Les faits de l’espèce étaient tout à fait classiques : un client a contesté quatre virements effectués à partir de son compte bancaire pour un montant total de 21 833 euros. Il a déposé une plainte pour escroquerie puis a réclamé le remboursement à la banque en vain, cette dernière faisant valoir que les opérations avaient été validées à l’aide des données de sécurité personnalisées (via une identification sur l’application mobile de la banque installée sur un appareil "enrôlé").
C’est dans ces circonstances que le client assignait la banque en justice.
Son action était fondée sur l’article L133-18 du Code monétaire et financier disposant en son premier alinéa :
« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».
En défense, pour échapper à l’obligation de remboursement, la banque doit prouver, selon la Cour de cassation [1], d’une part que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, d’autre part, que l’utilisateur a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations, étant rappelé que la preuve de la négligence de l’utilisateur ne peut pas être déduite du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
La décision rendue par la Cour d’appel de Douai est favorable à la banque.
Concernant la première condition, purement technique, la cour relève que les conditions générales applicables permettaient à la banque de rapporter la preuve que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique, par la production des documents techniques retraçant le paiement.
Concernant la seconde condition, liée au comportement du client, la cour d’appel retient deux circonstances :
Après avoir rappelé que le client est tenu de prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées », elle relève la passivité du client qui n’avait pas empêché l’enrôlement (en d’autres termes le rattachement à son compte) du téléphone portable tiers ayant par la suite servi à l’authentification des opérations de paiement à distance.
Dans un second temps, la cour d’appel rappelle que le client est tenu d’informer la banque « sans tarder » de toute utilisation non autorisée de son instrument de paiement ou des données associées. En l’espèce, le client avait mis 25 jours à s’apercevoir des malversations.
Là où la décision mérite l’attention réside certainement dans la façon dont la cour s’attarde sur le caractère lacunaire du récit de la fraude par le client, faisant sienne la "suspicion" de la banque quant au récit du client. La cour va jusqu’à citer les passages ambigus de la discussion (« à supposer qu’il n’aurait pas lui-même saisi ces identifiants/codes précités » ; « prétendu fraudeur ») et note que le client « ne s’en explique pas ».
La cour note également que le client « laisse sans réponse l’observation de la relevant qu’il n’indique pas dans sa plainte la perte ou l’utilisation frauduleuse de son téléphone portable et, plus précisément, la carte Sim associée à son numéro de téléphone » ; « Pas plus qu’il n’explicite les conditions dans lesquelles a pu être communiqué, le 03 janvier 2022, son code d’accès personnel qu’il est seul à connaître ». « Et pas davantage se prononce-t-il sur un virement intitulé "copro" qui apparaît dans l’historique des opérations enregistrées par la banque le 03 janvier 2022 à 16h 39 et dont elle tire argument ».
Cette exigence de la Cour d’appel de Versailles à l’égard du client est la bienvenue : bien que bénéficiant d’un véritable droit au remboursement par le Code monétaire et financier, les clients n’en restent pas moins tenus à un devoir de loyauté.
Trop souvent dans leurs assignations les clients se contentent d’évoquer des circonstances particulièrement imprécises et de renvoyer le juge et la banque vers un procès-verbal de plainte de quelques lignes, rendant ainsi la défense de la banque, tenue de démontrer une faute du demandeur, factuellement impossible.