Au fil des ans, le monde bancaire a vu l’émergence de divers mécanismes, souvent technologiques, visant à assurer la sécurité et l’intégrité des opérations financières. Néanmoins, avec cette évolution vient une zone grise juridique : jusqu’à quel point peut-on s’en remettre à la technologie pour garantir le consentement et la légitimité des transactions ? L’arrêt rendu par la Cour de cassation, offre un éclairage précis sur cette question, notamment en ce qui concerne l’interprétation des obligations contractuelles et des dispositions du code monétaire et financier. Dans cet arrêt, la haute juridiction se penche sur le litige entre la Banque Delubac & Cie et l’une de ses clientes, mettant en avant la nécessité d’une authentification renforcée pour les opérations de paiement. Cette décision met en relief la tension entre l’évolution technologique, la sécurité des transactions et les obligations légales et contractuelles des parties.

Cour de Cassation, Chambre Commerciale, Financière et Économique, 21 avril 2022, n° 283 F-D

Les faits et la procédure

La société Banque Delubac & Cie (la banque) a été assignée par la société Etablissements [V] frères (la société) à la suite d’opérations de virement réalisées entre le 16 et le 19 janvier 2017 que cette dernière contestait avoir autorisées. La cour d’appel de Paris a rendu un arrêt le 5 février 2020 contre lequel la banque s’est pourvue en cassation.

La question juridique

L’enjeu principal de ce litige porte sur la détermination du consentement à une opération de paiement. La question sous-jacente étant de savoir si le seul usage du progiciel fourni par la banque avec l’identifiant et le code secret suffit à établir le consentement de l’émetteur de l’ordre de virement ou si, en plus, une confirmation via télécopie signée était nécessaire.

Les arguments de la Banque

La banque soutenait que le consentement de la société était avéré du fait de l’utilisation du progiciel Delubac EDI mis à sa disposition. Pour elle, la saisie, l’enregistrement, et la télétransmission automatique des ordres suffisaient à établir le consentement. Elle contestait l’interprétation de la cour d’appel selon laquelle une télécopie signée était également requise.

La décision de la Cour de Cassation

La Cour de Cassation rejette le pourvoi de la banque. Elle estime, en effet, que :

1. Le consentement à un ordre de paiement doit être donné sous la forme convenue entre les parties.
2. Selon le contrat signé entre la banque et la société, l’envoi d’une télécopie signée en parallèle à la télétransmission automatique des ordres est nécessaire pour établir le consentement.
3. La Cour de Cassation confirme donc la position de la cour d’appel selon laquelle la seule utilisation du progiciel, même avec les identifiants adéquats, ne suffit pas à établir que l’opération de paiement a été autorisée.

Commentaire

Pour rappel, la validité d’une opération de paiement repose essentiellement sur la notion de consentement. En vertu des articles L. 133-6 et L. 133-7 du code monétaire et financier, une opération de paiement est considérée comme valide uniquement si le payeur a donné son accord pour son exécution. La forme de cet accord est définie en fonction des dispositions préalablement établies entre le payeur et son prestataire de services de paiement (contrat). 

Cet arrêt soulève des questions sur l’authentification et la preuve du consentement dans le contexte des transactions électroniques. En insistant sur la nécessité d’une télécopie signée en plus de la télétransmission via le progiciel, la Cour rappelle l’importance de respecter les modalités prévues par les dispositions contractuelles.

Il est important de rappeler que cet arrêt est intervenu avant la rédaction de l’article L. 133-44, I du CMF portant sur l’obligation d’une authentification forte. Aujourd’hui, le prestataire de service de paiement est tenu d’appliquer une procédure d’authentification forte lorsque son client « accède à son compte de paiement en ligne » et « initie une opération de paiement électronique ».

L’article L.133-4 du CMF donne la définition de l’authentification forte. Celle-ci repose sur :

• deux éléments ou plus appartenant aux catégories ” connaissance ” (quelque chose que seul l’utilisateur connaît), ” possession ” (quelque chose que seul l’utilisateur possède) et ” inhérence ” (quelque chose que l’utilisateur est), et
• indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ;

Conformément à la jurisprudence, le payeur ne supporte aucune conséquence financière si l’opération non autorisée a été effectuée sans que son prestataire de services de paiement n’exige une authentification forte prévue par l’article L. 133-44 du code monétaire et financier (Cass. com., 30 août 2023, n°22-11.707).

L’enseignement principal est que les outils numériques, malgré leur sophistication, ne peuvent pas toujours remplacer les mécanismes traditionnels d’authentification, surtout lorsqu’un accord préalable entre les parties l’exige. Dans le contexte actuel où la fraude électronique est en hausse, cette décision est un rappel pertinent des principes de prudence et de diligence dans les transactions financières.