La responsabilité de la banque pour utilisation frauduleuse d’un instrument de paiement par un tiers

Le recours aux instruments de crédit ou de paiement [1] en matière d’obligations financières s’accommode parfaitement aux exigences de l’économie moderne si l’on s’en tient à la sécurité et la rapidité inhérentes à ces instruments. S’agissant particulièrement des instruments de paiement, ils permettent à leurs utilisateurs d’éviter la manipulation de fortes espèces monétaires réduisant de ce fait l’insécurité que ceci est susceptible de créer. Peut-on donc parvenir à la conclusion suivant laquelle la réalisation des opérations de paiement grâce aux instruments de paiement constitue un gage de sécurité ? La réponse est affirmative. Toutefois, il convient de souligner que la sécurité liée aux instruments de paiement demeure relative puisque des fraudes y afférentes sont permanentes. L’arrêt rendu par la Cour de cassation chambre commerciale le 18 janvier 2017 constitue une parfaite illustration. Les faits de cet arrêt méritent d’être brièvement rappelés. Titulaire d’un compte dans les livres de la Caisse de Crédit Mutuel de Wattignies, M. X découvre que trois opérations de paiement ont été effectuées sur ledit compte. D’après ce dernier, il s’agit d’opérations frauduleuses. Il sollicite alors de sa banque le remboursement du montant lié aux opérations. La banque lui oppose un refus. M. X assigne la banque en paiement devant les juridictions de fond. Par jugement du 17 mars 2015, la juridiction de proximité de Lille condamne la banque à indemniser M. X. La banque forme un pourvoi contre le jugement du 17 mars 2015 devant la chambre commerciale de la Cour de cassation en relevant qu’elle ne saurait être condamnée au remboursement des opérations de paiement contestées. D’après elle, M. X est fautif. Conformément à la loi, d’une part, il n’a pas pris toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés et d’autre part, il n’a pas avisé dans les délais requis la banque d’une utilisation non autorisée de son instrument de paiement. Le pourvoi de la banque est formellement rejeté par la Cour de cassation. Tout ce qui précède laisse planer une interrogation : un établissement bancaire peut-il être condamné à indemniser un client dont le compte a été frauduleusement débité ? La chambre commerciale de la Cour de cassation répond par l’affirmative. Selon la haute juridiction, une banque est bel et bien responsable de l’utilisation frauduleuse de l’instrument de paiement de son client par un tiers dès lors qu’elle ne rapporte pas la preuve de la négligence, de l’imprudence ou de la défaillance du client. Cette décision qui met en lumière la responsabilité bancaire en matière d’utilisation frauduleuse d’instrument de paiement (I.) apparaît somme toute discutable (II.).

I. LA RESPONSABILITÉ DE LA BANQUE POUR UTILISATION FRAUDULEUSE D’UN INSTRUMENT DE PAIEMENT

La lecture de l’arrêt de la chambre commerciale de la Cour de cassation du 18 janvier 2017 est dénuée d’ambiguïté. En condamnant la Caisse de Crédit Mutuel de Wattignies, la haute juridiction relève clairement que la banque ne produit pas une preuve avérée de la faute du client dans la réalisation des opérations de paiement contestées (1.). Cette condamnation laisse également présager le manquement éventuel de la banque à son obligation de vigilance (2.).

1. Le défaut de production de preuve avérée de la faute du client par la banque

En droit commun, « celui qui réclame l’exécution d’une obligation doit la prouver. Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation [2] . » Ces termes véhiculent le principe de l’administration de la preuve par celui qui se plaint. Ce principe de droit commun n’est cependant pas applicable en matière bancaire. En effet, en matière d’opérations de paiement non autorisées ou mal exécutées, c’est à l’établissement bancaire de prouver soit l’autorisation de l’opération par le payeur, soit la défaillance du payeur [3] . Il convient donc de souligner que le cadre de l’exécution des rapports d’obligations au moyen des instruments de paiement telle la carte bancaire, la charge de la preuve est inversée. La Cour de cassation chambre commerciale le rappelle fort bien dans sa décision du 18 janvier 2017 en mettant clairement en jeu la responsabilité de la Caisse de Crédit Mutuel de Wattignies du fait de son incapacité à prouver la défaillance du client. Les opérations de paiement contestées par le client sont la résultante d’un filoutage. D’après les faits du litige, M. X, client de la Caisse de Crédit Mutuel, reçoit un courrier électronique ayant comme expéditeur sa banque et l’invitant à communiquer diverses informations confidentielles. C’est grâce à ce « hameçonnage » que trois opérations frauduleuses ont été réalisées sur son compte. Cette argumentation, mise en exergue par la Caisse de Crédit Mutuel, n’a pas été considérée comme une preuve suffisante permettant de dégager sa responsabilité.

Dans le même ordre d’idées, la preuve de l’« hameçonnage » fermement défendu lors pourvoi, a été rejetée sur la base du statut de dépositaire de tout établissement bancaire. Cela étant, en sa qualité de dépositaire du bien de M. X, la Caisse de Crédit Mutuel de Wattignies est tenue, suivant les termes de l’article 1937 du Code civil, de ne « restituer la chose déposée qu’à celui qui la lui a confiée, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir. » Or, cela n’a pas été le cas en l’espèce. C’est ainsi que dans l’arrêt rendu le 12 nov. 2008 [4] , la Cour de cassation souligne qu’en absence de faute des parties, la banque est tenue envers le client de ce qui lui a été confié bien que ce dernier ait tardé à déclarer les utilisations frauduleuses. D’où diverses obligations mises à la charge de la banque parmi lesquels l’obligation de vigilance.

2. L’éventuel manquement de la banque à son obligation de vigilance

En tant que professionnel, le banquier et par ricochet la banque est tenu à diverses obligations et/ou devoirs dans ses rapports avec son client qu’il soit une personne physique ou une personne morale. Tout comme l’obligation d’information ou l’obligation d’éclairer, l’obligation de vigilance [5] impose une surveillance quotidienne du banquier vis-à-vis des différentes opérations [6] réalisées par un client. Cet ensemble d’obligations contribue au parfait accomplissement des missions [7] de la banque au sein de la collectivité. À ce titre, la violation de l’une de ces obligations notamment de l’obligation de surveillance peut entraîner la responsabilité de la banque. Dans le cadre de ce contentieux, la condamnation de la Caisse de Crédit Mutuel de Wattignies au paiement de la somme de 838 euros à M. X par la juridiction de proximité de Lille s’articule sur deux points. Premièrement, la juridiction indique que la banque ne prouve pas que M. X a dévoilé ses informations personnelles. Deuxièmement, la banque commet un manquement à ses obligations contractuelles en fournissant à un tiers un code de confirmation pour valider les opérations contestées. En ce qui concerne le second point, la banque était-elle en mesure de déceler l’« hameçonnage » orchestré par les fraudeurs ? La réponse apparaît ambivalente. D’une part, n’étant pas en mesure de déceler promptement cette technique de fraude, la banque ne savait pas qu’elle communiquait des informations confidentielles à une tierce personne. D’autre part, sa qualité de professionnel lui imposait d’user de tous moyens dont elle dispose avant de communiquer la moindre information confidentielle à quiconque. Ayant manqué de vigilance et de surveillance, la banque s’est vue condamner à rembourser au client les opérations frauduleuses.

Force est de constater que la responsabilité de la Caisse de Crédit Mutuel de Wattignies aurait pour fondement le manquement du banquier à son obligation de vigilance, lequel manquement a été réitéré trois fois. Ceci dit, la banque est condamnable parce qu’elle a procédé à la validation de trois (3) opérations frauduleuses de paiement au moyen de la carte bancaire du client sans avoir procédé à des vérifications. À ce niveau, une question se pose : pourquoi la Cour de cassation ne s’est pas appesantie sur le processus de sécurité liée aux dispositifs de sécurité personnalisés ? Qu’importe. En rejetant le pourvoi, la Cour de cassation s’est plus appesantie sur le caractère peu convaincant de la preuve de l’« hameçonnage » que sur le processus de sécurité liée au paiement grâce aux instruments de paiement. Cet état de chose nous conduit à noter que la décision de la haute juridiction est discutable.

