Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Fraude bancaire : la victime est-elle responsable ?

Publié le par

La Cour de cassation envoie un message brouillé et préoccupant. La charge de la preuve repose certes sur la banque, mais en donnant une portée extrêmement large à la négligence du client, la Cour réduit à peau de chagrin la charge réelle que cela représente et permet aux banques de s’exonérer facilement de leur obligation de remboursement.

La fraude bancaire se porte bien !

En 2016, 1,2 million de ménages en France se sont déclarés victimes d’au moins un retrait frauduleux sur leur compte bancaire, selon l’enquête « Cadre de vie et sécurité » (CVS) de l’Insee menée en 2017 et publiée en mai par l’Observatoire national de la délinquance et des réponses pénales (ONDRP).  834 000 ménages victimes de retraits frauduleux ont déclaré s’être aperçu de la fraude en consultant leur relevé bancaire, soit 69 % des victimes. Seulement 22 % des ménages ont été alertés par leur établissement bancaire.

Pour Le Monde, ce chiffre vient confirmer la tendance à la hausse observée ces dernières années : le nombre de ménages victimes a plus que doublé en l’espace de six ans.

Que dit la loi ?

La loi – harmonisée en Europe grâce à la directive européenne 2007/64/CE, elle-même remplacée par la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur – repose sur un système spécifique de partage des responsabilités en cas de paiement non-autorisé.

Le principe est fixé à l’article L 133-18 du Code monétaire et financier (CMF) : en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues par la loi, le prestataire de services de paiement lui rembourse le montant de l’opération non autorisée.

Par dérogation, en cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte les pertes jusqu’au moment où il notifie le problème à la banque, mais dans la limite d’un plafond de 50 €.

Ce plafond ne s’applique pas et la responsabilité du payeur n’est pas du tout engagée (on revient au régime général) en cas :

  • d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
  • de perte ou de vol d’un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
  • de perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

La fraude et la négligence grave du client

Il y a encore un cas à prendre en compte ; c’est l’hypothèse préférée de la banque : elle peut en effet tout simplement refuser toute forme d’intervention dans certains cas, et c’est alors son client qui supporte toutes les pertes occasionnées par des opérations de paiement non autorisées.

En résumé (le système est complexe et tient compte de l’utilisation ou non d’outils d’authentification forte), la loi vise :

  • la fraude du client ;
  • le manquement intentionnel aux obligations que la loi fait peser sur le client ;
  • la négligence grave.

Il y a toute une jurisprudence qui s’est donc développée autour de ces notions car les banques tentent, chaque fois qu’elle le peuvent, d’invoquer une de ces hypothèses afin de reporter sur le client toutes les conséquences de l’incident.

Acte 1 : les arrêts de janvier 2017

Par cinq arrêts différents rendus le 18 janvier 2017, la Cour de cassation française a rappelé que:

  • « si, (…) il appartient à l’utilisateur de services de paiement de prendre toutes mesures raisonnables pour préserver la sécurité de ces dispositifs de sécurité personnalisés (…),
  • c’est au prestataire qu’il incombe (…) de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. »

Cinq arrêts, rendus le même jour, cela ressemblait à un message fort.

Et pourtant …

Acte 2 : l’arrêt du 28 mars 2018

Et pourtant … le 28 mars 2018, nouvel arrêt de la Cour de cassation.

Les faits sont les suivants :

  • Une cour d’appel relève « que M. X. a été victime d’un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d’un « certificat de sécurité à remplir attentivement » qu’il a scrupuleusement renseignés, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté ».
  • L’arrêt d’appel « retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client, ce à quoi n’est pas nécessairement sensible un client non avisé, étant observé que M. X., qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette dernière sur le hameçonnage »
  • L’arrêt d’appel « en déduit que c’est à son insu que M. X. a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n’est pas constitutive d’une négligence grave le fait pour un client « normalement » attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. »

L’affaire aboutit en cassation, et c’est là que le message se brouille.

La cour suprême estime en effet que « en statuant ainsi, alors que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage, la cour d’appel a violé les textes susvisés ».

La victime du hameçonnage est donc responsable car elle n’a pas détecté la fraude.

Acte 3 : une résistance des juges du fond ?

Est-ce l’amorce d’un mouvement de résistance ? Toujours est-il que le 17 mai 2018, une Cour d’appel a pris à la lettre les arrêts de la Cour de cassation de 2017 concernant la charge de la preuve.

L’affaire est complexe, mais en résumé :

Le Crédit mutuel de Lille détecte des mouvements suspects et prévient son client qui fait opposition et demande à la banque le remboursement des opérations non autorisées (5 000 €).

La banque refuse, affirmant que tout cela est probablement le résultat d’un hameçonnage et donc une négligence grave du client.

Le client se tait, dit ignorer comment la fraude a été rendue possible et se retranche derrière la charge de la preuve : à la banque d’établir ce qui s’est passé, avec des certitudes et non des supputations.

La banque est condamnée, en premier instance et en appel.

Puis, la banque constate sur un compte Facebook (celui de l’Association française des usagers des banques Afub) qu’il est fait état de cette affaire et qu’on y indique que tout cela était bel et bien le résultat d’une opération de hameçonnage.

La banque revient en révision devant la cour d’appel, qui n’en démord pas. L’extrait qui figure sur le compte Facebook est approximatif, certes, mais il ne démontre pas de fraude. Seul compte le fait que la banque se contente « de procéder par simple voie de supputations impropres à caractériser une imprudence de son client ». La Cour applique dans toute sa rigueur le principe de la charge de la preuve et envoie presque un message subliminal aux victimes : ne collaborez surtout pas, tout ce que vous diriez pourrait en effet se retourner contre vous ; vous avez tout intérêt à laisser la banque se dépatouiller toute seule.

Commentaires

Certes, la Cour de cassation n’est pas revenue sur la charge de la preuve. Elle ne le pourrait du reste pas puisque la loi le stipule expressément (et la directive aussi).

La Cour de cassation agit plus subtilement : elle donne de la négligence grave une portée particulièrement large, reprenant donc d’une main ce qu’elle a donné de l’autre.

Certes, la charge de la preuve repose sur la banque, mais la portée de ce fardeau est bien mince : il suffit à la banque de démontrer qu’il y avait des indices permettant de détecter la fraude (indices dont la Cour d’appel nous dit pourtant que seul un « examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client »).

Tout ceci ne contribue pas à la sécurité juridique et pourrait bien, à terme, freiner l’essor du commerce électronique. Si les clients ne peuvent pas être rassurés par rapport à leurs transactions en ligne parce que leur négligence sera vite retenue, pourquoi continueraient-ils dans cette voie ?

Cette incertitude est particulièrement inquiétante quand on voit les chiffres de la fraude cités en début d’article.

Il est urgent que les choses soient clarifiées.

Plus d’infos ?

En lisant les arrêts de cassation cités, disponibles en annexe.

Droit & Technologies

Annexes

Cour de cassation (janvier 2017)

file_download Télécharger l'annexe

Cour de cassation (janvier 2017)

file_download Télécharger l'annexe

Cour de cassation (28 mars 2018)

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK