Si, les intermédiaires en opérations de banque et en services de paiement (IOBSP) et les indicateurs ont en commun de se livrer à une activité d’intermédiation, le régime juridique qui leur est applicable est totalement différent.

Cette différence de traitement tient à la mission qu’ils poursuivent.

I) Les intermédiaires en opérations de banque et en services de paiement

A) Notions

  1. L’intermédiation en opérations de banque et en services de paiement

==> Définition

Elle est définie à l’article L. 519-1 du Code monétaire et financier comme « l’activité qui consiste à présenter, proposer ou aider à la conclusion des opérations de banque ou des services de paiement ou à effectuer tous travaux et conseils préparatoires à leur réalisation. »

Aussi, cette activité ne consiste pas en l’accomplissement d’opérations de banque ou en la fourniture de services de paiement, elle vise seulement à mettre en relation des clients avec un établissement agréé pour fournir ce type de prestation, le plus souvent en établissement de crédit.

L’article R. 519-1 du Code monétaire et financier précise que « est considéré comme présentation, proposition ou aide à la conclusion d’une opération de banque ou à la fourniture d’un service de paiement le fait pour toute personne de solliciter ou de recueillir l’accord du client sur l’opération de banque ou le service de paiement ou d’exposer oralement ou par écrit à un client potentiel les modalités d’une opération de banque ou d’un service de paiement, en vue de sa réalisation ou de sa fourniture. »

L’intermédiation en opérations de banque et en services de paiement fait ainsi l’objet d’une définition extrêmement large.

==> Les opérations visées

Elle peut porter sur toute opération de banque au sens de l’article L. 311-1 du Code de monétaire et financier.

Selon cette disposition « les opérations de banque comprennent la réception de fonds du public, les opérations de crédit, ainsi que les services bancaires de paiement. »

Trois sortes d’opérations peuvent donc faire l’objet d’une intermédiation :

  • La réception de fonds du public
  • La fourniture de crédit
  • La fourniture de services de paiement

2. Les intermédiaires en opérations de banque et en services de paiement

==> Définition

L’article L. 519-1 du Code monétaire et financier prévoit que « est intermédiaire en opérations de banque et en services de paiement toute personne qui exerce, à titre habituel, contre une rémunération ou toute autre forme d’avantage économique, l’intermédiation en opérations de banque et en services de paiement, sans se porter ducroire ou qui fournit un service de conseil au sens de l’article L. 519-1-1. »

Il ressort de cette définition que l’intermédiaire en opérations de banque et en services de paiement (IOBSP) peut être, tant une personne physique qu’une personne morale.

Toutefois, l’article L. 519-2 du Code monétaire et financier précise que :

  • D’une part, l’activité d’intermédiaire en opérations de banque et en services de paiement ne peut s’exercer qu’entre deux personnes dont l’une au moins est un établissement de crédit, une société de financement, un établissement de monnaie électronique qui fournit des services de paiement, ou un établissement de paiement.
  • D’autre part, l’intermédiaire en opérations de banque et en services de paiement ne peut agir qu’en vertu d’un mandat délivré par l’établissement dont il distribue les produits.

==> Conditions

Pour être intermédiaire en opérations de banque et en services de paiement trois conditions cumulatives doivent être remplies :

  • Objet de l’intermédiation
    • L’intermédiation ne peut avoir pour objet qu’une opération de banque ce qui comprend
      • La réception de fonds du public
      • La fourniture de services de paiement
      • La fourniture de crédits
  • Exercice à titre habituel
    • Pour être soumis au régime juridique de l’intermédiation en opération de banque et en services de paiement, l’intermédiaire doit exercer cette activité à titre habituel
    • On peut en déduire que lorsque l’opération d’intermédiation est ponctuelle, elle ne tombe pas sous le coup des dispositions du Code monétaire et financier.
  • Existence d’une contrepartie
    • Il ressort de l’article L. 519-1 du code monétaire et financier que le statut d’IOBSP est subordonné à l’octroi d’une rémunération.
    • L’article R. 519-5 du Code monétaire et financier précise que la rémunération doit s’entendre comme tout versement pécuniaire ou toute autre forme d’avantage économique convenu et lié à la prestation d’intermédiation.
    • Aussi, lorsque l’intermédiation est assurée par un opérateur à titre gratuit, il est insusceptible d’endosser le statut d’IOBSP et n’est donc pas soumis aux obligations y afférent.

B) Conditions d’exercice

Parce qu’ils prêtent leur concours à la réalisation d’opérations de banque et de services de paiement, plusieurs obligations pèsent sur les IOBSP.

