Alors que les cas de fraude à la carte bancaire sont de plus en plus courants, les banques tendent à vouloir prouver la responsabilité de l’utilisateur de la carte. Mais face aux techniques de fraude de plus en plus fines, la jurisprudence a tendance à se placer du côté du consommateur et à mettre en avant la responsabilité de la banque.
La responsabilité de l’utilisateur d’une carte bancaire
L’article L.133-16 du Code monétaire et financier énonce clairement les obligations qui incombent à l’utilisateur qui reçoit une carte de paiement d’un établissement bancaire : il doit prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ». Or, en cas de paiement frauduleux avec la carte bancaire, l’article 133-19 du même texte précise que la responsabilité du payeur n’est pas prise en compte dans de nombreux cas.
Seul le paragraphe 4 du texte précise les conditions dans lesquelles la responsabilité du payeur est toujours engagée : en cas d’agissements frauduleux de sa part (s’il a intentionnellement réalisé l’achat avant de demander une indemnisation à la banque) ou en cas de « négligence grave aux obligations » mentionnées plus haut. Or, cette dernière condition n’est pas spécifiquement explicite, ce qui peut poser problème face aux nouvelles techniques de fraude.
La charge de la preuve par la banque
Dans le cas d’opérations frauduleuses liées à la carte bancaire, la jurisprudence est claire : la charge de la preuve revient à la banque. Si elle estime que la responsabilité incombe au payeur pour manquement à ses obligations, c’est à elle de le prouver. Cette situation a été entérinée par plusieurs décisions de justice, notamment un jugement rendu par la Cour de cassation en 2017. Dans cette affaire, un établissement de crédit condamné à rembourser un client après trois paiements considérés comme frauduleux via un service sécurisé « payweb », s’est pourvu en cassation pour obtenir l’annulation du jugement. Or, la Haute Juridiction a rejeté la demande au motif que l’établissement de crédit ne pouvait prouver la fraude ou le manquement aux obligations du consommateur.
Cette charge de la preuve qui se trouvait d’abord au sein de la jurisprudence a été cristallisée dans la loi. Désormais, l’article 133-23 du Code monétaire et financier précise que non seulement l’établissement bancaire doit prouver la responsabilité du consommateur, mais que l’utilisation sécurisée de la carte ne suffit pas à prouver que le payeur « n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ».
Phishing, spoofing et nouvelles fraudes
Les techniques d’hameçonnage, qui consistent à induire le consommateur en erreur pour lui subtiliser ses données personnelles, notamment ses codes bancaires, sont de plus en plus connues des consommateurs. Jusqu’en 2020, donner intentionnellement ses coordonnées bancaires confidentielles à un tiers sans preuve de son identité était considéré comme une négligence grave aux obligations du payeur. Cette technique, qui se déroule généralement par mail ou par téléphone, est de plus en plus visible par le consommateur et permet aux banques de plaider la négligence pour éviter un remboursement au payeur.
Depuis quelques années, une nouvelle fraude plus subtile se répand en France : le « spoofing ». Dans ce cas-là, une personne vous contacte en se faisant passer pour votre conseiller bancaire et fait état d’une opération suspecte sur votre compte et vous demande votre code confidentiel pour arrêter la fraude en cours. Pour vous mettre en confiance, ces personnes sont capables de vous donner vos nom, prénom, date de naissance mais également numéro de compte.
S’il paraît difficile d’évoquer la responsabilité de la banque dans ce cas précis, deux décisions de justice l’ont pourtant mis en avant en 2020 et 2021, évoquant les obligations qui incombent aux établissements bancaires.
Jurisprudence et responsabilité de la banque
Dès le 12 novembre 2020, un arrêt de la Cour de Cassation a mis en avant la responsabilité de la banque dans une opération frauduleuse. En l’espèce, la juridiction évoque pour la première fois la « déficience technique de la banque » pour rejeter la demande d’un établissement bancaire qui refusait le remboursement de sa cliente. Dans le cas du « spoofing », la question n’est donc plus de savoir si le payeur a fait preuve d’une grave négligence en fournissant ses données personnelles mais plutôt de découvrir comment les arnaqueurs se sont retrouvés en possession d’informations confidentielles telles que la date de naissance ou le numéro de compte.
En mars 2021, la Cour d’Appel de Douai a évoqué la négligence d’un payeur, dont le petit-fils a réalisé des paiements frauduleux avec sa carte bancaire sur une période de plusieurs mois mais qu’au regard des circonstances, la banque était allée à l’encontre de l’Article L561-6 du Code monétaire et financier. Ce texte oblige en effet les deux parties à un « devoir de vigilance ». En omettant de prévenir le payeur de la multiplication d’opérations suspicieuses sur son compte, la banque a manqué à son obligation
Image : Clay Banks on Unsplash