1. Le cadre légal et ses ambiguïtés.
La législation française est claire : en cas d’opération de paiement non autorisée, la banque doit rembourser son client immédiatement. Cependant, l’article L133-19 du Code monétaire et financier (CMF) prévoit une exception majeure : la banque peut s’exonérer de son obligation de remboursement si elle démontre que le client a agi frauduleusement ou avec une négligence grave dans la protection de ses données de sécurité personnalisées.
Le paradoxe réside dans cette notion de négligence grave. Longtemps, les banques ont cherché à en donner une définition très large, arguant que le simple fait de communiquer ses codes, même sous la contrainte d’un scénario frauduleux, suffisait à la caractériser. Les victimes se retrouvaient alors dans une position délicate, devant prouver leur bonne foi face à une institution financière bien mieux armée.
La Cour de cassation a mis un terme à cette vision restrictive en rendant des arrêts fondamentaux. La tendance est désormais de limiter la notion de négligence grave aux cas où le client a fait preuve d’une imprudence manifeste, volontaire et sans rapport avec le scénario frauduleux.
Dès lors, dans le cadre des spoofing, face à ces techniques qui consistent à usurper l’identité d’un conseiller bancaire, il est dorénavant constant qu’un client qui divulgue ses codes après avoir été manipulé par un escroc ne commet pas de négligence grave.
Les juges prennent en compte la crédibilité du scénario frauduleux, notamment lorsque l’escroc utilise le numéro de téléphone réel de la banque ou connaît des informations personnelles du client. Le simple fait d’avoir été dupé n’est plus suffisant pour justifier un refus de remboursement.
Le principe est que la banque est garante de la sécurité de ses systèmes et que l’authentification forte (double facteur) ne peut pas être un simple alibi pour lui transférer la responsabilité.
En ce qui concerne le contentieux relatif aux faux investissements, la responsabilité des banques peut être engagée sur la base d’un manquement à leur devoir de vigilance. Si les virements effectués sont anormalement élevés, répétitifs ou incohérents avec l’historique du compte, la banque aurait dû alerter le client.
La Cour de cassation a rappelé à plusieurs reprises que la banque ne peut se retrancher derrière un principe de non-ingérence et qu’elle a une obligation de contrôle.
Au reste, la dernière jurisprudence en date, tend davantage à faire prévaloir l’obligation de non-ingérence du banquier sur l’obligation de vigilance.
Certaines juridictions continuent toutefois à abonder dans le sens contraire.
Un autre point crucial de l’évolution jurisprudentielle est la charge de la preuve.
L’article L133-23 du CMF énonce clairement que c’est à l’établissement de paiement de prouver que l’opération a été authentifiée, enregistrée et qu’elle n’est pas due à une défaillance technique. Par extension, il revient à la banque de démontrer la négligence grave du client. Si elle échoue à le faire, le remboursement est dû.
Cette inversion de la charge de la preuve est un atout majeur pour les victimes. Elle force les banques à apporter des éléments de preuve solides et à ne plus se contenter d’allégations de "naïveté" du client.
2. Perspectives et obligations pour les banques.
La tendance est donc à une responsabilité accrue des banques, qui doivent redoubler d’efforts pour sécuriser les transactions et sensibiliser leurs clients.
Les banques sont incitées à renforcer leurs dispositifs d’authentification forte (par exemple, en ne se limitant pas à un SMS). Mais également à mettre en place des systèmes de détection des anomalies capables de repérer les opérations suspectes et de bloquer les transactions. Tout comme à mieux informer et former leurs clients aux risques de fraude en ligne.
Il s’agit donc d’un rempart pour les victimes de fraudes bancaires.
Le principe de protection du consommateur face à la puissance des établissements financiers est ainsi réaffirmé, en n’exonérant la banque de sa responsabilité que dans les cas les plus flagrants d’imprudence du client. La bataille juridique se déplace du terrain de la "négligence" vers celui de la preuve et de la sécurité des systèmes bancaires.
Force est donc de constater que ces dernières années, la législation et surtout la jurisprudence française ont donc progressivement renforcé la protection des victimes de fraudes bancaires, en particulier pour le spoofing et les faux conseillers bancaires, en clarifiant que la charge de la preuve de la négligence grave incombe à la banque, et en écartant souvent la qualification de négligence dans des cas où la fraude est particulièrement bien orchestrée.
Néanmoins, des défis importants subsistent : aux limites techniques, aux difficultés de preuve, au flou jurisprudentiel lorsqu’il s’agit d’autres formes de fraudes (faux investissements, phishing sophistiqué), s’ajoute la nécessité de rendre les dispositifs plus accessibles pour les victimes. Il est probable que la tendance se poursuive vers une législation plus précise, des obligations accrues pour les banques et les opérateurs, et une meilleure prévention/information.
