Le droit des opérations non autorisées : la nouvelle tendance dominante du contentieux bancaire ?

Un contentieux est en train d’occuper une part importante des affaires jugées par les chambres des contrats des tribunaux judiciaires et des juridictions consulaires : le droit des opérations non autorisées ou mal exécutées.

Le corpus textuel du droit des opérations non autorisées ou mal exécutées est assez dense mais, du fait de l’innovation rapide en matière de fraudes, les tribunaux et cours sont contraints de proposer des solutions, nonobstant la relative carence de la loi.

Le droit des opérations non autorisées : un contentieux émergent. Le droit bancaire est sujet à de nombreuses tendances. Après la mode des contestations de taux effectifs globaux (qui n’ont généralement pas débouché sur des résultats florissants pour les emprunteurs), vient l’actualité, hautement plus sujette à débats, des opérations de paiement non autorisées qui occupent aujourd’hui une partie des chambres des contrats au sein des tribunaux judiciaires.

La démultiplication des fraudes. Plus précisément, des titulaires de comptes bancaires ont pu faire l’objet de piratages ou de fraudes au faux conseiller, perdant ainsi des dizaines, voire des centaines de milliers d’euros. Évidemment, comme les fraudeurs sont souvent introuvables et, dans le meilleur des cas, insolvables, les payeurs, désespérés, disposent d’une seule porte de sortie pratique : assigner leur banque, arguant de la faible sécurité de leurs comptes.

Les fraudes se sont démultipliées et l’inventivité des escrocs laisse parfois à penser qu’ils disposeront toujours d’un coup d’avance sur les technologies mises en place par les banques : phishing, SIM swapping, skimming, shimming, spoofing, deepfake, deepvoice… Toutes ces tactiques visent à s’approprier les données confidentielles des utilisateurs et les inciter ensuite à initier puis valider des opérations de paiement à leur profit. Le spoofing retient particulièrement l’attention des banques et tribunaux puisqu’il est synonyme d’« usurpation d’identité électronique » portant sur le numéro de téléphone : ainsi, les fraudeurs sont en mesure d’émettre un appel depuis un numéro appartenant réellement à la banque.

Un droit textuel mais également prétorien. Plus globalement, une jurisprudence abondante s’est alors développée sur le fondement d’une législation qui ne peut évidemment être exhaustive au vu du nombre de cas pouvant émerger. Les décisions de justice sont susceptibles de paraître fluctuantes aux yeux du grand public, puisque des centaines de jugements et arrêts ont condamné des banques tandis que des centaines d’autres ont débouté des payeurs de leurs demandes.

L’Union européenne, comme souvent, a été à l’origine de cette discipline du droit des opérations de paiement non autorisées, ses institutions ayant adopté la directive de services de paiement (DSP 1) en 20071. L’objectif affiché était de favoriser la confiance en la sûreté de l’utilisation des instruments de paiement électronique.

Un des socles de la législation nationale sur ce sujet est l’article L. 133-18 du Code monétaire et financier qui dispose : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».

La dernière phrase a une importance matérielle : ainsi, il a pu être jugé que le payeur avait également le droit au remboursement des frais d’émission d’une nouvelle carte qui lui ont été imputés à tort.

Cela dit, le régime instauré par cet article est moins favorable qu’il n’y paraît en ce qu’il n’est nullement question d’« indemnisation » mais seulement de « remboursement ».

Par ailleurs, s’il a pu être jugé par une partie de la doctrine que la DSP 1 constituait un cadre salutaire, des insuffisances demeuraient criantes et les institutions de l’Union européenne sont de nouveau intervenues afin d’adopter la DSP 2 dont l’innovation principale était l’exigence d’authentification forte, codifiée en droit français aux articles L. 133-4 et L. 133-44 du Code monétaire et financier.

Une telle exigence sert indéniablement les intérêts des payeurs en ce qu’une banque qui ne la respecte pas devra payer ces derniers, nonobstant leur comportement.

Un régime de responsabilité sui generis. Comme la Cour de justice de l’Union européenne l’a jugé le 2 septembre 2021 le régime de responsabilité, introduit pour les opérations de paiement non autorisées, est spécial et déroge au droit commun de la responsabilité2. Mais son champ d’application est relativement large en ce que même une caution peut l’invoquer pour échapper à ses obligations.

