Le banquier est normalement tenu de rembourser son client dès lors que celui-ci n’a pas autorisé l’opération de paiement qui a été réalisée[1]. Cette obligation n’est toutefois pas absolue. Elle cède devant la preuve que le client n’a pas satisfait, de façon grave, à ses obligations, notamment de conservation des dispositifs de sécurité personnalisés.
Cette preuve doit être rapportée par le banquier sans qu’elle puisse être déduite, comme l’a jugé la Cour de cassation dans cinq arrêts du 18 janvier 2017[2], « du seul fait que l’instrument de paiement ou les données personnelles qui sont liées ont été effectivement utilisés »[3]. La Cour de cassation[4] a également précisé que « l’utilisation sans défaillance technique ou piratage des services de paiement en cause ne permettait de présumer la négligence grave » des clients[5].
Si donc, par principe, l’utilisation de l’instrument de paiement et des données personnelles ne peut pas être analysée en une négligence grave de la part du client, la solution n’est pas sans limite comme l’a montré l’arrêt rendu par la Cour de cassation le 25 octobre 2017[6] : si le client a eu conscience du caractère frauduleux des mails reçus – on parle d’hameçonnage – la communication de ses identifiants bancaires est susceptible de caractériser une négligence grave à son obligation de conservation des dispositifs de sécurité personnalisés. La conscience du client doit être appréciée objectivement : la négligence peut être caractérisée dès lors que le courriel « contient des indices permettant à un client normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage »[7]. Cette solution a été rappelée par un arrêt du 6 juillet 2018[8] ainsi que par l’arrêt du 2 juin 2021.
« Vu les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 :
3. Il résulte de ces textes que si, aux termes des deux premiers, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des deux derniers, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
4. Pour condamner la banque à rembourser la somme débitée du compte de sa cliente, le jugement, après avoir relevé qu’il apparaissait que Mme Sauzière avait été victime d’une opération d’hameçonnage sans que sa responsabilité puisse être engagée, se borne à retenir que la banque ne rapporte pas la preuve que sa cliente avait commis une négligence grave.
5. En se déterminant, par de tels motifs, sans rechercher si Mme Sauzière, utilisateur de services de paiement, n’avait pas manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, en communiquant les données personnelles du dispositif de sécurité en cause en réponse à un courriel qui aurait contenu des indices permettant à un utilisateur normalement attentif de douter de sa provenance, le tribunal n’a pas donné de base légale à sa décision. »
Étant précisé que la négligence grave du client doit être appréciée sans que soit prise en considération la bonne foi de celui-ci[9]. n
xxxquelques mots clefs de votre choix, mercixxxquelques mots clefs de votre choix, mercixxxquelques mots clefs de votre choix, mercixxxquelques mots clefs de votre choix, mercixxx
[1] . V. Th. Bonneau, Droit bancaire, 14e éd. 2021, LGDJ, n° 678.
[2] . Cass. com. 18 janvier 2017, Banque & Droit n° 172, mars-avril 2017. 32, Th. obs. Bonneau ; JCP 2017, éd. G, 241, note J. Lasserre Capdeville ; Revue Banque n° 806, mars 2017. 72, note P. Storrer ; RD bancaire et fin. mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck ; adde, v. Ch. Gamaleu Kameni, « La responsabilité de la banque pour utilisation frauduleuse d’un instrument de paiement par un tiers », Banque & Droit n° 172, mars-avril 2017. 22.
[3] . Dans le même sens, Cass. com. 21 nov. 2018, Gaz. Pal. 19 févr. 2019. 54, note M. Roussille.
[4] . Cass. com. 3 avril 2019, arrêt n° 349 FS-D, pourvoi n° X 18-11293, Caisse de crédit mutuel de Cysoing c/ Tiberghien.
[5] . Sur l’obligation pour le banquier de prouver que l’opération non autorisée a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, v. Cass. com. 12 nov. 2020, Banque & Droit n° 196, mars-avr. 2021. 16, obs. Th. Bonneau.
[6] . Cass. com. 25 octobre 2017, Banque & Droit n° 177, janv.-févr. 2018. 20, obs. Th. Bonneau ; D. 2017 p. 2465, note F. Mélin ; Revue Banque n° 814, déc. 2017. 64, obs. P. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; RD bancaire et fin., nov.-déc. 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. pal. 27 févr. 2018. 55, note C. Houin-Bressan.
[7] . Cass. com. 28 mars 2018, Banque & Droit, juill.-août 2018. 8, obs. Th. Bonneau ; JCP 2018, éd. G, 458, obs. N. Kilgus et éd. E, 1272, note K. Rodriguez ; Revue Banque n° 821, juin 2018. 75, obs. P. Storrer ; Gaz. Pal. n° 21, 12 juin 2018. 55, note C. Houin-Bressand ; RTD com. 2018. 436, obs. D. Legeais.
[8] . Cass. com. 6 juin 2018, Gaz. Pal. 23 oct. 2018, p. 52, note C. Houin-Bressand.
[9] . Cass. com. 1er juillet 2020, Banque & Droit n° 194, novembre-décembre 2020. 22, obs. Th. Bonneau ; Revue Banque n° 848, octobre 2020. 72, note P. Storrer ; JCP 2020, éd. E, 1399, note K. Rodriguez.
