Les conséquences de la fraude à la carte bancaire : la vigilance nous met au-dessus de tous les périls !
Le 25 octobre 2017, la Cour de cassation justifiait qu’un établissement bancaire ne procède pas au remboursement du compte de son client en raison d’une négligence grave imputable à celui-ci, pourtant victime d’une fraude à la carte bancaire.
Si cette décision reprend les principes classiques en matière d’obligations reposant sur les titulaires de cartes bancaires et les principes applicables quant à la charge de la preuve de l’autorisation de l’opération et de la négligence grave, elle paraît plus innovante quant à sa solution favorable à l’établissement bancaire.
Cette décision préfigure-t-elle pour autant une protection moindre des utilisateurs des moyens de paiement ?
Cass. com., 25 oct. 2017, no 16-11644
En 2016, dans son rapport annuel, l’Observatoire de la sécurité des moyens de paiement soulignait que la carte de paiement, qui reste le moyen de paiement privilégié des Français (utilisé dans près de la moitié des transactions scripturales), supporte plus de la moitié de la fraude aux moyens de paiement scripturaux émis en France, soit un montant de l’ordre de 400 millions d’euros en 2016 pour les cartes françaises1.
C’est dans ce triste contexte que, le 25 octobre 20172, la chambre commerciale de la Cour de cassation rendait un arrêt dans le cadre d’une fraude dans laquelle la victime, personne physique, prétendait avoir subi du « hameçonnage » encore appelé « phishing », technique de fraude par laquelle le fraudeur se fait passer pour un organisme (tel qu’une banque, le service des impôts, la CAF, etc.), en utilisant le logo et le nom de cet organisme et envoie un mail demandant généralement de « mettre à jour » ou de « confirmer des informations à la suite d’un incident technique », notamment les coordonnées bancaires (numéro de compte, codes personnels, etc.)3.
En l’espèce, la victime déclarait avoir reçu un courriel se présentant comme émanant de l’opérateur téléphonique SFR et reconnaissait avoir communiqué des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de sa banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.
Quelque temps plus tard, la cliente recevait, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés. Pressentant la fraude, elle s’empressait de faire opposition à sa carte bancaire auprès de sa banque et sollicitait le remboursement des sommes prélevées insidieusement.
Or, face à son aveu de la communication de ses données, la banque s’opposait à toute demande de remboursement des sommes au motif que la victime aurait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. Le juge de proximité, saisi en première instance, refusait de tels arguments émanant de la banque en retenant que, si la victime avait communiqué volontairement les informations relatives à sa carte de paiement, celles-ci avait été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure.
La Cour de cassation ne l’entendait pas ainsi et fit droit au pourvoi interjeté par la banque en affirmant que le juge de proximité aurait dû rechercher, au regard des circonstances de l’espèce, si la cliente n’avait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du Code monétaire et financier.
Cette décision s’insère dans le sillage des principes textuels et jurisprudentiels classiques (I) et apporte un éclairage pratique intéressant sur la question (II).
I – Une décision dans le sillage des principes textuels et jurisprudentiels classiques
Ces principes concernent les obligations des titulaires de cartes bancaires (A) et la charge de la preuve de l’autorisation de l’opération par le titulaire de la carte et de la négligence grave (B).
A – Les obligations des titulaires de cartes bancaires
L’arrêt du 25 octobre 2017 est rendu au visa notamment de l’article L. 133-16 du Code monétaire et financier. Cet article rappelle les obligations principales des titulaires de cartes bancaires consistant à prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et utiliser l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.
Si la Cour de cassation a donné raison à l’établissement bancaire dans cette affaire, c’est précisément parce qu’elle considère que le juge de proximité se devait d’observer si le fait pour la demanderesse d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement par négligence grave au sens de l’article précité.
Par une série d’arrêts rendus le 18 janvier 20174, la Cour de cassation avait déjà mis en lumière les obligations reposant sur les utilisateurs de services de paiement en indiquant qu’ils étaient tenus de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder la banque de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est-à-dire faire opposition comme le prévoit l’article L. 133-17 du Code monétaire et financier.
Il est intéressant d’observer que l’arrêt commenté ne se réfère nullement à cet article L. 133-17 dès lors qu’en l’espèce, la cliente avait fait opposition dès réception des messages « 3D Secure » pour les deux paiements par internet qu’elle n’avait pas réalisés. Il ne pouvait donc pas lui être imputé un quelconque manquement au titre de cet article.
Malgré l’opposition de la cliente, celle-ci s’est vue opposer sa négligence grave pour lui refuser un remboursement des sommes payées.
