Le 20 novembre 2024, la chambre commerciale de la Cour de cassation a rendu un arrêt (pourvoi n° 23-15.099) concernant la responsabilité des utilisateurs et des prestataires de services de paiement en cas d’utilisation frauduleuse d’un instrument de paiement. Cet arrêt, qui clarifie les conditions de mise en jeu de la responsabilité, s’inscrit dans la continuité d’une jurisprudence évolutive.

Un contexte de litige récurrent

Dans cette affaire, le client d’une banque disposant d’une carte bancaire avait contesté les débits frauduleux opérés sur son compte bancaire après le vol de sa carte et la divulgation de ses identifiants à un tiers. La banque, en réponse, avait invoqué une négligence grave de sa part pour refuser tout remboursement et obtenir le paiement du solde débiteur.

Le litige portait principalement sur la répartition de la charge de la preuve, entre l’utilisateur et le prestataire de services de paiement, en application des articles L. 133-19, IV, et L. 133-23 du Code monétaire et financier.

La décision du 20 novembre 2024 : une clarification et une confirmation

La Cour de cassation a cassé l’arrêt de la Cour d’appel de Riom, rappelant que la preuve de la régularité des opérations incombe au prestataire de services de paiement, même en cas de négligence grave de l’utilisateur.

La Cour de cassation juge en effet :

Il résulte des articles L133-19 et L133-23 du code monétaire et financier « que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »

La banque doit donc  :

1. Faire la démonstration que les opérations ont été authentifiées, enregistrées et comptabilisées.
2. Apporter la preuve de l’absence de toute déficience technique ou autre.

Une évolution progressive de la jurisprudence

Cette décision s’inscrit dans une jurisprudence qui a progressivement évolué qui exige de la banque une preuve que l’opération était valablement authentifiée mais aussi la preuve une preuve de la négligence grave.

L’arrêt du 20 novembre 2024 confirme:

1. Une charge de la preuve renforcée pour les banques :
   La banque doit établir avec certitude :
   • L’authenticité des opérations frauduleuses.
   • L’absence de défaillance technique ou d’insuffisance de sécurité dans son système.
2. Une limite à l’invocation de la négligence grave :
   La négligence grave ne peut être retenue qu’après une analyse stricte, prenant en compte les circonstances spécifiques (par exemple, une fraude sophistiquée ou un système bancaire défaillant).
3. Une protection accrue des utilisateurs :
   Cet arrêt rappelle que les clients bénéficient d’un cadre juridique protecteur. Ils ne peuvent être tenus responsables des pertes sans preuve irréfutable de leur faute et de l’absence de défaillances techniques de la part de la banque.

Cette décision s’inscrit donc dans une évolution jurisprudentielle qui met en lumière une exigence croissante envers les prestataires de services de paiement. En responsabilisant davantage les banques et en limitant les cas où la négligence grave peut être invoquée, la Cour de cassation offre une protection renforcée aux consommateurs face à des fraudes de plus en plus sophistiquées.

Par Olivier Vibert, Avocat, Paris