L'article L133-18 du Code monétaire et financier prévoit qu'en cas « d'opération de paiement non autorisée » dénoncée par l'utilisateur, l'établissement bancaire doit procéder au remboursement du montant détourné.
Une opération de paiement est considérée comme étant autorisée lorsque le payeur « a donné son consentement à son exécution » [1].
Or, l'autorisation de l'utilisateur à une opération ne se déduit pas uniquement de l'ordre donné par ce dernier (I) ou d'une « authentification forte » (II).
I - La distinction entre ordre de paiement et consentement du payeur.
Aux fins de protection des usagers, le caractère autorisé de l'opération de paiement est rigoureusement apprécié par la jurisprudence.
L'ordre de paiement et le consentement à celui-ci sont en conséquence différenciés.
Cette distinction a d'importantes conséquences en pratique dans l'analyse de l'opération.
Selon une appréciation in concreto, la jurisprudence a pu retenir que le payeur n'avait pas consenti à l'opération de paiement qu'il avait pourtant initiée, ouvrant droit au remboursement par l'établissement bancaire.
La Chambre commerciale de la Cour de cassation est venue confirmer cette jurisprudence favorable aux usagers appréciant strictement le consentement à une opération de paiement :
« Pour rejeter la demande de condamnation de la société la Banque postale à rembourser la somme de 10 000 euros à M. et Mme [I], l'arrêt retient que, dans l'hypothèse d'un ordre de virement régulier lors de sa rédaction mais ultérieurement falsifié, notamment par la modification du nom ou du numéro de compte du bénéficiaire, il n'y a pas de virement non autorisé, de sorte que la responsabilité de la société la Banque postale ne peut être recherchée que pour faute (...) ;
En statuant ainsi, alors qu'un ordre de virement régulier lors de sa rédaction mais dont le numéro Iban du compte destinataire a été ultérieurement modifié par un tiers à l'insu du donneur d'ordre ne constitue pas une opération autorisée, la cour d'appel a violé le texte susvisé » [2].
Une opération de paiement, bien qu'ordonnée par le payeur, n'est donc pas nécessairement autorisée par ce dernier.
En conséquence, l'utilisateur aurait droit au remboursement du virement non autorisé, sous réserve qu'il signale le paiement frauduleux conformément aux dispositions du Code monétaire et financier.
De la même façon, l'usage de l'authentification forte ne signifie pas nécessairement que le payeur a consenti ou initié l'opération.
II - Un mécanisme d'authentification forte mais pas infaillible.
Au vu de l'augmentation des règlements en ligne, l'authentification forte a été mise en place afin d'éviter des fraudes de plus en plus sophistiquées par la Directive n° 2015/2366 du 25 novembre 2015, dite « Directive DSP 2 » et le Règlement n°2018/389 du 27 novembre 2017.
L'article L133-4 du Code monétaire et financier consacre la définition de l'authentification forte considérant qu'il s'agit d'une :
« (...) authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification (...) ».
Si cette sécurité a permis de limiter de façon significative les fraudes, l'utilisateur trompé a dans le même temps, vu ses droits à obtenir le remboursement d'une opération non autorisée se réduire.
En effet, les établissements bancaires ont eu tendance à s'opposer à tout remboursement dans l'hypothèse où le paiement litigieux avait fait l'objet d'une authentification forte, considérant que l'usager était nécessairement à l'origine de l'opération.
Afin de remédier à ce déséquilibre signalé par des associations de consommateurs, l'Observatoire de la sécurité des moyens de paiement a délivré le 16 mai 2023, différentes recommandations concernant le remboursement des opérations de paiement frauduleuses.
En cas d'opération authentifiée de manière forte mais contestée par le client, l'Observatoire invite le prestataire de service de paiement à analyser l'opération afin de confirmer ou infirmer son caractère autorisé.
L'autorisation du client au paiement ne résulterait donc pas de facto d'une authentification forte.
En conséquence, le remboursement d'une opération non autorisée ne pourrait être refusé qu'en cas de fraude du payeur ou de négligence grave de ce dernier.
On observe ainsi un ajustement en matière de protection des utilisateurs au regard des nouveaux modes de paiement et nouvelles techniques de fraude sans qu'il ne conduise à une déresponsabilisation des clients.
Par
Charlène Chevalier
Avocat au barreau du Val-de-Marne
charlenechevalier-avocat.com
Bio
Société ou cabinet : Charlène Chevalier
Profession : Avocat
Spécialité(s) : Droit de la responsabilité, Droit des assurances, Droit bancaire, Droit immobilier, Droit de la consommation
Localisation : 94
Site Internet : https://charlenechevalier-avocat.com
Formation : Crfpa Master II Droit des assurances et de la responsabilité Master I Droit privé général
Profil Linkedin : https://linkedin.com/in/charlène-chevalier-71b846274