Fraude aux instruments de paiement : le nouvel équilibre ?

Pr&eacute;c&eacute;dents. Nous nous &eacute;tions quitt&eacute;s sur une d&eacute;cision qui laissait entrevoir comme une &laquo; possibilit&eacute; &raquo; que la responsabilit&eacute; pour n&eacute;gligence grave du porteur de carte de paiement soit retenue [1] . Or cette hypoth&egrave;se contrastait avec l&rsquo;impression de &laquo; nasse &raquo; dans laquelle la Cour de cassation paraissait acculer les prestataires de services de paiement en cas de fraude au paiement r&eacute;sultant d&rsquo;un hame&ccedil;onnage (en anglais, phishing) de leurs clients [2] . Possibilit&eacute;, donc, ouverte par l&rsquo;arr&ecirc;t du 25 octobre 2017 : &laquo; en se d&eacute;terminant ainsi, sans rechercher, au regard des circonstances de l'esp&egrave;ce, si Mme X&hellip; n'aurait pas pu avoir conscience que le courriel qu'elle avait re&ccedil;u &eacute;tait frauduleux et si, en cons&eacute;quence, le fait d'avoir communiqu&eacute; son nom, son num&eacute;ro de carte bancaire, la date d'expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives &agrave; son compte SFR permettant &agrave; un tiers de prendre connaissance du code 3D Secure ne caract&eacute;risait pas un manquement, par n&eacute;gligence grave, &agrave; ses obligations mentionn&eacute;es &agrave; l'article L. 133-16 du code mon&eacute;taire et financier, la juridiction de proximit&eacute; a priv&eacute; sa d&eacute;cision de base l&eacute;gale &raquo;. Ce qui contrastait avec cette sorte de preuve impossible r&eacute;sultant de la d&eacute;cision du 18 janvier 2017 : &laquo; Si, aux termes des articles L. 133-16 et L. 133-17 du code mon&eacute;taire et financier, il appartient &agrave; l'utilisateur de services de paiement de prendre toute mesure raisonnable pour pr&eacute;server la s&eacute;curit&eacute; de ses dispositifs de s&eacute;curit&eacute; personnalis&eacute;s et d'informer sans tarder son prestataire de tels services de toute utilisation non autoris&eacute;e de l'instrument de paiement ou des donn&eacute;es qui lui sont li&eacute;es, c'est &agrave; ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du m&ecirc;me code, de rapporter la preuve que l'utilisateur, qui nie avoir autoris&eacute; une op&eacute;ration de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par n&eacute;gligence grave, &agrave; ses obligations. Cette preuve ne peut se d&eacute;duire du seul fait que l'instrument de paiement ou les donn&eacute;es personnelles qui lui sont li&eacute;es ont &eacute;t&eacute; effectivement utilis&eacute;s. &raquo; En l&rsquo;esp&egrave;ce. Le pluriel utilis&eacute; pour intituler ce commentaire &ndash; fraude &laquo; aux instruments &raquo; de paiement &ndash; est important, dans la mesure o&ugrave;, en l&rsquo;esp&egrave;ce, la fraude ne portait pas que sur des paiements (achats sur Internet) par carte bancaire 3D Secure (2 731,98 &euro;), mais aussi par virement (4 500 &euro;), &agrave; partir de deux comptes diff&eacute;rents ouverts dans les livres d&rsquo;une banque mutualiste et &agrave; la suite d&rsquo;une campagne de phishing. En premi&egrave;re instance, les juges estim&egrave;rent que la banque &eacute;tait tenue au remboursement des paiements effectu&eacute;s par carte, faute d&rsquo;&eacute;tablir que M. L. avait communiqu&eacute; les donn&eacute;es concernant celle-ci. Le d&eacute;bit du compte op&eacute;r&eacute; par virement &eacute;tait en revanche &eacute;cart&eacute;, dans la mesure o&ugrave; la victime avait reconnu la communication, sans pr&eacute;caution, de ses codes d&rsquo;acc&egrave;s Internet. Par un arr&ecirc;t du 19 avril 2016, la cour d&rsquo;appel d&rsquo;Amiens suivit volontiers les premiers juges et alla m&ecirc;me plus loin puisqu&rsquo;elle condamna la banque &agrave; rembourser tous les paiements frauduleux, par carte comme par virement : &laquo; la Cour d&eacute;duit que c'est v&eacute;ritablement &agrave; son insu que X&hellip; a fourni les renseignements qui ont permis les op&eacute;rations frauduleuses sur son compte et que n'est pas constitutive d'une n&eacute;gligence grave le fait pour un client &ldquo;normalement&rdquo; attentif de n'avoir pas per&ccedil;u les indices propres &agrave; faire douter de la provenance des messages re&ccedil;us &raquo; [3] . Du pourvoi en cassation form&eacute; par la banque, on retiendra que seul un axe de d&eacute;fense a fait mouche. Moyen inop&eacute;rant. L&rsquo;apport imm&eacute;diat de l&rsquo;arr&ecirc;t rendu par la Cour de cassation le 28 mars 2018 est de confirmer l&rsquo;inanit&eacute; d&rsquo;une d&eacute;fense de la banque tir&eacute;e de la pr&eacute;somption du d&eacute;faut de garde des donn&eacute;es confidentielles li&eacute;es &agrave; l&rsquo;instrument de paiement (des donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es au sens de la DSP 2, en somme) par son utilisateur. Autrement dit, le prestataire de services de paiement ne peut inverser la charge de la preuve et reprocher &agrave; l&rsquo;utilisateur (et, derri&egrave;re, au juge) de n&rsquo;avoir pas rapport&eacute; la preuve qu&rsquo;il a bien respect&eacute; son obligation de conserver les donn&eacute;es confidentielles, comme l&rsquo;article L. 133-16 du Code mon&eacute;taire et financier lui en fait obligation. Car le rejet de ce moyen par notre d&eacute;cision se fait exactement dans les m&ecirc;mes termes que ceux employ&eacute;s dans l&rsquo;arr&ecirc;t du 18 janvier 2017 : &laquo; Mais attendu que, si, aux termes des articles L. 133-16 et L. 133-17 du code mon&eacute;taire et financier, il appartient &agrave; l'utilisateur de services de paiement de prendre toute mesure raisonnable pour pr&eacute;server la s&eacute;curit&eacute; de ses dispositifs de s&eacute;curit&eacute; personnalis&eacute;s et d'informer sans tarder son prestataire de tels services de toute utilisation non autoris&eacute;e de l'instrument de paiement ou des donn&eacute;es qui lui sont li&eacute;es, c'est &agrave; ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du m&ecirc;me code, de rapporter la preuve que l'utilisateur, qui nie avoir autoris&eacute; une op&eacute;ration de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par n&eacute;gligence grave &agrave; ses obligations ; que cette preuve ne peut se d&eacute;duire du seul fait que l'instrument de paiement ou les donn&eacute;es personnelles qui lui sont li&eacute;es ont &eacute;t&eacute; effectivement utilis&eacute;s. &raquo; R&eacute;affirm&eacute;e par deux fois, la chose para&icirc;t entendue et les plaideurs devraient pouvoir faire l&rsquo;&eacute;conomie d&rsquo;une telle argumentation. La place pour une n&eacute;gligence grave. Il y a n&eacute;anmoins place pour la reconnaissance d&rsquo;une n&eacute;gligence grave de l&rsquo;utilisateur de services de paiement et c&rsquo;est bien la nouveaut&eacute; de la d&eacute;cision sous commentaire, qui franchit le pas de la cassation ouvert par celle du 25 octobre 2017. Cassation est en effet encourue pour violation des