Fraude au paiement carte 3D Secure : la possibilité d’une négligence grave du porteur

La possibilité d’une négligence grave du porteur : tel est l’enseignement, peut-être le seul, que l’on peut tirer de l’arrêt (de censure) rendu par la chambre commerciale de la Cour de cassation le 25 octobre 2017.

Mais ce n’est pas rien, si l’on veut bien se souvenir du sentiment que nous avait laissé la décision (de rejet) du 18 janvier 2017, celui d’une preuve contraire impossible [1] : « si, aux termes des articles L. 133-16 et L. 133-17 du Code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. »

La cassation pour manque de base légale de l’arrêt sous commentaire ne peut s’apprécier qu’« au regard des circonstances de l’espèce », qui sont les suivantes : alertée par la réception de deux SMS lui communiquant un code 3D Secure [2] pour le paiement de deux opérations qu’elle n’a pas réalisées – ce que reconnaît sa banque –, Mme X… forme le même jour opposition à sa carte de paiement auprès de son teneur de compte ; cette opposition arrive toutefois trop tard puisque les paiements litigieux sont débités du compte de Mme X., à hauteur de 3 300,28 euros ; c’est que Mme X… a manifestement été victime de hameçonnage (ou phishing) [3] , dans la mesure où elle ne conteste pas avoir, en réponse à un e-mail se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son fraudeur des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place des renvois téléphoniques des messages reçus de la banque, ainsi que ses nom, numéro de carte, date d’expiration et cryptogramme visuel.

Pour condamner la banque de Mme X… à lui rembourser la somme prélevée sur son compte, augmentée d’un euro de dommages-intérêts, la juridiction de proximité saisie retient que « si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du Code monétaire et financier ». Article L. 133-16, figurant au sein d’une rubrique consacrée aux « obligations des parties en matière d’instruments de paiement », dont l’alinéa 1er dispose : « Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs [4] de sécurité personnalisés » [5] . Mais article L. 133-16 qui, va nous dire la Cour de cassation, doit composer avec l’article L. 133-19, dont le point IV édicte que, au « cas particulier des instruments de paiement dotés d’un dispositif de sécurité personnalisé », « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 [6] » [7] .

Le jugement est censuré au double visa des articles L. 133-16 et L. 133-19 du CMF : « en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X… n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du Code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ».

La négligence grave du porteur sera-t-elle retenue par le juge de renvoi ? Rien n’est moins certain, dès lors que la cassation pour manque de base légale n’est que la censure d’une insuffisance de motivation : la décision annulée « est peut-être excellente mais la motivation est insuffisante, en ce qu’elle fait l’impasse sur des faits qui sont indispensables à l’application de la règle de droit » [8] . Il n’en demeure pas moins que la fraude (avérée mais peut-être pas irrésistible) dont a été victime le porteur ne suffit pas à exclure sa négligence grave, du moins la recherche de sa caractérisation par le juge. Tel est au moins – mais ce n’est pas rien – l’enseignement que l’on peut tirer de l’arrêt du 25 octobre 2017.