  • Obligation d’immatriculation
    • L’article L. 519-3-1 du Code monétaire et financier dispose que les intermédiaires en opérations de banque et en services de paiement sont immatriculés sur le registre unique des intermédiaires (ORIAS) qui est librement accessible au public.
  • Conclusion d’un contrat de mandat
    • L’article L. 519-2 du Code monétaire et financier prévoit que l’intermédiaire en opérations de banque et en services de paiement agit en vertu d’un mandat délivré par un établissement de crédit, une société de financement, un établissement de monnaie électronique qui fournit des services de paiement, ou un établissement de paiement.
    • Le mandat en vertu duquel l’intermédiaire en opérations de banque et en services de paiement agit mentionne la nature et les conditions des opérations qu’il est habilité à accomplir.
    • Ainsi, non seulement le mandat conclu entre l’établissement bancaire et l’IOBSP doit être écrit, mais encore il doit être précis et détaillé.
  • Capacité d’exercice
    • Pour exercer l’activité d’IOBSP il faut remplir des conditions qui tiennent, d’une part, aux compétences professionnelles et, d’autre part, à l’honorabilité.
    • L’article L. 519-3-3 du Code monétaire et financier dispose en ce sens que « les intermédiaires en opérations de banque et en services de paiement, personnes physiques, qui exercent en leur nom propre, les personnes qui dirigent, gèrent ou administrent des intermédiaires en opérations de banque et en services de paiement, personnes morales, et les personnes qui sont membres d’un organe de contrôle, disposent du pouvoir de signer pour le compte ou sont directement responsables de l’activité d’intermédiation au sein de ces intermédiaires doivent remplir des conditions d’honorabilité et de compétence professionnelle. »
  • Assurance
    • Deux situations doivent être distinguées :
      • La couverture par le mandant des conséquences pécuniaires de la responsabilité professionnelle de l’IOBSP
        • L’article L. 519-3-4 du Code monétaire et financier prévoit que lorsqu’un IOBSP intervient pour le compte d’un établissement de crédit, d’une société de financement, d’un établissement de monnaie électronique qui fournit des services de paiement, d’un établissement de paiement ou d’un autre intermédiaire en opérations de banque et en services de paiement, notamment en application d’un mandat qui lui a été délivré, les conséquences pécuniaires de la responsabilité civile professionnelle de l’intermédiaire en opérations de banque et en services de paiement sont couvertes par la personne pour le compte de laquelle il agit ou par laquelle il est mandaté.
      • La couverture par un contrat d’assurance des conséquences pécuniaires de la responsabilité professionnelle de l’IOBSP
        • Dans l’hypothèse où l’IOBSP n’intervient pas pour le compte d’un établissement de crédit, d’une société de financement, d’un établissement de monnaie électronique qui fournit des services de paiement, d’un établissement de paiement ou d’un autre intermédiaire en opérations de banque et en services de paiement, ce dernier doit souscrire un contrat d’assurance le couvrant contre les conséquences pécuniaires de sa responsabilité civile.
  • Garantie financière
    • L’article L. 519-4 du Code monétaire et financière dispose que tout intermédiaire en opérations de banque et en services de paiement, qui, même à titre occasionnel, se voit confier des fonds en tant que mandataire des parties, est tenu à tout moment de justifier d’une garantie financière spécialement affectée au remboursement de ces fonds aux clients.

II) Les indicateurs

A) Notion

L’indicateur est celui dont la fonction se limite à la seule mise en relation entre un établissement bancaire et un client.

L’article R. 519-2 du Code monétaire et financier définit l’indicateur au moyen d’un critère fonctionnel.

L’indicateur est :

  • Soit la personne dont le rôle se limite à indiquer un établissement bancaire à une personne intéressée à la conclusion d’une opération de banque ou d’un service de paiement en lui remettant des documents à caractère publicitaire
  • Soit la personne dont le rôle se limite à transmettre à un établissement bancaire les coordonnées d’une personne intéressée à la conclusion d’une opération de banque ou de services de paiement

 B) Régime

==> Rôle

Le rôle de l’indicateur se limite à la seule mise en relation.

Aussi, ne saurait-il, en aucune manière, apporter son concours dans le processus de conclusion du contrat.

Tout au plus, il peut diffuser auprès de sa clientèle les brochures publicitaires de l’établissement bancaire, voire transmettre à celui-ci des coordonnées.

