Réf. : Cass. com., 23 octobre 2024, n° 23-16.267, FS-B N° Lexbase : A76966BN
Lecture: 8 min
N0788B3L
Citer l'article
Créer un lien vers ce contenu
par Jérôme Lasserre Capdeville, Maître de conférences - HDR à l'Université de Strasbourg
le 07 Novembre 2024
► Aucune négligence grave au sens de l'article L. 133-19 du Code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d'éviter des opérations malveillantes.
Aujourd’hui, la fraude au faux conseiller bancaire inquiète tout particulièrement. Le processus commence à être connu. Un (faux) conseiller, ou un soi-disant responsable du service « fraude » de la banque, alerte un client par téléphone sur une opération qui lui paraît frauduleuse sur son compte. Pour l’annuler, il demande à sa victime d’agir directement sur son téléphone ou de lui transmettre diverses informations (code d’accès à l’espace numérisé sur le site de la banque, cryptogramme visuel de la carte bancaire, code de validation reçu par SMS, etc.). Or, en procédant de la sorte, le client réalise sans le savoir une opération de paiement au profit de l’escroc, ou lui transmet toutes les informations utiles pour la passer lui-même. On parle parfois, dans ce cas, de « spoofing » (attaque par usurpation d’identité).
Les cas sont nombreux. Il est vrai que certains escrocs savent se montrer particulièrement convaincants, notamment en s’appuyant sur des informations intéressant leurs victimes qu’ils sont parvenus à obtenir préalablement, par exemple sur les réseaux sociaux. Parfois, ils vont jusqu’à « pirater » le numéro de téléphone de la banque qui apparait sur le téléphone portable du client qui est alors mis en confiance, pensant parler avec un préposé de sa banque.
Or, il résulte de l’article L. 133-19, IV, du Code monétaire et financier N° Lexbase : L5118LGN qu’en matière d’opération de paiement par carte, par virement ou par prélèvement, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si elles résultent d’un agissement frauduleux de sa part ou si ce même payeur n’a pas « satisfait intentionnellement ou par négligence grave aux obligations prescrites par les articles L. 133-16 et L. 133-17 [du Code monétaire et financier] », c’est-à-dire, respectivement, l’obligation de préserver la sécurité de ses données de sécurité personnalisées et celle d’informer sans tarder son prestataire (ou l’entité désignée par celui-ci) de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées. Ainsi, dans l’un de ces cas, la charge totale de l’opération pèsera sur le seul payeur.
La notion de « négligence grave », visée par cet article L. 133-19, IV, a donc une importance considérable. Elle est au cœur de la décision sélectionnée.
Faits et procédure. Les faits étaient les suivants. Le 31 mai 2019, M. J. avait constaté que plusieurs virements frauduleux avaient été réalisés pour un montant de 54 500 euros sur son compte ouvert dans les livres de la banque X. L’intéressé avait alors alerté la banque le jour même, soutenant avoir été contacté par téléphone par une personne se faisant passer pour une préposée de l’établissement lui demandant d’ajouter, grâce à ses données personnelles de sécurité, cinq personnes sur la liste des bénéficiaires de virements. M. J. avait alors assigné la banque en remboursement de ces sommes.
Par une décision remarquée du 28 mars 2023, la cour d’appel de Versailles avait condamné la banque à payer à M. J. la somme de 54 500 euros avec intérêts au taux légal à compter du 10 octobre 2019, ainsi que la somme de 1 500 euros à titre de dommages et intérêts pour préjudice moral avec intérêts au taux légal (CA Versailles, 28 mars 2023, n° 21/05299 N° Lexbase : A89319LD).
Pourvoi. La banque avait alors formé un pourvoi en cassation. Elle rappelait, par ce dernier, que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’une négligence grave de sa part. Or, commet une négligence grave, le payeur qui valide à distance et sans la vérifier, une opération dont il n'est pas l'auteur. Dès lors, en retenant que M. J. n’avait pas été gravement négligent, quand celui-ci avait validé des opérations dont il n’était pas l'auteur sans en vérifier toutes les données, la cour d'appel, qui n’avait pas tiré les conséquences légales de ses constatations, aurait violé l’article L. 133-19 du Code monétaire et financier.
