En France comme à l'étranger, vous pourriez faire face à des cas d'utilisation frauduleuse de votre carte de paiement. Il est essentiel de connaître vos obligations ainsi que celles de votre banque dans de telles situations.

Bien que des avancées significatives aient été réalisées en matière de sécurisation des transactions, il est primordial de rester vigilant. En adoptant quelques conseils de prudence, vous pouvez contribuer à renforcer la sécurité lors de l'utilisation de votre carte de paiement.

En cas de paiement non autorisé sur votre compte, il est essentiel de savoir que vous bénéficiez d'une protection.

Quelles sont les principales fraudes liées aux moyens de paiement ?

Diverses sources de fraude existent, notamment :

  1. L'interception de la carte de paiement lors de son envoi par l'émetteur au titulaire légitime.
  2. L'utilisation frauduleuse d'une carte perdue ou volée.
  3. La falsification ou contrefaçon de cartes de paiement.
  4. L'usurpation du numéro de carte pour effectuer des paiements frauduleux, notamment en ligne.

En ce qui concerne les techniques de fraude, les principales sont :

  1. Le clonage (ou skimming) : les données magnétiques de la carte sont copiées à l'aide d'un lecteur à mémoire dans des commerces ou distributeurs automatiques. Le code confidentiel peut être capturé grâce à une caméra ou en détournant le clavier numérique.
  2. L'hameçonnage (ou phishing) : les fraudeurs obtiennent les informations personnelles de l'utilisateur de la carte, principalement grâce à des mails non sollicités qui renvoient vers des sites frauduleux imitant des sites de confiance.
  3. Le piratage de systèmes automatisés de données, de serveurs ou de réseaux : les fraudeurs s'introduisent illégalement dans ces systèmes pour obtenir des informations )sensibles.

Ces fraudes peuvent toucher différentes transactions, notamment les paiements en points de vente ou automates, les achats en ligne (alimentation, habillement, ameublement, voyage, transport, services aux particuliers, téléphonie, jeux en ligne, etc.), ainsi que les retraits aux distributeurs automatiques de billets.

Pour assurer la sécurité de l'utilisation de votre carte de paiement, suivez ces conseils de prudence :

  1. Dès réception de votre carte, prenez toutes les mesures raisonnables pour protéger ses dispositifs de sécurité personnalisés.
  2. Utilisez votre carte conformément aux conditions stipulées dans le contrat de délivrance et d'utilisation de la carte (article L.133-16 du Code monétaire et financier).

Pour se protéger contre des opérations non autorisées sur votre compte, veillez à ce que toutes les opérations de paiement soient autorisées par vous, le débiteur (conformément à l'article L.133-6 du Code monétaire et financier).

Le prestataire de services de paiement qui vous délivre une carte de paiement doit prendre toutes les mesures nécessaires pour s'assurer que les dispositifs de sécurité personnalisés de cette carte ne soient accessibles qu'à vous et à personne d'autre.

En cas de perte ou de vol de la carte de paiement, le risque lié à l'envoi de celle-ci ou de tout dispositif de sécurité personnalisé est supporté par le prestataire de services de paiement (conformément à l'article L.133-15 du Code monétaire et financier).

En cas de paiement non autorisé sur votre compte, la charge de la preuve incombe au prestataire de services de paiement. Si vous contestez avoir autorisé une opération de paiement, c'est au prestataire de prouver que l'opération a été authentifiée, dûment enregistrée, comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre (conformément à l'article L.133-23 du Code monétaire et financier). Les conventions de preuve sont désormais strictement encadrées, et l'enregistrement d'une opération par votre prestataire ne suffit pas nécessairement à prouver que vous l'avez autorisée ou que vous n'avez pas négligé vos obligations (conformément à l'article L.133-23 du Code monétaire et financier).

En cas de vol, de perte, de détournement ou de toute utilisation non autorisée de votre carte de paiement, vous devez informer immédiatement votre prestataire afin qu'il bloque la carte. Vous pouvez contacter votre prestataire ou tout service qu'il vous aura indiqué à cet effet.