II. UNE DÉCISION DISCUTABLE

L’arrêt rendu par la chambre commerciale de la Cour de cassation le 18 janvier 2017 et opposant un établissement bancaire à son client personne physique met en exergue le contentieux entre un professionnel et un consommateur [8] . Compte tenu de sa vulnérabilité, le consommateur français bénéficie de nombreuses mesures de protection légalement reconnues [9] . Ces mesures légales de protection peuvent être remises en cause lorsque le consommateur contribue à la survenance de son préjudice. Tel semble être le cas dans le cadre de ce contentieux. En effet, cette décision qui condamne totalement l’établissement bancaire apparaît discutable dans la mesure où M. X a implicitement contribué à la survenance de son préjudice. Très concrètement, la négligence dont M. X a fait preuve lors de l’utilisation de son instrument de paiement (1.) le montre amplement. Bien plus, le défaut d’information immédiat de sa banque après que des opérations de paiement frauduleuses (2.) ont été réalisées sur son compte attestent qu’il a manqué à une obligation légale [10] .

1. La négligence du client lors de l’utilisation de son instrument de paiement

La carte bancaire est considérée comme la reine [11] des instruments de paiement. S’agissant de la fraude à la carte bancaire, doit-on s’acheminer vers un renforcement de la sécurité du titulaire [12] ? La réponse est sans doute négative. Car, d’après l’article L. 133-16 du Code monétaire et financier, « dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ». Ce dispositif qui vise indéniablement à responsabiliser toute personne utilisatrice d’instruments de paiement n’a pas été suffisamment mis en exergue dans la décision du 18 janvier 2017. Malgré la mention de l’article L. 133-16 cité dans son arrêt, les juges de la chambre commerciale de la Cour de cassation s’attellent surtout à montrer que la banque évoque juste un « hameçonnage » sans réellement apporter une preuve, comme l’exige l’article L. 133-23 du Code monétaire et financier.

Au regard des faits du litige, bien que M. X soit un consommateur, il est légalement tenu d’assurer la sécurité de ses dispositifs de sécurité personnalisés. La loi souligne explicitement qu’il est tenu de prendre « toute mesure raisonnable » dans cette initiative. En communiquant ses identifiants, mots de passe et codes de clefs suite à un courrier électronique frauduleux, M. X n’a pas pris de mesure raisonnable pour assurer la sécurité requise dans le cadre de l’utilisation de son instrument de paiement. Mais alors, était-il en mesure de savoir que le courrier électronique frauduleux n’avait pas été expédié par sa banque, la Caisse de Crédit Mutuel de Wattignies ? Aucunement. Cependant, sa prudence aurait justifié qu’il se rapprochât de son conseiller bancaire [13] avant de communiquer une information. L’imprudence d’un client est durement sanctionnée par la Cour de cassation. Tel a été le cas dans l’arrêt du 16 octobre 2012 [14] . La prudence du client aurait davantage justifié qu’il sollicitât son établissement bancaire afin de s’assurer que les informations confidentielles sollicitées ont été bien réceptionnées. Rien n’a été fait par M. X dans ce sens.

Force est de constater que le client a participé au moins partiellement à la survenance des opérations de paiement contestées du fait de sa négligence. Cette participation partielle à la survenance du préjudice résulte aussi du défaut d’information immédiat de la banque dès la réalisation des opérations frauduleuses contestées.

2. Le défaut d’information de la banque dès la réalisation des opérations frauduleuses

La décision rendue par la chambre commerciale de la Cour de cassation le 18 janvier 2017 est discutable. Ordinairement, la réparation d’un préjudice doit être assurée par toutes parties ayant directement ou indirectement participé à la survenance dudit préjudice. La décision du 18 janvier 2017 condamne entièrement la Caisse de Crédit Mutuel de Wattignies au remboursement des opérations de paiement frauduleusement réalisées sur le compte du client de cette banque et disculpe totalement ledit client. Or, d’après l’article L. 133-17-I du Code monétaire et financier, « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci ». Une interprétation stricte de ce texte de loi laisse présager qu’il incombe une obligation notoire à l’utilisateur d’un service de paiement victime d’une utilisation non autorisée : celle d’informer aussi rapidement que possible le prestataire du service aux fins du blocage de l’instrument.