articles L. 133-16 et L. 133-19 du Code mon&eacute;taire et financier. Pour comprendre la censure, il faut relever ce que les juges d&rsquo;appel ont dit, puisque, ce disant, ils ont viol&eacute; la loi : &laquo; Attendu que pour statuer comme il fait, l'arr&ecirc;t, apr&egrave;s avoir relev&eacute; que M. L. a &eacute;t&eacute; victime d'un hame&ccedil;onnage, ayant re&ccedil;u des courriels successifs portant le logo parfaitement imit&eacute; du Cr&eacute;dit mutuel accompagn&eacute;s d'un &ldquo;certificat de s&eacute;curit&eacute; &agrave; remplir attentivement&rdquo; qu'il a scrupuleusement renseign&eacute;s, allant m&ecirc;me jusqu'&agrave; demander &agrave; la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner compl&egrave;tement le certificat litigieux, ce qui montre sa totale na&iuml;vet&eacute;, retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message, sont de nature &agrave; interpeller le client, ce &agrave; quoi n'est pas n&eacute;cessairement sensible un client non avis&eacute;, &eacute;tant observ&eacute; que M. L., qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette derni&egrave;re sur le hame&ccedil;onnage, puis en d&eacute;duit que c'est &agrave; son insu que M. L. a fourni les renseignements qui ont permis les op&eacute;rations frauduleuses sur son compte et que n'est pas constitutive d'une n&eacute;gligence grave le fait pour un client &ldquo;normalement&rdquo; attentif de n'avoir pas per&ccedil;u les indices propres &agrave; faire douter de la provenance des messages re&ccedil;us. &raquo; Mais non, Messieurs les juges du fond, vous vous contredisez en relevant de telles circonstances sans caract&eacute;riser la n&eacute;gligence grave de l&rsquo;utilisateur : &laquo; Qu'en statuant ainsi, alors que manque, par n&eacute;gligence grave, &agrave; son obligation de prendre toute mesure raisonnable pour pr&eacute;server la s&eacute;curit&eacute; de ses dispositifs de s&eacute;curit&eacute; personnalis&eacute;s l'utilisateur d'un service de paiement qui communique les donn&eacute;es personnelles de ce dispositif de s&eacute;curit&eacute; en r&eacute;ponse &agrave; un courriel qui contient des indices permettant &agrave; un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avis&eacute; des risques d'hame&ccedil;onnage, la cour d'appel a viol&eacute; les textes susvis&eacute;s. &raquo; Mais le droit commun peut prendre le relais. Un arr&ecirc;t (de cassation), dont la port&eacute;e doit &ecirc;tre relativis&eacute;e car il n&rsquo;est pas publi&eacute; au Bulletin, m&eacute;rite d&rsquo;&ecirc;tre relev&eacute;, d&rsquo;autant qu&rsquo;il a re&ccedil;u l&rsquo;&laquo; enti&egrave;re approbation &raquo; du Professeur Thierry Bonneau [4] . En l&rsquo;esp&egrave;ce, la n&eacute;gligence grave du porteur d&rsquo;une carte de paiement avait &eacute;t&eacute; retenue &ndash; et la franchise de l&rsquo;article L. 133-19 &eacute;cart&eacute;e &ndash;, amenant les juges du fond &agrave; d&eacute;cider que &laquo; M. X&hellip; ne saurait pr&eacute;tendre au remboursement des sommes d&eacute;bit&eacute;es et qu'il importe peu, dans ces conditions, de se pencher sur l'&eacute;ventuelle faute de la banque qui aurait laiss&eacute; d&eacute;biter le compte en l'absence de d&eacute;couvert autoris&eacute; &raquo;. La d&eacute;cision est s&egrave;chement cass&eacute;e par application du droit commun de la responsabilit&eacute; contractuelle (l&rsquo;article 1147 du Code civil, dans sa version ant&eacute;rieure &agrave; la r&eacute;forme