Cet arrêt de rejet de la Cour de cassation a repris les arguments de la cour d’appel et de l’avocate de la victime.
Cet arrêt a non seulement établi des critères précis pour évaluer la responsabilité des banques face aux escroqueries sophistiquées, mais a aussi affirmé la protection accrue des clients, en cas d’usurpation de l’identité d’un conseiller bancaire pour obtenir l’exécution de transactions frauduleuses.
Ce résultat consacre un précédent significatif dans la jurisprudence française en matière de droit bancaire.
I. Le renforcement de la charge de la preuve de la négligence grave.
L’arrêt récent de la haute juridiction clarifie de manière significative la notion de « négligence grave » et renforce la protection des clients en cas de fraude.
Dans cette affaire, Monsieur D., client de BNP Paribas depuis plus de 20 ans, a subi des transactions non autorisées résultant d’une tromperie par « spoofing » : un escroc, usurpant le numéro de téléphone de son conseiller bancaire, l’a convaincu d’ajouter des bénéficiaires frauduleux dans le cadre d’une prétendue cyberattaque.
Le 29 mai 2019, il a reçu vers 17 heures un appel téléphonique de sa conseillère bancaire. Il avait enregistré son numéro de téléphone et le nom de sa conseillère était affiché.
Une interlocutrice s’est présentée comme étant l’assistante de sa conseillère.
Elle informait Monsieur D. d’une attaque de son compte courant.
Elle lui indiquait que pour contre-attaquer, elle devait supprimer certains bénéficiaires. Tout en restant en ligne, il recevait de ce même numéro BNP des messages, lui demandant de valider les bénéficiaires qu’il connaissait.
Il validait chaque message avec son code secret.
Elle lui indiquait alors qu’il n’aurait plus accès à son compte et qu’il recevrait par la poste un nouvel identifiant et un nouveau mot de passe. Deux jours plus tard, il découvre en se connectant sur son compte plusieurs prélèvements. Le 31 mai 2019, en rappelant le même numéro de sa conseillère, il lui fait part de son étonnement et elle lui confirme les prélèvements frauduleux.
Au total, il y a eu des prélèvements à hauteur de 59 500 €, et la banque n’a pu bloquer que la somme de 5 000 €, ce qui fait un préjudice financier de
54 500 €.
L’avocat a mis en demeure la banque de rembourser son client dès le 7 octobre 2019.
La banque n’ayant rien voulu entendre, elle a été assignée devant le Tribunal de commerce de Pontoise dans l’année qui suivait l’escroquerie.
Par jugement en date du 3 novembre 2021, le Tribunal de commerce de Pontoise a déclaré Monsieur D. mal fondé en ses demandes et l’a condamné au paiement de la somme de 800 € au titre de l’article 700 du Code de procédure civile.
Monsieur D. a donc formé appel contre cette décision dans la mesure où il a estimé ne pas avoir commis de négligence grave et a été dupé du fait de la défaillance du système de sécurité de la banque.
Il a soutenu devant la Cour d’appel de Versailles que la BNP aurait donc dû immédiatement l’indemniser en vertu de l’article L133-19 du Code monétaire et financier.
L’affichage du numéro de téléphone de sa conseillère bancaire suffisait à le mettre en confiance, et aucune négligence ne pouvait lui être reprochée.
La treizième chambre de la Cour d’appel de Versailles, par arrêt en date du 28 mars 2023 a infirmé la décision de première instance et a condamné la société BNP Paribas à verser à Monsieur Laurent D. la somme de 54 500 € avec intérêts au taux légal à compter du 10 octobre 2019, ainsi que la somme de 1 500 € à titre de dommages intérêts pour préjudice moral avec intérêts au taux légal à compter de l’arrêt.
La BNP a aussi été condamnée à verser à Monsieur Laurent D. la somme de 6 000 € en application des dispositions de l’article 700 du Code de procédure civile ainsi que les dépens de première instance et d’appel.
La Cour de cassation, par arrêt en date du 23 octobre 2024 (pourvoi numéro H23-16.267) a rejeté le pourvoi formé par la BNP Paribas et l’a condamnée aux dépens.
Ces deux arrêts rendus par la cour d’appel et la Cour de cassation consacrent ainsi l’obligation pour la banque de démontrer la négligence grave du client, en plaçant la charge de cette preuve sur le prestataire de services de paiement.
En reconnaissant la spécificité du « spoofing » par rapport aux fraudes par courriel, la Cour de cassation considère que les appels téléphoniques usurpant un numéro connu diminuent le discernement de la victime, lui laissant peu d’opportunité de détecter la fraude.
Le client, pensant parler avec un représentant légitime de la banque, ne peut pas être facilement accusé de manque de vigilance.
