Opérations de paiement non autorisées : caractérisation de la négligence grave du payeur

Publié le 30/09/2022
Carte bleue
kite_rin/AdobeStock

En recevant un courriel étrange émanant d’un expéditeur suspect, le payeur aurait dû se méfier et ne pas donner suite à l’invitation à valider son numéro de mobile, et au besoin contacter personnellement sa banque. En conséquence, la réponse à ce mail suspect constitue une première négligence grave.

Ce même payeur avait ensuite communiqué son identifiant et son code secret permettant l’accès au compte bancaire sur internet et aux opérations sur celui-ci et avait utilisé des codes à usage unique pour valider des opérations qu’il n’avait pas lui-même initiées. De tels faits sont alors également constitutifs d’une négligence grave.

CA Metz, 7 juill. 2022, no 21/01492

1. Le droit des instruments de paiement découle, dans notre pays, de l’ordonnance n° 2009-866 du 15 juillet 20091 qui trouve, elle-même, sa source dans la directive n° 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur (dite DSP 1)2. L’état du droit applicable, qui a connu quelques évolutions du fait de la transposition des dispositions de la directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite DSP 2)3, par l’ordonnance n° 2017-1252 du 9 août 20174, suscite encore des interrogations aujourd’hui. Une décision de la cour d’appel de Metz du 7 juillet 2022 en témoigne.

2. En l’espèce, la SARL E. était titulaire d’un compte ouvert dans les livres de la banque X. Or, le 31 octobre 2019, cette dernière avait avisé la SARL que la somme de 6 000 € avait été débitée de son compte bancaire par virement. La société s’était déclarée victime d’une fraude sur internet à la suite de la réception par son gérant, M. F., de courriels qui provenaient en apparence de la banque, l’invitant notamment à confirmer son numéro de mobile dans le but de mettre à jour ses coordonnées téléphoniques. Par lettre du 8 novembre 2019, la SARL E. avait demandé à la banque le remboursement de la somme litigieuse de 6 000 € prélevée frauduleusement sur son compte. Celle-ci avait cependant refusé tout remboursement.

3. Le tribunal judiciaire de Thionville avait, par un jugement du 8 juin 2021, condamné la banque X. à payer à la SARL E. la somme de 6 000 €. Pour se déterminer ainsi, la juridiction, qui s’était fondée sur les dispositions des articles L. 133-16 et suivants du Code monétaire et financier, avait retenu qu’il appartenait à l’établissement bancaire, en application de l’article L. 133-23 du Code monétaire et financier, de rapporter la preuve de l’authentification de l’opération contestée et qu’un courrier rédigé par elle-même n’était pas une preuve suffisante. La banque avait alors interjeté appel.

4. La décision, rendue par la cour d’appel de Metz le 7 juillet 2022, attire alors l’attention. Celle-ci commence par observer les circonstances de fait. Elle considère qu’il en résulte5 que les opérations frauduleuses de modification du numéro de compte IBAN d’un bénéficiaire, au nom de Mme K., et de virement de 6 000 € au profit du compte concerné ainsi modifié, avaient été réalisées grâce à l’utilisation par le fraudeur de l’identifiant et du code d’accès aux comptes de M. F. et grâce à l’envoi sur le mobile de celui-ci d’un code de validation à usage unique qu’il a utilisé. Il en ressortait que l’opération de virement de 6 000 € au débit du compte de la SARL avait été authentifiée par la banque, qu’elle avait été dûment enregistrée et comptabilisée par cet établissement, et n’avait pas été affectée par une déficience technique ou autre.

5. La suite de la décision, qui recherche si M. F. avait commis en l’occurrence une négligence grave (II), ne peut cependant se comprendre qu’en rappelant l’état du droit applicable aux opérations de paiement non autorisées (I).

