place de stratégies préventives (veille, alerte aux clients, dispositifs anti-phishing) ;
  • la formation des équipes et des dirigeants aux risques de spear phishing et de whaling.

En savoir plus sur l'accompagnement du cabinet : avocat en cybercriminalité.

Sources : Code pénal (art. 226-4-1, 226-18, 313-1, 313-2, 323-1 et suivants), Code de la propriété intellectuelle (art. L716-9), Code monétaire et financier (art. L133-19), loi n° 2004-575 du 21 juin 2004 (LCEN art. 6), Règlement (UE) 2022/2065 (DSA), Convention de Budapest sur la cybercriminalité du 23 novembre 2001, jurisprudence Cass. com. 1er juin 2022 (n° 20-22.500), ANSSI et CNIL alertes et recommandations, Cybermalveillance.gouv.fr. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.