Pour mémoire, l’alinéa 1er de l’article L.133-23 du Code monétaire et financier dispose que :
« lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».
Ces dispositions doivent être complétées, dans le cas particulier des instruments de paiement dotés d’un dispositif de sécurité personnalisé, par celles qui résultent de l’article L. 133-19 du même Code, qui prévoient que :
« IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».
L’article L. 133-16 alinéa 1er du Code monétaire et financier dispose que :
« Dès lors qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ces dispositifs de sécurité personnalisé.
Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ».
Ainsi, une faute de la part de l’utilisateur de services de paiement engage sa propre responsabilité si le paiement ou le virement non autorisé n’a été rendu possible qu’en raison de sa propre négligence ou imprudence.
Autrement dit, si la banque démontre, au moyen d’un faisceau d’indices, que l’utilisateur a été négligent, elle est alors déchargée de toute obligation de remboursement.
Ainsi, l’utilisateur d’une carte bancaire qui a eu ou aurait dû avoir conscience de la fraude, et qui, malgré tout, transmet des données permettant à un tiers d’utiliser sa carte bancaire, est bien considéré comme ayant agi avec une négligence grave (Com 25 octobre 2017, n°16-11.644).
Il est en de même quand un utilisateur de moyens de paiement a communiqué les données personnelles de ces dispositifs de sécurité en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance.
Si effectivement la responsabilité de la banque est de plein droit, il reste que cette responsabilité peut être combattue par la banque en apportant la preuve contraire.
En cas de virement frauduleux ou de phishing, la banque s’attachera à prouver que le client est seul responsable de son préjudice en raison de ses propres fautes.
Il faut donc extrêmement vigilant avec les courriels et sms reçus au sujet de son compte bancaire : nombre d’entre eux sont des arnaques !
Me Pierre NICOLET
Avocat au Barreau de Paris