Le temps de la fraude caricaturale, se traduisant par l’envoi de mails au français grossier, est révolu.
La fraude est devenue créative, sournoise, intelligente et est parfois aidée par l’intelligence artificielle et l’utilisation de deepfake.
Elle s’opère parfois depuis l’intérieur même des établissements bancaires, les fraudeurs étant souvent suspectés d’avoir été aidés par des complices opérant à l’intérieur des banques, comme cela a été le cas dans une affaire récente impliquant la banque CIC LYONNAISE DE BANQUE (CA Lyon, 22 mars 2023, RG n°22/03169) dans laquelle la victime avait reçu des notifications éphémères dites « push » sur l’application installée sur son téléphone portable et censée lui permettre de sécuriser ses transactions.
Plus généralement, la fraude bancaire prend des formes et des noms variés au gré de la créativité des fraudeurs, lesquels auront le plus souvent toujours un à deux temps d’avance sur leurs victimes : phishing, spoofing, skimming, etc., autant d’anglicismes qui viennent prendre une place beaucoup trop importante dans l’actualité, de même que les cas de fraudes aux président ou encore au faux conseillers bancaires (pour utiliser des termes français).
L’émission télévisée Envoyé spécial en a même consacré un reportage très instructif intitulé « Arnaque aux faux conseillers bancaires » et diffusé le 28 février 2024.
Dans tous les cas, les chiffres des détournements opérés par fraude sont impressionnants puisque selon les rapports de l’observatoire de la sécurité des moyens de paiement :
En 2023, la fraude représente 1,2 milliards d’euros soit une économie particulièrement lucrative et exempte de toute charge de production ;
Sur ce montant la fraude via la carte bancaire est de loin la plus élevée à raison de 496 millions d’euros, lui succède la fraude par voie de chèques (364 millions d’euros) et enfin la fraude aux virements et notamment les arnaques aux faux présidents (312 millions d’euros).
Face à cette recrudescence de la Fraude le plus souvent internationalisée, l’Europe n’est pas restée sans réagir modifiant sa législation principalement au profit des usagers des établissements bancaires, bien que ce ne soit pas toujours le cas (nous y reviendrons).
Or cette législation, en tant qu’elle prime sur les dispositions du droit interne, est exclusive de tout autre régime de responsabilité national et tend parfois à effacer les autres régimes de responsabilité, pourtant souvent issus d’une jurisprudence nationale bien établie : il en va par exemple ainsi du devoir de vigilance du banquier.
Le régime européen n’en demeure pas moins très protecteur.
Ainsi, la directive 2015/2366 du Parlement Européen et du conseil concernant les services de paiement dans le marché intérieur dite DSP2 a instauré une véritable responsabilité de plein droit des établissements bancaires à l’égard de leurs clients victimes d’opérations bancaires non-autorisées, le plus souvent par fraude ou par manque de vigilance.
Les dispositions de cette directive ont été transposées en droit français dans les articles L.133-18 et L.133-23 à L.133-24 du Code monétaire et financier et jugées « d’ordre public » par la jurisprudence (Cass. com., 18 janv. 2017 n°15-18102 ; Cass. com., 3 avr. 2019, n°18-11293) et instaurant, selon le juge français « une responsabilité de plein droit de la banque » (CA Paris, 12 janv. 2018, RG n°16/12983 ; CA Lyon, 22 mars 2023, RG n°22/03169) tenue de « rembourser au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé ».
Dans la perspective des victimes de fraude bancaire, plus particulièrement de faux conseillers bancaires, il importe, dans le cadre de cette présentation, de s’intéresser au champ d’application de la directive (I), aux obligations de la banque en cas d’opération non autorisée (II) aux causes possibles d’exonération qu’elle peut invoquer (III) et enfin, aux sanctions additionnelles pouvant être prises à son encontre (IV).
La primauté de la directive DSP2 sur les régimes de responsabilité nationaux
Il est important de savoir que ces dispositions d’origine européennes s’imposent sur tout autre régime de responsabilité des établissements bancaires, la directive européenne étant une directive d’harmonisation globale et totale.