I – Rappel du droit applicable aux opérations de paiement non autorisées

6. Le Code monétaire et financier régit strictement cette situation6. En effet, en vertu de l’article L. 133-24 du Code monétaire et financier, l’utilisateur de services de paiement qui constate l’existence, notamment par la consultation d’un relevé de compte, d’une opération de paiement non autorisée doit en signaler l’existence à son prestataire de services de paiement (PSP). Ce signalement doit être fait « sans tarder », et, au plus tard, dans les 13 mois suivant la date de débit sous peine de forclusion. Ce long délai sera, d’ailleurs, plus facilement admis en matière de paiement en ligne opéré indûment par un tiers.

7. Lorsqu’un tel signalement est réalisé, l’article L. 133-18 du même code prévoit que le PSP du payeur doit rembourser au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant7. Le prestataire de services de paiement du payeur est ainsi tenu de rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

8. Mais cette règle n’est cependant pas sans limite. En effet, selon l’article L. 133-19, IV, du Code monétaire et financier : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent des agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 », c’est-à-dire, respectivement, au fait de devoir prendre toutes les mesures raisonnables permettant de préserver la sécurité des dispositifs de sécurité personnalisés de l’instrument de paiement utilisé (disposition visée dans notre affaire), et au fait d’être suffisamment diligent pour informer le prestataire de services de paiement de la perte, du vol ou du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées8. Le payeur lourdement fautif devra donc supporter les pertes résultant de la fraude.

9. Il découle alors de l’article L. 133-23 du Code monétaire et financier, que c’est sur le prestataire de services de paiement (PSP) du payeur, généralement son banquier, qu’il revient de démontrer l’existence de cette faute lourde. L’alinéa 2 de l’article précise d’ailleurs sur ce point que : « L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. » Dit autrement, la seule preuve de l’utilisation des identifiants du client ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité9.

10. On notera encore que l’alinéa 1er de l’article L. 133-23 impose également au PSP du payeur de démontrer, pour échapper à l’engagement de sa responsabilité, que l’opération en question a été « authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée d’une déficience technique ou autre ». Dit autrement, c’est ce prestataire qui doit prouver que l’opération a été normalement passée et qu’ainsi on peut penser que l’ordre émane bien du payeur ou de l’utilisateur. Cette règle a déjà donné lieu à une jurisprudence remarquée10. Celle-ci est cependant restée sans réelle incidence, la majorité des décisions n’y faisant plus référence aujourd’hui11. En cela, l’arrêt étudié attire l’attention puisqu’il prend soin de noter, à la vue des faits, que « l’opération de virement de 6 000 € au débit du compte de la SARL E. a été authentifiée par la SA BNP Paribas grâce aux identifiants et code secret de M. F. ainsi qu’au code à usage unique envoyé par SMS, et qu’elle a été dûment enregistrée et comptabilisée par la banque, et n’a pas été affectée par une déficience technique ou autre ».

11. Bien souvent, et au-delà de ce dernier point, les banques se retrouvent dans une situation difficile pour parvenir à échapper à l’engagement de leur responsabilité en présence d’opérations contestées par le payeur, hormis aveux de celui-ci. Certains auteurs ont pu parler, dans un tel cas, de « preuve diabolique »12.

12. Pourtant, et l’arrêt qui nous occupe en témoigne13, les magistrats parviennent parfois, à la vue des circonstances de fait, à caractériser une négligence grave de la part du payeur lorsque l’intéressé vient à transmettre des données confidentielles après avoir été trompé par un mail, c’est-à-dire en cas de phishing. L’attitude du gérant de la SARL était donc étudiée en détail par les juges.

II – Recherche d’une négligence grave commise par le représentant du payeur

13. La « grande » question se posant en l’occurrence était la suivante : M. F., le gérant de la SARL E., avait-il commis une négligence grave ? Il est rappelé à ce stade, par les magistrats messins, qu’il résulte de l’article L. 133-16 du Code monétaire et financier que dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement doit prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées. Il est dans l’obligation d’utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation qui doivent être objectives, non discriminatoires et proportionnées.

14. Or, pour les juges, manque à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel « qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage ».