En tant que titulaire de la carte de paiement, vos obligations (conformément aux articles L.133-15, L133-17 et L.133-24 du Code monétaire et financier) sont les suivantes :

  1. Le prestataire doit mettre en place les moyens appropriés pour que vous puissiez l'informer à tout moment d'une utilisation non autorisée de votre carte et demander le blocage de celle-ci.
  2. Les informations sur ces moyens sont disponibles soit dans le contrat de services de paiement, soit dans la convention de compte de dépôt.
  3. Vous n'êtes pas responsable si le prestataire ne fournit pas ces moyens, sauf en cas d'agissement frauduleux de votre part.
  4. Sur demande et pendant 18 mois, le prestataire doit vous fournir les éléments vous permettant de prouver que vous l'avez informé d'une utilisation non autorisée de votre carte.

Vous avez un délai maximal pour signaler une opération de paiement non autorisée (conformément à l'article L.133-24 du Code monétaire et financier). Vous devez signaler cette opération sans tarder et au plus tard dans les 13 mois suivant la date de débit de votre compte. Au-delà de ce délai, votre demande ne sera plus recevable.

Après avoir signalé l'opération non autorisée, le prestataire a l'obligation d'empêcher toute utilisation de votre carte de paiement suite à sa perte, son vol, son détournement ou toute utilisation non autorisée, conformément aux articles L.133-15 et L.133-18 du Code monétaire et financier.

En cas de signalement par l'utilisateur d'une opération de paiement non autorisée conformément à l'article L.133-24, le prestataire de services de paiement a certaines obligations :

  1. Le prestataire doit vous rembourser immédiatement le montant de l'opération non autorisée.
  2. Le cas échéant, le prestataire doit rétablir le compte débité dans l'état où il se serait trouvé si l'opération non autorisée n'avait pas eu lieu.
  3. Une indemnité complémentaire peut éventuellement vous être versée, mais cela est décidé contractuellement entre vous et votre prestataire.

Si vous disposez d'une carte de paiement avec un dispositif de sécurité personnalisé, tel qu'un code secret, et qu'une opération non autorisée a été effectuée sur votre compte, voici les scénarios de responsabilité financière :

  1. Avant le blocage de la carte (avant "opposition") : Si l'opération non autorisée a été effectuée en utilisant le dispositif de sécurité personnalisé, vous supportez des pertes financières jusqu'à concurrence de 50 euros en cas de perte ou de vol de la carte. Cependant, si l'opération non autorisée a été réalisée sans utiliser le dispositif de sécurité personnalisé, vous n'êtes pas responsable et ne supportez aucune conséquence financière de cette fraude.
  2. Votre responsabilité n'est pas engagée (conformément aux articles L.133-19 et L.133-20 du Code monétaire et financier) :
  • Si l'opération non autorisée a été réalisée en détournant à votre insu l'instrument de paiement ou les données liées à celui-ci.
  • En cas de contrefaçon de la carte alors qu'elle était en votre possession au moment de l'opération non autorisée.

En résumé, si vous signalez rapidement une opération de paiement non autorisée, le prestataire doit vous rembourser immédiatement, et en fonction des circonstances de la fraude, votre responsabilité financière peut être limitée ou nulle.

Vous supportez toutes les pertes découlant d'opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de votre part ou si vous avez négligé intentionnellement ou gravement vos obligations contractuelles en matière de sécurité, d'utilisation ou de blocage de votre carte.

Après avoir demandé le blocage de votre carte, vous ne devez supporter aucune conséquence financière liée à l'utilisation de la carte ou à l'utilisation détournée de ses données, sauf s'il y a eu un agissement frauduleux de votre part.

 

Qu’est ce qu’une opération de paiement autorisée ?

Selon les articles L133-3 et L133-6 du Code monétaire et financier, une opération de paiement est considérée comme autorisée si le payeur a consenti non seulement à l’utilisation de son instrument de paiement mais également au montant de l’opération.

La Cour de cassation est venue préciser les contours de cette notion d’opérations de paiement autorisée, dans son arrêt du 30 novembre 2022 (Cass. com., 30 nov. 2022, n°21-17614).

