Les litiges en matière de fraudes aux moyens de paiement sur internet.

Depuis de nombreuses années et face à la digitalisation galopante de notre société, la cybercriminalité et tout particulièrement celle consistant à user frauduleusement des moyens de paiement d’un tiers, augmente de façon considérable. Face aux réponses des banques et leurs moyens de sécurisations des paiements en ligne, les fraudeurs ont de plus en plus recours à la technique du « phishing » ou littéralement : hameçonnage. Le mécanisme de cette fraude consiste à voler des informations confidentielles d’un usager en le convainquant, au travers d’un mail frauduleux ou toute autre technique, à communiquer ses informations confidentielles comme s’il s’agissait d’une demande légitime.

Face à toutes ces fraudes, le législateur a mis en place différents dispositifs permettant à l’utilisateur victime d’une fraude aux moyens de paiement d’être rapidement remboursé. Toutefois, cette obligation est naturellement atténuée s’il s’avère que l’utilisateur a eu un comportement frauduleux ou négligent au regard des obligations qui pèsent sur lui et qui sont mentionnées aux articles L. 133-16 et L. 133-17 du Code monétaire et financier, à savoir, l’obligation pour l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ainsi que l’obligation d'informer, dès qu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou de ses données.

C’est ici que se cristallisent de nombreux litiges entre des usagers victimes de fraudes et des établissements bancaires qui essaient de s’exonérer de leur responsabilité.

Et pour cause, en ayant mis en place des dispositifs « censés » garantir la sécurité du paiement (authentification forte, code 3D sécure, SMS de validation etc…), les banques estiment que les paiement contestés par les usagers a nécessairement pu être effectué du fait de leur négligence.

Pour autant, les juges ont considérablement limité cette possibilité en faisant peser la charge de la preuve du non-respect des obligations par l’usager sur le prestataire du service de paiement. Ainsi, la chambre commerciale de la Cour de cassation (Cass. com., 18 janv. 2017, n° 15-18.102) a affirmé que « c'est au prestataire qu'il incombe […] de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Autrement dit, la banque doit apporter la preuve que le client est bien victime d'un hameçonnage pour prouver sa négligence grave.

Dans le même sens, la Cour de cassation (Cass. com., 21 nov. 2018, n° 17-18.888) confirmait que l'utilisation effective de l'instrument de paiement mais également des données personnelles de l’usager ne permet pas d'établir la négligence grave.

A nouveau, la haute juridiction écarte la présomption de négligence et permet de s’interroger sur les moyens dont disposent les établissements bancaires pour apporter cette preuve diabolique.

En réalité, les juges effectuent une analyse précise des circonstances de fait afin de considérer l’existence ou non d’une négligence. Ainsi, dans une autre affaire, les juges ont pu considérer que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance ». Exit désormais la notion de « bon père de famille », la Cour de cassation fait reposer l’ensemble du dispositif probatoire sur la comparaison du comportement de l’usager avec celui d’un « utilisateur normalement attentif ».

Cette preuve tend toutefois à être facilité avec l’avènement des dispositifs d’authentification forte mise en place à l’échelle européenne et transposé en droit national au sein de l’article L133-4 du Code monétaire et financier. Et pour cause, les nouveaux dispositifs doivent s’entendre « d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories “connaissance” [quelque chose que seul l'utilisateur connaît], “possession” [quelque chose que seul l'utilisateur possède] et “inhérence” [quelque chose que l'utilisateur est] et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification ». Et pour cause, avec une quasi-impossibilité de compromettre un tel dispositif de sécurité, la preuve de l’absence de négligence est corrélativement beaucoup plus difficile à apporter.

Face à tous ces obstacles au remboursement de sommes frauduleusement débitées d’un compte bancaire, Maître Naïma HAOULIA, votre avocat en droit des affaires, vous conseille et vous accompagne dans tous vos litiges avec un établissement bancaire.

Nicolas ROBINE, élève-avocat au sein du cabinet de Maître Naïma HAOULIA, votre avocat en droit de du travail à Marseille.