15. On sait que les juges du fond ont tendance, aujourd’hui, à retenir la négligence grave du client qui répond à un mail constituant en réalité un acte de phishing14. Pour mémoire, ce dernier, dit aussi « hameçonnage », consiste à se faire remettre par les victimes contactées par des courriels non sollicités leurs données bancaires personnelles afin de les exploiter frauduleusement. Le message du délinquant prendra souvent l’habillage, plus ou moins bien réalisé, d’une page internet d’un établissement de crédit. Il sera en général demandé au destinataire, sous couvert d’un problème technique ou d’une rénovation totale du site, de mettre à jour ses identifiants, mots de passe, numéro de compte, etc. Une fois que la victime trompée aura révélé ses identifiants personnels, le fraudeur pourra accéder à son compte bancaire et en détourner les fonds par l’intermédiaire de faux ordres de virement.

16. Dès lors, pour pouvoir prononcer l’absence de négligence, les juges du fond doivent constater, en fonction du contexte, que la victime du phishing ne pouvait pas avoir conscience du caractère frauduleux du message reçu. Le payeur devra par conséquent démontrer que le courriel pouvait laisser penser qu’il provenait de l’expéditeur annoncé (banque, opérateur téléphonique, etc.). Or, cette preuve sera impossible à rapporter en cas « d’anomalie apparente » entourant le message reçu : caractère invraisemblable du contenu, présentation grossière, adresse internet étrangère de l’expéditeur, multiples fautes d’orthographe, etc. Dans ces hypothèses, en effet, l’intéressé ne parviendra logiquement pas à prouver la légitimité de son erreur ; sa négligence grave sera alors certainement retenue par les juges. Une approche au cas par cas s’impose par conséquent.

17. Qu’en était-il en l’espèce ? M. F. avait répondu à un courriel du 30 octobre 2019 à 8h 06, l’invitant à valider son numéro de mobile, alors que ce message comportait plusieurs anomalies apparentes qui auraient dû attirer son attention et le rendre méfiant.

18. La décision en dresse la liste :

• « -L’adresse mél d’envoi ne faisait pas mention du nom exact de la banque, mais du nom de « B. Paribas service client », et il s’agissait d’une adresse mél inhabituelle pour la banque et suspecte (…) ;

• et ce alors que le mél effectivement envoyé par la banque le même jour, 30 octobre à 10h 57, avisant M. F. de l’ajout de Mme K. comme bénéficiaire avec un nouveau RIB associé, comportait quant à lui dans l’adresse mél d’envoi l’indication du nom exact de la banque : « BNP Paribas », et une adresse mél logique pour cette banque (…) ;

•  en outre le corps du mél du 30 octobre 2019 à 8h 06 invitant M. F. à valider son numéro de téléphone mobile comportait une invitation à un vernissage, sans aucun rapport avec la demande faite en objet de valider le numéro de mobile, rendant ce courriel manifestement suspect et frauduleux. »

19. Dès lors, en recevant ce courriel étrange émanant d’un expéditeur suspect, M. F. aurait dû, pour les juges, se méfier et ne pas donner suite à l’invitation à valider son numéro de mobile, et au besoin contacter personnellement sa banque. En conséquence, « la réponse à ce mail suspect constitue une première négligence grave ».

20. Ainsi, la réponse à un mail objectivement « étrange » tendant à la validation d’un numéro de téléphone doit être vue, pour les juges, comme une négligence grave au sens de l’article L. 313-19, IV, du Code monétaire et financier.

21. De surcroît, M. F., gérant de la SARL E., avait ensuite communiqué son identifiant et son code secret permettant l’accès au compte bancaire sur internet et aux opérations sur celui-ci et avait utilisé des codes à usage unique pour valider des opérations qu’il n’avait pas lui-même initiées. Ces circonstances ressortaient, semble-t-il, de sa plainte. De tels faits étaient alors également constitutifs, pour les juges, d’une négligence grave. Il est ainsi souligné que le courriel suspect du 30 octobre 2019 à 8h 06 « aurait dû le convaincre de se méfier et de s’abstenir de transmettre et utiliser ces données de sécurité personnalisées ».