Dans le cas d’espèce, la Cour de cassation a estimé qu’il n’y avait pas de négligence grave du client de la banque à partir du moment où c’est le numéro de la banque qui est apparu.
Lorsqu’il a validé les opérations avec son code secret, le client pensait en toute bonne foi être en relation avec un salarié de la banque.
En effet, la Cour de cassation a estimé que la vigilance d’une personne qui reçoit un appel qui émane de sa banque est moindre que celle d’une personne qui reçoit un mail. Cette dernière dispose de davantage de temps pour en prendre connaissance et en découvrir son origine frauduleuse.
Cela aurait été différent s’il avait réceptionné un courriel qui lui aurait donné davantage de temps pour s’apercevoir des anomalies d’origine frauduleuse.
Cette décision marque un tournant en matière de jurisprudence, réaffirmant que les établissements bancaires doivent faire preuve de rigueur dans la protection de leurs clients et, en cas de litige, prouver avec clarté une faute grave du client.
Dans une affaire similaire, la Cour d’appel de Paris (pôle 5 chambre six) a infirmé un jugement rendu par le Tribunal de commerce de Paris et a condamné la BNP Paribas à payer à une société de transport la somme de 98 000 € au titre du remboursement des fonds qui lui ont été débités le 23 juillet 2019, avec intérêts au taux légal, à compter du 8 janvier 2020, au paiement de la somme de 4 000 € au titre de l’article 700 du Code de procédure civile ainsi que les entiers dépens.
Dans le cas d’espèce, la société a été appelée au téléphone le 23 juillet 2019 par une personne se faisant passer pour un technicien de cette banque.
Ce dernier, alléguant un bug informatique a demandé à une salariée de la société de procéder à diverses manipulations à la suite desquelles cinq virements furent réalisés.
Trois virements vers des numéros de compte suspects ont été rejetés par la société BNP Paribas et deux ont été débités vers l’Allemagne pour un montant total de 98 000 €.
Le 23 juillet 2019, la société a déposé plainte pour escroquerie et a demandé également à la banque le remboursement des virements débités.
Face au refus de la banque, la société de transport l’a assignée dans l’année qui suivait devant le Tribunal de commerce de Paris.
Le Tribunal de commerce de Paris par jugement en date du 23 septembre 2021 a débouté la société de ses demandes et l’a condamnée au paiement de la somme de 2 000 € au titre de l’article 700 du Code de procédure civile.
Un appel a été formé l’appel contre cette décision et soutenant que la société de transport n’avait en aucun cas commis de négligence grave.
La circonstance que l’escroc ait pu usurper un numéro de téléphone de la société BNP Paribas, et qu’il annonçât le code qui s’affichait à l’écran de la salariée de l’entreprise était de nature à persuader celle-ci qu’elle était en relation avec un technicien de la banque.
Il en est de même de la connaissance par son interlocuteur des opérations réalisées peu auparavant, ces faits ne pouvant que la conforter dans la croyance qu’un incident informatique était survenu.
La Cour d’appel de Paris, dans son arrêt du 7 février 2024, a ainsi estimé qu’on ne pouvait considérer que la société de transport avait commis une négligence grave exonérant la société BNP Paribas de son obligation de remboursement.
La société BNP Paribas a formé un pourvoi en cassation contre cet arrêt qui est toujours en cours.
II. L’impact de l’arrêt de la Cour de cassation sur la responsabilité bancaire.
Cette décision de la Cour de cassation a pour effet de renforcer les droits des clients victimes de fraude bancaire face aux escroqueries sophistiquées.
L’arrêt établit un précédent significatif dans la jurisprudence en matière de responsabilité bancaire, en appelant les institutions financières à une vigilance accrue face aux risques de fraude digitale.
La technique de « spoofing », qui repose sur la manipulation des informations d’identification pour tromper les clients, pose un défi majeur pour les banques, qui se doivent d’adapter leurs protocoles de sécurité en conséquence.
L’arrêt souligne l’importance de mettre en œuvre des mécanismes de sécurité performants pour détecter et prévenir les fraudes avant qu’elles n’aient lieu.
Ces décisions pourraient amener les banques à réévaluer leurs politiques de sécurisation des communications, notamment en ce qui concerne les informations échangées par téléphone et les vérifications d’identité.
À long terme, cet arrêt de la Cour de cassation pourrait inspirer une réforme du cadre juridique français, incitant à une protection renforcée des clients dans un environnement bancaire de plus en plus digitalisé, tout en contribuant à l’évolution des pratiques bancaires face aux techniques de fraude en constante évolution.
Après une mise en demeure adressée à la banque et en cas d’échec des négociations, il faut assigner devant le tribunal, la banque dans l’année qui suit l’escroquerie.