Dans le cadre de ce contentieux, trois opérations frauduleuses ont été réalisées sans que M. X n’informe ou n’alerte la Caisse de Crédit Mutuel de Wattignies. Cette attitude ne constitue-t-elle pas un manquement de la part du client ? Une interprétation stricto sensu de l’article précité nous permet de répondre par l’affirmative. Ceci n’a pas été la logique de la haute juridiction. En condamnant la banque au remboursement du montant débité frauduleusement du compte de son client et, par ricochet, en dédouanant le client (consommateur) en l’espèce, la Cour de cassation a fait peser sur la banque (professionnel) la charge financière totale de cette fraude à la carte bancaire. Peu importe le montant de l’indemnisation ; une telle décision n’est-elle de nature à prôner la déresponsabilisation des consommateurs en général et des adeptes de sites d’achat souvent peu sécurisés en particulier ? Tout compte fait, la lutte contre l’utilisation frauduleuse des instruments de paiement [15] requiert la coopération des prestataires de services de paiement et plus encore des utilisateurs des services de paiement. Les prestataires de services de paiement, les banques doivent redynamiser leur service de lutte contre des fraudes de toutes sortes. Quant aux utilisateurs de services de paiement ou consommateurs, comme le prescrit la loi, ils doivent informer leur banque aussitôt que survient une opération de paiement suspecte.

1 Sur la question des instruments de paiement et de crédit, voir P. Le Cannu, T. Granier et R. Routier, Droit commercial – Instruments de paiement et de crédit – Titrisation, Dalloz, 9e éd., 2017 ; R. Bonhomme, Instruments de crédit et de paiement, LGDJ Lextenso éditions, 10e éd., 2013 ; J. Stoufflet, Instruments de crédit et de paiement – Effets de commerce – Chèque – Carte de paiement – Transfert de fonds, Lexisnexis, 8e éd., 2012. 2 Article 1353 du Code civil. 3 « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. » 4 Cass. com. 12 nov. 2008, RTD com. 2009, 186 obs. Legeais ; JCP 2008, II, 10211, note Lasserre Capdeville. 5 J. Lasserre Capdeville, « Précisions sur la cohabitation du devoir de non-ingérence du banquier avec les différentes manifestations de son devoir de vigilance », note sous Cass. com. 15 nov. 2016, Gaz. Pal. 24 janvier 2017, n° 4, p. 14. 6 Peu importe le caractère spéculatif ou non de ces opérations. 7 Recevoir des fonds du public, distribuer du crédit, assurer le service de paiement… 8 Il est loisible de parler de l’opposition entre le droit bancaire et le droit de la consommation. 9 Ces mesures sont consacrées par le Code de consommation et mises en oeuvre par diverses associations de protection des consommateurs. 10 L’article L. 133-17-I du Code monétaire et financier invite l’utilisateur des services de paiement à informer sans tarder le prestataire des services de paiement de toute utilisation non autorisée de son instrument de paiement. 11 M. Roussille, « La carte bancaire : reine des moyens de paiement à la destinée juridique tortueuse », Gaz. Pal., 4 févr. 2012, p. 12. 12 K. Rodriguez, « Fraude à la carte bancaire : vers un renforcement de la sécurité du titulaire ? », RD banc. fin. 2010, étude 16, spéc. n° 42. 13 Un client peut contacter son conseiller bancaire au moyen d’un appel téléphonique non surtaxé ou d’un courrier électronique ou même d’une descente auprès de l’agence bancaire. 14 Cass. com. 12 oct. 2016, n° 11-19.981. La Cour de cassation indiquait : « Mais attendu, d’une part, qu’après avoir relevé que M. X. avait indiqué aux services de police, en déclarant le vol de sa carte, qu’il avait laissé comme d’habitude cette carte dans son véhicule et son code confidentiel dans la boîte à gants, l’arrêt retient qu’il résulte de son propre aveu qu’il a commis une imprudence grave en laissant son code personnel à proximité de sa carte de retrait dans un lieu sans surveillance ; que de ces constatations et appréciations, la cour d’appel a fait ressortir que M. X. avait agi avec une imprudence constituant une faute lourde. » 15 Y. Gérard, « L’utilisation frauduleuse des instruments de paiement », JCP E 2010, n° 1034.