Il en découle que les dispositions nationales ne reçoivent plus application lorsque la directive européenne à vocation à intervenir. (Cass. com., 27 mars 2024, n° 22-21200)
Corrélativement, face à deux régimes de responsabilité, à savoir celui de la responsabilité de l’établissement bancaire pour défaut de vigilance d’une part, et celui de la responsabilité de ce même établissement reposant sur le fondement des dispositions précitées des articles L.133-18 à L.133-24 du Code monétaire et financier, seules ces dernières dispositions devront recevoir application. (Cass. com., 27 mars 2024, n° 22-21200)
La directive prévoit en effet un mécanisme d’harmonisation totale qui prime le droit français en toutes ses dispositions qui lui sont contraires. (CJUE, 16 mars 2023, n° C-351/21, Beobank)
Son application est exclusive.
Selon les dispositions de l’article L.133-18 du Code monétaire et financier précité et transposant la directive européenne en droit français :
« Lorsque l’opération de paiement non autorisée est initiée par l’intermédiaire d’un prestataire de services de paiement fournissant un service d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité. »
Les dispositions législatives sont simples en pratique : si le payeur n’a pas autorisé l’opération, la banque doit rembourser sans discuter.
Reste toutefois à déterminer ce que constitue une opération non autorisée mais plus encore les cas dans lesquels la banque peut s’exonérer de toute obligation de remboursement.
Les obligations de la banque en cas d’opération non autorisée
Qu’est-ce qu’une opération non autorisée ? Assez logiquement et selon les dispositions de l’article L.133-6 du Code monétaire et financier, une opération de paiement non autorisée est une opération pour laquelle le payeur n’a pas donné son consentement à son exécution et ceci à toutes les étapes de l’opération.
La Cour de cassation a récemment rappelé que pour que l’opération soit considérée autorisée, le consentement devait avoir été donné à toutes les étapes de l’opération de paiement.
Elle en a déduit qu’un braquage au distributeur à l’issue duquel le braqueur avait sélectionné à la place du payeur le montant à retirer ne constituait pas une opération autorisée quand bien même le payeur avait préalablement introduit sa carte bancaire et validé son code secret. (Cass. com., 30 nov. 2022, n° 21-17614)
Corrélativement et en application des dispositions qui précèdent, un braquage bancaire doit donner lieu à un remboursement immédiat de la banque sauf preuve par elle de la négligence grave du payeur (preuve qui sera compliquée à rapporter en pratique).
De la même manière, un ordre de virement régulier lors de sa rédaction, mais dont le numéro IBAN du compte destinataire aura été ultérieurement modifié par un tiers à l’insu du donneur d’ordre, ne constitue pas une opération autorisée (Cass. com., 1er juin 2023, n° 21-19.289 et n° 21-21.831)
En revanche, la fraude au faux conseiller bancaire dans le cadre de laquelle le fraudeur aura invité et réussir à convaincre la victime de réaliser des virements sur un faux IBAN sécurisé ne relève pas des dispositions des articles L.133-6 et L.133-18 et suivants du Code monétaire et financier dès lors que la victime aura effectué les virements d’elle-même et ceci à toutes les étapes de l’opération.
Dans ce cas précis, l’opération est considérée comme étant autorisée et l’article L.133-21 viendra alors s’appliquer.
La banque ne pourra alors être tenue pour responsable d’avoir exécuter l’opération conformément aux instructions de son client, ceci d’autant plus que le principe de non-immixtion du banquier dans les affaires de son client fera obstacle à toute obligation de vérification de sa part :
« Un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique.
Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement. »
La banque devra donc uniquement démontrer que « l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre » ainsi qu’en dispose les articles L.133-23 et L.133-23-1 du Code monétaire et financier.
Resterait, sur ce point, l’obligation de vigilance à laquelle est tenue la banque en tant qu’établissement financier.
