Les achats sur internet conduisent les clients à utiliser leurs identifiants personnels nécessaires à l’exécution des paiements générés par ces achats. Ces identifiants (nom, numéro de carte bancaire, date d’expiration et cryptogramme figurant au verso de la carte) participent des dispositifs/données de sécurité personnalisés mis à leur disposition par leur banque et devant être conservés précieusement[1], une négligence grave dans leur conservation ayant pour conséquence de mettre à leur charge toutes les pertes occasionnées par les opérations non autorisées[2]. Étant rappelé que la preuve de la négligence incombe au banquier et que la seule utilisation de l’instrument de paiement et des données personnelles qui lui sont liées ne suffit pas à prouver la négligence[3].
La Cour de cassation l’a rappelé dans ses arrêts du 18 janvier 2017[4] alors même que les opérations de paiement nécessitaient l’usage cumulé des identifiants bancaires et d’un code de confirmation envoyé sur le téléphone portable des clients. Solution qui nous avait interpellé car le code de confirmation, envoyé au moment de l’achat sur le téléphone portable personnel des clients, permet de sécuriser les opérations de paiement. Aussi aurait-on pu considérer que l’usage de ce code traduisait une négligence grave dans la conservation des données bancaires personnelles.
La Cour de cassation n’a pas retenu cette solution dans ses arrêts du 18 janvier 2017 : communiquer ses identifiants personnels et les codes de confirmation en réponse à un mail frauduleux – on parle d’hameçonnage ou de phishing – ne caractérise pas la négligence grave à l’obligation de conservation prévue par l’article L. 133-16 du Code monétaire et financier. Elle ne la retient pas plus dans ses arrêts des 25 octobre 2017[5] et 28 mars 2018[6]. Étant rappelé que l’arrêt du 25 octobre 2017 a posé une limite : la conscience du client. Si on peut considérer que le client a eu conscience du caractère frauduleux des mails reçus, la communication de ses identifiants bancaires et des informations relatives à son compte chez son opérateur téléphonique permettant de les obtenir est susceptible de caractériser une négligence grave à son obligation de conservation des dispositifs de sécurité personnalisés. L’arrêt du 28 mars 2018 est dans le prolongement de cette décision car il prend position sur l’approche à retenir pour caractériser la conscience du client.
Deux approches sont en effet possibles : une approche subjective et une approche objective. L’approche subjective consiste à savoir si le client, victime de l’hameçonnage, a pu personnellement détecter le caractère frauduleux des demandes d’informations. L’approche objective conduit à se demander si le client normalement attentif pouvait, en raison des éléments ou indices portés à sa connaissance, se douter du caractère frauduleux des demandes d’information. L’approche subjective avait été retenue par les juges du fond dans l’espèce à l’origine de l’arrêt du 28 mars 2018. Leur décision est censurée par la Cour de cassation qui consacre, dans cet arrêt, l’approche objective : la négligence du client peut être caractérisée si le courriel « contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».
Cette approche a été reprise par la Cour de cassation dans ses arrêts des 6 juin 2018[7] et 1er juillet 2020. Le second ne se contente toutefois pas de rappeler cette solution. Il va plus loin dans une espèce où le tribunal d’instance avait considéré que le client avait été victime de la fraude commise par un tiers, ce qui l’avait conduit à estimer que le client ne pouvait pas être tenu comme « entièrement responsable de son préjudice » : sa décision est censurée par la Cour dans l’arrêt du 1er juillet 2020.
