Square
 
Espace Banque & Droit

Le banquier peut-il se prévaloir
de la négligence grave de son client en l’absence d’authentification forte ?

Créé le

06.12.2023

Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services
de paiement du payeur n’exige une authentification forte
du payeur dans les cas prévus par les textes.

Thierry Bonneau
  • Agrégé des facultés de droit, professeur Université Paris-Panthéon-Assas

En cas d’opération de paiement non autorisée, le client a le droit d’en obtenir le remboursement1 sauf si le banquier peut prouver sa négligence grave2, la seule utilisation de l’instrument de paiement et des données personnelles n’en étant pas constitutive3. La Cour de cassation a été conduite à prendre position sur cette notion en cas d’hameçonnage, terme qui vise la réception de mails frauduleux conduisant les clients à communiquer à un tiers leurs identifiants bancaires. Une telle communication peut caractériser une négligence grave si le client a eu conscience du caractère frauduleux du mail reçu4. Cette faute ne peut toutefois pas être prise en considération5 dans les hypothèses légales où une authentification forte est exigée, ce qui est notamment le cas des opérations à distance6.

La notion d’authentification forte est définie par le Code monétaire et financier7. Concrètement, elle peut conduire le client à communiquer les éléments d’information de sa carte bancaire et à recevoir, sur son téléphone portable, un message de la banque afin de valider l’opération sur le site de celle-ci8. L’authentification forte est conçue comme une protection renforcée de la clientèle en raison des risques de fraude pouvant affecter les opérations exécutées. Elle l’est d’autant plus que si cette authentification n’est pas mise en place par la banque et qu’une opération de paiement est contestée par le client, la banque ne peut pas alors se prévaloir de la négligence de son client9.

La Cour de cassation le rappelle dans son arrêt du 30 août 2023. Cette décision est la première concernant l’authentification forte. Elle doit donc retenir l’attention des banquiers qui doivent veiller à la mise en place de l’authentification forte dans les cas imposés par le Code monétaire et financier. n

À retrouver dans la revue
Banque et Droit Nº212
Notes :
1 Art. L. 133-19, I, Code monétaire et financier.
2 Art. L. 133-19, IV, Code préc.
3 Cass. com. 18 janvier 2017, pourvois n° M 15-18102, U 15-18224, J 15-26058,
Z 15-22783 et H 15-18466, Banque et Droit n° 172, mars-avril 2017. 32, obs. Th. Bonneau ; JCP 2017, éd. E, 1122, note Rodriguez et éd. G, 241, note J. Lasserre Capdeville ; Revue Banque n° 806, mars 2017, 72, note P. Storrer ; RD bancaire et fin., mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck ; Cass. com. 21 nov. 2018, pourvoi n° 17-18888, Gaz. Pal. 19 févr. 2019. 54, note M. Roussille ; Cass. com. 9 mars 2022, Banque et Droit n° 204, juillet-août 2022. 35, obs. Th. Bonneau.
4 Cass. com. 25 octobre 2017, Banque et Droit n° 177, janv.-févr. 2018. 20, obs. Th. Bonneau ; D. 2017 p. 2465, note Mélin ; Revue Banque n° 814, déc. 2017. 64, obs. P. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; RD bancaire et fin. nov.-déc. 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. Pal 27 févr. 2018. 55, note C. Houin-Bressan.
5 Art. L. 133-19, V, Code monétaire et financier : « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »
6 Art. L. 133-44, I, Code préc. : « Le prestataire de services de paiement applique l’authentification forte du client définie au f de l’article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. »
7 Art. L. 133-4, Code monétaire et financier :« f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »
8 V. J. Lasserre Capdeville, « 3 questions – Où en sommes-nous de l’entrée en vigueur des dispositions nouvelles relatives à l’authentification forte », JCP éd. E, n° 36, 3 septembre 2020, 567 ; A. Maymont, « La maîtrise des risques juridiques en cas de paiments frauduleux », Rev. dr. bancaire et financier, mars-avril 2021, Dossier 10, spéc. n° 6.
9 V. N. Kilgus, « Authentification forte et preuve de la négligence grave de l’utilisateur d’un instrument de paiement », Mélanges AEDBF France, 2022, VIII, p. 43 et s.
RB