Com. 18 janv. 2017, FS-P+B+I, n° 15-18.102

Affirmant que trois opérations de paiement avaient été effectuées frauduleusement sur son compte bancaire, le titulaire de celui-ci les contesta et demanda à sa banque de lui en rembourser le montant. La banque refusa, au motif que l’intéressé aurait commis une faute en donnant à un tiers des informations confidentielles permettant d’effectuer les opérations contestées. Assignée en paiement devant une juridiction de proximité, elle fut cependant condamnée à l’indemniser à hauteur de 828 €. Le pourvoi de la banque est ensuite rejeté par la Cour de cassation, dans l’arrêt ici rapporté.

En l’occurrence, le titulaire du compte avait utilisé le système de paiement à distance « payweb », lequel nécessite le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte payweb par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes, avant que la banque envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré.

Selon la banque, son client avait par conséquent, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux. Il avait donc commis une négligence grave dans la conservation de ses données. Il aurait en particulier manqué aux prescriptions de l’article L. 133-16 du code monétaire et financier, disposition qui oblige l’utilisateur de services de paiement à prendre « toute mesure raisonnable » pour préserver la sécurité de ses dispositifs de sécurité personnalisés et à utiliser l’instrument de paiement conformément aux conditions contractuelles.

La Cour de cassation affirme toutefois que « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Or, en l’espèce, « il ne résultait pas des pièces versées aux débats la preuve que [le client] avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés ». La haute juridiction relève que la banque « se bornait à évoquer l’hypothèse d’un “hameçonnage”, en prétendant que [le client] avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la [banque] pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration ». La banque n’était donc pas en droit de débiter le compte de son client au titre des paiements litigieux.

Auteur : Editions Dalloz – Tous droits réservés.