Dans cette affaire, la requérante, titulaire d’un compte bancaire dans les livres de la banque Caisse d’Epargne, avait été contactée par téléphone pour valider un paiement de 2 095 euros, qui lui était alors présenté par un faux conseiller bancaire comme étant frauduleux.
Ayant répondu à cette demande, pensant légitimement être au téléphone avec sa banque, elle a été victime d’escroquerie.
La Caisse d’épargne a toutefois refusé de prendre en charge la somme ainsi détournée, invoquant, comme elle le fait à chaque fois, une négligence grave de la victime.
La victime a donc assigné la banque devant le tribunal de proximité.
Par un jugement du 30 novembre 2023, le tribunal a débouté la requérante de sa demande de remboursement et de dommages et intérêts et l’a condamnée aux dépens de l’instance.
La victime a donc interjeté appel de cette décision.
Aux termes de ses conclusions d’appelante, cette dernière a sollicité de la cour d’appel, au visa de l’article L133-19 du Code monétaire et financier, d’infirmer le jugement rendu en première instance et, statuant à nouveau, de condamner la banque à lui payer :
- la somme de 2 095 euros correspondant au coût du virement obtenu par fraude, outre intérêts au taux légal à compter de l’assignation,
- une somme de 3 500 euros au titre du préjudice moral subi,
- 2 000 euros au titre de l’article 700 du Code de procédure civile (frais de procédure) au titre de la première instance et aux entiers dépens de première instance ;
- 2 000 euros au titre de l’article 700 du Code de procédure civile (frais de procédure) au titre de l’appel et aux entiers dépens d’appel.
La victime considérait en effet que sa négligence grave n’était pas démontrée par la banque, puisqu’elle avait notamment informé sans tarder la Caisse d’épargne, et qu’elle avait été victime d’une fraude dénommée « spoofing », qu’elle n’avait pas communiqué ses coordonnées bancaires à des tiers et n’avait pas été victime d’hameçonnage. Elle soulignait que le juge de première instance avait simplement présumé la négligence grave du seul fait de la survenance de la fraude, sans circonstancier sa réalité, et qu’elle n’avait par ailleurs jamais été mise en garde par la Caisse d’épargne sur le fait qu’un client n’est jamais contacté par téléphone pour valider un paiement.
Pour la banque, naturellement la défense est toute autre.
La Caisse d’épargne soulignait que la victime aurait initialement refusé d’opérer la validation du paiement frauduleux, puis aurait finalement cédé sur l’insistance de son interlocuteur téléphonique et aurait ainsi dûment validé l’opération litigieuse, alertant ensuite l’agence bancaire pour lui indiquer qu’elle refusait l’opération, contexte qui démontrerait sa négligence.
La banque expliquait ensuite que le refus de remboursement de la somme prélevée du compte de sa cliente reposait sur le fait que celle-ci avait elle-même validé le paiement au moyen d’un dispositif d’authentification forte, par la saisie de son code secret préalablement défini ou par l’utilisation de la fonction biométrique dans le cadre de ce dispositif.
La banque a alors rappelé que le médiateur du crédit avait d’ailleurs confirmé qu’un ordre de virement valablement émis et qui n’a souffert d’aucun aléa technique est irrévocable et que la cliente bancaire avait donc commis une faute grave au regard de ses obligations prévues par l’article L133-16 du Code monétaire et financier de préserver la sécurité de ses données de sécurité sécurisées.
Enfin, la banque prétendait que l’arrêt rendu le 23 octobre 2024 par la Cour de cassation, favorable aux clients victimes de spoofing, n’est pas un arrêt de principe, et que les circonstances étaient différentes de celles observées en l’espèce.
La Cour d’appel de Douai en l’espèce a remis en cause la démonstration de l’établissement bancaire.
Elle a rappelé tout d’abord le principe selon lequel constitue une opération de paiement non autorisée la validation d’un prélèvement par le payeur correspondant à un achat qu’il n’a pas réalisé et dont la réalisation s’est effectuée dans le cadre d’une mise en scène destinée à le convaincre de la nécessité d’y procéder.
La seule circonstance que le payeur a utilisé le dispositif d’authentification forte mise à sa disposition n’implique pas qu’il a autorisé l’opération frauduleuse, étant observé qu’une telle circonstance implique précisément de s’interroger à l’inverse sur l’existence d’une négligence grave imputable au payeur, dans le cadre du régime applicable aux opérations non autorisées.
