L’Essentiel : Les brèches de sécurité dans les systèmes de paiement, tels que « payweb », sont des éléments cruciaux pour déterminer le droit au remboursement des clients victimes de fraudes. Les juges prennent en compte l’absence de négligence de la part du client, même lorsque des dispositifs de sécurité personnalisés sont utilisés. Dans une affaire récente, un client a obtenu le remboursement d’opérations non autorisées, la banque ayant erronément imputé une négligence à son obligation de sécurité. Selon l’article L. 133-19 du code monétaire et financier, la responsabilité du client n’est pas engagée si l’opération a été réalisée à son insu.

Impact des brèches de sécurité

L’existence de brèches de sécurité affectant les systèmes de paiement à distance de type « payweb » et les cartes bancaire de « e-retrait » est un élément substantiel pris en compte par les juges pour apprécier le droit au remboursement de clients d’une banque arguant de paiements frauduleux sur leur compte.

Les moyens de paiement impliquant l’usage d’un dispositif de sécurité personnalisé (choix d’un identifiant et d’un mot de passe lors de la première connexion) n’emportent pas ipso facto la responsabilité du client en cas de fraude. La  même solution est applicable pour les systèmes de paiement assortis de l’envoi par la banque, d’un email ou d’un SMS avec un code de confirmation à validité temporaire permettant d’effectuer le paiement ou le retrait désiré.

Éléments décisifs retenus dans cette affaire : l’association française des usagers des banques soupçonne une brèche dans le dispositif de sécurité de la banque, le portail « payweb » et les cartes bancaires sans contact utilisant la technologie NFC (near field communication). Ces dispositifs seraient suspectés d’être mis en échec par les pirates informatiques. L’actualité récente a fait état de plusieurs cas dans lesquels des malfaiteurs sont parvenus à s’approprier des données bancaires confidentielles d’accès aux services de consultation et de gestion de compte à distance par internet sans pour autant bénéficier de la négligence voire de la complicité du titulaire de ladite carte.

Droit au remboursement du client

Dans cette affaire, le client d’une banque a obtenu le remboursement du montant des opérations non autorisées effectuées sur ses comptes réalisées via des cartes « payweb », système qui permet de régler les achats à distance avec un numéro virtuel à usage unique (différent de celui de la carte bancaire). La banque avait opposé, à tort, à son client, une nécessaire négligence à son obligation de garde et d’utilisation des dispositifs de sécurité personnalisés attachés à ce service en donnant (supposition) à un tiers des informations confidentielles.

Article L. 133-19 du code monétaire et financier

Selon le paragraphe II de l’article L. 133-19 du code monétaire et financier, dans sa rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 2017, la responsabilité du payeur (client de la banque) n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées ; elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le client était en possession de son instrument de paiement.

Toutefois, le client supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Dès qu’il reçoit un instrument de paiement, le client doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, le client doit en informer sans tarder, aux fins de blocage de l’instrument, la banque.

En cas d’opération de paiement non autorisée signalée par le client, la banque doit rembourser  immédiatement au client, le montant de l’opération non autorisée et, le cas échéant, rétablir le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu, les parties pouvant décider contractuellement d’une indemnité complémentaire.

Vigilance du client et indices de fraude

Si aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient au client de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est bien au prestataire (la banque) qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Dans l’affaire soumise, le rapport du service des fraudes et affaires spéciales de la banque a permis de localiser la demande de débit frauduleux, au Maroc. Tous les paiements ont été effectués suite à la saisie soit du numéro de carte bancaire du client (avec saisie du numéro de la carte à seize chiffres, la date de fin de validité et un cryptogramme visuel à trois chiffres) soit par saisi du code d’authentification envoyé par SMS.  Le client a réussi à établir que son téléphone portable avait fait l’objet d’un piratage (appel du Maroc alors que le client était localisé en France).  La juridiction a donc conclu à un détournement, à l’insu du client, de ses données bancaires personnelles et des cartes virtuelles générées à partir de ses cartes de crédit Mastercard.