S’il sort de ce rôle – par exemple en réceptionnant des documents contractuels ou supervisant l’échange des signatures – il s’expose à une condamnation pour exercice illégal de la profession d’IOBSP

==> Rémunération

L’article R. 519-2 du Code monétaire et financier n’exclut pas la faculté pour l’indicateur de percevoir une rémunération en contrepartie du service d’intermédiation qu’il fournit à l’établissement bancaire.

Pourtant, l’article R. 519-5, II du Code monétaire et financier pose l’interdiction pour toute personne qui n’endosserait pas la qualité d’IOBSP de se voir allouer une rémunération au titre de l’activité d’intermédiation.

Cette disposition précise néanmoins en son III que cette interdiction « ne fait pas obstacle au versement d’une commission d’apport aux indicateurs».

Aussi, peut-on en déduire que les indicateurs sont autorisés à percevoir une commission, à la condition exclusive de conclure avec l’établissement bancaire une convention d’indication ou d’apport d’affaires.

==> Publicité

Contrairement aux IOBSP, les indicateurs ne peuvent pas communiquer, en leur qualité d’intermédiaire, sur les produits bancaires vers lesquels ils orientent leurs clients en vertu d’une convention d’indication.

Cette interdiction se déduit de l’article L. 546-3, al. 1er du Code monétaire et financier qui prévoit que « il est interdit à toute personne autre que l’une des personnes mentionnées au premier alinéa du I de l’article L. 546-1 d’utiliser une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire ou laissant entendre qu’elle est immatriculée sur le registre mentionné à l’article L. 546-1 au titre de l’une de ces catégories ou de créer une confusion en cette matière. »

Il y a fort à parier que l’indicateur qui communiquerait sur les produits pour lesquels il intervient en tant qu’intermédiaire tomberait sous le coup de cette interdiction.

==> Sanction

L’exercice illégal de la profession d’IOBSP est réprimé par l’article L. 571-15 du Code monétaire et financier

Cette disposition prévoit que « le fait, pour toute personne physique, d’exercer l’activité d’intermédiaire en opérations de banque et en services de paiement sans satisfaire à l’obligation prévue au premier alinéa de l’article L. 519-2 est puni de deux ans d’emprisonnement et de 30 000 euros d’amende.»

(0)

Selon la CNIL, le “phishing” ou hameçonnage consiste pour le fraudeur à se faire passer pour un organisme qui vous est familier (banque, administration fiscale, caisse de sécurité sociale…), en utilisant son logo et son nom. Vous recevez un courriel dans lequel il vous est demandé de “mettre à jour” ou de “confirmer suite à un incident technique” vos données, notamment bancaires.

Dans l’arrêt rendu le 25 octobre 2017, la Cour de cassation a eu l’occasion de se prononcer sur la responsabilité du porteur d’une carte victime d’une fraude par « pishing ».

  • Faits
    • Après avoir reçu, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, la titulaire d’une carte bancaire dont les informations ont servi au paiement fait opposition auprès de sa banque.
    • S’estimant victime d’une fraude, elle lui demande de rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral.
    • Par suite il a été néanmoins été établi que la cliente, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, avait communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.
    • La banque s’est alors opposée à la demande formulée par sa cliente au motif qu’elle avait commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.
  • Demande
    • La victime de la fraude assigne en responsabilité sa banque à qui elle reproche de n’avoir pas répondu favorablement à sa demande de remboursement.
  • Procédure
    • Par un jugement du 7 décembre 2015, la juridiction de proximité de Calais a fait droit à la demande de remboursement de la cliente.
    • Les juges estiment que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, elles n’en ont pas moins été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité
    • Ils relèvent en outre que la cliente n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du code monétaire et financier.
  • Solution
    • Par un arrêt du 25 octobre 2017, la Cour de cassation casse et annule la décision de la juridiction de proximité.
    • Elle reproche aux juges du fond de n’avoir pas recherché « au regard des circonstances de l’espèce, si Mme X… n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier»
    • Ainsi, la Cour de cassation, considère-t-elle que la juridiction de proximité n’a pas établi l’absence de négligence de la victime de la fraude, condition à l’exercice de son droit au remboursement des paiements effectués frauduleusement au moyen des informations qui figuraient sur sa carte bancaire.
  • Analyse
    • La Cour de cassation fait ici application de l’article L. 133-19, IV du Code monétaire et financier qui, en matière de fraude à la carte bancaire, pose une exception à l’obligation pour la banque de rembourser à son client les sommes débités à son insu « en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé».
    • Cette exception prévoit, en effet, que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.».
    • Les obligations visées par cette disposition sont :
      • D’une part, l’exigence de faire opposition auprès de sa banque dans un délai raisonnable en cas de perte ou du vol de son instrument de paiement ( L. 133-17 CMF).
      • D’autre part, l’exigence pour le porteur de la carte de préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF).
    • Dans l’arrêt rendu en l’espèce, c’est sur le terrain de cette seconde obligation que le débat se situe.
    • Plus précisément, la question se posait de savoir si la victime de la fraude n’avait pas manqué son obligation de préserver ses dispositifs personnels de sécurité en communiquant volontairement à son interlocuteur les informations de sa carte de paiement.
    • Pour la juridiction de proximité, dans la mesure où la cliente n’avait communiqué, ni son code confidentiel, ni le code 3D secure, cette obligation était parfaitement satisfaite.
    • Cette position n’est manifestement pas partagée par la Cour de cassation ; à tout le moins estime-t-elle que les investigations effectuées par les juges du fond n’étaient pas suffisantes.
    • La chambre commerciale reproche, en effet, à la juridiction de proximité de n’avoir pas recherché si la demanderesse n’avait pas eu conscience, compte tenu des circonstances, du caractère frauduleux du courrier sur la seule foi duquel elle n’a pas hésité à divulguer les informations qui figuraient sur sa carte.
    • Aussi, appartiendra-t-il aux juges de renvoi de déterminer dans quelle mesure la lecture du courrier rendait vraisemblable la fraude.
    • Pour la Cour de cassation, l’absence de négligence ne saurait, en toute hypothèse, se déduire de la seule absence de communication des codes personnels de la victime de la fraude.
    • Pour échapper au couperet de l’exception posée à l’article L. 133-19, IV du code monétaire et financier, il devra être établi que le porteur de la carte n’avait pas conscience de la fraude dont il était victime.

