A la uneBanque / CréditResponsabilité bancaire

Opérations bancaires non autorisées : Précisions quant au régime applicable

Jacques-Eric MARTINOT
Jacques-Eric MARTINOT - Avocat

La CJUE a dit pour droit que l’obligation incombant à l’utilisateur de services de paiement de signaler sans tarder à son prestataire de services de paiement une opération non autorisée naît à compter du moment où il en a eu connaissance et que, faute de l’avoir signalée, de manière délibérée ou par négligence grave, il est privé du droit d’obtenir la correction de cette opération, peu important que ce signalement ait été effectué dans les treize mois suivant la date de débit.

Source : Cass.Com., 14 janvier 2026, n°22-14822, n°13 FS-B

Dès qu’un utilisateur de services de paiement a connaissance d’une opération non autorisée, il est tenu d’en informer sans délai son prestataire.  Toutefois, si l’utilisateur ne signale pas l’opération dans un délai de treize mois suivant la date de débit, que ce soit par négligence grave ou intentionnellement, il perd son droit à la correction de l’opération.

Les opérations bancaires non autorisées sont une source fréquente de litiges.  La Cour de Justice de l’Union européenne (CJUE) a constamment interprété les textes européens, dont sont issus les articles du Code monétaire et financier applicables, et la Cour de cassation précise de plus en plus le cadre juridique applicable.  Cette décision met en lumière l’importance cruciale du délai impératif que le client doit respecter pour signaler l’opération non autorisée, sous peine de se voir refuser le remboursement de la fraude subie.

Dans l’affaire en question, un particulier avait ouvert un compte de dépôt en or dans les comptes d’une société.  Cette dernière lui a envoyé une nouvelle carte de retrait et de paiement à son adresse.  Le client affirme cependant n’avoir ni demandé ni reçu la carte et avoir subi des retraits quotidiens non autorisés sur son compte pendant plusieurs mois.  Il a donc engagé une action en justice contre la banque pour obtenir le remboursement des sommes indûment prélevées et des dommages-intérêts.

Suite au rejet de la demande du client en appel, celui-ci forme un pourvoi en cassation.  Par une décision du 8 novembre 2023, la Cour de cassation saisit la Cour de justice de l’Union européenne (CJUE) de trois questions préjudicielles concernant l’interprétation des articles 56, 58, 60 et 61 de la directive 2007/64 CE du 13 novembre 2007 relative aux services de paiement dans le marché intérieur. La CJUE rend un arrêt le 1er août 2025, répondant ainsi aux questions posées (CJUE, 1er août 2025, aff. C-665/23).  C’est dans ce contexte procédural que s’inscrit la présente décision.

La Cour de cassation est saisie de deux questions essentielles :

1. Le délai imparti pour signaler l’opération non autorisée.

2. La notion de négligence grave du client, susceptible d’autoriser l’établissement de crédit à refuser le remboursement.

1. Délai de signalement

Conformément aux articles L. 133-17 à L. 133-19 du Code monétaire et financier, en cas de paiement non autorisé, l’utilisateur du service de paiement doit en informer le prestataire « sans délai ».  Ce signalement oblige ensuite le prestataire à supporter l’intégralité des pertes liées à l’acte frauduleux.  La chambre commerciale rappelle également l’article L. 133-24 du même code, qui précise que le signalement doit intervenir « au plus tard dans les treize mois suivant la date de débit, sous peine de forclusion, sauf si le prestataire n’a pas fourni ou mis à disposition les informations relatives à cette opération conformément au chapitre IV du titre I du livre III ».  Le délai de signalement est donc encadré de deux manières : subjectivement, par l’exigence d’un signalement « sans délai », et objectivement, par la limite de treize mois. 

La Cour de justice de l’Union européenne (CJUE) s’est penchée sur la question suivante : quelle est la solution à apporter lorsqu’un client ne réagit pas rapidement à une opération non autorisée, mais la signale tout de même dans les treize mois ? Le juge européen a statué que si le payeur informe son prestataire de services de paiement de l’opération non autorisée dans les treize mois suivant la date de débit, il conserve son droit d’obtenir la correction de l’opération, sauf en cas de fraude de sa part.  Autrement dit, le délai de treize mois sert de référence pour évaluer la rapidité de la réaction du client, sauf si ce retard est dû à une intention délibérée ou à une négligence grave, c’est-à-dire à une violation manifeste d’une obligation de diligence. 

La Cour de Justice de l’Union Européenne (CJUE) distingue deux modalités d’encadrement du délai de signalement : subjective et objective.  Ces modalités sont définies par l’introduction d’une évaluation du comportement du payeur.  Reprenant la solution de la CJUE, la chambre commerciale aborde un autre sujet crucial concernant le point de départ de ce délai.  En interprétant la formulation de l’article L. 133-24 précité, elle conclut que l’obligation de signalement de l’opération non autorisée « prend effet à compter du moment où il en a eu connaissance ».  C’est notamment sur ce point que la Cour de cassation annule l’arrêt d’appel, reprochant à ce dernier de ne pas avoir déterminé la date à laquelle le client avait eu connaissance de la première opération de paiement non autorisée, ce qui était nécessaire pour évaluer la tardiveté du signalement.

2. Notion de négligence grave

Si la première partie de la solution apporte des réponses aux questions en suspens, la seconde partie manque cruellement d’originalité.  Le principe sous-jacent est, en effet, largement répandu et constamment réaffirmé, notamment dans les nombreuses décisions relatives aux faits d’hameçonnage et de « spoofing ».  Ainsi, lorsque l’utilisateur du service de paiement signale l’incident conformément aux exigences de rapidité, il incombe au prestataire, en application des articles L. 133-16, L. 133-17 et L. 133-19, IV du Code monétaire et financier, de prouver que l’utilisateur, qui conteste avoir autorisé l’opération de paiement, a agi de manière frauduleuse ou n’a pas pris toutes les mesures raisonnables pour sécuriser ses dispositifs de sécurité personnalisés, que ce soit intentionnellement ou par négligence grave. 

La cour d’appel avait initialement retenu la négligence grave du client, soulignant qu’il était « contractuellement seul responsable de l’utilisation de sa carte » et qu’il avait agi par imprudence et négligence en ne prenant aucune mesure pour empêcher un tiers d’accéder à sa boîte aux lettres ni pour préserver la confidentialité de son identifiant et de sa clé secrète.  La chambre commerciale estime toutefois que cette motivation est insuffisante pour caractériser une telle négligence grave, notamment en raison de l’absence de précisions de la part des conseillers d’appel quant aux conditions dans lesquelles le tiers a eu accès à l’identifiant et à la clé secrète du client.  Cette position s’inscrit dans la lignée de la jurisprudence récente, qui a progressivement renforcé l’appréciation de la négligence grave et de sa preuve.

En matière d’hameçonnage, il convient notamment de rappeler que la Cour de cassation considère que la simple démonstration de la négligence grave du client ne suffit pas à justifier un refus de remboursement.  Le prestataire de services doit en effet démontrer que l’opération en cause est dépourvue de toute déficience technique (Cass. com., 30 avril 2025, n° 24-10.149).  En matière de « spoofing », la Cour a même estimé que la transmission par le client de ses coordonnées personnelles ne constituait pas une telle faute (Cass. com., 12 juin 2025, n° 24-13.777).

Print Friendly, PDF & Email
Partager cet article
Jacques-Eric MARTINOT
ByJacques-Eric MARTINOT
Avocat
Suivre
En savoir plus sur l'auteur de Vivaldi Avocats
Article précédent EXCEPTION D’ILLEGALITE D’UN ACCORD DE BRANCHE
Article suivant Retenue du dépôt de garantie : l’indemnité d’occupation peut être imputée lorsque le locataire se maintient dans les lieux après la fin du bail

Vous aimerez aussi