La Cour statue au visa des articles L. 133-19, IV, et L. 133-16 du Code monétaire et financier pris dans leur rédaction antérieure à celle issue de l’ordonnance du 9 août 2017[8]. Toutefois les changements apportés à l’article L. 133-16, alinéa 1, par ce texte[9] sont sans incidence sur la solution consacrée par la Cour : la négligence grave dans la conservation, hier du dispositif de sécurité personnalisé[10], aujourd’hui des données de sécurité personnalisées[11], doit être appréciée sans prendre en compte la bonne foi du client : « attendu qu’il résulte du premier de ces textes que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation, imposée à l’utilisateur de services de paiement par le second de ces textes, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition ». Or le tribunal d’instance avait pris en considération la bonne foi du client puisqu’il avait souligné qu’il avait « été victime d’une fraude commise par un tiers ». Ce qui a conduit la Cour de cassation à censurer la décision du tribunal dans les termes suivants : « Qu’en statuant ainsi, alors qu’il avait aussi retenu que M. Bertrand avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message qu’il comportait, le tribunal a violé les textes susvisés. »
Cette jurisprudence est favorable aux établissements de crédit et participe, selon un auteur[12], « d’une meilleure sécurité des moyens de paiement ». Elle n’est pas étonnante dans la mesure où l’approche objective est retenue dans bien d’autres domaines, notamment en matière de manquement d’initié[13]. Elle doit inviter les clients à la prudence lorsqu’ils reçoivent des mails truffés d’erreurs et leur demandant de communiquer des informations confidentielles.
Opérations de paiement non autorisées – Négligence du client – Bonne foi.
[1]. Art. L. 133-16, al. 1, Code monétaire et financier.
[2]. Art. L. 133-19, IV, Code préc.
[3]. Art. L. 133-23, Code préc.
[4]. Cass. com. 18 janvier 2017, Banque et Droit n° 172, mars-avril 2017. 32, obs. Th. Bonneau ; JCP 2017, éd. G, 241, note J. Lasserre Capdeville ; Revue Banque n° 806, mars 2017. 72, note P. Storrer ; Rev. dr. bancaire et financier, mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck ; adde, v. Ch. Gamleu Kameni, « La responsabilité de la banque pour utilisation frauduleuse d’un instrument de paiement par un tiers », Banque et Droit n° 172, mars-avril 2017, 22.
[5]. Cass. com. 25 octobre 2017, Banque et Droit n° 177, janvier-février 2018. 20, obs. Th. Bonneau ; D. 2017 p 2465, note F. Mélin ; Revue Banque n° 814, décembre 2017. 64, obs. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; Rev. dr. bancaire et financier, novembre-décembre 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. Pal. 27 février 2018. 55, note C. Houin-Bressan.
[6]. Cass. com. 28 mars 2018, Banque et Droit n° 180, juill.-août 2018. 8, obs. Th. Bonneau ; JCP 2018, éd. G, 458, obs. N. Kilgus et éd. E, 1272, note K. Rodriguez ; Revue Banque n° 821, juin 2018. 75, obs. P. Storrer ; Gaz. Pal. n° 21, 12 juin 2018. 55, note C. Houin-Bressand ; Rev. trim. dr. com. 2018. 436, obs. D. Legeais.
[7]. Cass. com. 6 juin 2018, arrêt n° 502 F-D, pourvoi n° Y 16-29065, Caisse de crédit mutuel de Fruges et al. c/ Leroy, Gaz. Pal. 23 octobre 2018, p 52, note C. Houin-Bressand : « Attendu que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance. »
[8]. Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
[9]. Le IV de l’article L. 133-19 du Code monétaire et financier n’a pas été modifié en 2017. Sur les modifications apportées au I de ce texte qui a été enrichi d’un V et d’un VI, v. art. 1, 19°), ordonnance du 9 août 2017.
[10]. Art. L. 133-16, al. 1, Code monétaire et financier (dans sa rédaction antérieure à l’ordonnance du 9 août 2017) : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. »
[11]. Art. L. 133-16, al. 1, Code monétaire et financier (issue de l’ordonnance du 9 août 2017) : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. »
[12]. N. Kilgus, obs. sous Cass. com. 28 mars 2018, JCP 2018, éd. G, 458.
[13]. V. Th. Bonneau, Régulation bancaire et financière européenne et internationale, Bruylant, 5e éd. 2020, n° 289.