22. Il ressort de ce passage de l’arrêt que M. F. avait bien été victime d’un phishing. En effet, si les fraudeurs avaient pu, dans les instants suivant ce premier message, ajouter sur le compte de la société E. le nom d’un nouveau bénéficiaire, c’est parce que son gérant avait été trompé par le mail reçu et avait communiqué son identifiant et son code secret permettant l’accès au compte bancaire.

23. Enfin, il est observé que, le 30 octobre 2019 à 10h 57, M. F. avait reçu un mail de la SA BNP Paribas lui indiquant le rajout, comme bénéficiaire d’un virement, Mme K. et que s’il n’était pas à l’origine de cette opération, il devait se connecter à son compte et supprimer le bénéficiaire de la liste, puis vérifier les dernières opérations. L’inaction du gérant était alors étonnante et critiquable.

24. La cour d’appel de Metz en conclu, sans surprise, que la banque était fondée à se prévaloir de l’article L. 133-19, IV, du Code monétaire et financier. M. F. n’avait pas satisfait par négligence grave aux obligations mentionnées à l’article L. 133-16 du Code monétaire et financier. Le jugement est donc infirmé.

25. Deux observations s’imposent selon nous à la lecture de cette décision. En premier lieu, on notera que la cour d’appel n’évoque à aucun moment la présence de fautes d’orthographe dans les messages reçus des fraudeurs. Il ne s’agit donc pas d’un critère « obligé » pour pouvoir caractériser l’anomalie apparente des messages en question et, partant, la négligence grave de celui qui se laisse tromper15.

26. En second lieu, il ressort de notre arrêt qu’une adresse mail ne mentionnant pas le nom intégral de la banque doit être perçu comme une anomalie apparente, et donc comme un critère utile pour caractériser in fine une négligence grave du payeur16. Il en va de même si le message de la banque contient des passages n’ayant rien à voir avec l’opération principale envisagée. Tel était le cas ici avec une invitation à un vernissage, sans aucun rapport avec la demande faite en objet de valider un numéro de mobile. Une telle circonstance doit rendre ce message « manifestement suspect et frauduleux ». Voilà des indications utiles pour les juges, hélas aujourd’hui nombreux, devant procéder à une recherche analogue.

