Comptes, crédits et moyens de paiement : Opérations de paiement – Internet – Absence d’autorisation – Utilisation des données personnelles – Hameçonnage – Charge de la preuve.

Créé le

20.04.2017

Mis à jour le

20.06.2017

Cass. com. 18 janvier 2017, arrêt n° 108 FS-P+B+I, pourvoi n° M 15-18.102, Caisse de Crédit Mutuel de Wattignies c/ Chavatte.
Cass. com. 18 janvier 2017, arrêt n° 109 FS-D, pourvoi n° U 15-18.224, Caisse Fédérale de Crédit Mutuel Nord-Europe c/ Mangatia.
Cass. com. 18 janvier 2017, arrêt n° 110 FS-D, pourvoi n° J 15-26.058, Caisse de Crédit Mutuel d’Hellemme c/ Fligiter.
Cass. com. 18 février 2017, arrêt n° 111 FS-D, pourvoi n° Z 15-22.783, Caisse de Crédit Mutuel de Harnes et al. c/ Tekieli.
Cass. com. 18 janvier 2017, arrêt n° 113 FS-D, pourvoi n° H 15-18.466, Caisse Fédérale du Crédit Mutuel Nord Europe et al. c/ Pernel.

« Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du Code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Thierry Bonneau

Agrégé des facultés de droit, professeur Université Paris-Panthéon-Assas

Lorsque des achats sur Internet ont été effectués avec les identifiants personnels du client, mais sans autorisation de celui-ci, qui supporte le risque ? Le client ou le banquier [1] ?

On pourrait penser que le client, dénommé utilisateur des services de paiement, doit supporter le risque. Il doit en effet conserver en toute sécurité les dispositifs personnalisés de sécurité mis à sa disposition par sa banque, appelé prestataire de services de paiement, notamment pour ses e-achats [2] . Or, si ces identifiants ont été utilisés pour des opérations qu’il conteste, c’est sans doute qu’il les a mal conservés ; il peut les avoir communiqués en répondant à un mail frauduleux : on parle en ce cas de « hameçonnage ».

Une telle conclusion n’est pas sans intérêt pour le banquier, car il lui appartient de rapporter la preuve que son client, qui nie avoir autorisé les opérations de paiement contestées portées au débit de son compte, a agi frauduleusement [3] ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations [4] . Elle est toutefois écartée par la Cour de cassation dans cinq arrêts, dont l’un est destiné au bulletin officiel de la cour, en date du 18 janvier 2017. Ce qui n’est pas étonnant en raison des dispositions de l’article L. 133-23, alinéa 2, du Code monétaire et financier, selon lequel « l’utilisation de l’instrument de paiement […] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière [5] ». D’autant que la solution est conforme à la jurisprudence antérieure aux textes SEPA dont sont issus les textes pris en compte par la Cour de cassation dans les arrêts susmentionnés. La Cour [6] avait en effet considéré que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve » d’une faute lourde [7] .

Cette solution est très protectrice des clients. On peut toutefois s’interroger, car elle peut conduire finalement à consacrer une preuve impossible. Il est vrai qu’il est aisé de détourner des identifiants bancaires liés à une carte. Mais lorsque le système de paiement utilise des moyens complémentaires pour sécuriser le paiement, notamment un code de confirmation envoyé sur le téléphone portable du client lui-même, ce qui est le cas du système de paiement à distance utilisé dans les espèces à l’origine des arrêts commentés – appelé système « payweb » –, est-ce que le dispositif de paiement n’est pas sécurisé d’une façon telle que l’usage cumulé des identifiants bancaires et du téléphone prouve que le client est à l’origine des opérations qu’il conteste ou qu’il a été particulièrement négligent ? Il est certain que les seules opérations contestées ne rapportent pas directement la preuve de la négligence grave du client. Il est également exact que le Code monétaire et financier ne pose aucune présomption en faveur du banquier. Mais est-ce qu’une présomption simple ne devrait pas l’être lorsque le dispositif de paiement implique l’usage du téléphone portable du client ? Étant observé qu’une telle présomption n’est pas nécessaire si la preuve de la fourniture d’un code de confirmation par texto sur téléphone portable permet de caractériser la négligence du client. Or l’article L. 133-23, en indiquant que l’utilisation de l’instrument de paiement « ne suffit pas nécessairement » à apporter la preuve, permet sans doute de tenir compte des efforts des banquiers pour sécuriser les dispositifs de paiement à distance.

La chronique Comptes, crédits et moyens de paiement est assurrée par Geneviève Helleringer et Thierry Bonneau.

