La banque qui invoque la négligence grave du titulaire d’une carte bancaire ayant permis un paiement non autorisé par lui pour le priver de son droit à remboursement en cas de hameçonnage doit prouver également l’absence de déficience technique de l'opération.
Le titulaire d’une carte de paiement perdue, volée ou utilisée frauduleusement ne peut pas réclamer à sa banque le remboursement des paiements qu’il n’a pas autorisés s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, notamment celle de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés (C. mon. fin. art. L 133-16 et L 133-19).
Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à la banque de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre (C. mon. fin. art. L 133-23, al. 1).
Après avoir reçu sur son téléphone mobile deux messages lui communiquant un code à six chiffres, dénommé « 3D Secure », destiné à valider deux achats par internet qu'il n'a pas réalisés, le titulaire d’une carte bancaire demande à sa banque de lui rembourser les sommes prélevées sur son compte à ce titre.
La banque refuse en invoquant une négligence grave du titulaire de la carte dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. En effet, en réponse à un courriel se présentant comme émanant de son opérateur téléphonique, il avait communiqué à son correspondant des informations sur son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que les numéro, date d'expiration et cryptogramme de sa carte.
La banque est néanmoins condamnée à rembourser son client.
Lorsqu'elle entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, à ses obligations, la banque doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. Or elle n'avait pas apporté cette preuve en l'espèce.
A noter : Il appartient à la banque qui ne veut pas rembourser le titulaire de la carte bancaire de prouver la négligence grave de celui-ci et cette négligence ne peut pas résulter de la simple utilisation de la carte ou des données personnelles qui lui sont liées (Cass. com. 18-1-2017 no 15-18.102 FS-PBI : RJDA 3/17 n° 205 ; Cass. com. 28-3-2018 n° 16-20.018 FS-PBI : RJDA 10/18 n° 766).
La Cour de cassation, dans l’arrêt ci-dessus et pour la première fois à notre connaissance, exige une seconde condition : la banque doit également prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et, surtout, non affectée par une déficience technique ou autre. Au cas particulier, une telle preuve n’avait pas été apportée, la banque ayant fourni un simple tableau chronologique, quasi illisible et sans notice explicative.
Cette condition, tirée de l'application de l'article L 133-23 du Code monétaire et financier (qui, à notre connaissance, n'avait encore jamais été cité par la Cour de cassation), réduit les chances d’exonération de la banque, alors que, jusqu’à cet arrêt, la négligence grave de l’utilisateur était plutôt facilement admise ; ainsi, elle était caractérisée lorsque le titulaire du compte avait communiqué les données personnelles du dispositif de sécurité en réponse à un courriel qui contenait des indices permettant à un utilisateur normalement attentif de douter de sa provenance (en dernier lieu, Cass. com. 28-3-2018 précité?; Cass. com. 1-7-2020 n° 18-21.487 F-PB : BRDA 17/20 inf. 17), par exemple des anomalies tenant à la forme et au contenu des messages, des fautes d’orthographe, des erreurs dans l’identification du destinataire ou du contrat concerné, le caractère inhabituel des modalités du paiement sollicité. Par ailleurs, la Haute Juridiction avait précisé que la bonne foi de l’utilisateur importait peu (Cass. com. 1-7-2020 n° 18-21.487 F-PB précité).
Cette exigence, qui, certes, ne vaut que lorsque l’opération de paiement n’a pas été autorisée par le titulaire de la carte (mais ce sera toujours le cas en cas de hameçonnage), est d’autant plus protectrice de l’utilisateur que non seulement la déficience technique mais toute autre déficience pourrait être invoquée par lui.
Sophie CLAUDE-FENDT
Pour en savoir plus sur cette question : voir Mémento Concurrence Consommation nos 44615 et 46640
Cass. com. 12-11-2020 n° 19-12.112 FS-PB
© Editions Francis Lefebvre - La Quotidienne
Découvrez Gil Machado Torres en vidéo.