Sauf s'il a commis un agissement frauduleux, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que sa banque (ou un autre prestataire de services de paiement) n'exige une authentification forte de sa part prévue à l'article L 133-44 du Code monétaire et financier (C. mon. fin. art. L 133-19, V, issu de ord. 2017-1252 du 9-8-2017).
En réponse à un appel téléphonique et à un message, le client d'une banque communique à un tiers, qu'il croit être un employé de la banque, le code de sécurité destiné à valider les paiements effectués à partir de son compte sur internet. Un paiement, non initié par le client, est ensuite effectué le 27 janvier 2020. Ce dernier en demande alors le remboursement à la banque.
Un tribunal judiciaire rejette la demande du client en retenant sa grave négligence d'avoir fait confiance à une personne qu'il ne connaissait pas et qui lui racontait une histoire peu crédible.
La Cour de cassation censure cette décision (Cass. com. 30-8-2023 n° 22-11.707 F-B) : l'article L 133-44 du Code monétaire et financier, qui institue l'exigence d'authentification forte pour les paiements en ligne et auquel renvoie l'article L 133-19, V précité, est entré en vigueur le 14 septembre 2019 (Ord. 2017-1252 du 9-8-2017 art. 34, VIII-3°) et cette exigence s'appliquait donc au paiement litigieux. Les juges du fond auraient donc dû rechercher si ce paiement avait été exécuté sans que la banque exige l'authentification forte du payeur, ce qu'ils n'avaient pas fait.
A noter :
1° L'authentification forte du client est définie par le Code monétaire et financier comme une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories suivantes : « connaissance » (quelque chose que seul l'utilisateur connaît, par exemple, mot de passe ou réponse à une question secrète), « possession » (quelque chose que seul l'utilisateur possède, par exemple, téléphone portable) et « inhérence » (quelque chose que l'utilisateur est, par exemple, son empreinte digitale) ; les éléments doivent être indépendants, en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et l'authentification est conçue de manière à protéger la confidentialité des données d'authentification (C. mon. fin. art. L 133-4, f).
Le prestataire de services de paiement doit appliquer l'authentification forte lorsque le client accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse (art. L 133-44, I). En cas de prélèvement non autorisé sur son compte, le client doit en principe assumer les pertes dans la limite de 50 € (art. L 133-19, I). Il est exonéré de toute charge financière et a droit à un remboursement intégral si, comme le rappelle l'arrêt commenté, la banque n'a pas exigé son authentification forte pour valider l'opération.
Lorsque l'exigence d'authentification forte est respectée, le client supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait intentionnellement ou par négligence grave à ses obligations (art. L 133-19, IV), notamment celle qui consiste à préserver la sécurité de ses dispositifs de sécurité personnalisés (art. L 133-16).
Commet, par exemple, une négligence grave le client qui laisse son code personnel à proximité de sa carte dans un lieu sans surveillance (Cass. com. 16-10-2012 n° 11-19.981 : RJDA 2/13 n° 157) ou qui communique les données liées à sa carte à la suite d'un hameçonnage alors qu'il pouvait soupçonner la fraude (Cass. com. 25-10-2017 n° 16-11.644 FS-PBI : RJDA 4/18 n° 534 ; Cass. com. 24-11-2021 n° 20-13.767 F-D : RJDA 3/22 n° 165), peu important qu’il soit de bonne foi (Cass. com. 1-7-2020 n° 18-21.487 F-PB : RJDA 11/20 n° 594).
2° L'obligation d'authentification forte pour les paiements en ligne résulte de la directive 2015/2366 (dite « DSP2 »), qui prévoit une entrée en vigueur du dispositif le 14 septembre 2019, date reprise par l'ordonnance de transposition en droit français du 9 août 2017. En juin 2019, l'Autorité bancaire européenne avait reconnu que certains acteurs ne seraient pas prêts à temps et elle avait accepté qu'un délai supplémentaire leur soit accordé (https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2622242/4bf4e536-69a5-44a5-a685-de42e292ef78/EBA%20Opinion%20on%20SCA%20elements%20under%20PSD2%20.pdf). Finalement, le dispositif a été déclaré applicable en France, pour l'ensemble des transactions en ligne, à compter du 15 mai 2021 (www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/solutions-de-paiement/paiements-en-ligne). Se pose donc la question de l'articulation entre cette dernière date et celle de l'entrée en vigueur de l'article L 133-44 du Code monétaire et financier prévue par l'ordonnance 2017-1252, question qui n'a pas ici été posée à la Cour de cassation par le pourvoi. Espérons que le débat sera mené devant le tribunal de renvoi.
Documents et liens associés :
Cass. com. 30-8-2023 n° 22-11.707 F-B, X c/ Sté CRCAM de Centre France
Retrouvez toute l'actualité en matière de droit des sociétés, droit commercial et de la concurrence dans Navis Droit des Affaires !
Vous êtes abonné ? Accédez à votre Navis Droit des affaires à distance
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire Navis Droit des Affaires pendant 10 jours.
