- 4 juillet 2017
- Envoyé par : cabinettm
- Catégorie: Autres
Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation. Aujourd’hui, Eric Caprioli évoque la question de la responsabilité des banques lors de fraudes à la carte bancaire.
Dans la relation entre une banque prestataire de service de paiement et son client, le comportement de ce dernier peut avoir des conséquences financières importantes. Les fraudes à la carte bancaire subies par le client conduisent bien souvent au remboursement par la banque des montants prélevés sur son compte… sauf s’il a commis lui-même la fraude ou s’est montré gravement négligent. Cependant, depuis la décision Cass. Com. 17 mai 2017, n° 15-28.209. même en cas de négligence grave de leur client, les banques doivent veiller à respecter leurs obligations contractuelles au risque de voir leur responsabilité engagée. Les uges procèdent donc à une double vérification – la preuve de la négligence et le respect du contrat par la banque. Peut-on en conclure que le client est surprotégé ?
L’OBLIGATION DES BANQUES DE REMBOURSER LEUR CLIENT
Pour bien comprendre la décision de la Cour de cassation du 17 mai 2017, il convient de rappeler préalablement l’obligation légale de remboursement qui incombe à la banque en cas de fraude envers leur client. Le litige était fondé sur le refus de la banque de rembourser les montants prélevés sur le compte de son client en exécution des ordres litigieux (opérations de retrait et de paiement avec la carte bancaire).
Selon les dispositions de l’article L. 133-18 du Code monétaire et financier, en cas d’opération frauduleuse sur un compte bancaire « le prestataire de service de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ». Le code dispose par ailleurs en son article L.133-19 IV que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave [à ses obligations] ».
Afin que les banques s’exonèrent de cette obligation de remboursement, la jurisprudence considère que la fraude ou la négligence grave doivent être prouvées par la banque. Ce qui est particulièrement délicat si le code confidentiel est utilisé. En effet, le client fraudeur pourrait réaliser un paiement en vue de se faire rembourser. Récemment dans le cadre d’un phishing, argument avancé par la banque sans preuve, cette dernière a été condamnée à rembourser son client (v. Cass. com. 18 janvier 2017). Comment prouver que le client s’est effectivement « fraudé » lui-même ? Dans ce cas, dès lors qu’elle est quasiment impossible à rapporter, la preuve est dite « diabolique ».
Les espèces où le client est « honnête » et avoue avoir été négligent sont très rares. Il a été ainsi jugé que l’aveu du client qui a laissé sa carte bancaire et son code personnel dans la boîte à gants de sa voiture permettait de caractériser la faute lourde du titulaire dans un arrêt Cass. com. 16 oct. 2012 n°11-19.981.
LA CONVENTION DE COMPTE, CLÉ DU LITIGE
L’arrêt du 17 mai 2017 qui se fonde sur les articles 1147 (ancien) du Code civil et L. 133-19 du Code monétaire et financier semble engager les banques dans une voie juridique sans issue.
Dans ce cas, le client de la banque avait déclaré être victime du vol de sa sacoche qui contenait sa carte bancaire et une lettre mentionnant le code secret permettant de l’utiliser alors qu’il l’avait laissé pendant plusieurs jours dans un local sans surveillance. Plusieurs retraits et paiements avaient été effectués avant qu’il ne fasse opposition alors que son compte était déjà débiteur. La banque avait alors refusé de lui rembourser le montant des sommes prélevées sur son compte.
Selon l’arrêt d’appel, le client avait commis une négligence grave ayant permis la réalisation des opérations à l’insu du client. La banque avait délivré suffisamment d’informations sur les modalités à suivre en cas de vol (numéro d’une hotline notamment) et le manque de réactivité pour prévenir la banque caractérisait la négligence du client. Selon la décision d’appel, ce dernier avait contribué à la réalisation de son propre dommage. La Cour considérait qu’il ne pouvait prétendre au remboursement des sommes débitées. Pour les magistrats, il n’était pas nécessaire de se pencher sur la faute de la banque qui a laissé débiter le compte en l’absence de découvert autorisé.
Au contraire, la Cour de cassation a estimé que si la négligence du client est valablement établie et retenue contre le titulaire de la carte bancaire, cela ne le prive pas de son droit d’invoquer le manquement du banquier à ses propres obligations contractuelles. Or, aux termes du contrat, la banque n’avait pas autorisé de découvert sur le compte bancaire débité. Cette erreur malheureuse doit inciter les banques à être particulièrement vigilantes sur le suivi des contrats avec leurs clients. Dans cette affaire, il eut fallu établir une corrélation entre les ordres de paiements et l’autorisation de découvert de sorte que tout dépassement de ce qui a été prévu contractuellement soit bloqué. Mais pour ce faire, encore faut-il que les systèmes d’information des banques soient programmés en ce sens.
LA SÉCURITÉ DES MOYENS DE PAIEMENT
S’agissant des aspects techniques, une politique de sécurisation des moyens de paiement garantissant une authentification forte doit être mise en place. La suppression du code confidentiel que les utilisateurs peuvent se faire facilement ravir est sans doute une solution. Des moyens d’authentification utilisant les caractéristiques de la personne peuvent être utilisés. La banque postale a d’ailleurs lancé au mois de juin un système de reconnaissance biométrique par la voix baptisé « Talk to Pay ». D’autant que le 27 avril 2017, la CNIL a autorisé 9 banques à expérimenter des systèmes de reconnaissance vocale pour authentifier leurs clients ou membres de leurs personnels.
Les équipes juridiques et techniques ne doivent pas oublier de veiller à ce que toutes ces mesures soient en conformité avec les dispositions qui ont trait à la gestion des identifications et authentifications notamment celles du règlement eIDAS (voir ce lien) qui a pour objectif d’améliorer la confiance dans les échanges en ligne et les dispositions de la directive DSP 2 sur les services de paiement dans le marché intérieur.
Eric A. Caprioli, avocat à la Cour de Paris, Docteur en droit / Membre de la délégation française aux Nations Unies, Caprioli & Associés, Membre du réseau JurisDéfi