Achats sur internet non autorisés et responsabilité de la banque : précisions sur la charge de la preuve

Thomas LAILLER
Thomas LAILLER

Source : Cass. com., 12 nov. 2020, n° 19-12.112, n° 708 FS-P+B

 

I – Les faits

 

Après avoir reçu, sur son téléphone mobile, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, la titulaire d’une carte bancaire a, le même jour, fait opposition à celle-ci auprès de sa banque. Elle lui aa ensuite demandé le remboursement de la somme qui aa été prélevée sur ce compte à ce titre , et de réparer son préjudice moral.

 

Soutenant que l’utilisatrice n’a pas contesté avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte, l’établissement de crédit s’est opposé à sa demande, au motif qu’elle a ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition, obligation pesant sur elle en application des articles L.133-16 et L.133-17 du Code monétaire et financier.

 

Or, par un jugement du 12 décembre 2018 rendu sur renvoi après cassation[1], le tribunal d’instance a jugé que l’établissement de crédit n’a pas démontré que l’opération litigieuse n’a pas été affectée par une déficience technique ou autre. L’établissement de crédit a donc été condamnés  à payer à l’utilisatrice la somme de 3.300,28 euros.

 

La banque a formé un nouveau pourvoi en cassation.

 

II – Le pourvoi rejeté

 

L’établissement bancaire qui « entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L.133-16 et L.133-17 du Code monétaire et financier, doit prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre », preuve en l’occurrence non rapportée.

 

La solution peut paraître sévère, mais est conforme à la lettre de l’article L. 133-23, alinéa 1er, du Code monétaire et financier. Ce contentieux devrait toutefois se tarir à l’avenir, avec le renforcement des dispositifs d’authentification forte qui remplaceront progressivement le recours aux codes SMS, par des solutions plus avancées, comme par exemple une empreinte biométrique ou la saisie d’un code confidentiel unique (système SCA pour « Strong Customer Authentication »).

 

[1] Cass. com., 25 octobre 2017, n° 16-11.644

Partager cet article
Vivaldi Avocats