L’arrêt rendu le 9 mars 2022 est classique. En effet, il n’innove pas en indiquant qu’il revient au banquier de rapporter la preuve que le client n’a pas satisfait, de façon grave, à ses obligations, notamment de conservation des dispositifs de sécurité personnalisés, et que cette preuve ne peut pas se déduire du seul fait que l’instrument de paiement ou les données personnelles qui sont liées ont été effectivement utilisés. Ces solutions ont déjà été consacrées par les arrêts du 18 janvier 20171. Leur prise en compte n’est cependant pas sans intérêt dans l’espèce à l’origine de l’arrêt commenté.
Il est certain que les dispositifs de sécurité du client ont été utilisés à l’insu de celui-ci. En l’occurrence, l’ordinateur avait été piraté et l’ordre de virement frauduleux a été émis pendant l’absence du client, celui-ci s’étant absenté tout en laissant son ordinateur connecté au site de la banque, et cela alors même que les conditions générales de la convention liant le client à la banque prévoient qu’à la fin de chaque utilisation du service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service. On aurait donc pu penser que le maintien de la connexion en méconnaissance des obligations contractuelles devait être considéré comme une négligence grave au sens de l’article L 133-16 qui impose au client de prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » : si ces données sont conservées sur l’ordinateur et que celui-ci est laissé sans surveillance alors qu’il est connecté au site de la banque, n’est-ce pas là la preuve que le client a été négligent ? Mais est-ce une négligence si grave ? Rien n’est moins sûr. C’est sans doute la portée de l’arrêt, celui-ci censurant une décision qui retenait « que le virement n’a pu avoir lieu que parce que, à la fois, la clé de sécurité était introduite dans l’ordinateur et l’opérateur n’était pas à son poste, car sinon il aurait constaté la prise en main à distance ». Et il est vrai que la motivation subséquente de l’arrêt censuré n’est pas plus pertinente lorsqu’il est souligné « qu’il n’appartient pas au Crédit mutuel de rapporter la preuve de l’absence de l’opérateur à son poste au moment du virement, ni de démontrer que la présence de l’opérateur aurait pu rendre ce virement impossible, ni d’établir que l’anti-virus de la société n’était pas à jour ou qu’un autre système de protection aurait pu détecter et neutraliser plus efficacement le virus » ou lorsqu’il en est « déduit que les conditions générales de la convention “formule clé”, lesquelles prévoient notamment qu’à la fin de chaque utilisation ou service, le souscripteur doit veiller à se déconnecter systématiquement et correctement du service, sont opposables à la société et qu’il n’est pas établi que le virement frauduleux a pu être réalisé en raison d’une insuffisance du système de sécurisation des transactions que le Crédit mutuel a fourni à la société ».
