La protection du client d’un établissement bancaire contre le spoofing ou l’appel d’un faux conseiller

Dans un arrêt du 23 octobre 2024, la chambre commerciale de la Cour de cassation a rappelé que c’est à l’établissement bancaire de rapporter la preuve que son client a commis une négligence grave alors que ce dernier a été victime du spoofing ou de l’appel d’un faux conseiller. Cette solution a pour intérêt d’assurer une meilleure protection au consommateur d’une banque.

Le 23 octobre 2024, la chambre commerciale de la Cour de cassation a rendu un arrêt de rejet concernant la pratique du spoofing ou de l’appel d’un faux conseiller bancaire. La solution apportée rappelle l’importance de la protection dont bénéficie le titulaire d’un compte bancaire.

En l’espèce, le 31 mai 2019, le client d’un établissement bancaire a constaté que plusieurs virements frauduleux d’un montant de 54 500 euros avaient été opérés sur son compte. Ce même jour, il a alerté sa banque en indiquant qu’il avait été contacté par téléphone par une personne prétendant travailler pour l’établissement et lui demandant la communication de ses données personnelles de sécurités aux fins d’ajouts de nouveaux bénéficiaires de virements. Il a enfin assigné ce professionnel pour obtenir le remboursement des sommes débitées de son compte.

Condamné le 28 mars 2023 par la cour d’appel de Versailles à procéder au remboursement, l’établissement bancaire s’est pourvu en cassation estimant qu’il n’y était pas tenu, notamment, au motif que son client avait été gravement négligent en contribuant à l’escroquerie dont il se prétendait victime.

La Cour de cassation était donc invitée à déterminer si le client victime d’un faux conseiller bancaire contribuant à l’escroquerie commet une négligence grave permettant à l’établissement bancaire de refuser tout remboursement.

À cette question, la haute juridiction répond par la négative. La négligence grave du client, qui doit être prouvée par l’établissement bancaire, n’était pas caractérisée eu égard au procédé employé par l’escroc, à savoir le spoofing. Cette solution présente l’intérêt d’apporter des indications sur la détermination de la négligence grave du client victime d’une fraude et sur l’étendue de la protection qui lui est accordée.

1. L’absence de négligence grave du client. Les règles relatives à la contestation et à la responsabilité en cas d’opération de paiement non autorisée sont énoncées par le Code monétaire et financier. D’après l’article L. 133-18 de ce code, lorsqu’un utilisateur d’un service de paiement signale, sans tarder, à son prestataire de services de paiement, une opération non autorisée au plus tard dans les treize mois suivant la date de débit1, celui-ci doit rembourser au payeur le montant de l’opération non autorisée. Ce remboursement doit s’opérer promptement, soit immédiatement après prise de connaissance de l’opération ou après en avoir reçu l’information, et au plus tard à la fin du premier jour ouvrable suivant. D’après l’article L. 133-19 du Code monétaire et financier, le payeur est tenu de supporter toutes les pertes occasionnées par des opérations de paiement non autorisées dès lors qu’elles résultent d’un agissement frauduleux de sa part ou qu’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :

• prise de toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisée ;

• utilisation de l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation2 ;

• information sans tarder de l’établissement bancaire des opérations litigieuses et aux fins de blocage de l’instrument de paiement3.

Il ressort donc de ces textes que l’établissement bancaire peut refuser le remboursement d’une fraude dont son client se prétend victime, à la condition que ce dernier ait agi frauduleusement ou commis une négligence grave. C’est sur ce dernier point que l’arrêt du 23 octobre 2024 apporte un éclairage intéressant. Aucune négligence grave du client n’est caractérisée dès lors que l’auteur de la fraude utilise un numéro de téléphone identique à celui du conseiller bancaire du client et que l’escroc, se prétendant salarié de la banque, laisse croire au client que l’opération est sécurisée en suivant les consignes communiquées. Au contraire, ce mode opératoire, correspondant au spoofing, a mis la victime en confiance et abaissé sa vigilance, alors qu’elle aurait été accrue s’il s’était agi d’un échange par le biais de courriel. En ce sens, dans un arrêt du 28 mars 2018, la chambre commerciale de la Cour de cassation a retenu que l’utilisateur avait manqué, « par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalités » en communiquant des données personnelles du dispositif de sécurité « en réponse à un courriel qui cont[enait] des indices permettant à un utilisateur normalement attentif de douter de sa provenance »4.

Si la caractérisation de la négligence demeure prétorienne et liée au mode opératoire de l’escroquerie, cette affaire donne des indications quant aux éléments permettant de caractériser ou d’exclure la négligence grave du client, et apporte aux établissements bancaires un exemple d’une situation où ils doivent être tenus d’effectuer le remboursement.

2. La protection du client. La position retenue est, sans l’ombre d’un doute, favorable au client. Cette approche protectrice transparaît déjà dans la caractérisation de la négligence, celle-ci devant être grave. Cette exigence de gravité réduit la possibilité pour l’établissement bancaire de refuser le remboursement. En l’espèce, il semble difficile de douter de la négligence du client étant donné qu’il a communiqué par téléphone des informations sécurisées devant demeurer personnelles. Pourtant, l’exigence de gravité lui est salvatrice eu égard aux circonstances de l’escroquerie et elle lui garantit un remboursement presque systématique quand il est victime d’agissements frauduleux.

Cette orientation protectrice s’exprime encore s’agissant de la charge de la preuve. À ce titre, la Cour de cassation rappelle que la charge de rapporter la preuve d’une négligence grave du client incombe au prestataire de services de paiement, à savoir l’établissement bancaire. Cette solution, prenant fondement dans les articles L. 133-19 et L. 133-23 du Code monétaire et financier, est constante dans la jurisprudence. Par exemple, dans un arrêt du 18 janvier 2017, la chambre commerciale retenait déjà qu’il appartient au prestataire de services de paiement de « rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ». Elle précisait, en outre, que la preuve « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées »5, limitant d’autant la possibilité d’établir la preuve.

Faire peser la charge de la preuve sur le professionnel est une approche particulièrement protectrice des intérêts de l’utilisateur d’un service de paiement. Pour pouvoir démontrer la négligence grave, la banque doit être en possession d’éléments tangibles en ce sens, ce qu’elle n’aura que rarement, sauf à ce qu’ils soient transmis par le client. D’ailleurs, ce dernier, pour s’assurer un remboursement, évitera de transmettre des éléments à son banquier démontrant par là même sa négligence. En pratique, il apparaît complexe pour un établissement bancaire de prouver la négligence grave et il devra souvent se résoudre au remboursement même si, jusqu’à présent, il pouvait tenter d’y échapper. Désormais avertie, la banque devra s’assurer de se mettre davantage et/ou enfin en conformité avec la loi au lieu de se décharger sur la naïveté de son client.

En tout état de cause, le banquier devra être vigilant quant à ses éventuels manquements, étant donné que, même si son client commet une négligence grave – par exemple en ne préservant pas la sécurité de son moyen de paiement –, ce dernier pourra invoquer tout manquement de la banque à ses propres obligations, en application des règles du droit de la responsabilité contractuelle6. Il s’ensuit que la protection se poursuit, du moins en partie, même lorsque la négligence est avérée.

La protection du client est donc au cœur des règles relatives à l’utilisation des moyens de paiement et de la jurisprudence y afférant. Cette protection vaut en particulier contre la fraude aux faux conseillers bancaires. Pour y parer, d’aucuns estiment, de manière légitime, qu’il faut mobiliser les entreprises des télécommunications pour renforcer la sécurité des lignes téléphoniques, et qu’il convient d’intensifier les opérations de sensibilisation émanant des banques elles-mêmes ou des institutions nationales7. Cette dernière solution se lie à la nécessaire éducation des consommateurs pour qu’ils ne communiquent en aucun cas des informations personnelles, permettant ainsi à des individus mal intentionnés qui les contacteraient d’effectuer des opérations de paiement.