Cass. Com. 25 oct. 2017
Sur le moyen unique, pris en sa deuxième branche :

Vu les articles L. 133-16 et L. 133-19 du code monétaire et financier ;

Attendu, selon le jugement attaqué, rendu en dernier ressort, qu’après avoir reçu, sur son téléphone portable, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, Mme X... a, le même jour, fait opposition à sa carte bancaire auprès de la Caisse de crédit mutuel de Calais (la Caisse) dans les livres de laquelle était ouvert son compte ; qu’elle lui a ensuite demandé de lui rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral ; que, soutenant que Mme X... ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant à ce dernier de mettre en place un renvoi téléphonique des messages reçus de la Caisse, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte, la Caisse s’est opposée à sa demande au motif qu’elle avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition ;

Attendu que, pour condamner la Caisse à payer à Mme X... la somme de 3 300,28 euros en remboursement de la somme prélevée sur son compte au titre du paiement litigieux et 1 euro à titre de dommages-intérêts, le jugement retient que si cette dernière a communiqué volontairement les informations relatives à sa carte de paiement, celles-ci ont été détournées à son insu, car communiquées à une personne se présentant sous une fausse identité, et qu’elle n’avait communiqué ni son code confidentiel, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133-16 du code monétaire et financier ;

Qu’en se déterminant ainsi, sans rechercher, au regard des circonstances de l’espèce, si Mme X... n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ;

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs :

CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 7 décembre 2015, entre les parties, par la juridiction de proximité de Calais ; remet, en conséquence, la cause et les parties dans l’état où elles se trouvaient avant ledit jugement et, pour être fait droit, les renvoie devant le tribunal d’instance de Dunkerque ;

TEXTES

Code monétaire et financier

Article L. 133-16

Dès qu’il reçoit un instrument de paiement, l’utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Il utilise l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation.

Article L. 133-17

I. – Lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci.

II. – Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l’article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire.

Article L. 133-19

I. – En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 euros.

Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé.

II. – La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument.

III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.

(0)

D’après les chiffres définitifs du ministère de l’intérieur sur les crimes et délits constatés en France en 2017, les escroqueries et les abus de confiance qui regroupent notamment les utilisations frauduleuses d’instruments de paiement ont connu une augmentation de leur nombre constante jusqu’en 2016.

En 2001, le législateur avait réagi à ce phénomène au moyen de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne qui visait à protéger les titulaires de carte bancaires victimes de tels agissements.

En 2009, le gouvernement a cherché à renforcer cette protection, en adoptant l’ordonnance n° 2009-966 du 15 juillet 2009 qui, dans un souci de simplification du droit, a étendu à tous les instruments de paiement le régime de responsabilité et de répartition des pertes qui était antérieurement applicable aux seules cartes de paiement.

