Le droit de la fraude aux instruments de paiement s'enrichit d'un nouvel arrêt qui nous paraît trouver un point d'équilibre intéressant entre la responsabilité des prestataires et celle des utilisateurs de services de paiement.
Revue de l'article
Cet article est extrait de Revue Banque n°821
Gafa & Banques : concurrents ou partenaires
Précédents. Nous nous étions quittés sur une décision qui laissait entrevoir comme une « possibilité » que la responsabilité pour négligence grave du porteur de carte de paiement soit retenue [1]. Or cette hypothèse contrastait avec l'impression de « nasse » dans laquelle la Cour de cassation paraissait acculer les prestataires de services de paiement en cas de fraude au paiement résultant d'un hameçonnage (en anglais, phishing) de leurs clients [2].
Possibilité, donc, ouverte par l'arrêt du 25 octobre 2017 : « en se déterminant ainsi, sans rechercher, au regard des circonstances de l'espèce, si Mme X... n'aurait pas pu avoir conscience que le courriel qu'elle avait reçu était frauduleux et si, en conséquence, le fait d'avoir communiqué son nom, son numéro de carte bancaire, la date d'expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l'article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ».
Ce qui contrastait avec cette sorte de preuve impossible résultant de la décision du 18 janvier 2017 : « Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133- 19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. »
En l'espèce. Le pluriel utilisé pour intituler ce commentaire – fraude « aux instruments » de paiement – est important, dans la mesure où, en l'espèce, la fraude ne portait pas que sur des paiements (achats sur Internet) par carte bancaire 3D Secure (2 731,98 €), mais aussi par virement (4 500 €), à partir de deux comptes différents ouverts dans les livres d'une banque mutualiste et à la suite d'une campagne de phishing.
En première instance, les juges estimèrent que la banque était tenue au remboursement des paiements effectués par carte, faute d'établir que M. L. avait communiqué les données concernant celle-ci. Le débit du compte opéré par virement était en revanche écarté, dans la mesure où la victime avait reconnu la communication, sans précaution, de ses codes d'accès Internet. Par un arrêt du 19 avril 2016, la cour d'appel d'Amiens suivit volontiers les premiers juges et alla même plus loin puisqu'elle condamna la banque à rembourser tous les paiements frauduleux, par carte comme par virement : « la Cour déduit que c'est véritablement à son insu que X... a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n'est pas constitutive d'une négligence grave le fait pour un client "normalement" attentif de n'avoir pas perçu les indices propres à faire douter de la provenance des messages reçus » [3].
Du pourvoi en cassation formé par la banque, on retiendra que seul un axe de défense a fait mouche.
Moyen inopérant. L'apport immédiat de l'arrêt rendu par la Cour de cassation le 28 mars 2018 est de confirmer l'inanité d'une défense de la banque tirée de la présomption du défaut de garde des données confidentielles liées à l'instrument de paiement (des données de sécurité personnalisées au sens de la DSP 2, en somme) par son utilisateur. Autrement dit, le prestataire de services de paiement ne peut inverser la charge de la preuve et reprocher à l'utilisateur (et, derrière, au juge) de n'avoir pas rapporté la preuve qu'il a bien respecté son obligation de conserver les données confidentielles, comme l'article L. 133-16 du Code monétaire et financier lui en fait obligation.
Car le rejet de ce moyen par notre décision se fait exactement dans les mêmes termes que ceux employés dans l'arrêt du 18 janvier 2017 : « Mais attendu que, si, aux termes des articles L. 133- 16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. »
Réaffirmée par deux fois, la chose paraît entendue et les plaideurs devraient pouvoir faire l'économie d'une telle argumentation.
La place pour une négligence grave. Il y a néanmoins place pour la reconnaissance d'une négligence grave de l'utilisateur de services de paiement et c'est bien la nouveauté de la décision sous commentaire, qui franchit le pas de la cassation ouvert par celle du 25 octobre 2017.
Cassation est en effet encourue pour violation des articles L. 133-16 et L. 133-19 du Code monétaire et financier. Pour comprendre la censure, il faut relever ce que les juges d'appel ont dit, puisque, ce disant, ils ont violé la loi : « Attendu que pour statuer comme il fait, l'arrêt, après avoir relevé que M. L. a été victime d'un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d'un "certificat de sécurité à remplir attentivement" qu'il a scrupuleusement renseignés, allant même jusqu'à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté, retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message, sont de nature à interpeller le client, ce à quoi n'est pas nécessairement sensible un client non avisé, étant observé que M. L., qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette dernière sur le hameçonnage, puis en déduit que c'est à son insu que M. L. a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n'est pas constitutive d'une négligence grave le fait pour un client "normalement" attentif de n'avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. »
Mais non, Messieurs les juges du fond, vous vous contredisez en relevant de telles circonstances sans caractériser la négligence grave de l'utilisateur : « Qu'en statuant ainsi, alors que manque,
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
