Cour de cassation, Chambre commerciale financière et économique, 30 août 2023, n° 22-11.707 - Dans quelles mesures une banque peut-elle rejeter la responsabilité en cas de négligence grave d'un client qui divulgue volontairement un code de sécurité permettant une transaction financière non autorisée ?

Anastasia P.

Commandez une rédaction : Commentaire d'arrêt en Droit bancaire sur mesure

Devis en ligne gratuit

Commentaire d'arrêt Format .docx

Cour de cassation, Chambre commerciale financière et économique, 30 août 2023, n° 22-11.707 - Dans quelles mesures une banque peut-elle rejeter la responsabilité en cas de négligence grave d'un client qui divulgue volontairement un code de sécurité permettant une transaction financière non autorisée ?

Télécharger

Lire un extrait

Thèmes abordés

CMF Code monétaire et financier, négligence grave, phishing, escroquerie, indemnisation d'un préjudice, responsabilité de la banque, loi bancaire, loi du 24 janvier 1984, faute grave, confidentialité, authentification bancaire, transaction financière, fraude, responsabilité

Lecture
Résumé
Sommaire
Extraits

Résumé du document

En l'espèce, un client d'une banque est trompé par un phishing, par la présence d'un appel téléphonique ainsi qu'un message de la part d'un escroc, se faisant passer pour un employé de l'établissement bancaire dans lequel il détient un compte courant. L'escroc lui demande lors de l'appel ou du message, son code à six chiffres « 3D secure » destiné à valider les paiements par internet. Le 27 janvier 2020, une transaction non effectuée par le détenteur du compte est découverte par ce dernier. Le client de la banque a constaté qu'il avait été victime d'agissements frauduleux et assigne son établissement devant le tribunal de Clermont-Ferrand, pour obtenir sa condamnation, à lui verser une indemnisation pour son préjudice et à rembourser les sommes contestées. Ce dernier n'a pas obtenu résolution auprès du service pertinent. Le client conteste.

Sommaire

L'analyse de la négligence grave dans le cas de victime de phishing : une obligation d'indemnisation du préjudice par la banque
1. Les conséquences de la négligence grave d'une victime de phishing sur la responsabilité de la banque
2. Indemnisation du préjudice : une obligation en responsabilité de la banque en faute
L'affirmation par la Cour de cassation de l'absence d'un système d'authentification forte nécessaire prévu par la directive DSP2
1. L'intérêt de la mise en place d'une méprise d'une authentification solide : une exigence pour les établissements bancaires de se conformer
2. Une confusion entre l'autorisation de paiement et l'authentification du paiement : une appréciation des conditions requises par le juge du fond

Accédez gratuitement au plan de ce document en vous connectant.

Extraits

[...] Finalement, lorsque l'authentification renforcée est requise, le processus de paiement, particulièrement pour des montants importants non autorisés, échoue généralement, ce qui rend inévitable d'accepter une telle opération et de causer des désagréments au client et à la banque. [...]

[...] La Haute juridiction, confirme dans cette affaire que l'article 133-44 du Code monétaire et financier, issu de la nouvelle ordonnance du 9 août 2017, est devenu effectif 18 mois après l'entrée en vigueur du règlement européen UE 2018/389, qui complète la directive UE 2015/2366. Ce principe résulte de la directive de l'article 34, VIII, 3e de l'ordonnance numéro 20171252 du 9 aout 2017. Les juges du fond soulignent de manière convaincante que les institutions financières, dans l'espoir de contourner leurs responsabilités à cet égard, font référence à une date de mise en application assez indéterminée, en se basant sur la période accordée par l'Autorité Bancaire Européenne. [...]

[...] La Cour de cassation utilise l'appréciation souveraine des juges du fond afin de démontrer la faute en réponse à cette question. Selon le Code monétaire et financier en cas de vol ou de fraude, il est impératif pour un client de notifier immédiatement son prestataire de services de paiement (PSP) afin que ce dernier puisse bloquer les opérations. Le client dispose d'un délai de 13 mois, à partir du moment où il est victime d'un vol, par exemple, pour effectuer cette notification, faute de quoi il sera confronté à la forclusion. [...]

[...] Ainsi la cour d'appel affirme que le client se trouve de la négligence gave, donc a privé sa décision de base légale en vertu des articles L133-19 CMF, et L133-44 CMF. Par la suite, le requérant insatisfait, se pourvoit en cassation et fait grief à l'arrêt de rejet. Jusqu'à quel point une banque peut-elle rejeter la responsabilité en cas de négligence grave d'un client qui divulgue volontairement un code de sécurité permettant une transaction financière non autorisée, en l'absence de l'exigence d'authentification forte, selon les dispositions de l'ordonnance du 9 août 2017 et de la directive de l'UE de 2015 ? [...]

[...] La question se pose, quelle est la vraie distinction de l'autorisation et l'authentification. Pour répondre à cette question, la Cour de cassation motive les juges d'analyser la complexité de l'article L133-44 CMF, et justifier avec des arguments pertinents le non-remboursement, conforment aux nouvelles exigences. Hypothétiquement la cour d'appel de renvoie pourra constater une critique énorme des établissements bancaires, en cause des rejets injustifiés de remboursement en opposition aux lignes directrices DSP1 et DSP2 entraîneront inévitablement la faillite de la banque et sa condamnation non seulement à rembourser, mais aussi qu'à verser une certaine somme au titre du code de procédure civile. [...]

docx