Il peut, néanmoins, être observé que l’application certaines règles du régime ainsi institué sont inapplicables, en pratique, pour le virement, car non adaptées. Tel est par exemple le cas du régime du vol et de la perte de l’instrument de paiement.

Aussi, convient-il de faire preuve de discernement dans l’application de ces règles qui, pour la plupart, demeurent applicables à l’ensemble des instruments de paiement.

§1 : La recevabilité de la demande

En cas de perte, vol ou de détournement d’un instrument de paiement, l’article L. 133-24 du Code monétaire et financier prévoit que la demande de remboursement est soumise à des conditions de recevabilité.

  • Principe
    • L’utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n’ait pas mis à sa disposition les informations relatives à cette opération de paiement.
  • Exception
    • Si l’utilisateur du moyen de paiement agit dans le cadre de l’exercice d’une activité professionnel, la convention peut prévoir un autre délai de forclusion de la demande de remboursement

§2 : Les fondements de la demande

Aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le payeur a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

La responsabilité du payeur sera envisagée différemment selon que l’on se situe avant ou après l’opposition.

I) Avant l’opposition

Le Code monétaire et financier envisage trois situations auxquelles il apporte des réponses différentes :

  • La fraude résulte d’une perte ou d’un vol de l’instrument de paiement
  • La fraude résulte d’une utilisation à distance des données de l’instrument de paiement
  • La fraude résulte d’une falsification de l’instrument de paiement

A) Perte ou vol de l’instrument de paiement bancaire

Il convient de distinguer selon que le payeur a agi frauduleusement ou selon qu’il est de bonne foi.

  1. Le payeur a agi frauduleusement

Lorsqu’il est établi que le payeur a agi frauduleusement ce qui impliquerait qu’il est, soit à l’origine de la fraude, soit a concouru à sa réalisation, il supporte, en tout état de cause, les pertes occasionnées.

Il ne disposera d’aucun recours contre le prestataire de paiement qui est totalement exonéré de sa responsabilité.

2. Le payeur n’a pas agi frauduleusement

Dans cette hypothèse, il convient de distinguer selon que le payer a ou non commis une faute.

Reste que le remboursement du payeur sera, en tout état de cause, subordonné à la recevabilité de sa demande.

==> Le payeur n’a commis aucune faute

  • Principe
    • L’article L. 133-19, I, al. 1er du CMF prévoit que « en cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.»
    • Cette disposition institue donc un principe de responsabilité du payeur dans la limite de 50 €.
    • Au-delà de ce montant, c’est au prestataire de paiement de prendre en charge les pertes constatées.
    • Il lui appartient, dans ces conditions, de procéder au remboursement du client.
  • Exceptions
    • L’article L. 133-19, I, al. 2 du CMF énonce plusieurs exceptions qui, si elles sont caractérisées, exonère de toute responsabilité le payeur.
    • A cet égard, sa responsabilité ne sera pas engagée en cas :
      • D’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées
      • De perte ou de vol de l’instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
      • De perte due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

==> Le payeur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où le payeur a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

B) Utilisation à distance des données de l’instrument de paiement

==> Le payeur n’a commis aucune faute

La responsabilité de l’utilisateur du moyen de paiement n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées.

Aussi, la banque a-t-elle l’obligation de rétablir le compte débité dans l’état où il se serait trouvé si le payeur n’avait pas été victime d’une fraude

Ce dernier sera donc fondé à réclamer le remboursement :

  • D’une part, des sommes débitées à son insu
  • D’autre part, des frais consécutifs à l’utilisation frauduleuse des données de son instrument de paiement (frais d’opposition et d’émission d’un nouvel instrument de paiement, agios débités en raison du solde débiteur, frais d’incident de paiement etc.).

==> Le payeur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où l’utilisateur du moyen de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que l’utilisateur du moyen de paiement n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au payeur pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

C) La falsification de l’instrument de paiement

==> Le payeur n’a commis aucune faute

  • Le porteur était en possession de son instrument de paiement (art. L. 133-19, II, al. 2e CMF)
    • Dans cette hypothèse, en cas d’opérations frauduleuses effectuées au moyen d’un instrument de paiement contrefait, la responsabilité du porteur n’est pas engagée.
    • Il bénéficie du même régime d’exonération que le porteur dont les données de l’instrument de paiement ont été utilisées à distance
  • Le porteur n’était pas en possession de son instrument de paiement (art. L. 133-19, I CMF)
    • Dans cette hypothèse, le régime applicable est celui l’instrument de paiement perdu ou volé.
    • Il en résulte que la franchise de 50 euros est susceptible d’être appliquée au payeur, sauf à ce qu’il s’inscrive dans l’une des exceptions énoncées au I de l’article L. 133-19 CMF.