Dans cette affaire, un client du Crédit Lyonnais avait effectué un retrait d'argent à un distributeur automatique de billets en insérant sa carte bancaire et en composant son code confidentiel. Cependant, un tiers s'était substitué à lui pour saisir le montant du retrait (900 €) et avait pris possession des billets. Le client avait alors demandé le remboursement de cette somme à sa banque, mais sa demande avait été rejetée par le Tribunal judiciaire de Paris.

La Cour de cassation a cassé cette décision en rappelant qu'une opération de paiement ne peut être considérée comme autorisée que si le payeur a consenti non seulement à l'initiation de l'opération (en insérant la carte et composant le code), mais aussi au montant de celle-ci. Ainsi, le simple fait d'initier l'opération de retrait ne suffit pas à rendre l'opération autorisée si le consentement du payeur quant au montant n'a pas été donné. Dans ce cas, le prestataire de services de paiement est tenu de rembourser le payeur du montant frauduleusement soustrait, sauf s'il peut démontrer que la responsabilité du payeur est engagée en vertu de l'article L. 133-19 du Code monétaire et financier, notamment en cas de négligence grave de sa part.

La Cour a ainsi rappelé avec rigueur la distinction entre l'initiation de l'opération de paiement et le consentement du payeur quant au montant de l'opération. Cette précision est importante pour déterminer la responsabilité du prestataire de services de paiement en cas d'opération non autorisée. De plus, cet arrêt aura sans doute une portée générale pour les victimes de fraudes à la carte bancaire, et renforce la protection des payeurs en cas d'opérations non autorisées.

Dans cette affaire, un client du Crédit Lyonnais avait inséré sa carte bancaire dans un distributeur automatique de billets et composé son code. Il n’avait en revanche pas pu choisir le montant du retrait, dans la mesure où un tiers s’est interposé, a saisi le montant des espèces à retirer et lui a soustrait les billets de banque. Le client avait alors demandé à la banque le remboursement du montant débité, mais sa demande avait été rejetée par le Tribunal judiciaire de Paris.

La Cour de cassation retient que pour rejeter une demande de remboursement, il incombe au tribunal de vérifier si l'opération de paiement avait été autorisée par le client, notamment en ce qui concerne le montant.

En l’espèce, l’opération de paiement n’a pas été autorisée par le payeur en ce qui concerne son montant, de sorte que le prestataire de services de paiement du payeur doit lui rembourser le montant du retrait frauduleusement opéré, sauf, pour ce dernier, à faire la preuve de ce que la responsabilité du payeur était engagée, au sens de l’article L. 133-19 du Code monétaire et financier, notamment en cas de négligence grave de sa part.

 

Preuve de la fraude ou de négligences graves du payeur

Conformément aux dispositions du code monétaire et financier, le prestataire de services de paiement est tenu de rembourser le payeur qui lui signale des opérations de paiement non autorisées, sauf s'il peut démontrer que la responsabilité du payeur est engagée en vertu de l'article L. 133-19 du Code monétaire et financier, notamment en cas de négligence grave de sa part.

La charge de la preuve de cette négligence grave incombe au prestataire de paiement.

La Cour de cassation a ainsi été amené à rappeler que la banque doit apporter la preuve de la fraude ou de la négligence de l'utilisateur des services de paiement et ne peut se contenter de prouver que l'instrument de paiement a été utilisé. (Com., 18 janv.2017, n° 15-18.102)

Dans cette affaire, un titulaire de compte bancaire contestait trois opérations de paiement frauduleuses effectuées sur son compte via le système de paiement à distance "payweb". Malgré les mesures de sécurité mises en place par le système, la banque avait refusé de rembourser le montant des opérations contestées, accusant le client d'avoir divulgué ses informations confidentielles à un tiers. Le juge de proximité avait donné raison au client en considérant que la banque n'avait pas apporté la preuve que le client avait révélé ses données personnelles. La banque avait alors formé un pourvoi en cassation, invoquant le concept d'hameçonnage pour rejeter la responsabilité.

La Cour de cassation a rejeté le pourvoi de la banque, confirmant que c'est à elle de prouver que le client a agi de manière frauduleuse ou négligente. Invoquer l’hypothèse d’un hameçonnage ne suffit pas à décharger la banque de sa responsabilité contractuelle : « ayant souverainement retenu qu'il ne résultait pas des pièces versées aux débats la preuve que M. X... avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l'hypothèse d'un « hameçonnage », en prétendant que M. X... avait certainement répondu à un courriel frauduleux qu'il pensait émaner de la Caisse pour qu'il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c'est exactement que la juridiction de proximité, qui n'était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X... ».

