Mme [K] [D] [S] conteste des opérations de paiement non autorisées sur son compte bancaire, totalisant 24 655 euros, effectuées entre le 26 avril et le 15 mai 2023. Malgré l’interpellation de deux fraudeurs et le remboursement partiel de 8 555 euros, la Société Générale refuse de rembourser le reste des sommes. Dans ses conclusions, Mme [D] [S] réclame le remboursement intégral, des dommages et intérêts, ainsi que des frais de justice, arguant d’une négligence de la banque. Cependant, le tribunal rejette ses demandes, considérant qu’elle a commis une négligence grave en remettant sa carte à un tiers.. Consulter la source documentaire.

Dans le cadre d’une authentification forte, la communication d’un code d’autorisation à un interlocuteur téléphonique (escroc) engage la responsabilité du client en cas de paiement frauduleux. La communication des données confidentielles transmises par la banque constitue une négligence grave de la part du client.

Une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

En la cause, les codes d’activation à usage unique permettant l’opposition puis la transaction en ligne ont été envoyés sur le téléphone de la cliente de la banque, lequel est toujours resté en sa possession. Il en résulte qu’elle a nécessairement communiqué à son interlocuteur les données reçues par SMS permettant l’achat de 8 500 euros.

L’article L.133-18 du code monétaire et financier pose le principe du remboursement par la banque des opérations de paiement non autorisées : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Par dérogation à ce principe, l’article L.133-19 IV prévoit que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17, lesquels lui font obligation notamment de préserver la sécurité de ses données.

L’article L.133-23 du code monétaire et financier fixe les règles de preuve applicables lorsque l’utilisateur conteste avoir donné son autorisation au paiement : « En application de l’article L.133-23 du code monétaire et financier, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

La négligence grave de l’utilisateur ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.

En outre, si le prestataire de services de paiement choisit de prendre le risque de ne pas recourir à une authentification forte, il doit en assumer le risque sans pouvoir invoquer, notamment, la négligence grave de son client.

Il ressort de l’article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur.

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.