La dématérialisation croissante des transactions financières et la montée en puissance des paiements électroniques ont engendré de nouvelles problématiques juridiques, particulièrement en matière de sécurité et d’authentification. En réponse à ces défis, l’Union Européenne a adopté la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015, complétée par le règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017, instaurant notamment le principe d’une “authentification forte” pour les opérations de paiement électronique.

La France, par l’ordonnance n° 2017-1252 du 9 août 2017, a transposé ces dispositions dans son Code monétaire et financier. L’arrêt de la Cour de cassation du 30 août 2023 offre une opportunité d’explorer les implications concrètes de cette authentification forte, les obligations qu’elle crée pour les prestataires de services de paiement et les conséquences juridiques en cas de manquement.

30 août 2023 Cour de cassation Pourvoi n° 22-11.707

Les faits et la procédure

Monsieur [H] [X], ayant ouvert un compte auprès de la Caisse régionale de crédit agricole mutuel de Centre France (ci-après la “banque”), a communiqué à un tiers, croyant qu’il s’agissait d’un employé de la banque, un code de sécurité « 3D Secure ». Suite à cette communication, un paiement non autorisé a été effectué depuis son compte. M. [X] a donc demandé à la banque le remboursement de cette somme et une indemnisation pour le préjudice subi. La banque a refusé en estimant que M. [X] avait commis une négligence grave.

Le problème de droit

La question centrale est de savoir si le payeur supporte une conséquence financière lorsque l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte, conformément à l’article L. 133-19, V, et L. 133-44 du code monétaire et financier.

La solution de la Cour de Cassation

La Cour rappelle que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans l’exigence d’une authentification forte du payeur.

En l’espèce, la Cour d’appel de Clermont-Ferrand a rejeté la demande de M. [X] en se fondant uniquement sur la négligence grave de ce dernier, sans examiner si la banque avait exigé une authentification forte lors de l’opération litigieuse.

La Cour de Cassation casse l’arrêt de cour d’appel pour défaut de base légale. Elle estime que la cour aurait dû vérifier si l’opération de paiement avait été réalisée avec ou sans authentification forte, conformément aux exigences légales.

Analyse

Cet arrêt rappelle la nécessité pour les banques d’assurer une authentification forte lors des opérations de paiement. En l’absence de cette mesure de sécurité, la responsabilité de la banque est engagée en cas d’opération non autorisée.

Il renforce la protection des consommateurs en matière de paiements électroniques et met en exergue l’obligation pour les banques d’assurer une authentification forte pour garantir la sécurité des opérations de paiement.

En outre, la Cour insiste sur le fait que la négligence du client ne saurait suffire à le priver de sa protection légale. Pour déterminer la responsabilité en matière d’opérations non autorisées, il convient d’analyser non seulement le comportement du client, mais également celui du prestataire de services de paiement.

Portée

Cet arrêt confirme la tendance jurisprudentielle visant à renforcer la protection des consommateurs en matière de paiements électroniques. Il rappelle que les prestataires de services de paiement ont une obligation de sécurité renforcée et que le respect de cette obligation est essentielle.

Le cabinet Exprime Avocat, spécialisé en contentieux, vous assiste et vous accompagne en cas de litige lié à une ou plusieurs opérations de paiement.