Notes de bas de pages

  • 1.
    JO, 16 juill. 2009, texte n° 13 – N. Mathey, « La réforme des services de paiement », RD bancaire et fin. janv.-févr. 2010, étude 1.
  • 2.
    JOUE, L 319, 5 déc. 2007, p. 1 – F. Vanden Bosch et N. Mathey, « Le marché unique des services de paiement en Europe », RD bancaire et fin. juill.-août 2007, p. 9.
  • 3.
    JOUE, L 337, 23 déc. 2015, p. 35 – T. Verbiest et E. Corcos, « La directive révisée sur les services de paiement (DSP 2) », RD bancaire et fin. mai-juin 2016, étude 17 – P. Storrer et M. Roussille, « L’économie numérique à l’heure de la DSP 2 », Banque et droit janv.-févr. 2016, n° 65, p. 67.
  • 4.
    JO, 10 août 2017, texte n° 26 – J. Lasserre Capdeville, « Nouvelle réforme des services de paiement : la “DSP 2” est transposée », JCP G 2017, 923, spéc. n° 37.
  • 5.
    La décision parle d’« éléments sérieux et concordants ».
  • 6.
    J. Lasserre Capdeville, « La contestation des opérations de paiement non autorisées », RD bancaire et fin. janv.-févr. 2011, dossier 6 – S. Torck, « L’exécution et la contestation des opérations de paiement », JCP E 2010, 1033, spéc. n° 2.
  • 7.
    Il n’en va différemment que si le PSP « a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France ».
  • 8.
    La négligence grave du client ne l’empêche cependant pas d’engager la responsabilité contractuelle de sa banque, Cass. com., 17 mai 2017, n° 15-28209 : Comm. com. électr. 2017, comm. 77, obs. E. Caprioli.
  • 9.
    CA Grenoble, 6 oct. 2020, n° 20/00532 – CA Aix-en-Provence, 27 janv. 2022, n° 19/02869 – Cette solution va dans le sens d’une jurisprudence ancienne de la Cour de cassation, Cass. com., 2 oct. 2007, n° 05-19899 : Bull. civ. IV, n° 208 – Cass. 1re civ., 28 mars 2008, n° 07-10186 : Bull. civ. I, n° 91 – Cass. com., 21 sept. 2010, n° 09-16534 : JCP E 2010, 2008, obs. J. Stoufflet ; LEDB nov. 2010, n° 64, p. 4, obs. Lasserre Capdeville.
  • 10.
    Cass. com., 12 nov. 2020, n° 19-12112 : GPL 19 janv. 2021, n° GPL394j7, note J. Lasserre Capdeville ; GPL 2 févr. 2021, n° GPL395u7, obs. C. Houin-Bressand.
  • 11.
    V. par ex., CA Bordeaux, 23 févr. 2021, n° 18/03580 – CA Colmar, 12 avr. 2021, n° 19/03528 : LEDB juin 2021, n° DBA200b8, obs. J. Lasserre Capdeville ; JCP G 2022, 112, spéc. n° 3, obs. F. Dannenberger – CA Riom, 28 avr. 2021, n° 19/00721 – CA Bastia, 2 févr. 2022, n° 21/00049 – V. cependant, CA Agen, 14 juin 2021, n° 19/00859.
  • 12.
    P. Storrer, « Utilisation frauduleuse d’un instrument de paiement : la « probatio diabolica » ? », Revue Banque, févr. 2017, n° 806, p. 72 – A. Danis-Fâtome, RDC juin 2017, n° RDC114d7 – V. toutefois, pour des décisions caractérisant une négligence grave (sans lien avec un quelconque phishing) – CA Aix-en-Provence, 24 mai 2017, n° 15/07438 : LEDB sept. 2017, n° DBA110t5, obs. J. Lasserre Capdeville – CA Amiens, 29 juin 2021, n° 18/03636 : LEDB oct. 2021, n° DBA200g3, obs. J. Lasserre Capdeville.
  • 13.
    Pour des décisions caractérisant une négligence grave (sans lien avec un quelconque phishing), CA Aix-en-Provence, 24 mai 2017, n° 15/07438 : LEDB sept. 2017, n° DBA110t5, obs. J. Lasserre Capdeville – CA Amiens, 29 juin 2021, n° 18/03636 : LEDB oct. 2021, n° DBA200g3, obs. J. Lasserre Capdeville.
  • 14.
    V. par ex., CA Bordeaux, 23 févr. 2021, n° 18/03580 – CA Colmar, 12 avr. 2021, n° 19/03528 : LEDB juin 2021, n° DBA200b8, obs. J. Lasserre Capdeville ; JCP G 2022, 112, spéc. n° 3, obs. F. Dannenberger – CA Riom, 28 avr. 2021, n° 19/00721 – CA Bastia, 2 févr. 2022, n° 21/00049.
  • 15.
    Une décision récente a eu l’occasion de refuser, pour sa part, de caractériser une négligence grave en présence de quelques fautes d’orthographe dans le mail reçu soi-disant de la banque, CA Nancy, 24 févr. 2022, n° 21/01643 : JCP E 2022, note J. Lasserre Capdeville, à paraître. Cette solution a nos faveurs. Il nous paraît assez contestable de se fonder sur un nombre raisonnable de fautes d’orthographe dans un message pour caractériser une négligence grave. En effet, et c’est regrettable, mais beaucoup de Français font aujourd’hui des fautes d’orthographe. Il en va de même des conseillers clientèle…
  • 16.
    Il en va différemment, en revanche, si le nom de la banque est écrit en entier, CA Nancy, 24 févr. 2022, n° 21/01643.
Plan