Précisions jurisprudentielles sur la notion d' »opération de paiement non autorisée »: Même en cas de négligence grave du client, le banquier devra justifier d’un système d’authentification et de sécurisation des données bancaires non déficient.

Peut on contester une opération de paiement non autorisée par carte bancaire auprès de sa banque alors que l’on a communiqué par négligence son code secret à un tiers? Maître LARCHERON Virginie Avocat à PARIS répond:

Selon l’article L.133-19 IV du code monétaire et financier, l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé supporte l’intégralité des pertes occasionnées par une opération de paiement qu’il n’a pas autorisée, en cas de fraude de sa part ou d’un manquement intentionnel ou par négligences graves à ses obligations notamment dans la conservation de ses données bancaires confidentielles.

La cour de cassation dans un arrêt du 12 novembre 2020 précise pour la première fois, que le prestataire de services de paiement qui entend engager la responsabilité de son client, doit prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre en application de l’article L.133-23 du code monétaire et financier.

Dans ce cas d’espèce, la banque avait exécuté l’opération de paiement alors que le code 3D Secure avait été communiqué par un tiers à l’opération. Dès lors, le système d’authentification de la banque était défaillant dans la mesure où il ne permettait pas de s’assurer de l’authentification du donneur d’ordre, ce qui avait facilité la fraude par hameçonnage ou phishing.

Par cette décision, la cour de cassation exige que le prestataire de services de paiement rapporte la preuve de deux conditions cumulatives :

  • un agissement frauduleux ou la faute intentionnelle ou la négligence grave du client (L.133-19 IV CMF)
  • le fait que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre (L.133-23 CMF).

Désormais, la banque devra justifier de l’absence de déficience technique du dispositif de paiement pour mettre en cause la responsabilité de son client.

Cette interprétation exclut désormais tout partage de responsabilité entre le prestataire de services de paiement et le client.

Cette position est conforme à la protection du consommateur voulue par les directives européennes face aux risques d’utilisation frauduleuse des instruments de paiement.

Elle confirme une condamnation déjà prononcée contre une banque qui avait envoyé les numéros de confirmation pour l’obtention d’un payweb (paiement instantané) à une adresse mail différente de celle de son client alors que ce dernier aurait dû être son seul interlocuteur. (Cass. Com 08 janvier 2017, n°15-18102)

Par cet arrêt du 12 novembre 2020, la cour de cassation considère désormais que la négligence grave du client dans le cadre d’opération de paiement à distance, ne dispense pas la banque ou le prestataire de services de paiement de ses propres obligations notamment d’authentification du donneur d’ordre, d’enregistrement et de comptabilisation des opérations et de s’assurer d’un système fiable et ne présentant pas de déficience technique.

L’arrêt du 12 novembre 2020 ne remet pas en cause les autres cas de fraude tels que l’hameçonnage  ou phishing où la victime n’est pas exonérée de facto de toute responsabilité en cas d’utilisation frauduleuse par un tiers de ses données de sécurité personnalisées: Un manquement par négligence grave peut lui être reproché notamment en cas d’origine douteuse du mail l’invitant à communiquer ses données bancaires décelable par une personne normalement diligente. (Cass. Com 25 octobre 2017, n°16-11644)

La Cour de cassation avait déjà admis que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance ». (Cass. Com 28 mars 2018, n°16-2018Cass. Com 06 juin 2018, n°16-29065)

Cependant, dans cet arrêt, elle ouvre une nouvelle brèche vers une responsabilité des banques ou prestataires de services de paiement (PSP) en cas de défaillance de leur système de sécurité ou d’insuffisance du procédé d’authentification. Cette position répond à la multiplication des fraudes par internet et du vol des données bancaires ou personnelles par internet afin de protéger le titulaire du moyen de paiement.

Si vous êtes victime d’une opération de paiement non autorisée, notamment par internet,  il faut impérativement faire opposition dans le délai de 13 mois auprès de votre banque puis déposer une plainte en cas d’usurpation de votre identité numérique ou de vol de vos données bancaires sécurisées.

Maître LARCHERON Avocat en droit bancaire est à votre disposition pour vous exposer les démarches à réaliser auprès de votre banque ou prestataires de services de paiement (banque en ligne) afin d’obtenir le remboursement des pertes occasionnées par les opérations de paiement que vous contestez en cas d’usurpation, vol de vos données bancaires ou numérique, hameçonnage ou courriels frauduleux.

Si vous êtes victime de phishing, hameçonnage ou vol de données bancaires sécurisées, il faut rapidement réagir afin de préserver vos droits.