L’essor du commerce en ligne et de la dématérialisation de nos données ont généré une croissance significative de pratiques frauduleuses liées aux usurpations d’identités et prélèvements frauduleux. Il s’agit notamment des pratiques de spoofing et de phishing.
Les banques se sont donc mobilisées afin de créer de nouveaux dispositifs telle l’authentification forte qui a contribué à faire baisser le taux de fraude sur les paiements par internet. Toutefois, les fraudeurs sont toujours plus judicieux et continuent de trouver de nouveaux moyens de contournement.
Heureusement, le législateur a prévu un cadre légal dans lequel la victime de prélèvements frauduleux peut obtenir remboursement des sommes prélevées de façon illicite.
En effet, l’article L133-18 du Code monétaire et financier prévoit qu’
« en cas d’opération de paiement non autorisée signalée par l’utilisateur (…) le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé (…) ».
Tel que le prévoit cet article, l’objectif est que la banque rétablisse « le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».
Il convient de s’intéresser aux délais pour demander le remboursement d’une part (I) et des conditions d’obtention dudit remboursement d’autre part (II).
I - Sur les délais pour demander le remboursement des prélèvements frauduleux.
L’article L133-24 du Code monétaire et financier prévoit que l’utilisateur doit informer sa banque être victime de prélèvements frauduleux dans un délai de 13 mois.
Ce délai court à compter de la date de débit.
Il s’agit d’un délai de forclusion. Autrement dit, aucun remboursement ne sera possible pour tout signalement réalisé après l’expiration de ce délai.
La demande n’a pas à respecter de formalisme particulier sauf à être écrit. Ainsi une lettre recommandée avec accusé de réception, un simple courriel ou message sur la plateforme bancaire peuvent servir pour formaliser la demande de remboursement.
Il convient d’être particulièrement attentif à ce délai légal. En effet, il s’agit non seulement du délai dans lequel l’usager doit demander à sa banque le remboursement des prélèvements frauduleux mais aussi du délai d’action légale en cas de refus ou d’absence de réponse de la banque.
S’il y avait eu un moment de latence où l’on pensait pouvoir d’abord contester le prélèvement frauduleux dans les 13 mois qui suivent l’opération de débit non autorisée puis disposer du délai de droit commun de 5 ans pour demander la condamnation de la banque au remboursement en cas de refus, la Cour de cassation a finalement tranché la question une fois pour toutes.
Selon un arrêt du 27 mars 2024 [1] la Cour rappelle la règle « specialia generalibus derogant » selon laquelle le droit spécial déroge au droit général. Cet arrêt fait ainsi l’application des orientations données par la Cour de Justice de l’Union européenne dans son arrêt Beobank du 16 mars 2023 [2], lui-même faisant application des Directives européennes concernant les services de paiement dites « DSP1 » [3].
Il en résulte donc que tout prélèvement frauduleux ne peut être contesté que dans le délai de 13 mois à compter de la date de débit auprès de la banque et auprès du tribunal en cas de refus de remboursement par l’établissement bancaire.
II - Sur les conditions pour obtenir le remboursement des prélèvements frauduleux.
En droit, tout principe est accompagné d’une exception.
En l’espèce, le principe de remboursement immédiat de prélèvements frauduleux notifiés à la banque dans le délai de 13 mois souffre de deux exceptions :
- 1/ Le comportement fautif de l’utilisateur
- 2/ La négligence grave de l’utilisateur.
En effet, une opération bancaire doit en principe être autorisée de sorte que l’utilisateur a donné son consentement à celle-ci, tel que rappelé par les dispositions de l’article L133-6 I du Code monétaire et financier.
La conséquence naturelle est qu’ « en l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée » selon l’article L133-7 dudit code.
Dès lors que l’utilisateur informe sa banque de prélèvements frauduleux, il existe une présomption de bonne foi de sa part.
Il revient donc à la banque de prouver que son client a soit fauté soit a été d’une négligence grave pour lui refuser le remboursement des sommes sollicité.
Ainsi, l’article L133-16 alinéa 1 du Code monétaire et financier prévoit que l’utilisateur qui reçoit un instrument de paiement (carte bleue, chèque) prend toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées.
L’article L133-19 dudit code prévoit que sa responsabilité ne peut pas être engagée
« si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées ».
A contrario, sa faute ou sa négligence grave permettent à la banque de refuser tout remboursement. Toutefois, la charge de la preuve de ces manquements incombe à la banque qui devra justifier sa décision de refus tel que prévu par l’article L133-23 du Code monétaire et financier.
La faute ou la négligence de l’utilisateur sont notamment constituées lorsque l’utilisateur a transmis ses données personnelles et bancaires à un tiers.
Le considérant 72 de la Directive européenne DSP2 précise que
« la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers ».
Concernant les pratiques de phishing et de spoofing, l’établissement bancaire ne peut pas se contenter d’affirmer que dans tels cas les victimes ont été négligentes, la Cour de cassation rappelle que la preuve de négligences grave doit être rapportée par la banque [4].
Le 23 octobre 2024, la Cour de cassation précise que « le mode opératoire par l’utilisation du « spoofing » a mis la victime en confiance et a diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte » [5].
La Cour d’appel de Versailles avait d’ailleurs jugé dans le même sens que si l’utilisateur « a validé les virements litigieux ’par clé digitale’ en validant la notification reçue sur son smartphone à l’aide de son code secret personnel, il n’est pas pour autant caractérisé une négligence grave à son encontre dès lors qu’il croyait être en relation avec une salariée de la BNP Paribas » [6].
Dans un arrêt très récent du 30 avril 2025, la Cour de cassation a jugé que le prestataire de services de paiement, pour se prévaloir de la négligence grave de l’utilisateur et refuser la restitution des sommes indûment prélevées, doit non seulement établir la faute de celui-ci, mais également démontrer que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée, sans déficience technique ni autre [7].
Cette décision impose donc aux prestataires de paiement une charge de la preuve double qui n’est en réalité que la transposition de la directive européenne ci-avant citée et permet de renforcer la protection des consommateurs face aux fraudes bancaires.