Ainsi en avait d’ailleurs jugé la Cour de cassation dans un arrêt du 16 octobre 2012 confirmant un arrêt d’appel retenant une imprudence grave d’un client qui avait avoué aux services de police, en déclarant le vol de sa carte, qu’il avait laissé comme d’habitude cette carte dans son véhicule et son code confidentiel dans la boîte à gants dans un lieu sans surveillance5.
Il ne suffit donc pas de faire opposition pour espérer un remboursement, encore faut-il être vigilant !
B – La charge de la preuve de l’autorisation de l’opération par le titulaire de la carte et de la négligence grave
Il est aujourd’hui bien établi que, lorsqu’un titulaire d’un instrument de paiement se prévaut d’un remboursement dans le cadre d’une fraude et que la banque invoque une négligence grave du client, c’est sur l’établissement bancaire que repose la charge de la preuve de cette négligence alléguée.
En cela, l’arrêt commenté s’insère parfaitement dans une jurisprudence constante6 appliquant l’article L. 133-23 du Code monétaire et financier disposant dans son second alinéa qu’il ne suffit pas que le paiement et l’opération contestés aient été enregistrés par le prestataire de services de paiement pour prouver que l’opération a été autorisée par le client ou que celui-ci n’ait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.
Vont également dans ce sens les termes de la directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur7 qui prévoit que, dans le cas de paiements en ligne, il convient que le prestataire de services de paiement soit tenu d’apporter la preuve de la négligence alléguée, le client n’ayant, dans ce cas, que des moyens limités de le faire.
En l’espèce, la preuve avait été facilement rapportée par l’établissement bancaire dès lors que la cliente « ne contestait pas » avoir elle-même répondu au courriel frauduleux et avoir ainsi transmis les informations ayant permis les paiements litigieux.
Tout aveu du client facilite à l’évidence la tâche de l’établissement bancaire, comme le montre également l’arrêt précité du 16 octobre 2012, dans lequel la Cour prenait le soin de noter que, de « son propre aveu », le client avait reconnu avoir commis une imprudence grave en laissant son code personnel à proximité de sa carte de retrait dans un lieu sans surveillance8.
Ainsi, si la charge de la preuve repose sur la banque, le client peut, par son aveu, grandement faciliter l’accomplissement de cette tâche…
II – Une décision qui apporte un éclairage pratique intéressant
Cet éclairage se rapporte au contenu de la preuve attendu des prestataires bancaires (A) et au rôle du juge (B).
A – Un éclairage quant au contenu de la preuve attendue des prestataires bancaires
Si la série d’arrêts rendus le 18 janvier 2017 faisait droit aux demandes de remboursement des clients et ne retenait pas l’existence d’une négligence grave, ces décisions permettaient tout de même a contrario de comprendre quel comportement ne pouvait revêtir une telle qualification9.
Ainsi, il apparaissait que pouvait constituer une telle faute le fait de divulguer à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés.
Ces arrêts ajoutaient qu’il était insuffisant de se prévaloir d’une hypothèse de « hameçonnage » que la Caisse se bornait à évoquer sans élément de certitude10 ou en ne procédant que par voie de suppositions11 ou supputations12.
L’arrêt du 25 octobre 2017 est intéressant à ce titre car, contrairement aux décisions de janvier 2017, il montre que la Cour a fait droit aux demandes de la banque et reconnu la possibilité de l’existence d’une négligence grave.
Si la Cour de cassation a cassé la décision rendue par le juge de proximité, c’est parce qu’elle a pu considérer qu’il s’était abstenu de caractériser l’existence ou non d’une négligence grave au vu des circonstances et du comportement de la cliente.
Ainsi, pour la Cour, le fait d’avoir communiqué l’ensemble de ces données en réponse à un courriel dont la cliente aurait dû connaître le caractère frauduleux au regard des circonstances de l’espèce pouvait caractériser la négligence grave. Il ne suffisait donc pas, comme l’avait jugé le juge de proximité, de se contenter d’observer que les données communiquées par la cliente avaient été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et remarquer que la cliente n’avait communiqué ni son code confidentiel, ni le code 3D Secure.
Si la tendance de la jurisprudence est plutôt protectrice des utilisateurs des services bancaire, la solution donnée par la Cour dans l’arrêt du 25 octobre 2017 apparaît ainsi innovante et pleine d’espoir pour les banques. Une solution proche avait déjà été donnée par l’arrêt du 16 octobre 2012. La Cour de cassation avait pu, de la même façon, considérer que laisser son code personnel à proximité de sa carte de retrait dans un lieu sans surveillance constituait une imprudence grave justifiant que la banque refuse de recréditer le compte du client.