==> Le porteur a commis une faute

  • Principe : responsabilité du payeur (art. L. 133-19, IV CMF)
    • Dans l’hypothèse où le porteur de l’instrument de paiement a commis une faute, il devra supporter l’intégralité des pertes résultant de la fraude.
    • Par faute, il faut entendre que le porteur n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :
      • Ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
      • N’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)
  • Exceptions : responsabilité du prestataire de paiement (art. L. 133-19, III CMF)
    • L’article L. 133-19 du CMF prévoit que, nonobstant la faute du payeur, celui-ci ne supporte aucune conséquence financière, sauf fraude, dans plusieurs cas :
      • Si la banque ne fournit pas de moyens appropriés au porteur de l’instrument de paiement pour faire opposition dans un délai raisonnable lorsqu’il a connaissance de la perte ou du vol de son instrument de paiement
      • Si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44.

II) Après l’opposition (art. L. 133-20 CMF)

Pour rappel, aux termes de l’article L. 133-17 du Code monétaire et financier « lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l’utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l’instrument, son prestataire ou l’entité désignée par celui-ci. »

Dès lors que l’une des situations visées par cette disposition est caractérisée, le porteur de l’instrument de paiement a donc l’obligation de faire opposition auprès de sa banque dans les plus brefs délais.

  • Principe
    • Après avoir formé opposition auprès de sa banque, le porteur ne supporte aucune conséquence financière résultant de l’utilisation de cet instrument de paiement ou de l’utilisation détournée des données qui lui sont liées.
  • Exception
    • La responsabilité du porteur est rétablie en cas de fraude de celui-ci

§3 : Focus sur la notion de faute au sens de l’article L. 133-19, IV du CMF

L’article L. 133-19, IV du CMF dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations suivantes :

  • Il ne prend aucune mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés ( L. 133-16 CMF)
  • Il n’informe pas dans un délai raisonnable sa banque de la perte ou du vol de son instrument de paiement ( L. 133-17 CMF)

Dès lors que l’une de ces deux situations est caractérisée, le prestataire de paiement n’engage pas sa responsabilité, de sorte que le payeur ne pourra prétendra à aucun remboursement.

Reste qu’il appartient à l’établissement bancaire de prouver que le client n’a pas satisfait à ses obligations, soit intentionnellement, soit par négligence.

Si le manquement à l’obligation d’information de la perte ou du vol de l’instrument de paiement ne soulève aucune difficulté particulière, plus difficile est l’appréhension de l’obligation qui impose au payeur prendre des mesures pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

L’examen de la jurisprudence révèle que le débat se focalise essentiellement sur les circonstances susceptibles de caractériser la négligence grave du payeur quant à la préservation de ses données bancaires.

I) La preuve

==> La preuve de la négligence

Régulièrement, la Cour de cassation affirme que, en cas d’utilisation frauduleuse d’un instrument de paiement, il appartient à l’établissement bancaire de rapporter la preuve de la faute de son titulaire.

Récemment, dans un arrêt du 28 mars 2018, la Cour de cassation a affirmé en ce sens que « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations »

La Chambre commerciale ajoute que « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » (Cass. com. 28 mars 2018, n° 16-20018).

Cette position est partagée par la première chambre civile qui avait statué dans le même sens dans un arrêt du 28 mars 2018 en considérant que « en cas de perte ou de vol, le titulaire d’une carte de paiement qui a effectué la mise en opposition dans les meilleurs délais compte tenu de ses habitudes d’utilisation de cette carte, ne supporte intégralement la perte subie que s’il a agi avec négligence constituant une faute lourde ; qu’il appartient à l’émetteur de rapporter cette preuve »

La Cour de cassation avait, à l’instar de la Chambre commerciale précisé que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est, à elle seule, pas susceptible de constituer la preuve d’une telle faute » (Cass. 1ère civ. 28 mars 2008, n° 16-20018).

Dans un arrêt du 4 juillet 2018, la Cour de cassation a apporté des précisions sur les éléments de preuve dont était susceptible de se prévaloir l’établissement bancaire pour démontrer la négligence grave de son client (Cass. com. 4 juill. 2018, n° 17-10158).