Télécharger 

Q/R juridiques soulevées :

Quelles sont les conséquences des brèches de sécurité sur les systèmes de paiement ?

Les brèches de sécurité dans les systèmes de paiement, tels que « payweb » et les cartes bancaires « e-retrait », ont des conséquences significatives sur le droit au remboursement des clients.

Les juges prennent en compte ces brèches pour évaluer les demandes de remboursement des clients qui signalent des paiements frauduleux.

Il est important de noter que l’existence d’une brèche peut influencer la responsabilité de la banque et du client dans le cadre de transactions non autorisées.

En effet, même si un client utilise un dispositif de sécurité personnalisé, cela ne signifie pas qu’il est automatiquement responsable en cas de fraude.

Les systèmes de paiement qui envoient des codes de confirmation par email ou SMS sont également concernés par cette évaluation.

Comment le droit au remboursement est-il appliqué dans le cas de paiements non autorisés ?

Dans le cas de paiements non autorisés, le droit au remboursement est souvent reconnu lorsque le client peut prouver qu’il n’a pas autorisé la transaction.

Dans une affaire récente, un client a obtenu le remboursement d’opérations non autorisées effectuées via des cartes « payweb ».

La banque avait initialement tenté de refuser le remboursement en arguant d’une négligence de la part du client concernant la sécurité de ses informations.

Cependant, le tribunal a statué que la banque avait tort de supposer que le client avait donné des informations confidentielles à un tiers.

Cela souligne l’importance de la protection des données et de la responsabilité des banques dans la sécurisation des transactions.

Quel est le rôle de l’article L. 133-19 du code monétaire et financier ?

L’article L. 133-19 du code monétaire et financier joue un rôle déterminant dans la détermination de la responsabilité des clients en matière de paiements non autorisés.

Selon cet article, la responsabilité du client n’est pas engagée si une opération de paiement non autorisée a été effectuée sans son consentement.

Cela inclut les cas où l’instrument de paiement a été détourné à son insu.

Cependant, le client doit prendre des mesures raisonnables pour protéger ses dispositifs de sécurité.

En cas de perte ou de vol, il doit informer sa banque rapidement pour éviter des pertes financières.

Si une opération non autorisée est signalée, la banque est tenue de rembourser immédiatement le client.

Quelles sont les obligations du client en matière de sécurité des paiements ?

Le client a des obligations spécifiques en matière de sécurité des paiements, comme stipulé dans les articles L. 133-16 et L. 133-17 du code monétaire et financier.

Il doit prendre toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Cela inclut la protection de ses identifiants, mots de passe et autres informations sensibles.

En cas d’utilisation non autorisée de son instrument de paiement, le client doit informer sa banque sans tarder.

Cependant, la charge de la preuve incombe à la banque pour démontrer que le client a agi de manière frauduleuse ou négligente.

Dans une affaire récente, la banque a pu localiser une demande de débit frauduleux, ce qui a permis de prouver le détournement des données du client.

Comment les banques doivent-elles prouver la fraude dans les transactions contestées ?

Les banques ont la responsabilité de prouver que le client a agi de manière frauduleuse dans les transactions contestées.

Cette preuve ne peut pas se baser uniquement sur le fait que l’instrument de paiement a été utilisé.

Dans l’affaire mentionnée, le rapport du service des fraudes a permis de localiser la demande de débit frauduleux.

Le client a démontré que son téléphone avait été piraté, ce qui a conduit à l’utilisation non autorisée de ses données bancaires.

La juridiction a ainsi conclu à un détournement à l’insu du client, renforçant l’idée que la responsabilité de la fraude ne repose pas uniquement sur le client.

Cela souligne l’importance pour les banques de mettre en place des mesures de sécurité robustes pour protéger les données de leurs clients.