Décision. Ce moyen ne parvient pas à convaincre la Haute juridiction.
La Cour de cassation commence par reprendre les différents constats des magistrats de la cour d’appel de Versailles. D’abord, il était exactement énoncé qu’il incombe au prestataire de services de paiement de rapporter la preuve d’une négligence grave de son client. Ensuite, les magistrats versaillais avaient noté que le numéro d’appel apparaissant sur le téléphone portable de M. J. s’était affiché comme étant celui de Mme Y., sa conseillère de la banque X. et retenu que l’intéressé croyait être en relation avec une salariée de la banque lors du réenregistrement et nouvelle validation qu’elle sollicitait de bénéficiaires de virement sur son compte qu’il connaissait et qu'il avait cru valider l’opération litigieuse sur son application dont la banque assurait qu’il s’agissait d’une opération sécurisée. Enfin, la cour d’appel avait considéré que le mode opératoire par l’utilisation du « spoofing » avait mis M. J. en confiance et avait diminué sa vigilance, inférieure, face à un appel téléphonique émanant prétendument de sa banque pour lui faire part du piratage de son compte, à celle d’une personne réceptionnant un courriel, laquelle aurait pu disposer de davantage de temps pour s'apercevoir d'éventuelles anomalies révélatrices de son origine frauduleuse.
Dès lors, pour la Haute juridiction, de ces constatations et appréciations, la cour d'appel avait pu déduire que la négligence grave de M. J. n’était pas caractérisée. Le pourvoi est alors rejeté.
Observations. Cette décision, qui emporte notre conviction, ne doit pas se voir conférer une portée trop étendue.
En l’occurrence, une circonstance particulière fondait manifestement la solution retenue : le fait que le numéro de la conseillère bancaire s’était affiché sur le téléphone portable du client. Cela avait alors diminué la vigilance de l’intéressé.
En revanche, à défaut d’une telle subtilisation du numéro de la banque, il appartiendra, au cas par cas, aux juges de décider si l’attitude du client est constitutive d’une négligence grave au sens de l’article L. 133-19, IV, du Code monétaire et financier. Tout dépendra des circonstances de fait et/ou de la personnalité de la victime. On peut penser que les magistrats feront preuve de moins de tolérance, et ce, d’autant plus que plusieurs campagnes publicitaires récentes ont cherché à communiquer sur, notamment, cette fraude au faux conseiller.
Ainsi, depuis plusieurs mois, la Fédération bancaire française (FBF) a déployé une campagne d’information nationale opérée sur différents supports (presse écrite, radio et internet). Les établissements de crédit mènent également des actions pour sensibiliser leurs propres clients aux différents gestes de protection.
On signalera, pour terminer, que de telles subtilisations du numéro de téléphone de la banque devraient logiquement disparaître dans un avenir proche. La loi « Naegelen » du 24 juillet 2020 (loi n° 2020-901, du 24 juillet 2020, visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux N° Lexbase : Z481199X), qui a pour objectif de combattre les pratiques abusives du démarchage téléphonique, est en effet venue imposer aux opérateurs téléphoniques la mise en place d’une solution d’authentification des numéros, avec une coupure obligatoire des appels non authentifiés. Les opérateurs doivent dès lors désormais vérifier la conformité des numéros téléphoniques au plan de numérotation de l’Arcep (régulateur du secteur), tant du côté de l’appelant que de l’appelé. Les appels non authentifiés sont systématiquement interrompus. Or, le dispositif technique en question, qui ne concerne pour l’heure que les numéros de téléphone fixes, est entré en application le 1er octobre dernier.
| Pour aller plus loin : v. ÉTUDE : Le droit des opérations de paiement (cartes, virements, prélèvements), Les effets de la contestation, in Droit bancaire (dir. P.-M. Le Corre), Lexbase N° Lexbase : E8911B4S). |
© Reproduction interdite, sauf autorisation écrite préalable
newsid:490788
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.