du droit des obligations), et c&rsquo;est cela qui est tout &agrave; fait int&eacute;ressant : &laquo; Qu'en statuant ainsi, alors que la n&eacute;gligence grave retenue contre le titulaire de la carte bancaire pour n'avoir pas pr&eacute;serv&eacute; la s&eacute;curit&eacute; de celle-ci et de son code confidentiel ne le privait pas du droit d'invoquer le manquement du banquier &agrave; ses propres obligations en application des r&egrave;gles du droit commun de la responsabilit&eacute; contractuelle, la cour d'appel a viol&eacute; les textes susvis&eacute;s &raquo; (article 1147 du Code civil et 133-19 du Code mon&eacute;taire et financier). Cette jurisprudence pr&eacute;sente l&rsquo;int&eacute;r&ecirc;t &eacute;vident de sortir d&rsquo;une logique du &laquo; tout ou rien &raquo;. &Agrave; l&rsquo;heure o&ugrave; l&rsquo;on constate une forte hausse du nombre de m&eacute;nages victimes d&rsquo;au moins un d&eacute;bit frauduleux sur leur compte bancaire [5] , il est sans doute temps que chacun prenne sa part de responsabilit&eacute;. Achev&eacute; de r&eacute;diger le 18 mai 2018. 1 Cass. com. 27 oct. 2017, n&deg; 16-11.644, et notre note, &laquo; Fraude au paiement carte 3D Secure : la possibilit&eacute; d&rsquo;une n&eacute;gligence grave du porteur &raquo;, Revue Banque n&deg; 814, d&eacute;c. 2017, p. 64. 2 Cass. com. 18 janv. 2017, n&deg; 15-18.102, et notre note, &laquo; Utilisation frauduleuse d&rsquo;un instrument de paiement : la probatio diabolica ? &raquo;, Revue Banque n&deg; 806, mars 2017, p. 72. 3 CA Amiens, 1re ch. civ., 19 avr. 2016, n&deg; 14/01861, Caisse de Cr&eacute;dit Mutuel de Beauvais c/ X. 4 Cass. com. 17 mai 2017, n&deg; 15-28.209, Banque &amp; Droit n&deg; 175, sept.-oct. 2017, comm. Th. Bonneau, p. 22. 5 M. Clais, &laquo; Les d&eacute;bits frauduleux sur compte bancaire &raquo;, ONDRP, Flash crim n&deg; 14, mai 2018. Pour une enqu&egrave;te approndie sue p&eacute;riode ant&eacute;rieure, voir M. Clais, &laquo; Les d&eacute;bits frauduleux sur compte bancaire &raquo;, ONDRP, Rep&egrave;res n&deg; 30, sept. 2015.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Droit des moyens et services de paiement

Fraude aux instruments de paiement : le nouvel équilibre ?

Le droit de la fraude aux instruments de paiement s’enrichit d’un nouvel arrêt qui nous paraît trouver un point d’équilibre intéressant entre la responsabilité des prestataires et celle des utilisateurs de services de paiement.

À retrouver dans la revue

Métiers

Une page s’est tournée pour l’Europe financière

Intelligence artificielle

Le meilleur usage
du numérique est celui
qu’on ne voit pas

Banque de financement et d'investissement (BFI)

Un pont reste à franchir vers l’économie circulaire

Technologie

XBRL : un vaste champ d’applications

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Droit des moyens et services de paiement

Fraude aux instruments de paiement : le nouvel équilibre ?

Le droit de la fraude aux instruments de paiement s’enrichit d’un nouvel arrêt qui nous paraît trouver un point d’équilibre intéressant entre la responsabilité des prestataires et celle des utilisateurs de services de paiement.

À retrouver dans la revue

Une page s’est tournée pour l’Europe financière

Le meilleur usage du numérique est celui qu’on ne voit pas

Un pont reste à franchir vers l’économie circulaire

XBRL : un vaste champ d’applications

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Le meilleur usage
du numérique est celui
qu’on ne voit pas