La  validation par un mot de passe sécurisé d’un paiement par carte bancaire sur Internet ne permet pas de conclure à une nécessaire fraude ou imprudence du client.

La banque ne peut donc se réfugier derrière ce mécanisme sécurisé pour s’opposer au remboursement sans autre élément de preuve.  

Cour de cassation, chambre commerciale, 18 janvier 2017, n°15-18102  

 

Une personne constate sur ses comptes bancaires 3 opérations qu’il estime frauduleuse.

Il en informe sa banque et sollicite le remboursement des débits frauduleusement effectués.

La banque refuse de procéder au remboursement. Elle reproche à son client d’avoir commis une faute en communiquant à un tiers des informations confidentielles permettant d’effectuer les opérations contestées.

La difficulté dans ce litige était que les opérations étaient faites sur Internet par un système dit PAYWEB.

Ce système de manière assez classique demande la confirmation de l’opération par l’envoi d’un code spécifique sur le téléphone ou sur une adresse e-mail. Le titulaire de la carte reçoit donc ce code qu'il doit renseigner pour confirmer le paiement.

La banque estimait donc que des informations avaient été communiquées ou que le client n’avait pas pris de mesures raisonnables pour protéger ces informations car sinon les fraudeurs n'auraient jamais du pouvoir confirmer le code qui a été envoyé. 

La banque supposait que le client avait dû répondre à un faux mail et donné ses informations confidentielles sur un site ou à des escrocs. C’est la fameuse technique du PHISHING ou de l’HAMMECONNAGE. Un client donne des informations en répondant à un mail ou par un site Internet en croyant donner ces informations confidentielles à sa banque ou à un autre tiers de confiance.

 

La banque avançait donc cette possibilité mais sans en apporter la preuve. La banque pouvait difficilement apporter cette preuve sauf si le client avait déclaré avoir été victime d'une telle pratique.

Le juge avait condamné en première instance la banque. La Banque conteste cette décision devant la Cour de cassation.

 

La question posée était principalement une question de preuve.

Peut ont déduire de la validation de l’opération par le système sécurisé que le titulaire de la carte bancaire avait nécessairement commis une faute ?

Ou 

Est-ce à la banque de démontrer la faute ou l’imprudence du client ?

 

Le droit au remboursement relève notamment de l'article L133-19 du code monétaire et financier:

Article L133-19

I. ― En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros.  Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.  II. ― La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées.  Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.  III. ― Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17.  IV. ― Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

 

L’article L133-16 du code monétaire et financier prévoit que :

I. ― Une opération de paiement est autorisée si le payeur a donné son consentement à son exécution.  Toutefois, le payeur et son prestataire de services de paiement peuvent convenir que le payeur pourra donner son consentement à l'opération de paiement après l'exécution de cette dernière.  II. ― Une série d'opérations de paiement est autorisée si le payeur a donné son consentement à l'exécution de la série d'opérations.

 

L’article L133-17 du code monétaire et financier prévoit que:

Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement.  En l'absence d'un tel consentement, l'opération ou la série d'opérations de paiement est réputée non autorisée.  Le consentement peut être retiré par le payeur tant que l'ordre de paiement n'a pas acquis un caractère d'irrévocabilité conformément aux dispositions de l'article L. 133-8.  Le consentement à l'exécution d'une série d'opérations de paiement peut être retiré, avec pour effet que toute opération postérieure est réputée non autorisée.

 

La Cour de cassation dans cette décision adopte une position assez protectrice du client. Cette position limite les possibilités pour la banque de s’opposer au remboursement.

Elle juge en effet par cet arrêt que la banque doit spécifiquement apporter la preuve que le client a agi frauduleusement ou n’a pas satisfait à ses obligations intentionnellement ou par négligence grave.

La confirmation du paiement par un système sécurisé ne permet donc pas de conclure nécessairement à une faute du client. La banque devra donc prouver par d’autres moyens la fraude commise par le client ou alors son imprudence fautive. Cette preuve sera très difficile ou quasi impossible à démontrer.

Les recours de la banque face à une demande de remboursement seront donc limités en pratique.