Les fraudes à la carte de paiement, l’usurpation des identifiants permettant d’accéder au compte en ligne ou encore les virements frauduleux sont le cauchemar des établissements bancaires lesquels sont obligés – sous les conditions exposées ci-après – de procéder au remboursement de l’utilisateur des services de paiement, c’est-à-dire le client.
Lorsqu’un client se trouve dans une situation de paiement ou de virement qu’il n’a pas autorisé, il doit immédiatement avertir son établissement bancaire et faire opposition ; c’est une évidence. A réception de la demande du client la banque doit, en principe, procéder au remboursement immédiat des sommes litigieuses sous réserve qu’il ne s’agisse d’un cas de fraude ou d’une « négligence grave » du client. C’est là que les choses se compliquent.
En effet, jusqu’à présent, les banques qui affirment infaillible leur système, opposent systématiquement au client sa « négligence grave » et notamment sa participation, malgré lui, à une opération d’hameçonnage qui consiste à révéler ses informations confidentielles à un tiers sans s’en apercevoir.
L’hameçonnage type est un courriel reçu de la part d’un tiers qui se présenterait comme vôtre établissement bancaire qui vous demanderait, par exemple, vos identifiants et mots de passe pour réaliser une mise à jour. La difficulté pour l’utilisateur est que le courriel présente sans doute toutes les caractéristiques de son établissement bancaire, sauf à y regarder de plus près (adresse électronique, fautes d’orthographes etc..).
Il existe donc deux hypothèses : 1/ soit le client nie purement et simplement avoir été victime d’un hameçonnage et avoir autorisé, de quelque manière que ce soit, le paiement frauduleux ; 2/ soit il a effectivement été victime d’un hameçonnage et il en a parfaitement conscience.
1/ Dans la première hypothèse c’est à la banque qui invoque que l’opération litigieuse résulte d’un hameçonnage de le prouver. En effet si le client n’a pas été victime d’un hameçonnage et qu’il nie avoir autorisé le paiement ou le virement litigieux, il revient alors à la banque de rapporter la preuve d’une fraude ou d’une négligence grave du client ;
Et cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés[1].
2/ Dans la seconde hypothèse, le client négligent communiquera sans doute de bonne foi les éléments de l’hameçonnage et la banque refusera alors systématiquement de procéder au remboursement arguant d’une négligence grave et notamment que jamais une banque ne demande à ses clients identifiants et mots de passe, que le courriel reçu était aisément identifiable comme frauduleux etc.
La position du client est alors bien plus délicate que dans la première hypothèse puisque les juges reconnaissent assez facilement une « négligence grave » dès lors que le courriel (support de l’hameçonnage) présente de sérieuses anomalies (forme du message, contenu, fautes d’orthographes)[2]
Cependant, dans un arrêt récent, la haute cour a jugé qu’outre la démonstration de la « négligence grave », la banque doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée, comptabilisée et qu’elle n’a pas été « affectée par une déficience technique ou autre »[3].
Toute la question est donc de savoir ce que recouvre l’expression « affectée par une déficience technique ou autre » : quelle(s) preuve(s) devra donc rapporter la banque pour satisfaire aux dispositions de l’article L.133.23 du code monétaire et financier ?
En définitive, il se pourrait bien que la Cour de cassation ait réduit considérablement la possibilité pour la banque d’opposer un refus de remboursement à son client quand bien même la négligence grave serait caractérisée.
Affaire à suivre.
Vous êtes concerné par cette situation ? ; notre cabinet peut vous conseiller utilement.
N’hésitez pas à prendre rendez-vous !
[1] Com. 18 janvier 2017, n°15-18102.
[2] Com. 1er juillet 2020, n°18-21487.
[3] Com. 12 novembre 2020, n°19-12112