Les achats sur Internet conduisent les clients à utiliser leurs identifiants personnels nécessaires à l’exécution des paiements générés par ces achats.
Ces identifiants (nom, numéro de carte bancaire, date d’expiration et cryptogramme figurant au verso de la carte) participent des dispositifs de sécurité personnalisés mis à leur disposition par leur banque et devant être conservés
précieusement
[1]
, une négligence grave dans leur conservation ayant pour conséquence de mettre à leur charge toutes les pertes occasionnées par les opérations non
autorisées
[2]
. Étant rappelé que la preuve de la négligence incombe au banquier et que la seule utilisation de l’instrument de paiement et des données personnelles qui lui sont liées ne suffit pas à prouver la
négligence
[3]
.
La Cour de cassation l’a rappelé dans ses arrêts du 18 janvier 2017, alors même que les opérations de paiement nécessitaient l’usage cumulé des identifiants bancaires et d’un code de confirmation envoyé sur le téléphone portable des clients. Solution qui nous avait interpellé, car le code de confirmation, envoyé au moment de l’achat sur le téléphone portable personnel des clients, permet de sécuriser les opérations de paiement. Aussi auraiton pu considérer que l’usage de ce code traduisait une négligence grave dans la conservation des données bancaires personnelles.
La Cour de cassation n’a pas retenu cette solution dans ses arrêts du 18 janvier
2017
[4]
: communiquer ses identifiants personnels et les codes de confirmation en réponse à un mail frauduleux – on parle d’hameçonnage – ne caractérise pas la négligence grave à l’obligation de conservation prévue par l’article L. 133-16 du Code monétaire et financier. Elle ne la retient pas plus dans son arrêt du 25 octobre 2017. Mais ce dernier pose une limite : la conscience du client. Si on peut considérer que le client a eu conscience du caractère frauduleux des mails reçus, la communication de ses identifiants bancaires et des informations relatives à son compte chez son opérateur téléphonique permettant de les obtenir est susceptible de caractériser une négligence grave à son obligation de conservation des dispositifs de sécurité personnalisés.
Étant observé que cette limite est strictement encadrée.
D’une part, la conscience du caractère frauduleux du mail est appréciée, au cas par cas, « au regard des circonstances de l’espèce ». On doit souligner qu’il s’agit d’un élément subjectif et que la preuve sera le plus souvent difficile à rapporter.
D’autre part, les informations communiquées portent tant sur les identifiants bancaires que sur la possibilité de prendre connaissance des codes de confirmation via un compte d’un opérateur téléphonique. L’étendue des informations communiquées est assez large, car on y inclut l’ensemble des éléments d’information permettant de réaliser et de valider des opérations de paiement.
On doit seulement observer que ce qui compte, c’est que la communication permette de connaître les codes de confirmation et qu’elle ne porte pas sur les codes euxmêmes, ce qui n’est pas étonnant puisque ces codes ont une durée de validité temporaire.
1
Art. L. 133-16, al. 1, Code monétaire et financier : « Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. »
2
Art. L. 133-19, IV, Code préc. : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »
3
Art. L. 133-23, Code préc.
4
Cass. Com. 18 janvier 2017, Banque et Droit n° 172, mars-avril 2017. 32, obs. Th. Bonneau ; JCP 2017, éd. G, 241, note J. Lasserre Capdeville ; Revue Banque n° 806, mars 2017. 72, note P. Storrer ; Rev. dr. banc. et fin., mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck ; adde, v. Ch. Gamleu Kameni, « La responsabilité de la banque pour utilisation frauduleuse d’un instrument de paiement par un tiers », Banque et Droit n° 172, mars-avril 2017. 22.