En l’espèce, la Caisse d’épargne ne conteste pas que le paiement est intervenu dans le cadre d’un appel téléphonique frauduleux, émanant d’un tiers étranger à ses services, alors que le numéro de son propre service « fraude » s’affichait sur le téléphone de la victime.
La circonstance admise par la banque que la victime avait initialement refusé de procéder à une telle validation, puisqu’elle a très rapidement alerté son agence bancaire pour s’opposer au prélèvement frauduleux établit suffisamment que l’opération litigieuse n’était pas autorisée par le payeur.
En matière de paiement par carte, virement ou prélèvement, il incombe à l’utilisateur de service de paiement, en application de l’article L133-24, alinéa 1, du Code monétaire et financier, de signaler sans tarder l’existence d’une opération non autorisée ou mal exécutée à son prestataire de services de paiement et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion. Ce professionnel doit alors rembourser le payeur, en application de l’article L133-18 du même code, et ce dans un bref délai. Il rétablira ainsi le compte débité dans l’état où il se serait trouvé si l’opération non autorisée n’avait pas eu lieu.
D’une part, l’article L133-23, alinéa 1ᵉʳ, du Code monétaire et financier dispose que lorsque l’utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver, au préalable, que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre [1].
Or les juges considèrent qu’en l’espèce, si la Caisse d’épargne estime dans un courrier du 10 septembre 2021 que l’opération a été validée au moyen de l’un des dispositifs d’identification forte qu’elle propose, elle n’en apporte toutefois pas la démonstration. La seule production du descriptif général de ces moyens n’est pas probante de la situation concrète dès lors que le payeur conteste avoir autorisé le paiement.
La cour observe qu’en l’espèce, la Caisse d’épargne ne produit pas la « preuve informatique » tant de l’enregistrement d’une opération authentifiée, que l’absence de déficience de son propre dispositif technique d’authentification sécurisée. La Caisse d’épargne ne fournit pas le listing informatique d’enregistrement des opérations par son système de sécurité, de sorte qu’elle est défaillante dans l’administration de cette preuve préalable qui lui incombe.
D’autre part, il résulte de l’article L133-19, IV, du Code monétaire et financier que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si elles résultent d’un agissement frauduleux de sa part ou si ce même payeur n’a pas « satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 » du même code, c’est-à-dire, respectivement, l’obligation de préserver la sécurité de ses données de sécurité personnalisées et celle d’informer sans tarder son prestataire (ou l’entité désignée par celui-ci) de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées. Ainsi, dans l’un de ces cas, la charge totale de l’opération pèsera sur le seul payeur.
La preuve d’une négligence grave incombe donc au prestataire de service de paiement.
Alors que la Cour de cassation exerce exclusivement un contrôle léger sur la qualification de la négligence grave reprochée au payeur [2], le juge du fond doit apprécier in concreto la gravité de la faute commise par ce dernier.
À cet égard, la cour estime qu’aucune négligence grave au sens de l’article L133-19 précité ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour valider un paiement.
Les juges relèvent que, si la victime admet qu’il est paradoxal d’être sollicitée pour valider une opération frauduleuse dans le but de s’en prémunir, la circonstance non contestée que celle-ci a toutefois cru légitimement être en contact avec le service « fraude » de sa banque conduit alors à retenir que sa négligence ne présente pas un degré de gravité tel qu’il soit fait exception au principe de remboursement opération non autorisée.
Enfin, la victime a immédiatement avisé la banque du caractère frauduleux de l’opération litigieuse et a fait opposition sur son moyen de paiement.
La cour a donc jugé dans le sens de la victime et infirmé le jugement de première instance en ce qu’il a retenu une négligence grave de la cliente bancaire et l’a déboutée de sa demande de remboursement. Les juges ont jugé au contraire qu’il incombait à la Caisse d’épargne de rembourser sa cliente de la somme détournée, soit 2 095 euros, outre intérêts au taux légal à compter de la décision, et condamné également la banque à verser à la victime 1 500 euros au titre des frais de procédure de première instance, et 1 500 euros au titre des frais de procédure d’appel, outre les dépens de première instance et d’appel.
Cette décision va dans le sens de la jurisprudence de la Cour de cassation.
