La communication des identifiants ne peuvent établir la négligence grave en matière de fraude bancaire.
La négligence grave désigne un manquement manifeste et délibéré aux obligations de sécurité, permettant à un tiers d’effectuer une opération frauduleuse. Elle est définie à l’article L133-18 du Code monétaire et financier comme : "l’absence d’action de l’utilisateur pour préserver la sécurité de ses données de sécurité personnalisées."
Toutefois, la banque doit prouver cette négligence grave, et la simple utilisation des identifiants par un tiers ne suffit pas à établir cette faute (Cass. civ. 1re, 28 février 2018, n° 17-11.888).
L’authentification forte invoquée par la banque : un argument réversible.
L’article L133-44 3° impose aux prestataires de services de paiement d’appliquer l’authentification forte lors de certaines opérations, notamment celles susceptibles de comporter un risque de fraude.
Cependant, la présomption d’autorisation liée à l’authentification forte peut être renversée si la banque n’a pas mis en œuvre les mesures de sécurité appropriées ou si le client n’a pas été correctement informé des risques. Dans ce cas, la banque peut être tenue responsable des pertes subies par l’utilisateur.
Jurisprudences illustrant la contestation de l’argumentation de la banque.
Tribunal de Proximité de Paris, 24/03327, 17 avril 2025
Dans ce dossier, l’absence d’authentification forte pour le changement de mot de passe puis le relèvement du plafond des paiements, avant toutes les opérations de paiement, sans mise en oeuvre des mesures de sécurité, a conduit le tribunal à considérer que la preuve de l’authentification forte exigée à l’article L133-23 du CMF n’était pas rapportée par la banque.
Cour d’Appel d’Aix-en-Provence, 14 décembre 2023 n°22/07492
Dans cette affaire, le client a contesté des virements frauduleux effectués via une clé digitale.
La banque a invoqué l’authentification forte pour justifier la validité des opérations.
Cependant, la cour, a indiqué que le système de clé digital, mis en place par la banque, n’était pas apte à protéger son bénéficiaire d’une fraude, dans la mesure où les virements litigieux, ont pu être effectués par un code IP différent de celui de son smartphone, et ce, sans aucun contrôle, ni alerte de la cliente par l’envoi d’un SMS émanant de la banque.
Cour d’appel de Rouen, Ch. civile et commerciale, 16 mai 2024, 23/01917
En l’espèce, la banque ne rapportait pas la preuve que le client avait remis des informations personnelles liées à sa carte bancaire, et qu’il savait que l’escroc les avait utilisées pour enregistrer sa carte bancaire sur l’application Apple Pay qui n’avait été installée que sur le téléphone de l’escroc.
Comment contester l’argumentation de la banque ?
Pour contester efficacement l’argumentation de la banque, il est essentiel de :
Vérifier la mise en œuvre de l’authentification forte : s’assurer que la banque a bien appliqué l’article L133-44 3° lors des opérations contestées, en demandant les relevés informatiques de la banque.
Analyser les conditions de sécurité : examiner si les mesures de sécurité mises en place par la banque étaient adéquates et conformes aux normes en vigueur.
Évaluer l’information fournie au client : vérifier si la banque a correctement informé l’utilisateur des risques et des mesures de sécurité à adopter si des conditions générales lui ont effectivement été notifiées ou s’il a reçu des SMS ou des mails d’alerte.
Se constituer des preuves : il convient notamment d’adresser un courrier détaillé sur le déroulement des faits et de déposer plainte.
Les décisions jurisprudentielles récentes illustrent la nécessité pour les banques de respecter scrupuleusement les exigences de sécurité, notamment en matière d’authentification forte. Les clients victimes de fraudes ont des recours juridiques pour contester les décisions des banques et obtenir réparation.