Néanmoins, il convient aussi de préciser que le payeur doit être attentif en ce qu’il est également soumis à un délai de forclusion restreint de 10 mois. Si ce délai n’est pas respecté, l’irrecevabilité de la demande sera prononcée par le tribunal. Il convient tout de même de préciser que le délai de forclusion n’est pas nécessairement interrompu par une assignation en justice3 : ainsi, la cour d’appel de Paris a, par arrêt du 8 novembre 2023, jugé qu’une lettre de mise en demeure de l’avocat du payeur adressée à la banque interrompait valablement le délai de forclusion.

L’article L. 133-18 du Code monétaire et financier est assez ferme et le prestataire de services de paiement dispose donc d’un délai extrêmement restreint pour rembourser le payeur à la suite de ces opérations. Récemment, constatant probablement que les banques ne respectaient pas ce délai et n’étaient pas sanctionnées en conséquence, le législateur a introduit la loi n° 2022-1158 du 16 août 2022, laquelle a introduit des pénalités de retard de remboursement importantes.

L’analogie avec le contrat de dépôt est évidente : le dépositaire doit rendre la chose déposée à celui qui a fait le dépôt ou à la personne que ce dernier lui a indiquée, et il s’agit d’une obligation de résultat au sein de l’article 1937 du Code civil.

Sur le fondement cet article, la chambre commerciale de la Cour de cassation a jugé, le 1er juin 2023, qu’une opération de paiement commencée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire. Pour la haute juridiction, l’autorisation de paiement est ainsi matérialisée par le consentement à l’opération.

En matière de droit des opérations de paiement, le régime de la preuve est favorable au payeur : en effet, selon les termes de l’article L. 133-23 du Code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Les deux exceptions au remboursement au profit du payeur. Seuls deux moyens permettent au prestataire de services de paiement d’échapper au remboursement des opérations litigieuses : les manœuvres frauduleuses et la négligence grave, mentionnée à l’article L. 133-24 du Code monétaire et financier. Elles ne sont pas régulièrement reconnues ainsi que le montre la jurisprudence la plus récente, étant précisé que la négligence grave est sujette à interprétation, et ce, bien que la négligence soit une cause de responsabilité depuis le Code civil originel de 1804.

Ainsi, dans une affaire jugée par la cour d’appel de Lyon le 31 mars 2016, une banque avait effectué des virements d’un montant total de 440 000 € ordonnés par le comptable d’une entreprise, à la suite d’un faux e-mail de la présidente de la société. Il a été reproché à la banque de ne pas avoir procédé à des vérifications qui lui auraient permis de détecter les anomalies apparentes de cet e-mail. Cette somme a donc fait l’objet d’un remboursement sur injonction de la cour d’appel de Lyon.

Sept ans plus tard, la cour d’appel de Versailles a également condamné une banque à rembourser les sommes (54 500 €) à un payeur, victime d’un spoofing, la juridiction relevant qu’aucune négligence grave n’avait été commise par ledit payeur4.

Les arrêts faussement révolutionnaires de la Cour de cassation de 2024 et 2025. Néanmoins, les deux derniers grands arrêts, rendus par la Cour de cassation, le 15 janvier 2025, sont supposés, en théorie, ne pas traduire un positionnement consumériste. En effet, dans l’une des affaires, une femme avait effectué deux virements, depuis son compte, afin de financer l’acquisition d’une automobile en communiquant l’identifiant qu’elle pensait être celui du vendeur. Mais cet identifiant correspondait, en réalité, à celui d’un tiers qui avait piraté sa messagerie et substitué son propre identifiant à celui du vendeur.

Cette femme avait évidemment sollicité le remboursement des sommes infructueusement dépensées auprès de sa banque. La cour d’appel y avait fait droit sur le fondement de l’obligation de vigilance du banquier. Or, une telle obligation est inhérente au droit commun de la responsabilité et non au régime spécial.

Assez logiquement et sur le fondement du droit européen (textes et jurisprudence), la Cour de cassation casse cet arrêt, invitant la cour de renvoi à raisonner uniquement sur le fondement du régime spécial de responsabilité. Ce qui ne signifie pas que la banque emportera nécessairement la victoire devant la cour d’appel de renvoi, la cassation sanctionnant uniquement la méthodologie juridique employée par la première cour d’appel. Les payeurs ne sont donc pas contraints de déposer immédiatement les armes.

Ces deux arrêts semblent en parfaite cohérence avec la jurisprudence européenne précitée et, surtout, avec de précédents arrêts de la chambre commerciale de la Cour de cassation en date des 27 mars et 2 mai 20245. Néanmoins, la mise à l’écart de l’obligation de vigilance du banquier, en matière d’opérations de paiement non autorisées, ne laisse pas d’interloquer la doctrine qui considère qu’il s’agit d’une mission inhérente au métier même de banquier.