  • Faits
    • Un client titulaire d’un compte dans les livres de la société HSBC France a assigné cette dernière en remboursement de sommes inscrites au débit de ce compte au titre d’opérations réalisées au moyen de sa carte de paiement, qu’elle contestait avoir autorisées
  • Procédure
    • Dans un arrêt du 22 septembre 2016, la Cour d’appel de Paris a condamné la banque au paiement de la somme de 4 442,60 euros au titre du remboursement des retraits effectués avec sa carte de paiement.
    • Pour parvenir à cette solution, les juges du fond ont écarté des débats les relevés du compte du client pour la période litigieuse produits par la banque qui cherchait à démontrer le caractère habituel des opérations contestées ce qui, dès lors, impliquait une autorisation de la part du client.
    • Toutefois, pour la Cour d’appel, le secret bancaire, qui ne pouvait pas être levé en l’espèce, faisait obstacle à la production desdits relevés.
  • Solution
    • Dans son arrêt du 4 juillet 2018, la Cour de cassation casse et annule l’arrêt de la Cour d’appel de Paris.
    • Elle lui reproche de n’avoir pas recherché si la production litigieuse n’était pas indispensable à l’exercice par la banque de son droit à la preuve et proportionnée aux intérêts antinomiques en présence.
    • Autrement dit, pour la Cour de cassation, dès lors que l’établissement bancaire cherche à défendre ses intérêts dans le cadre de la procédure qui l’oppose à son client, il est légitimement en droit de produire les relevés de comptes de ce dernier sans que le secret bancaire puisse lui être opposé.

II) L’appréciation de la faute

==> L’absence de négligence

Dans un arrêt du 2 octobre 2007, la Cour de cassation a considéré que « en cas de perte ou vol d’une carte bancaire, il appartient à l’émetteur de la carte qui se prévaut d’une faute lourde de son titulaire, au sens de l’article L. 132-3 du code monétaire et financier, d’en rapporter la preuve ; que la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute » (Cass. com. 2 oct. 2017, n°05-19899).

Par 5 arrêt du 18 janvier 2017, la Cour de cassation a jugé, dans le droit fil de cette que la preuve de la négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés, peu importe que l’authentification prévue par l’établissement bancaire était forte (Cass. com. 18 janv. 2017, 15-18102).

Il s’agissait, en l’espèce, du système payweb qui impliquait nécessairement qu’un tiers se soit trouvé en possession des données personnelles du payeur dont ce dernier devait assurer la conservation

Aussi, était-il nécessaire que soient renseignés un certain nombre de points dont les identifiants, mots de passe et codes de clefs pour permettre la réalisation les opérations à distance.

La présence d’une authentification forte n’a, toutefois, pas suffi à convaincre la Cour de cassation de la négligence grave du payeur, celle-ci considérant que la preuve ne pouvait pas se déduire de cette seule circonstance.

Récemment, la Cour de cassation a statué dans le même sens dans un arrêt du 21 novembre 2018.

  • Faits
    • Le titulaire d’un compte de dépôt ouvert dans les livres de la société Caisse de crédit mutuel de Chauny a contesté avoir réalisé les opérations de paiement et de retrait de numéraire prélevées sur ce compte, entre le 21 et le 22 novembre 2013, pour une somme de 2 979,61 euros, et en a demandé le remboursement à la banque qui s’y est opposée.
  • Procédure
    • Par un jugement du 6 mars 2017, le Tribunal de proximité de Laon a débouté le client de sa demande de remboursement.
    • Au soutien de leur décision, les juges du fond ont relevé que :
      • Les opérations avaient été effectuées à partir du site « banque à distance » de l’établissement de crédit
      • Les coordonnées personnelles du client figurant sur ce site (numéro de téléphone et adresse électronique) avaient été modifiées, permettant ainsi de recevoir sur un autre numéro ou adresse électronique les codes de confirmation nécessaires à la validation desdites opérations,
      • Les opérations litigieuses n’avaient pu être réalisées qu’en ayant connaissance d’éléments d’identification confidentiels (identifiant et mot de passe de connexion sur le site « banque à distance », numéro de la carte bancaire avec cryptogramme et date de validité pour les opérations 3D Sécure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait)
    • Pour la juridiction de proximité, le fait que le téléphone portable du client ait pu être piraté ne peut suffire à expliquer que le « fraudeur » se soit retrouvé en possession des identifiants personnels du client et que ce dernier n’explique pas comment le « fraudeur » a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations e-retrait et payweb,
    • Le jugement en déduit que le client a nécessairement communiqué à un tiers ses données personnelles, en conséquence de quoi il était de sa responsabilité, conformément aux dispositions de l’article 4 des conditions générales de sa convention de compte, de veiller à ce qu’elles demeurent secrètes et ne soient divulguées à quiconque, et a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées
  • Solution
    • Dans son arrêt du 21 novembre 2018, la Cour de cassation casse et annule la décision rendue par la juridiction de proximité de Laon au visa des articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l’ordonnance du 9 août 2017.
    • La chambre commerciale considère que « si, aux termes des deux premiers de ces textes, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des deux autres textes, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
    • Aussi, reproche-t-elle aux juges du fond de ne déduit l’existence d’une négligence grave du client « que de l’utilisation effective de l’instrument de paiement ou des données personnelles qui lui sont liées» ( com. 21 nov. 2018, n°17-18888).

