hand holding credit card which is sprayed on the atoms

Fraude à la carte de paiement et charge de la preuve

La fraude à la carte de paiement sur internet continue de préoccuper les banques, les entreprises et les consommateurs. En cas de paiement frauduleux et contesté par l’utilisateur, comment se répartissent les risques entre le prestataire de service de paiement (la banque) et son client ?

Les mesures de sécurité imposées au prestataire de paiement

La sécurisation de l’instrument de paiement est une obligation essentielle à la charge du prestataire de services de paiement. Le Code monétaire et financier prévoit que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument (article L 133-15 I). La banque supporte donc une obligation de sécurité concernant les instruments de paiement qu’elle met à la disposition de ses clients.

Les mesures de sécurité à la charge de l’utilisateur

Les textes applicables prévoient également que l’utilisateur du service de paiement doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs personnalisés (art. L 133-16 du Code monétaire et financier). Un dispositif sécurisé est par exemple le code personnel utilisé pour confirmer un paiement au moyen d’une carte bancaire.

L’utilisateur doit informer sans tarder son prestataire de services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées (article L 133-17). En cas d’opération de paiement non autorisée consécutive à la perte ou au vol d’un instrument de paiement doté d’un dispositif de sécurité personnalisé, le payeur supporte les pertes liées à l’utilisation de cet instrument, jusqu’à l’information imposée par l’article L. 133-17, dans la limite d’un plafond de 150 € . Après avoir informé son prestataire ou l’entité désignée par celui-ci, conformément à l’article L. 133-17 aux fins de blocage de l’instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées (art. L 133-19).

Répartition des risques en cas de fraude ou négligence grave

L’article L. 133-19 IV du Code monétaire et financier précise que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 (préservation de la sécurité de ses dispositifs personnalisés et information sans tarder du prestataire en cas de paiement frauduleux).

Sur qui pèse la charge de la preuve de la négligence grave ou de la faute de l’utilisateur ? En d’autres termes, sur qui pèse le risque ?

La Cour de cassation, dans un arrêt du 18 janvier 2017, considère que la charge de la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, pèse sur le prestataire de services de paiement.

Dans cette affaire, un client de la caisse de Crédit mutuel de Wattignies (la Caisse), avait contesté trois opérations de paiement, effectuées, selon lui, frauduleusement sur son compte, et demandé à la Caisse de lui en rembourser le montant ; se heurtant au refus de celle-ci, qui lui reprochait d’avoir commis une faute en donnant à un tiers des informations confidentielles permettent d’effectuer les opérations contestées, il l’a assignée en paiement et obtenu gain de cause auprès du juge de proximité. L’établissement a formé un pourvoi qui a abouti à l’arrêt commenté.

En l’espèce, l’instrument de paiement à l’origine du litige était le service de paiement en ligne Payweb. La Caisse décrivait son système de paiement à distance Payweb comme « un processus hautement sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte « payweb » par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré ». Il s’agissait donc d’un système de paiement avec une sécurité accrue et un processus d’authentification. Pour la Caisse, la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles, impliquait que l’utilisateur avait commis une négligence grave. La Caisse avait évoqué l’hypothèse d’un « hameçonnage » ou phishing, en prétendant que l’utilisateur avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance.

Ainsi, dans une affaire où le client avait expliqué qu’il avait été victime d’une fraude en se connectant sur une page « pirate » du site de la banque et que c’est en toute confiance et de bonne foi qu’il avait alors livré tous les codes de la carte, une cour d’appel a considéré que ce comportement du client constituait une négligence grave au sens de l’article L. 133-19 du Code monétaire et financier (Cour d’appel de Douai 9 juin 2016, n° 15/00111).

Cette solution est classique et vient confirmer la jurisprudence antérieure.

La portée de l’arrêt va plus loin et concerne également les modes de preuve à la disposition du prestataire de services de paiement qui prétend établir la fraude ou la négligence grave de son client.

Pour la Cour de cassation, « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». Dès lors, « ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X… avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés », la juridiction de proximité a à juste titre accueilli la demande de remboursement de l’utilisateur.

Cette solution est très favorable aux utilisateurs, car la preuve de la négligence est difficile à rapporter si l’utilisateur ne reconnaît pas lui-même son imprudence.

Mise à jour du 10 novembre 2017 :

Dans un arrêt du 25 octobre 2017, la Cour de cassation a annulé le jugement de la juridiction de proximité de Calais qui avait ordonné à la Caisse du crédit mutuel de Calais de rembourser les sommes prélevées sur le compte d’une victime d’une opération de phishing. La Cour reproche au tribunal de ne pas avoir recherché si la victime en cause « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier ».

En savoir plus : La fraude à la carte bancaire, sur le site de la DGCCRF.