La Cour de cassation rappelle enfin que la preuve démontrant que payeur a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

En revanche, dans le cas où la preuve d’une négligence grave du payeur a pu être rapportée, la bonne foi n'est pas prise en compte et le porteur est responsable du préjudice subi.

La Cour de cassation a rendu un arrêt le 1er juillet 2020, dans lequel elle précise que la responsabilité du porteur, en cas de négligence grave, exclut toute considération de sa bonne foi. Ainsi, même si le porteur agit de bonne foi, s'il a commis une négligence grave en divulguant des informations confidentielles à des tiers, il ne pourra pas obtenir de remboursement pour les opérations frauduleuses effectuées avec sa carte. (Com. 1er juill. 2020, n° 18-21.487)

Dans l'affaire en question, le porteur de la carte contestait les opérations de paiement effectuées sur son compte bancaire et considérait qu'elles étaient frauduleuses. Le tribunal d'instance avait statué en dernier ressort en ordonnant à la banque de rembourser la moitié des paiements frauduleux en tenant compte de la bonne foi du porteur. Cependant, la Cour de cassation a cassé ce jugement en rappelant que la négligence grave du porteur exclut toute considération de sa bonne foi.

Il est donc essentiel pour le porteur d'une carte de paiement de prendre toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés, conformément à l'article L. 133-16 du Code monétaire et financier. En cas de négligence grave, la responsabilité du porteur est engagée, et la bonne foi ne pourra pas être utilisée comme moyen de se faire rembourser en cas d'opérations non autorisées. Cette décision de la Cour de cassation renforce l'importance pour les utilisateurs de services de paiement de faire preuve de vigilance et de prudence dans la protection de leurs informations confidentielles afin de prévenir toute fraude.

 

Preuve de l’absence de déficience technique de l’opération

La Cour de cassation a, par ailleurs, jugé que, même en cas de négligence de la part du titulaire d'un compte victime d'un hameçonnage, la banque peut être tenue de le rembourser. En effet, la banque doit prouver non seulement la négligence du titulaire, mais également l'absence de déficience technique lors de l'opération de paiement non autorisée. (Cass. com. 12-11-2020 n° 19-12.112 FS-PB).

Lorsqu'un utilisateur de services de paiement conteste une opération de paiement qu'il n'a pas autorisée, il incombe à la banque de prouver que cette opération a été correctement authentifiée, enregistrée et comptabilisée, et qu'elle n'a pas été affectée par une défaillance technique ou autre.

Dans une affaire spécifique, le titulaire d'une carte bancaire avait reçu deux messages sur son téléphone mobile contenant un code de validation pour des achats en ligne qu'il n'avait pas effectués. Il avait demandé à sa banque de le rembourser, mais la banque avait refusé en invoquant la négligence du titulaire qui aurait divulgué des informations personnelles à un tiers. La banque avait également omis de prouver que l'opération en question avait été correctement authentifiée et enregistrée.

La Cour de cassation a donc jugé que la banque devait rembourser son client, car elle n'avait pas réussi à prouver que l'opération avait été correctement effectuée et qu'elle n'était pas affectée par une défaillance technique.

Il est important de noter que la négligence grave du titulaire de la carte ne peut pas être simplement déduite de l'utilisation de la carte ou des données personnelles liées à celle-ci. La Cour de cassation a donc imposé une double condition à la banque pour rejeter la demande de remboursement en cas de négligence : prouver la négligence du titulaire et prouver l'absence de déficience technique lors de l'opération de paiement non autorisée.

Cette décision de la Cour de cassation renforce la protection des utilisateurs de services de paiement, en réduisant les chances pour les banques de se décharger de leur responsabilité en cas de négligence du titulaire. Elle impose à la banque de fournir des preuves tangibles pour justifier un refus de remboursement, ce qui renforcera la sécurité des paiements à distance et préviendra les abus de la part des fraudeurs.