Cependant, si la décision du 25 octobre 2017 privilégie la position de la banque, elle rappelle en même temps l’objet de la preuve attendue de la part de celle-ci et la précision et la certitude des éléments de preuve permettant de caractériser la négligence grave.
Que ce soit dans l’arrêt du 25 octobre 2017 ou dans celui du 16 octobre 2012, la tâche de la banque avait été simplifiée par les aveux des clients de leur comportement négligent. À défaut d’un tel aveu, la mission de la banque s’avérera bien plus compliquée et dépendra à n’en pas douter de la bonne foi des clients.
B – Un éclairage quant au rôle du juge dans la recherche de la négligence grave
L’arrêt commenté apporte également un éclairage intéressant quant au rôle du juge dans l’appréciation de la négligence grave.
En effet, l’arrêt précise qu’il est attendu du juge qu’il apprécie le comportement du client « au regard des circonstances » afin de détecter s’il a manqué aux obligations qui lui incombaient par application de l’article L. 133-16 du Code monétaire et financier.
C’est donc une appréciation subjective in concreto qui est attendue du juge, qui ne pourra donc pas statuer de façon équivalente selon le degré de « conscience » de la victime de la fraude.
Il n’est d’ailleurs pas anodin de constater que l’article L. 133-2 du Code monétaire et financier13 permet aux parties de déroger aux dispositions de l’article L. 133-19 du même code, selon lequel le titulaire de l’instrument de paiement supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17, sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels.
Ainsi, tant l’arrêt du 25 octobre 2017 que les dispositions du Code monétaire et financier révèlent en filigrane une volonté de protéger les clients fragiles et les consommateurs et justifie une appréciation plus souple pour les clients professionnels.
Ainsi, les professionnels et les clients à même d’« être conscients » d’une fraude devront se montrer vigilants d’autant que le second alinéa de l’article L. 133-16 du Code monétaire et financier tend à faire apprécier le comportement du client au vu des conditions régissant la délivrance et l’utilisation de l’instrument de paiement. Les établissements bancaires pourraient ainsi être tentés de renforcer les critères permettant d’apprécier l’obligation de vigilance reposant sur leurs clients dans leurs conditions générales.
Si cette décision justifie la résistance des banques face à la négligence de leur client sollicitant le remboursement de sommes payées dans des situations de fraude, rappelons qu’en toute hypothèse, comme le soulignait à bon escient Démosthène14, « la vigilance nous met au-dessus de tous les périls »…
Notes de bas de pages
-
1.
Rapport annuel de l’Observatoire de la sécurité des moyens de paiement 2016.
-
2.
Cass. com., 25 oct. 2017, n° 16-11644.
-
3.
CNIL, « Le phishing, c’est quoi ? Besoin d’aide ».
-
4.
Cass. com., 18 janv. 2017, nos 15-18102, 15-18224, 15-18466, 15-26058 et 15-22783.
-
5.
Cass. com., 16 oct. 2012, n° 11-19981.
-
6.
Cass. com., 2 oct. 2007, n° 05-19899 et Cass. com., 18 janv. 2017, nos 15-18102, 15-18224, 15-18466, 15-26058 et 15-22783.
-
7.
Dir. (UE) n° 2015/2366 du PE et du Cons., 25 nov. 2015, concernant les services de paiement dans le marché intérieur, modifiant les dir. nos 2002/65/CE, 2009/110/CE et 2013/36/UE et le règl. (UE) n° 1093/2010, et abrogeant la dir. n° 2007/64/CE (Texte présentant de l’intérêt pour l’EEE).
-
8.
Cass. com., 16 oct. 2012, n° 11-19981.
-
9.
Cass. com., 18 janv. 2017, nos 15-18102, 15-18224, 15-18466, 15-26058 et 15-22783.
-
10.
Cass. com., 18 janv. 2017, n° 15-18102.
-
11.
Cass. com., 18 janv. 2017, n° 15-18224.
-
12.
Cass. com., 18 janv. 2017, n° 15-26058.
-
13.
C. mon. fin., art. L. 133-2 : « Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l’article L. 133-1-1, des troisième et quatrième alinéas de l’article L. 133-7, des articles L. 133-8, L. 133-19, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1, L. 133-25-2 et au I de l’article L. 133-26 ».
-
14.
Démosthène, Les Philippiques, IVe siècle av. J.-C.