En cas de signalement d’une opération de paiement non autorisée, la banque est dans l’obligation de rembourser immédiatement le montant de ladite opération et, le cas échéant, de rétablir le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu (c. mon. et fin. art. L. 133-18 al. 1. - Attention, s’agissant des opérations réalisées avant l’information prévue à l’article L. 133-17 I du code monétaire et financier, le client supporte les pertes liées à l’utilisation de son instrument de paiement, dans la limite d’un plafond de 150 euros).

Toutefois, la loi a posé plusieurs exceptions à l’article L. 133-18 al. 1 et dans l’exécution desquelles la banque n’est plus tenue de rembourser le montant de l’opération de paiement non autorisée. Au nombre de celles-ci, l’article L. 133-19 IV dispose que le client supporte toutes les pertes occasionnées par des opérations de paiement non autorisée s’il n’a pas satisfait, de manière intentionnelle ou par négligence grave, aux obligations mentionnées à l’article L. 133-16. Or, cet article impose au client de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Quid de la preuve de la négligence grave du client dans son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés ? C’est tout l’intérêt de l’analyse de l’affaire ayant opposé la Caisse de Crédit Mutuel de Wattignies à l’un de ses clients …

Au cas d’espèce, la Caisse de Crédit Mutuel de Wattignies avait été informé par son client que trois opérations de paiement avaient été réalisées sans son consentement. Selon le client, ces opérations non autorisées avaient été réalisées frauduleusement et, dès lors, devaient faire l’objet d’un remboursement immédiat de la part de la banque. La banque, quant à elle, soupçonnait un « hameçonnage » à la carte bancaire dans l’exécution de son système de paiement à distance « payweb ». Selon la Caisse de Crédit Mutuel de Wattignies, le client aurait certainement répondu à un courriel frauduleux qui présentait les mêmes caractéristiques que ceux émanant habituellement de la banque.  À cette occasion, il aurait lui-même transmis un certain nombre de points dont les identifiants, mots de passe et codes de clefs permettant de réaliser les opérations frauduleuses à distance. La Caisse de Crédit Mutuel de Wattignies en concluait que son client n’avait pas pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, qu’il avait fait preuve de négligence grave et, dès lors, qu’il ne pouvait prétendre à aucun remboursement.

La Caisse de Crédit Mutuel de Wattignies a alors été assignée par son client devant la juridiction de proximité de Lille.

Par une décision datée du 17 mars 2015, le juge de premier et dernier degré estima que la banque ne rapportait pas au débat la preuve que son client avait effectivement divulgué à un tiers, de manière intentionnelle ou par négligence grave, les éléments d’identification strictement confidentiels ayant permis la réalisation des paiements contestés. Se bornant à évoquer l’hypothèse d’un « hameçonnage » sans jamais en apporter la démonstration, la Caisse de Crédit Mutuel de Wattignies a été condamnée à rembourser les sommes ayant fait l’objet des opérations contestées.

L’affaire se serait arrêtée là si la Caisse de Crédit Mutuel de Wattignies n’avait pas formé un pourvoi devant la chambre commerciale de la Cour de cassation.

Devant la Haute Juridiction, la banque fit notamment valoir que le système de paiement à distance « payweb » comportait un processus hautement sécurisé et nécessitant le choix, par le client, d’un identifiant ainsi que d’un mot de passe lors de la première connexion. Elle ajouta que, pour la réalisation de chaque opération, la création d’une carte « payweb » par un dispositif de clef personnelle permettait à l'utilisateur, avant que la banque n’envoie un mail ou un sms de confirmation, de confirmer le paiement. La banque souligna alors que, compte tenu des conditions d’utilisation de ce système de paiement, le client avait nécessairement, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux.

L’argument avancé par la caisse de Crédit Mutuel de Wattignies sera intégralement désapprouvé par la Cour de cassation. Par un arrêt en date du 18 janvier 2017 (n° 15-18.102, précit.), la Haute Juridiction estimera que, s’il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, c'est à la banque qu'il incombe, par application des articles L. 133-19 IV et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations.

Mais la substantifique moelle de l’arrêt réside dans cela qu’il énonce avec force que la preuve de la négligence grave du client dans ses obligations en matière d’instrument de paiement ne peut se déduire du seul fait que l’instrument de paiement, ou les données personnelles qui lui sont liées, ont été effectivement utilisées.

En réalité, cette solution était assez prévisible (V° toutefois Cass. com. 31 mai 2016, n° 14-29.906, Inédit, JCP E 2016, n° 1450, note Lasserre-Capdeville).

D’abord, la jurisprudence de la Cour de cassation avait déjà posé pour principe que la circonstance qu’une carte bancaire ait été utilisée par un tiers au moyen d’un dispositif confidentiel est, à elle seule, insusceptible de constituer la preuve d'une faute lourde de la part du client dans l’exécution de ses obligations en matière d’instrument de paiement (Cass. com. 2 oct. 2007, n° 05-19.899, Bull. civ. IV, n° 208, RTD com. 2007, p. 813, obs. Legeais). Ne pouvant même pas constituer la preuve d’une faute lourde, il était prévisible que ce fait ne puisse constituer la preuve d’une négligence, fut-elle grave.

Ensuite, lorsqu’il est placé devant un mail présentant les mêmes caractéristiques que ceux émanant de sa banque, un client normalement vigilant peut légitimement croire que ledit mail émane de la banque et, en conséquence, peut légitimement croire que la transmission d’un dispositif confidentiel ne permettra pas la réalisation d’une fraude dont il sera la victime. Ainsi placé dans un état de légitime croyance, on ne peut considérer qu’un client normalement vigilant manque de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. En d’autres termes, il serait déraisonnable d’obliger un tel client, sitôt qu’il serait placé devant un tel mail, de procéder à l’intégralité des vérifications quant à l'identité véritable de l’expéditeur du courriel frauduleux. En effet, il est raisonnable de penser que le client moyen ne dispose ni des compétences ni des outils informatiques permettant de détecter l’identité des fraudeurs agissant sur internet.

Enfin, il est souvent idoine d’imputer la charge d’un risque sur celui qui en est à l’origine plutôt que sur celui qui en est la victime (V° Millet, La notion de risque et ses fonctions en Droit privé, préf. Lyon-Caen et Bénabent, Paris : édition LGDJ, collection des thèses de l'École doctorale de Clermont-Ferrand, 2001). En proposant des dispositifs de paiement sur internet, les banques créent – involontairement mais nécessairement – les conditions d’un risque de détournement à distance. Lorsqu’un dispositif de sécurité élaboré par la banque a failli, il apparaît sensé d’en imputer les conséquences dommageables au chef de celui qui, même involontairement, a manqué de protéger son client.

Cet arrêt rendu par la Cour de cassation nous semble devoir être approuvé sans aucune réserve. Aura-t-il force de jurisprudence ? Nous le pensons (V° Sur notre site « Utilisation frauduleuse d’une carte bancaire sur internet : Cinq Caisses de Crédit Mutuel de la Région Hauts-de-France ont été condamnées en moins d’un an »).

Antoine DELATTRE
Juriste Bénévole à l’UFC Que Choisir de Lille
Chargé d’enseignement en Droit de la consommation à l’Université de Lille II