Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Carte bancaire : la preuve de la négligence incombe à la banque

Twitter Facebook Linkedin Google + Email
×

Tous les lundis, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd'hui, Eric Caprioli revient sur la réglementation en cas de vol de carte bancaire.

Carte bancaire : la preuve de la négligence incombe à la banque
Carte bancaire : la preuve de la négligence incombe à la banque © Groupe Gisi ETAI

Parmi les fraudes de toute nature, celles qui consistent à pirater les cartes bancaires continuent de se développer. La plupart du temps ce sont les banques qui en font les frais. En effet, le Code monétaire et financier prévoit que le titulaire de la carte doit être remboursé s’il n'a pas autorisé l’opération de paiement depuis la loi pour la sécurité quotidienne du 15 novembre 2001, disposition modifiée à de nombreuses reprises depuis lors. Le remboursement doit être immédiat. Pourtant, la pratique nous amène à nous interroger sur les conséquences d’un vol ou d’une perte de carte déclarée en cas de contestation par le client alors que le code confidentiel a été utilisé ?

 

Que dit la jurisprudence en cas de vol ou de perte ?

 

Selon une décision de la chambre commerciale de la Cour de cassation du 2 octobre 2007  : "En cas de perte ou vol d'une carte bancaire, il appartient à l'émetteur de la carte qui se prévaut d'une faute lourde de son titulaire, au sens de l'article L. 132-3 du code monétaire et financier, d'en rapporter la preuve ; que la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d'une telle faute". En d’autres termes, la banque n’était pas en mesure de rapporter la preuve de la faute lourde du titulaire de la carte. Cette solution a été confirmée à de nombreuses reprises par la suite comme l’a fait tout récemment la Cour d’appel d’Aix-en-Provence le 8 octobre 2015 qui reprend des termes quasiment identiques à ceux de la Cour de cassation pour fonder sa décision.

 

Quid de la négligence ou de la faute intentionnelle du payeur ?

 

Le client d’une banque contestait plusieurs opérations de paiement sur l’internet qui, d’après lui, aurait été réalisées frauduleusement sur son compte bancaire au moyen de sa carte. De ce fait, il a demandé à sa banque de procéder au remboursement des montants débités. La banque refusa au motif qu’il aurait commis une faute ou une négligence en communiquant à un tiers les données confidentielles permettant d'effectuer les paiements contestés. Sur ce, le client a assigné la banque en paiement devant le tribunal d’instance de Roanne qui condamna la banque à payer 838 euros. Cette dernière s’est pourvue en cassation.

 

Dans un arrêt du 18 janvier 2017, la Cour de cassation a jugé qu’en vertu des articles L. 133-16 et L. 133-17 du CMF, qu’il appartenait à l’utilisateur de services de paiement de préserver la sécurité de ses dispositifs de sécurité personnalisés (identifiant et code personnel) et d’informer sans tarder son prestataire de services en cas d’utilisation non autorisée de la carte bancaire ou des données qui lui sont liées. Mais "c’est à ce prestataire qu’il incombe, par application des art. L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés."

 

C’est là que le bât blesse ! Que la banque rembourse en cas d’utilisation de la carte sans saisie du code personnel (suite à la perte ou au vol de la carte), cela semble une solution juste et protectrice. En revanche, si le code personnel a été saisi, comment la banque peut-elle rapporter la preuve que son client a été fautif ou négligent ? En effet, on peut imaginer un client (fraudeur) qui paie sur l’internet ou chez un commerçant, qui déclare sa carte volée et qui ensuite conteste les paiements. Mais on peut également penser au client qui a associé (ex : écriture sur un post-it) ses identifiants et codes secrets à sa carte perdue ou volée alors que les conditions contractuelles l’interdit. Est-ce que dans ces cas, il doit incomber à la banque de rembourser les montants débités à défaut d’être en mesure de prouver la fraude ou la négligence ?

 

Preuve de la faute ou de la négligence de l’utilisateur

 

Ainsi, la Cour de cassation a estimé que les pièces de la banque ne rapportaient pas la preuve que le client avait divulgué à un tiers de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés. En effet, la banque avait évoqué, pour la première fois à notre connaissance, l’hypothèse d’un "hameçonnage" ce qui fait l’originalité de la décision. Elle expliquait que le client avait certainement répondu à un mail frauduleux émis au nom de la banque par un fraudeur afin que le client réponde à des questions à des fins de sécurité en renseignant ses identifiants, mots de passe et autres codes secrets permettant de réaliser des opérations de paiement à distance. Néanmoins, la banque n’apportait pas la démonstration avec des éléments de preuve pour étayer ses affirmations, la Cour de cassation a rejeté le pourvoi.

 

Juridiquement, en pareilles circonstances auxquelles est soumise la banque, on parle de preuve dite "diabolique" ou de preuve impossible, sauf dans l’hypothèse d’un aveu (plus qu’hypothétique !) de la part du client "fautif". La totalité du risque en la matière pèse sur les banques. Dès lors quelle solution mettre en place pour que la banque soit en mesure de prouver une fraude ou un hameçonnage sans freiner le processus ou qu’elle soit inadaptée en terme d’ergonomie ? On peut penser à un renforcement de l’authentification comme le prescrit la directive DSP 2.Trouver la voie du milieu ne sera pas une mince affaire.

 

Eric A. Caprioli, Avocat à la Cour de Paris Docteur en droit
Membre de la délégation française aux Nations Unies
Membre du réseau JurisDéfi

 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

 

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale