Hameçonnage : Durcissement des conditions du refus de remboursement

Jacques-Eric MARTINOT
Jacques-Eric MARTINOT - Avocat

Source : Cass.Com, 12 novembre 2020, n°19-12112, n°708 P + B

 

Un particulier victime d’hameçonnage le remboursement des sommes débitées au regard des dispositions de l’article L133-19 du Code monétaire et financier disposant :

 

« I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.

 

Toutefois, la responsabilité du payeur n’est pas engagée en cas :

 

– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;

 

– de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;

 

– de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

 

II.  La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

 

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

 

III.  Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17.

 

IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

 

V.  Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

 

VI. Lorsque le bénéficiaire ou son prestataire de services de paiement n’accepte pas une authentification forte du payeur prévue à l’article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur. »

 

En l’espèce, le particulier a répondu à un courriel qu’il croyait provenir de son opérateur téléphonique afin qu’il lui communique diverses informations et notamment le numéro de carte, le cryptogramme…

 

La fraude sera révélée par la réception du code 3D SECURE montrant des paiements effectués par la carte bancaire. Opposition est immédiatement faite, mais les paiements ont déjà été effectués.

 

La banque s’opposera au remboursement invoquant la négligence grave de son client dans la conservation des dispositifs de sécurité.

 

La Cour de cassation sera alors saisie du dossier qui rendra un arrêt favorable à la Banque dans les termes suivants :

 

« Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme Y… n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale »

 

Statuant sur renvoi après cassation et en dernier ressort, le tribunal d’instance fait quant à lui droit à la demande de remboursement. Selon le tribunal, la négligence grave du client peut certes être retenue, seulement la banque n’a pas prouvé que l’opération litigieuse n’avait pas été affectée d’une déficience technique, exigence prévue à l’article L. 133-23, alinéa 1er du code monétaire et financier. Jugeant cette preuve surabondante, la banque se pourvoit en cassation.

 

La Cour de cassation est à nouveau saisie du litige, rendant l’arrêt commenté et l’attendu ainsi repris :

 

« 4. En premier lieu, il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

 

5. Le moyen, pris en sa première branche, qui postule le contraire, manque en droit.

 

6. En second lieu, sous le couvert des griefs infondés de dénaturation et de manque de base légale, le moyen, pris en ses deuxième et troisième branches, ne tend qu’à remettre en cause l’appréciation, souveraine, par laquelle le tribunal a estimé que les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale de crédit mutuel Nord Europe ne rapportaient pas cette preuve.

 

7. Le moyen n’est donc pas fondé.

 

PAR CES MOTIFS, la Cour :

 

REJETTE le pourvoi ; »

 

La Cour ajoute donc une condition. Non seulement la négligence grave du client doit être démontrée par la Banque, mais surtout, il faut désormais que la banque démontre également l’absence de déficience technique de l’opération.

 

C’est l’application des dispositions de l’article L133-23 du Code précité :

 

« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

 

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

 

Les possibilités pour la Banque de faire supporter l’opération litigieuse à son client sont donc restreintes. Il faut néanmoins savoir ce qu’est une déficience technique et si l’appréciation par les juges du fond sera souple ou restrictive.

 

Il sera également nécessaire de s’interroger sur les agissements frauduleux du client.

Partager cet article