Certains litiges perdurent et sont riches en rebondissements. Il en est ainsi de celui qui est à l’origine des arrêts des 25 octobre 2017[1] et 12 novembre 2020. Le banquier avait obtenu une victoire avec le premier puisque la Cour de cassation avait cassé la décision attaquée rendue en faveur du client. Il a en revanche subi une défaite avec le second qui censure la décision prise à son profit. On pourrait penser, au vu de ces décisions, que la jurisprudence tangue et que, par voie de conséquence, elle est incohérente. Il n’en est toutefois rien. Les arrêts des 25 octobre 2017 et 12 novembre 2020 mettent seulement en lumière des facettes différentes de la mise en jeu la responsabilité du client en cas d’opération non autorisée à la suite d’un hameçonnage, le client ayant communiqué ses identifiants personnels et ses codes de confirmation (nom, numéro de carte bancaire, date d’expiration et cryptogramme figurant au verso de la carte) en réponse à un mail frauduleux.
Les facettes peuvent être triplement caractérisées. Il y a les prérequis, les indifférents et les pertinents.
Les prérequis sont illustrés par l’une des dispositions de l’article L 133-23, alinéa 1, du Code monétaire et financier : le banquier doit prouver que l’opération prétendûment non autorisée a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une défaillance technique. Cette double preuve est expressément – selon le texte précité, « il incombe du prestataire de service de paiement de prouver […] » – à la charge du banquier. Aussi, si elle n’est pas apportée, il est inutile de prétendre que le client a commis une faute et qu’il doit supporter la perte occasionnée par l’opération non autorisée. C’est ce qui résulte très clairement, et cela sans surprise en raison même de la lettre de l’article L 133-23 du Code monétaire et financier, de l’arrêt rendu par la Cour de cassation le 12 novembre 2020.
Cette preuve participe toutefois également des indifférents. Il a été en effet jugé que « l’utilisation sans défaillance technique ou piratage des services de paiement en cause ne permettait pas de présumer la négligence grave » des clients[2]. De même, la seule utilisation de l’instrument de paiement et des données personnelles qui lui sont liées ne suffit pas à prouver la négligence grave du client astreint, en vertu de l’article L 133-16 du Code monétaire et financier, à l’obligation de conservation des dispositifs de sécurité personnalisés : la Cour de cassation[3] a été très nette en ce sens.
Étant observé que les indifférents ne sont pas seulement énoncés au détriment du professionnel. Ils peuvent également concerner le client : sa bonne foi est en effet sans incidence ; elle n’a pas à être prise en considération, comme l’a jugé la Cour de cassation dans un arrêt du 1er juillet 2020[4], dans l’appréciation de la négligence grave commise par lui, une telle négligence conditionnant sa responsabilité.
On aborde, avec cette condition, les pertinents. La négligence grave du client peut être caractérisée en s’appuyant sur la conscience du client. Si on peut considérer que le client a eu conscience du caractère frauduleux des mails reçus, sa réponse, et donc la communication des éléments de son dispositif de sécurité personnalisé, est susceptible de caractériser une négligence grave de sa part. Cette solution a été consacrée par la Cour de cassation dans son arrêt du 25 octobre 2017[5] et explicitée par l’arrêt du 28 mars 2018[6].
Car deux approches sont possibles : une approche subjective et une approche objective. L’approche subjective consiste à savoir si le client, victime de l’hameçonnage, a pu personnellement détecter le caractère frauduleux des demandes d’information. L’approche objective conduit à se demander si le client normalement attentif pouvait, en raison des éléments ou indices portés à sa connaissance, se douter du caractère frauduleux des demandes d’information. La Cour de cassation a retenu, dans son arrêt du 28 mars 2018, l’approche objective : la négligence du client peut être caractérisée si le courriel « contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».
Cette décision est favorable aux établissements de crédit et participe, selon un auteur[7], « d’une meilleure sécurité des moyens de paiement ». Elle doit inviter les clients à la prudence lorsqu’ils reçoivent des mails truffés d’erreurs et leur demandant de communiquer de informations confidentielles. On peut toutefois se demander, à la lumière de l’arrêt du 12 novembre 2020, si cette faveur n’est pas finalement seulement un leurre !
Cartes de paiement – Opération non autorisée – Authentification – Absence de défaillance technique – Charge de la preuve.
[1] . Com. 25 octobre 2017, Banque et Droit n° 177, janv.-févr. 2018. 20, obs. Th. Bonneau ; D. 2017 p. 2465, note F. Mélin ; Revue Banque n° 814, déc. 2017. 64, obs. P. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; Rev. dr. bancaire et financier nov.-déc. 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. Pal 27 févr. 2018. 55, note C. Houin-Bressan.
[2] . Cass. com. 3 avril 2019, arrêt n° 349 FS-D, pourvoi n° X 18-11293, Caisse de crédit mutuel de Cysoing c/ Tiberghien.
[3] . Cass. com. 18 janvier 2017, pourvois n° M 15-18102, U 15-18224, J 15-26058, Z 15-22783 et H 15-18466, Banque et Droit, mars-avril 2017. 32, n° 172, obs. Th. Bonneau ; JCP 2017, éd. E, 1122, note K. Rodriguez et éd. G, 241, note J. Lasserre Capdeville ; Revue Banque, mars 2017. 72, n° 806, note P. Storrer ; Rev. dr. bancaire et financier, mars-avril 2017, com. n° 44, obs. Th. Samin et S. Torck. Dans le même sens, Cass. com. 28 mars 2018, Banque et Droit juill.-août 2018. 8, obs. Th. Bonneau ; JCP 2018, éd. G, 458, obs. N. Kilgus et éd. E, 1272, note K. Rodriguez ; Revue Banque n° 821, juin 2018. 75, obs. P. Storrer ; Gaz. Pal. n° 21, 12 juin 2018. 55, note C. Houin-Bressand ; Rev. trim. dr. com. 2018. 436, obs. D. Legeais ; Cass. com. 21 nov. 2018, pourvoi n° 17-18888, Gaz. Pal. 19 févr. 2019. 54, note M. Roussille.
[4] . Cass. com. 1er juillet 2020, pourvoi n° C 18-21.487, Banque et Droit novembre-décembre 2020, obs. Th. Bonneau ; Revue Banque n° 848 octobre 2020. 72, note P. Storrer ; JCP 2020, éd. E, 1399, note K. Rodriguez.
[5] . Cass. com. 25 octobre 2017, Banque et Droit n° 177, janv.-févr. 2018. 20, obs.Th. Bonneau ; D. 2017 p. 2465, note F. Mélin ; Revue Banque n° 814, déc. 2017. 64, obs. P. Storrer ; JCP 2017, éd. E, 1685, note D. Legeais ; Rev. dr. bancaire et financier nov.-déc. 2017, com. n° 233, obs. Th. Samin et S. Torck ; Gaz. Pal 27 févr. 2018. 55, note C. Houin-Bressan.
[6] . Cass. com. 28 mars 2018, préc.
[7] . N. Kilgus, obs. sous Cass. com. 28 mars 2018, JCP 2018, éd. G, 458.