1 Sur la recevabilité de la demande du client contre la Caisse fédérale du Crédit Mutuel qui ne tient pas le compte, lequel l’est par une Caisse locale de Crédit Mutuel, v. not. Cass. com. 18 janvier 2017, arrêt n° 109 : « Mais attendu qu’après avoir relevé qu’il ressortait des statuts de la Caisse fédérale que celle-ci avait pour but de gérer les intérêts communs des Caisses affiliées et de leurs sociétaires et que la définition d’une politique commune face à la fraude et la défense des intérêts des caisses en justice relevait de la gestion des intérêts communs, le jugement retient que la Caisse fédérale a pris très rapidement le relais de la Caisse locale pour la gestion, via son service relation clientèle, de la réclamation de M. Mangatia ; qu’en déduisant de ces constatations et appréciations, dont il ressort que la Caisse fédérale s’était immiscée dans la gestion de la caisse locale pour le traitement du litige l’opposant à M. Mangatia, créant pour ce dernier une apparence trompeuse propre à lui laisser croire qu’elle prenait part à ses engagements, que l’action de M. Mangatia à l’encontre de la Caisse fédérale était recevable, le tribunal a légalement justifié sa décision. » 2 Art. L. 133-16, al. 1, Code monétaire et financier. 3 La fraude est visée par l’article L. 133-19, III, Code préc. « III. Sauf agissement frauduleux de sa part… » ainsi que par l’article L. 133-19, IV, du même code « pertes régissant d’un agissement frauduleux ». 4 Cf. art. L. 133-23, al. 2, Code préc., in fine : « a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Voir également, art. L. 133-19, Code préc. : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». 5 Voir également, art. L. 133-19, IV, code préc. 6 Com. 2 octobre 2007, Bull. civ. IV n° 208 p. 241 ; Banque et Droit n° 117, janvier-février 2008. 22, obs. Th. Bonneau ; Rev. dr. banc. et fin. n° 6, novembre-décembre 2007. 60, obs. E. Caprioli ; D. 2008, p. 454, note A. Boujeka ; Rev. trim. dr. com. 2007. 813, obs. D. Legeais ; Civ. 1re, 28 mars 2008, Banque et Droit n° 119, mai-juin 2008. 18, obs. Th. Bonneau ; Rev. trim. dr. com. 2008. 607, obs. D. Legeais ; Com. 21 septembre 2010, Banque et Droit n° 134, novembre-décembre 2010. 20, obs. Th. Bonneau ; Rev. dr. banc. et fin., mars-avril 2011, com. n° 40, p. 53, note F-J. Crédot et Th. Samin). 7 Cette solution a toutefois été remise en cause dans un arrêt du 16 octobre 2012 (Banque et Droit n° 147, janvier-février 2012. 21, obs. Th. Bonneau ; JCP 2012, éd. E, 1680, note S. Piedelièvre ; D. 2013, p. 407, note J. Lasserre Capdeville ; Rev. trim. dr. com. 2012. 825, obs. D. Legeais) selon lequel un client qui laisse sa carte de paiement et son code confidentiel dans la boite à gant de son véhicule commet une imprudence constitutive d’une faute lourde.

Documents à télécharger:

Link

À retrouver dans la revue

Notes :
1 Sur la recevabilité de la demande du client contre la Caisse fédérale du Crédit Mutuel qui ne tient pas le compte, lequel l’est par une Caisse locale de Crédit Mutuel, v. not. Cass. com. 18 janvier 2017, arrêt n° 109 : « Mais attendu qu’après avoir relevé qu’il ressortait des statuts de la Caisse fédérale que celle-ci avait pour but de gérer les intérêts communs des Caisses affiliées et de leurs sociétaires et que la définition d’une politique commune face à la fraude et la défense des intérêts des caisses en justice relevait de la gestion des intérêts communs, le jugement retient que la Caisse fédérale a pris très rapidement le relais de la Caisse locale pour la gestion, via son service relation clientèle, de la réclamation de M. Mangatia ; qu’en déduisant de ces constatations et appréciations, dont il ressort que la Caisse fédérale s’était immiscée dans la gestion de la caisse locale pour le traitement du litige l’opposant à M. Mangatia, créant pour ce dernier une apparence trompeuse propre à lui laisser croire qu’elle prenait part à ses engagements, que l’action de M. Mangatia à l’encontre de la Caisse fédérale était recevable, le tribunal a légalement justifié sa décision. »
2 Art. L. 133-16, al. 1, Code monétaire et financier.
3 La fraude est visée par l’article L. 133-19, III, Code préc. « III. Sauf agissement frauduleux de sa part… » ainsi que par l’article L. 133-19, IV, du même code « pertes régissant d’un agissement frauduleux ».
4 Cf. art. L. 133-23, al. 2, Code préc., in fine : « a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». Voir également, art. L. 133-19, Code préc. : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».
5 Voir également, art. L. 133-19, IV, code préc.
6 Com. 2 octobre 2007, Bull. civ. IV n° 208 p. 241 ; Banque et Droit n° 117, janvier-février 2008. 22, obs. Th. Bonneau ; Rev. dr. banc. et fin. n° 6, novembre-décembre 2007. 60, obs. E. Caprioli ; D. 2008, p. 454, note A. Boujeka ; Rev. trim. dr. com. 2007. 813, obs. D. Legeais ; Civ. 1re, 28 mars 2008, Banque et Droit n° 119, mai-juin 2008. 18, obs. Th. Bonneau ; Rev. trim. dr. com. 2008. 607, obs. D. Legeais ; Com. 21 septembre 2010, Banque et Droit n° 134, novembre-décembre 2010. 20, obs. Th. Bonneau ; Rev. dr. banc. et fin., mars-avril 2011, com. n° 40, p. 53, note F-J. Crédot et Th. Samin).
7 Cette solution a toutefois été remise en cause dans un arrêt du 16 octobre 2012 (Banque et Droit n° 147, janvier-février 2012. 21, obs. Th. Bonneau ; JCP 2012, éd. E, 1680, note S. Piedelièvre ; D. 2013, p. 407, note J. Lasserre Capdeville ; Rev. trim. dr. com. 2012. 825, obs. D. Legeais) selon lequel un client qui laisse sa carte de paiement et son code confidentiel dans la boite à gant de son véhicule commet une imprudence constitutive d’une faute lourde.