C'est à la banque d'apporter la preuve que le client qui nie avoir effectué un paiement a agi frauduleusement ou a été gravement négligent.
La Cour de cassation vient de rejeter un pourvoi en confirmant le jugement d'une juridiction de proximité (juridiction de proximité de Lille, 17 mars 2015) par un arrêt en date du 18 janvier 2017.
Un client demandait à sa banque le remboursement de trois prélèvements frauduleux sur son compte bancaire. Il faisait valoir que même en possession des données de connexion bancaires, un tiers ne devrait pas pouvoir débiter son compte. Selon lui, la banque avait commis une faute en répondant aux sollicitations et en envoyant sans s'en rendre compte un code secret, pour confirmation du paiement, à une adresse inhabituelle.
La banque de son côté évoquait l'hypothèse du phishing (hameçonnage du client d'une banque pour obtenir des données confidentielles). Pour elle, le client avait certainement répondu à un mail frauduleux qu'il pensait émaner de sa banque pour qu'il renseigne certains points (identifiants, mots de passe et codes de clefs) permettant de réaliser les opérations à distance.
La cour suprême décide que :
Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'ayant souverainement retenu qu'il ne résultait pas des pièces versées aux débats la preuve que M. X... avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l'hypothèse d'un « hameçonnage », en prétendant que M. X... avait certainement répondu à un courriel frauduleux qu'il pensait émaner de la Caisse pour qu'il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c'est exactement que la juridiction de proximité, qui n'était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X... ; que le moyen n'est pas fondé ;
Rappelons par ailleurs que la loi impose à la banque de s'assurer que les dispositifs de sécurité personnalisés d'un instrument de paiement ne sont pas accessibles à d'autres personnes qu'à l'utilisateur autorisé à utiliser cet instrument.