Actualité > À la une
À la une
Droit commercial et des affaires
Utilisation frauduleuse d’un moyen de paiement : à la banque de la prouver !
Mots-clefs : Banque, Mode de paiement, Paiement à distance, Payweb, Fraude, Charge de la preuve
La banque a la charge de prouver que son client, qui nie avoir autorisé une opération de paiement, a fait l’objet d’un hameçonnage.
Selon la chambre commerciale de la Cour de cassation, la preuve de la fraude ou de la négligence de l'utilisateur de services de paiement doit être rapportée par la banque où son compte est ouvert et ne peut se déduire du seul fait que l'instrument de paiement a été effectivement utilisé.
Le titulaire d'un compte bancaire contestait trois opérations de paiement effectuées frauduleusement sur son compte via le système de paiement à distance dit « payweb ». Celui-ci comporte pourtant un processus de paiement à distance sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion puis, pour chaque opération de paiement réalisée, la création d’une carte utilisable à l’aide de « clefs personnelles » avant que la banque n’envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement souhaité. La banque avait refusé de rembourser le montant correspondant aux opérations contestées par son client, prétendant que ce dernier avait fautivement fourni à un tiers les informations confidentielles nécessaires à la réalisation des opérations litigieuses. Son client l’avait assignée en paiement. Le juge de proximité saisi du litige fit droit à sa demande de remboursement au motif que, dans la mesure où la banque avait échoué à rapporter la preuve, qui lui incombait, que son client avait dévoilé ses données personnelles à un tiers, la faute commise devait lui être imputée, le juge reprochant à la banque, en ayant fourni à un tiers un code de confirmation pour valider les opérations contestées, un manquement à ses obligations contractuelles. La banque forma un pourvoi en cassation, au soutien duquel elle argua que l’utilisation du système de paiement en cause, parce qu’il est sécurisé, révélait nécessairement que son client avait d’une manière ou d’une autre communiqué à un tiers les données qui lui étaient propres ayant permis d’effectuer les débits litigieux et qu’il devait ainsi être jugé seul responsable d’une « négligence grave dans la conservation de données sécurisées » qui, à elle seule, devait lui faire « supporter l’intégralité de la perte subie ». L’autre hypothèse invoquée par la banque était celle d’un « hameçonnage » : ainsi le client aurait-il répondu à un courriel frauduleux qu’il croyait émis de la banque et ainsi fourni à un tiers les identifiant, mot de passe et clefs, correspondant à ses données personnelles, ayant permis de réaliser les opérations frauduleuses. Son pourvoi est rejeté par la Cour de cassation au motif que si aux termes des articles L. 133-16 et L. 133-17 du Code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de toute utilisation non autorisée, il incombe néanmoins à ce dernier, par application des articles L. 133-19, IV et L. 133-23 du même code, de « rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence à ses obligations », cette preuve ne pouvant se déduire, précise la Cour, « du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». Ainsi, la preuve d'une intention frauduleuse dans la divulgation des données personnelles n’ayant pu, en l’espèce, être rapportée, la banque devait rembourser la somme demandée par son client.
Dans cette décision, illustrant parfaitement, au-delà du droit bancaire et financier, le risque de la preuve, la chambre commerciale de la Cour de cassation rappelle donc (Civ. 1re, 28 mars 2008, n° 07-10.186 ; Com. 21 sept. 2010, n° 09-11.707) qu’il incombe au prestataire de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence à ses obligations de prudence et d’information. Autrement dit, une banque ne peut se contenter d’invoquer l’hypothèse d’un hameçonnage pour échapper à sa responsabilité contractuelle, mais doit matériellement prouver que son client a bien été victime d’une telle action sans quoi elle se devra de rembourser son client. Compte tenu de la difficulté à rapporter cette preuve, hors l’hypothèse d’un aveu du client, cette solution devrait conduire les banques à renforcer la sécurité de ces paiements à distance dont la commodité qu’ils procurent aux clients explique l’essor et accroît, de ce fait, le risque de leur détournement frauduleux.
Com., 18 janv.2017, n° 15-18.102
Références
■ Civ. 1re, 28 mars 2008, n° 07-10.186 P, D. 2008. 1136, obs. V. Avena-Robardet ; ibid. 2009. 1492, chron. A. Hontebeyrie ; RTD com. 2008. 607, obs. D. Legeais.
■ Com. 21 sept. 2010, n° 09-11.707 P, D. 2010. 2220, obs. X. Delpech ; ibid. 2011. 1643, obs. D. R. Martin et H. Synvet ; RTD com. 2010. 759, obs. D. Legeais.
Autres À la une
-
Droit des obligations
[ 21 novembre 2024 ]
Appréciation de la date de connaissance d’un vice caché dans une chaîne de contrats
-
Droit des obligations
[ 21 novembre 2024 ]
Appréciation de la date de connaissance d’un vice caché dans une chaîne de contrats
-
Libertés fondamentales - droits de l'homme
[ 20 novembre 2024 ]
Chuuuuuut ! Droit de se taire pour les fonctionnaires poursuivis disciplinairement
-
Droit de la responsabilité civile
[ 19 novembre 2024 ]
Recours en contribution à la dette : recherche d’une faute de conduite de l’élève conducteur
-
Droit de la responsabilité civile
[ 18 novembre 2024 ]
L’autonomie du préjudice extrapatrimonial exceptionnel d’un proche d’une victime handicapée
- >> Toutes les actualités À la une