COMMENTAIRE. C’est ce que la
Cour de cassation a rappelé récemment, dans deux arrêts où elle apporte des
précisions sur les conditions de ce remboursement. En effet, les banques sont
déchargées de cette obligation en cas de négligence grave par le client, ou si
l’ordre de paiement a été exécuté conformément à l’identifiant unique fourni
par ce dernier.
Hameçonnage, fraude
sentimentale, escroquerie par faux conseiller… Ces pratiques ne sont que
quelques exemples parmi une multitude de fraudes bancaires qui, selon la Banque
de France, ont généré 484,6 millions d'euros de pertes au premier semestre
2024.
Ces fraudes ne cessent de se
diversifier et de se sophistiquer, rendant leur détection de plus en plus
complexe pour les utilisateurs. À ce sujet, la Cour de cassation a apporté des
précisions dans deux arrêts rendus par la chambre commerciale le 15 janvier
2025.
Dans la première affaire, une
société contestait avoir autorisé six virements bancaires, qui avaient été
effectués depuis l'ordinateur de son comptable en faveur d'un bénéficiaire
inconnu. Une expertise avait révélé qu'un escroc, après avoir envoyé un
courriel contenant un « cheval de Troie », avait pu infecter son système
informatique. L'escroc avait alors pris le contrôle de l'ordinateur du
comptable pour émettre les virements.
Dans l’autre affaire, un
acquéreur ayant transmis électroniquement à sa banque l’identifiant unique
fourni par le vendeur d’un véhicule et ayant ordonné un paiement, avait
constaté que ce dernier n’avait pas reçu les fonds. Une enquête avait révélé
qu'un tiers avait, auparavant, piraté la messagerie du payeur et substitué
l'identifiant unique du vendeur pour détourner les fonds.
Par ces deux arrêts, la Cour
de cassation a retenu que le régime de responsabilité établi aux articles L.
133-18 à L. 133-24 du Code monétaire et financier est exclusif du régime de
responsabilité contractuelle de droit commun.
Absence de cumul des
responsabilités
Dans ces deux affaires, la
Cour de cassation a exclu le cumul des responsabilités à la charge du
prestataire de services en cas de fraude ou d’opération de paiement mal
exécutée.
Elle rappelle que, dans la
mesure où les dispositions du Code monétaire et financier sont applicables, et
notamment les articles L. 133-18 à L. 133-24, la responsabilité contractuelle
de droit commun résultant de l’article 1231-1 du Code civil est écartée, en
raison d'un régime de responsabilité exclusif.
Cette solution s'inscrit dans
la continuité de la jurisprudence de la CJUE, notamment depuis son arrêt Beobank
du 16 mars 2023
qui a posé ce principe et a été suivie par la Cour de cassation dans son arrêt
du 27 mars 2024.
Ce régime séduira les
mathématiciens en raison de sa nature binaire : par
principe, la banque doit rembourser les victimes d’escroquerie. Par exception,
la banque est déchargée de cette obligation en cas de négligence grave par
l’utilisateur ou d’ordre de paiement exécuté conformément à l’identifiant
unique fourni par ce dernier. Un partage des responsabilités n’est donc pas
envisageable.
Dès lors, dans ces situations
exceptionnelles, le manquement à l’obligation de vigilance de la banque ne peut
conduire à un partage des responsabilités, à l’inverse de ce que soutenait la
cour d’appel. Par exemple, la négligence grave de l’utilisateur dispense la
banque de tout remboursement, alors même que la banque n’avait pas pris en
compte la situation manifestement anormale résultant des alertes diffusées par
le centre d'alerte et de réaction aux attaques informatiques et la centaine de
tentatives infructueuses de connexion au système transbred à partir des postes
informatiques de la société.
Pour autant, si ce régime se
veut plus protecteur pour l’utilisateur de services de paiement, cette solution
montre également ses limites face à l’évolution rapide et très sophistiquée des
fraudes bancaires.
Vers une multiplication des
contentieux ?
Concernant l’opération
d’hameçonnage dont a été victime la première société, il ressort de la décision
que la responsabilité de la banque ne pouvait être engagée en raison de la
négligence grave de l’utilisateur des services de paiement.
Or, bien que le cadre
européen impose à la banque la difficile charge de la preuve d’une négligence
grave, l’évolution constante des
contours de cette notion, laissée à l’appréciation des juges, pourrait
affaiblir ce régime et entraîner une multiplication des contentieux à mesure
que de nouvelles formes d’escroquerie émergent.
S’agissant cette fois de
l’opération de paiement mal exécutée, la Cour a estimé, sur la base de
l’article L. 133-21 du Code monétaire et financier, qu’un ordre de paiement
exécuté conformément à l’identifiant unique fourni par l’utilisateur est réputé
dûment exécuté pour ce qui concerne le bénéficiaire désigné par cet
identifiant.
En l’espèce, l’ordre avait
été exécuté alors que l’utilisateur avait fourni un identifiant erroné. Dans ce
contexte, il est plus difficile de concevoir la responsabilité de
l’utilisateur, en ce qu’il n’a pas eu de rôle actif dans la fraude, à la
différence d’un cas de négligence grave.
Par ailleurs, la Cour de
cassation, dans une décision du 1er juin 2023, avait établi que pour
qu’une opération soit considérée comme étant autorisée, l’utilisateur devait
également avoir consenti au bénéficiaire, sans distinguer entre un ordre de
virement falsifié dès le départ ou un ordre modifié par la suite. En conséquence,
la banque devait procéder au remboursement de l’opération dans ce cas, en
application de l’article L. 133-18 du Code monétaire et financier.
Dès lors, la responsabilité
de la banque ne pourrait-elle pas être engagée sur le même fondement, à savoir
celui de l’opération non autorisée ? La distinction entre les deux situations
est ténue. Dans cette affaire, l’identifiant unique a été modifié avant que
l’utilisateur ne donne son ordre de paiement, ce qui a conduit à la
transmission d’un identifiant erroné.
En revanche, dans la décision
précitée du 1er juin 2023, la modification de l’identifiant avait eu lieu après
l’autorisation initiale de l’utilisateur. Cette nuance pourrait expliquer les
solutions divergentes. Cependant, la solution retenue dans cette affaire paraît
particulièrement sévère pour la victime, dans la mesure où celle-ci n’a
manifestement pas donné son consentement pour une opération erronée et
difficilement détectable.
L’entrée prochaine en vigueur
de la directive DSP3, imposant aux banques de vérifier la correspondance entre
l’identifiant unique et le nom du bénéficiaire, sera la bienvenue pour
améliorer la sécurité des paiements.
Héloïse Bitz,
étudiante au sein du
Master 214 Droit des affaires, Université Paris Dauphine- PSL.
(Commentaire d’arrêt
rédigé sous la direction du Professeur Renaud Salomon)