Dans un arrêt rendu le 23 octobre 2024 (pourvoi n° 23-16.267), la chambre commerciale de la Cour de cassation a rejeté le pourvoi formé par la BNP Paribas contre une décision de la cour d’appel de Versailles. Cette dernière avait condamné la banque à rembourser un client victime d’une escroquerie téléphonique, en écartant la notion de négligence grave.

En mai 2019, un client de la BNP Paribas, M. [J], a reçu un appel téléphonique d’une personne se présentant comme une salariée de la banque. Le numéro affiché sur son téléphone correspondait à celui de sa conseillère bancaire, ce qui l’a conforté dans sa confiance.

L’interlocutrice prétendait qu’il était urgent de sécuriser son compte face à une attaque informatique. Pour ce faire, le client devait valider l’ajout de bénéficiaires dans sa liste, une opération qui nécessitait la saisie de ses codes confidentiels. En suivant ces instructions, M. [J] a involontairement contribué à la réalisation de virements frauduleux pour un montant total de 54 500 euros. Deux jours plus tard, il a réalisé la fraude et a demandé à sa banque de rembourser les sommes détournées. La BNP Paribas a refusé, considérant que le client avait commis une négligence grave.

La cour d’appel de Versailles a pourtant donné raison au client.

Elle a retenu que la fraude était caractérisée par un spoofing téléphonique particulièrement sophistiqué, une technique qui consiste à usurper un numéro d’appel légitime pour tromper la vigilance de la victime. Le fait que le numéro affiché corresponde à celui de la conseillère bancaire a naturellement induit M. [J] en erreur, réduisant considérablement sa vigilance. La cour d’appel a ainsi estimé que la négligence grave du client n’était pas démontrée, car les circonstances entourant l’escroquerie avaient été suffisamment trompeuses pour disculper toute faute de sa part.

Dans son arrêt du 23 octobre 2024, la Cour de cassation a confirmé cette analyse et rejeté le pourvoi de la banque.

Cette décision rappelle que, conformément à l’article L133-19 du Code monétaire et financier, il appartient à la banque de rapporter la preuve d’une négligence grave pour s’exonérer de son obligation de remboursement. Or, en l’espèce, l’usage du spoofing et les manœuvres frauduleuses ont suffi à établir que M. [J] avait été victime d’une escroquerie, sans avoir commis de faute justifiant la retenue de cette notion de négligence.

À travers cette décision, la Cour réaffirme un principe essentiel : la confiance légitime d’un client en sa banque ne saurait être assimilée à une négligence grave lorsque des manœuvres sophistiquées ont été déployées pour le tromper. Cette jurisprudence vient renforcer la protection des clients face aux nouvelles formes d’escroquerie bancaire, tout en incitant les établissements financiers à améliorer leurs dispositifs de sécurité et d’information.

Cette décision intervient cependant à une période où le spoofing restait une technique assez nouvelle. Il n’est pas certain que les juges ne demandent pas aux usagers bancaires un peu plus de vigilance. La technique du spoofing est aujourd’hui connue et les usagers bancaires sont désormais plus avertis sur ces pratiques frauduleuses. Il est donc possible que les juges se montrent désormais plus rigoureux.

En conclusion, la jurisprudence fait une stricte application des réglementations issues de la législation européenne sur les services de paiement qui protège les victimes de fraudes téléphoniques. La jurisprudence réaffirme que les banques ne peuvent se décharger de leur responsabilité qu’à la condition de prouver une négligence grave de leur client. Cette preuve est difficile à apporter pour les banques ce qui en pratique aboutit à une plus grande protection des usagers bancaires.

Par Olivier VIBERT, Avocat, Paris