==> L’admission de la négligence

  • Composition du code confidentiel
    • S’il est de jurisprudence constante que le seul fait que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est à lui seul, pas susceptible de constituer la preuve d’une négligence grave, dans un arrêt du 31 mai 2016 la Cour de cassation a considéré que le payeur avait commis une négligence grave dès lors qu’il est établi que « les opérations litigieuses ont toutes été effectuées, sur une brève période de quinze jours et à de multiples reprises, au moyen de la carte, que le code confidentiel a été composé à chaque fois et qu’à la suite du dépôt de plainte, aucune infraction pénale n’a été mise en évidence» ( com. 31 mai 2016, n°14-29.906).
  • Préservation du code confidentiel
    • Dans un arrêt du 16 octobre 2012, la Cour de cassation a jugé que le fait de laisser la carte bancaire dans un véhicule et le code confidentiel dans la boîte à gants peut être qualifié d’imprudence constituant une faute lourde ( com. 16 oct. 2012, n° 11-19.981).
  • Déclaration de la perte ou du vol de l’instrument de paiement
    • Dans un arrêt du 3 septembre 2013, la Cour d’appel de Dijon a estimé que le fait d’avoir attendu plus de trois mois après avoir pris conscience de la perte de sa carte, est constitutif de la part du titulaire d’une négligence grave, constitutive d’une faute lourde, au sens de l’article L. 133-19 du Code monétaire et financier (CA Dijon, 3 sept. 2013).
  • Phishing
    • Première étape
      • Dans un arrêt du 25 octobre 2017, la Cour de cassation a reproché à une Cour d’appel de n’avoir pas recherché si, au regard des circonstances de l’espèce, la cliente « n’aurait pas pu avoir conscience que le courriel qu’elle avait reçu était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, son numéro de carte bancaire, la date d’expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale» ( com. 25 oct. 2017, n°16-11.644)
      • Par cet arrêt, la Cour de cassation réfute la thèse qui tendrait à dire que, en cas de phishing, le payeur ne pourrait se voir reprocher aucune faute et que, par voir de conséquence, la responsabilité de la banque serait nécessairement engagée.
    • Deuxième étape
      • Dans un arrêt du 28 mars 2018, la Cour de cassation a précisé sa position en jugeant que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage» ( com. 28 mars 2018, n°16-20018).
      • Par cet arrêt, la Cour de cassation affirme que la faute du client devait être appréciée in abstracto, soit au regard de l’utilisateur normalement attentif.
      • Ainsi, la négligence grave du payeur est susceptible d’être caractérisée dès lors qu’il est établi que des indices auraient dû l’alerter sur l’existence d’un hameçonnage.
    • Troisième étape
      • Dans un arrêt du 6 juin 2018, la Cour de cassation réaffirme que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance»
      • Il ressort de cette décision que, si la faute du payeur ne résulte pas de l’utilisation de son instrument de paiement, elle peut être déduite de son comportement lorsque confronté à une tentative d’hameçonnage.
      • La chambre commerciale reproche, en l’espèce, aux juges du fond de n’avoir pas tiré les conséquences de leurs constations après avoir relevé que le client « réglait ses factures de téléphone par prélèvements et non par carte bancaires et qu’un examen attentif du courriel de rappel de paiement révélait de sérieuses irrégularités, de nature à faire douter de sa provenance, telles que l’inexactitude de l’adresse de l’expéditeur et du numéro du contrat mentionné ainsi que la discordance entre les montants réclamés»
      • Dans un arrêt du 3 octobre 2018, la Cour de cassation reproche aux juges du fond qui avait constaté que le payeur avait répondu à un courriel d’hameçonnage, de n’avoir pas recherché s’il ne résultait pas, de cette circonstance, un manquement de celui-ci, par négligence grave, à ses obligations ( com. 3 oct. 2018, n° 17-21395).
(1)