Même négligent, le titulaire d'un compte victime d'un hameçonnage peut être remboursé par sa banque

Le titulaire d’une carte de paiement perdue, volée ou utilisée frauduleusement ne peut pas réclamer à sa banque le remboursement des paiements qu’il n’a pas autorisés s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, notamment celle de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés (C. mon. fin. art. L 133-16 et L 133-19).

Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à la banque de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre (C. mon. fin. art. L 133-23, al. 1).

Après avoir reçu sur son téléphone mobile deux messages lui communiquant un code à six chiffres, dénommé « 3D Secure », destiné à valider deux achats par internet qu'il n'a pas réalisés, le titulaire d’une carte bancaire demande à sa banque de lui rembourser les sommes prélevées sur son compte à ce titre.

La banque refuse en invoquant une négligence grave du titulaire de la carte dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition. En effet, en réponse à un courriel se présentant comme émanant de son opérateur téléphonique, il avait communiqué à son correspondant des informations sur son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que les numéro, date d'expiration et cryptogramme de sa carte.

La banque est néanmoins condamnée à rembourser son client.

Lorsqu'elle entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, à ses obligations, la banque doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. Or elle n'avait pas apporté cette preuve en l'espèce.

A noter : Il appartient à la banque qui ne veut pas rembourser le titulaire de la carte bancaire de prouver la négligence grave de celui-ci et cette négligence ne peut pas résulter de la simple utilisation de la carte ou des données personnelles qui lui sont liées (Cass. com. 18-1-2017 no 15-18.102 FS-PBI  : RJDA 3/17 n° 205 ; Cass. com. 28-3-2018 n° 16-20.018 FS-PBI : RJDA 10/18 n° 766).

La Cour de cassation, dans l’arrêt ci-dessus et pour la première fois à notre connaissance, exige une seconde condition : la banque doit également prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée et, surtout, non affectée par une déficience technique ou autre. Au cas particulier, une telle preuve n’avait pas été apportée, la banque ayant fourni un simple tableau chronologique, quasi illisible et sans notice explicative.