Cadre légal.
La Directive sur les services de paiement (Directive (UE) 2015/2366) a consacré au niveau européen un droit de chargeback, aussi appelé rétrofacturation, qui permet aux clients d’obtenir un remboursement s’ils sont victimes d’escroquerie. Cependant, la transposition de cette directive dans le Code Monétaire et financier par une loi du 16 août 2022 a instauré un nouveau cadre légal en France, qui est plus favorable pour les prestataires de services de paiement (ci-après les banques) :
- L’article L133-18 accorde le droit de remboursement aux clients des établissements bancaires sous certaines conditions. L’une d’entre elles est d’avoir été victime d’escroquerie ;
- Toutefois, l’article L133-19 exclut ce droit lorsque les clients agissent frauduleusement ou lorsque intentionnellement ou par négligence grave, ils ne satisfont pas aux obligations de l’article 133-16 du même code, qui les oblige à « préserver la sécurité des données personnalisées ». Cet article consacre le devoir de diligence du client dans la sauvegarde de ses propres données ;
- L’article L133-21 exclut également la responsabilité des banques « si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact ».
La communication d’un RIB [1] ou IBAN [2] erroné par le client est considéré une négligence grave.
Pour établir si le client a un droit au remboursement ou chargeback, il faut analyser chaque cas particulier et vérifier si la banque ne peut pas invoquer une négligence grave de son client pour échapper à cette obligation. Deux arrêts de principe rendus par la Cour de cassation récemment montrent que le niveau de diligence attendue des clients est élevé.
- Dans la première décision (no PV K23-13.579), la Cour de cassation casse un arrêt d’Appel qui avait admis que la Banque devait rembourser le client à 50% pour avoir manqué à son devoir de vigilance, manquement contractuel de droit commun [3]. Le client restait aussi responsable à 50% parce qu’il avait contribué à l’escroquerie par sa propre faute [4]. Il s’agissait d’une société dont le service comptable a ouvert un courriel malveillant qui a ensuite pris le contrôle de l’ordinateur pour donner des ordres de virement à la banque vers des comptes inconnus et situés à l’étranger. Dans ce contexte le mail de phishing ou hameçonnage était particulièrement anormal car il était rédigé en anglais et ne s’adressait pas à des personnes du service comptable.
- Dans la seconde décision (no E-23-15.437), un particulier a fait deux virements vers un compte bancaire pour l’achat d’un véhicule sans se rendre compte que le compte IBAN n’était pas celui du vendeur.
Dans les deux affaires, La Cour de cassation applique strictement l’article L133-21 et écarte complètement le devoir de vigilance de la banque de droit commun. Elle considère que le client ne peut plus s’excuser sur une faute de la banque à partir du moment où celui-ci fournit un mauvais IBAN du bénéficiaire du paiement.
Un régime de responsabilité plus défavorable pour les consommateurs.
Ces décisions rappellent la primauté de ce régime de responsabilité harmonisé au niveau européen par la Directive qui « ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits » [5].
Il sera dorénavant plus compliqué pour les clients des établissements de crédit de faire valoir leur droit au remboursement lorsqu’ils sont victimes d’escroquerie.
Les banques demeureront responsables dans d’autres hypothèses, par exemple en cas d’erreur informatique non imputable au client ou de vol de carte bancaire mais ceux-ci sont tenus désormais à une obligation stricte de diligence. Pour les sociétés cela se traduit aussi par un niveau plus élevé de conformité aux normes de sécurité informatique.
