La Cour de cassation s’est prononcée sur la charge de la preuve lors d’une fraude au paiement par carte sur internet.
Demande de remboursement auprès de la banque
Le client d’un établissement de crédit a contesté auprès de ce dernier, trois opérations de paiement effectuées, selon lui, frauduleusement sur son compte et en a demandé le remboursement.
Le paiement contesté avait été effectué grâce au service « payweb ».
Ce service proposé à la clientèle de certains établissements de crédit repose sur un processus ayant pour finalité de garantir un niveau élevé de sécurité.
Service « payweb »
En effet, le service « payweb » implique que, dans un premier temps, le client s’inscrive à ce service sur le site internet de l’établissement de crédit et y renseigne un numéro de carte et un code de confirmation.
Dans un second temps, lors de l’achat en ligne, le client effectue une requête sur le site internet de l’établissement de crédit, afin d’obtenir un numéro virtuel, une date d’échéance, ainsi qu’un numéro d’authentification à trois chiffres. Ces données, à usage unique, sont créées grâce au token, qui permet à la banque de reconnaitre l’alias et de le rapprocher du bon compte bancaire.
Le token ou encore jeton d’authentification est un boîtier électronique générant des nombres synchronisés destiné à l’authentification ou stockant des informations chiffrées. Les jetons d’authentification constituent des moyens d’authentification forte utilisés pour prouver une identité par voie électronique. Ils sont couplés à un mot de passe pour prouver que l’utilisateur est bien celui qu’il prétend être. Le jeton agit comme une clé électronique pour ouvrir l’accès à des données.
Ce service qui se développe progressivement, permet de ne plus faire circuler sur internet le vrai numéro d’une carte bancaire, et donc se prémunir d’une éventuelle fraude aux bases de données des grands e-commerçants.
Refus d’indemnisation de la banque
Dans l’affaire soumise à la Cour de cassation, il est apparu à la banque que, l’utilisation de ce système impliquait nécessairement que son client avait divulgué ses données personnelles à un tiers, et qu’il avait donc commis une faute. L’établissement de crédit en cause avait alors refusé d’effectuer le remboursement de paiements par carte bancaire, considérés par le client comme ayant été réalisés de manière frauduleuse, nonobstant l’usage du service « payweb ».
Face au refus de l’établissement de crédit de lui rembourser les paiements ainsi réalisés, le client l’a assigné en paiement devant la juridiction de proximité de Lille, qui lui a accordé le remboursement à hauteur de 838 euros.
Malgré le montant symbolique du remboursement obtenu par le client et craignant la multiplication de ce type de contentieux compte tenu du développement du service « payweb », l’établissement de crédit, s’est pourvu en cassation
Négligence du client selon la banque
En effet, l’établissement de crédit en cause a considéré que le client avait commis une faute (ou du moins une négligence grave) dans la conservation de ses données, puisqu’il avait dû nécessairement divulguer ses données personnelles à un tiers ou laisser celles-ci à disposition. Il paraissait donc justifié que, dans ce contexte bien précis, la preuve du débit frauduleux soit à la charge du débiteur, conformément à la jurisprudence généralement admise en la matière.
A l’appui de sa demande, l’établissement de crédit faisait valoir que conformément à l’article L.133-16 du Code monétaire et financier (CMF) (1) le client est tenu de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.
Certes, le juge de proximité n’a pas contesté que le client était tenu de respecter cette obligation de sécurité. Mais, l’affaire s’est cristallisée, en l’espèce, autour de la question de la charge de la preuve.
Or, l’établissement de crédit n’est pas parvenu à démontrer que le client avait dévoilé ses codes bien au contraire, le juge de proximité a considéré que c’est la banque qui avait manqué à ses obligations contractuelles en dévoilant des codes personnels à un tiers, en violation du contrat qui lie à son client. C’est à ce titre que le juge de proximité l’a condamnée à indemniser son client.
La Cour de cassation confirme le jugement de première instance (2) en fondant son raisonnement sur deux principes majeurs du Code monétaire et financier.
Tout d’abord, elle s’appuie sur le postulat de base selon lequel : « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part »(3). En d’autres termes, le client est tenu de payer en cas d’opération non-autorisée qui résulterait d’une négligence ou d’une faute de sa part. Cela contraint les clients à agir de manière responsable en ce qui concerne les instruments de paiement qui lui sont remis.
D’autre part, elle se fonde sur l’article L.133-23 du CMF (4) en rappelant que, malgré cette obligation de sécurité, la banque doit être en mesure de « prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». En conséquence, l’utilisation de l’instrument de paiement telle qu’enregistrée par la banque, ne suffit pas à démontrer que l’opération de paiement a été régulièrement autorisée par le payeur.
Ainsi, en adoptant une lecture croisée de ces deux articles, il en ressort que si le payeur nie avoir autorisé une opération de paiement, la banque doit être en mesure de rapporter la preuve que l’utilisateur a agi frauduleusement ou n’a pas satisfait à ses obligations.
La preuve du caractère frauduleux du paiement ne peut se déduire du fait que l’instrument de paiement ou les données personnelles qui sont liées au client ont été effectivement utilisées. En outre, il ne résultait pas des pièces versées aux débats la preuve que le client avait divulgué à un tiers de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés.
L’argument de la banque selon lequel le client aurait fait l’objet d’un hameçonnage par la faute duquel ce dernier aurait répondu à un courriel émanant prétendument de la banque ne peut davantage prospérer dans la mesure où la banque n’en apporte pas la preuve.
La Cour de cassation rappelle ici l’obligation du client à prendre « toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité » (5) et « d’informer sans tarder son prestataire de toute utilisation non autorisée ». (6) Néanmoins, la charge de la preuve que le client a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations repose sur la banque. Ce n’est pas au client de démontrer que le paiement est frauduleux ou qu’il a respecté son obligation de sécurité dont la Cour rappelle, au passage, qu’elle n’est pas absolue mais limitée à des « mesures raisonnables ».
Avec cette décision, la Cour de cassation envoie un signal fort aux établissements de crédit sur la charge de la preuve et les moyens d’établissement de celle-ci, ceux-ci ne pouvant pas faire reposer leur argumentaire sur de simples hypothèses. Ils doivent être en mesure de documenter leurs preuves de manière conséquente et décisive.
Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms
(1) CMF, art. L.133-16
(2) Cass. com., 18-1-2017, n°15-18102, Sté Caisse de Crédit mutuel de Wattignies c/ M. X.
(3) CMF, art. L.133-19 IV
(4) CMF, art. L.133-23
(5) CMF, art. L.133-16
(6) CMF, art. L.133-17