Le seul fait qu’un tiers utilise des données personnelles d’un client bancaire est insuffisant à caractériser une négligence grave de ce dernier : la messe est dite.
La charge de la preuve est la clé dans ce type de dossiers.
Cette décision récente rendue par le Tribunal judiciaire de Paris le 28 janvier dernier en est encore un parfait exemple (TJ Paris, 9ème chambre 2e section, 28 janv. 2025, n° 23/15849).

Le principe est le suivant : la responsabilité du client bancaire n’est pas engagée si l’opération de paiement non autorisée a été réalisée en détournant à son insu l’instrument de paiement ou les données personnelles qui lui sont liées. En revanche il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 du Code monétaire et financier.

Dans cette affaire, la victime, titulaire de comptes bancaires dans les livres de la banque BNP Paribas, a été victime des faits suivants :

  • le 17 octobre 2022, elle a reçu un SMS dont l’expéditeur était renseigné comme étant la « BNP Paribas », l’informant que l’usage de son compte avait été restreint à la suite d’une suspicion de fraude et l’invitant à appeler le numéro renseigné, ce qu’elle n’a pas fait ;
  • le jour même, ayant été contactée par sa banque l’informant d’une substitution frauduleuse sur son compte bancaire, elle s’est rendue à son agence, où sa responsable de compte a bloqué sa clé digitale, lui assurant de la vérification quotidienne des mouvements sur son compte ;
  • le 18 octobre 2022, elle a reçu un nouveau SMS concernant le blocage de son compte, ce SMS l’invitant à appeler le numéro renseigné, ce qu’elle n’a pas fait ;
  • le 24 octobre 2022, elle a reçu un appel du service « Fraude à la carte bancaire  » de la BNP, son interlocuteur se présentant comme un agent de la BNP. Ce dernier lui a demandé de supprimer son application bancaire mobile, ce qu’elle a fait. Elle a rappelé, dès la fin de cet appel, le correspondant venant de la joindre au même numéro ([XXXXXXXX01]) afin de vérifier l’identité du service. Son interlocuteur lui a confirmé qu’il s’agissait du service « Fraude à la carte bancaire » ;
  • au début du mois de novembre 2022, elle s’est rendue à son agence afin d’obtenir le détail des écritures passées sur son compte mais précise que cette demande lui a été refusée du fait de l’absence de sa responsable de compte  ;
  • le 2 novembre 2022, la banque a annulé plusieurs virements du 24 octobre 2022, pour motif de « fraude », sans bloquer le compte ;
  • le 8 novembre 2022, elle s’est rendue à son agence pour que son conseiller effectue un virement de 22 000 euros afin de régler l’acompte de l’acquisition d’un bien immobilier, ce conseiller ne l’informant alors pas de la fraude en cours ;
  • le 15 novembre 2022, elle a reçu un appel de la BNP lui demandant si elle était à l’origine d’un virement de 1 300 euros, ce qu’elle a contesté, rappelant que sa clé digitale était bloquée depuis le 17 octobre 2022. Elle s’est déplacée à l’agence où on l’a informée que sa clé digitale n’était pas bloquée, ce qui a été effectué, outre qu’il lui a été indiqué l’existence de plusieurs virements ;
  • le 17 novembre 2022, le directeur de l’agence lui a communiqué son relevé bancaire où elle a constaté l’existence de nombreux virements.

Comme je l’ai souligné plus haut, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement (la banque) doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, la banque reprochait à la victime une négligence grave en ce qu’elle aurait permis l’enrôlement de la clé digitale sur un autre téléphone que le sien, à quatre reprises, à l’aide des codes à usage unique reçus par SMS qu’elle aurait communiqués au fraudeur, ce qui aurait alors permis l’achat litigieux et de modifier également les RIB pour procéder aux virements.

Elle contestait par ailleurs que son système informatique ait concouru à la fraude.

Subsidiairement, la banque relevait que la victime n’aurait pas été diligente en ne consultant pas son compte bancaire pendant les trente jours qu’a duré la fraude, ce qui lui aurait permis de constater les anomalies du discours tenu par le fraudeur au téléphone et de limiter son préjudice.

Mais, le tribunal souligne que la victime tant dans ses conclusions en justice qu’aux termes de sa plainte ou dans les lettres adressées à sa banque, n’a jamais reconnu avoir communiqué ses données bancaires personnelles à des tiers.

Les juges rappellent alors que le seul fait qu’un tiers utilise les données personnelles du client est insuffisant à caractériser une négligence grave commise par ce dernier.

Or, le tribunal relève que la banque ne verse aux débats que les traces informatiques de l’historique des diverses opérations litigieuses établies par ses soins, mais ne rapporte pas la preuve que les opérations litigieuses écoulant des enrôlements de la clé digitale ont fait l’objet d’une authentification forte, ni que les opérations litigieuses n’auraient pas été affectées par une déficience technique.

Par conséquent, dans ce dossier, les juges ont condamné la banque à rembourser à la victime la somme détournée, soit 100 125,67 euros, outre 3 000 euros au titre des frais de procédure exposés par celle-ci.

Virginie Audinot, Avocat
Barreau de Paris
Audinot & associés
www.fraude-bancaire.fr