En matière d’opérations bancaires non autorisées, la Cour de cassation vient de clarifier deux points fondamentaux : le point de départ du délai de signalement et les critères de la négligence grave de l’utilisateur. Cette décision, rendue dans la lignée d’un arrêt de la CJUE du 1er août 2025, est essentielle pour les établissements de crédit comme pour leurs clients.

Source : Cass.Com., 14 janvier 2026, n°22-14822, n°13 FS-B

Points clés à retenir

• L’obligation de signalement d’une opération non autorisée naît dès que l’utilisateur en a connaissance.
• En cas de négligence grave ou de fraude délibérée, l’utilisateur perd son droit à remboursement, même s’il a agi dans le délai de treize mois.
• Le délai de treize mois constitue une forclusion objective ; mais la rapidité de réaction s’évalue subjectivement à compter de la date de connaissance effective.
• La seule invocation d’une responsabilité contractuelle ne suffit pas à caractériser la négligence grave : le prestataire doit préciser les conditions d’accès frauduleux aux données du client.

Contexte et faits de l’espèce

Les opérations bancaires non autorisées constituent une source fréquente de litiges. La Cour de Justice de l’Union européenne (CJUE) interprète constamment les textes européens dont sont issus les articles du Code monétaire et financier applicables, tandis que la Cour de cassation précise progressivement le cadre juridique national.

Dans l’affaire soumise à la chambre commerciale, un particulier avait ouvert un compte de dépôt auprès d’une société bancaire. Celle-ci lui avait envoyé une nouvelle carte de retrait et de paiement. Le client soutient n’avoir ni demandé ni reçu cette carte et avoir subi des retraits quotidiens non autorisés pendant plusieurs mois. Il a alors engagé une action en justice pour obtenir le remboursement des sommes indûment prélevées ainsi que des dommages-intérêts.

Après le rejet de sa demande en appel, le client s’est pourvu en cassation. Le 8 novembre 2023, la Cour de cassation a saisi la CJUE de trois questions préjudicielles portant sur l’interprétation des articles 56, 58, 60 et 61 de la directive 2007/64/CE du 13 novembre 2007 relative aux services de paiement dans le marché intérieur. La CJUE a répondu par un arrêt du 1er août 2025 (aff. C-665/23), qui constitue le fondement de la présente décision.

1. Le délai de signalement de l’opération non autorisée

Un double encadrement du délai : subjectif et objectif

Conformément aux articles L. 133-17 à L. 133-19 du Code monétaire et financier, l’utilisateur d’un service de paiement doit signaler toute opération non autorisée à son prestataire « sans délai ». Ce signalement suffit à contraindre le prestataire à supporter l’intégralité des pertes liées à l’acte frauduleux. L’article L. 133-24 ajoute une limite objective : le signalement doit intervenir « au plus tard dans les treize mois suivant la date de débit, sous peine de forclusion ».

La CJUE distingue ainsi deux modalités d’encadrement du délai. Un critère subjectif (la réactivité effective de l’utilisateur dès sa prise de connaissance) et un critère objectif (la forclusion à treize mois). Ces deux niveaux ne s’excluent pas : un signalement effectué dans les treize mois peut néanmoins être tardif si l’utilisateur a délibérément ou par négligence grave omis d’agir plus tôt.

Point de départ du délai : la date de connaissance effective

La chambre commerciale apporte une précision décisive sur le point de départ du délai de signalement : l’obligation naît « à compter du moment où [l’utilisateur] en a eu connaissance », et non à compter de la date de débit elle-même. C’est sur ce point que la Cour casse l’arrêt d’appel, qui n’avait pas déterminé la date à laquelle le client avait effectivement eu connaissance de la première opération non autorisée — information indispensable pour apprécier la tardiveté du signalement.

Autrement dit, si le payeur informe son prestataire dans les treize mois suivant la date de débit, il conserve en principe son droit à correction, sauf s’il a commis une fraude ou une négligence grave ayant retardé le signalement.

2. La notion de négligence grave de l’utilisateur

Le régime probatoire : la charge repose sur le prestataire

Lorsque l’utilisateur signale l’incident dans les délais requis, il appartient au prestataire de prouver, en application des articles L. 133-16, L. 133-17 et L. 133-19, IV du Code monétaire et financier, que l’utilisateur a agi de manière frauduleuse ou n’a pas pris toutes les mesures raisonnables pour protéger ses dispositifs de sécurité personnalisés — que ce soit intentionnellement ou par négligence grave.

Une appréciation stricte de la négligence grave

La cour d’appel avait retenu la négligence grave du client au motif qu’il était « contractuellement seul responsable de l’utilisation de sa carte » et qu’il n’avait pris aucune mesure pour protéger l’accès à sa boîte aux lettres ni la confidentialité de ses identifiants. La chambre commerciale censure ce raisonnement : une telle motivation est insuffisante dès lors qu’elle ne précise pas dans quelles conditions un tiers a pu accéder aux données personnelles du client.

Cette solution s’inscrit dans un mouvement jurisprudentiel plus large. En matière d’hameçonnage (phishing), la Cour de cassation rappelle que la négligence grave du client ne suffit pas à justifier un refus de remboursement : le prestataire doit aussi démontrer l’absence de toute déficience technique (Cass. com., 30 avril 2025, n° 24-10.149). En matière de spoofing, la transmission par le client de ses coordonnées personnelles ne caractérise pas en soi une faute grave (Cass. com., 12 juin 2025, n° 24-13.777).

Conclusion

Cette décision de la chambre commerciale du 14 janvier 2026 consolide le régime des opérations bancaires non autorisées sur deux points essentiels. D’une part, elle ancre le point de départ du délai de signalement à la date de connaissance effective par l’utilisateur, et non à la date de débit. D’autre part, elle exige des juges du fond une motivation précise et circonstanciée pour caractériser la négligence grave, dans la lignée d’une jurisprudence toujours plus protectrice du client face aux fraudes.

Pour les prestataires de services de paiement, cette décision rappelle l’importance de documenter précisément les conditions d’accès frauduleux aux données du client avant de pouvoir opposer la négligence grave. Pour les utilisateurs, elle souligne la nécessité d’agir avec diligence dès la découverte de toute opération suspecte.

Références :