Malheureusement, nous l’avons vu, les dispositions de l’article L.133-21 précités sont exclusives de tout autre système de responsabilité de sorte que même dans l’hypothèse d’un manquement caractérisé de la banque à son devoir de vigilance, celle-ci serait toutefois considérée comme non responsable dès lors que le virement aura été authentifié par le client à toutes les étapes de la procédure. (Cass. com., 27 mars 2024, n° 22-21200)
Un sauf conduit existe toutefois et découle notamment d’un arrêt de la Cour d’appel d’Agen du 5 juillet 2023 (RG n°22/00694) ayant rappelé les dispositions, moins connues, de l’alinéa 3 de l’article précité à savoir que :
« Toutefois, le prestataire de services de paiement du payeur s’efforce de récupérer les fonds engagés dans l’opération de paiement. Le prestataire de services de paiement du bénéficiaire communique au prestataire de services de paiement du payeur toutes les informations utiles pour récupérer les fonds. Si le prestataire de services de paiement du payeur ne parvient pas à récupérer les fonds engagés dans l’opération de paiement, il met à disposition du payeur, à sa demande, les informations qu’il détient pouvant documenter le recours en justice du payeur en vue de récupérer les fonds. »
Ainsi, lorsque la banque du payeur ou celle du bénéficiaire n’aura pas correctement ou trop tardivement mis en œuvre la procédure dite de recall par laquelle le payeur peut espérer récupérer les fonds, ce dernier peut engager la responsabilité de l’établissement bancaire pour manquement aux dispositions légales précitées (notamment dans la transmission des informations détenues), lesquelles sont régies par deux règlements européen (924/2009 et 248/2014).
Il faudra encore que le client victime n’ait pas trop tardé à alerter l’établissement bancaire de la fraude. (CA Paris, 5, 6, 15-05-2019, n° 17/10932)
En revanche, s’agissant d’une action en responsabilité pour faute dans laquelle les dispositions du Code monétaire et financier n’imposent aucune obligation de remboursement intégral à l’établissement financier et dès lors que la procédure de recall, même correctement exécutée, ne pouvait permettre à la victime d’obtenir de manière certaine le remboursement des sommes détournées, son préjudice ne pourra correspondre qu’à une perte de chance d’obtenir leur restitution et non à une indemnisation à 100%.
Corrélativement, le remboursement intégral des sommes détournées est dans tous les cas à exclure.
L’opération est dans tous les cas présumée non autorisée sauf preuve contraire de la banque. Par ailleurs, si la banque conteste le caractère non autorisé de l’opération, ce sera alors à elle de rapporter la preuve du caractère autorisé à défaut de quoi, les dispositions protectrices des articles L.133-18 et L.133-19 devront s’appliquer. (CA Paris, 7 févr. 2024, RG n°21/17709 ; CA Douai, 14 déc. 2023, RG n°21/00109)
Le donneur d’ordre dispose donc d’une présomption simple en sa faveur.
L’obligation pour la victime de signaler sans tarder l’opération non autorisée. Il faut toutefois préciser que selon l’article L.133-24 du Code monétaire et financier, l’utilisateur du service de paiement doit signaler « sans tarder » à la banque une opération non autorisée, ceci sous peine de forclusion de son action.
Cela étant, « sans tarder » signifie, selon le même article, au plus tard dans les treize mois de l’opération sauf pour le prestataire à ne pas lui avoir fourni les informations relatives à cette opération.
Dans tous les cas, ce délai, très long, ne sera pas une contrainte supplémentaire pour les utilisateurs sauf pour les clients professionnels car dans cette hypothèse, le délai de treize mois peut être contractuellement raccourci.
Les causes d’exonération pour la banque
L’exonération possible de la banque en cas preuve par elle de la négligence grave de son client et…
L’article L.133-19 du Code monétaire et financier dispose que :
IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. »
Ces deux deniers articles disposent que l’utilisateur doit veiller à la préservation de ses données sécurisées et instruments de paiement et que lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, il doit en informer sa banque sans tarder, aux fins de blocage de l’instrument.
C’est uniquement au regard de ces dispositions que la négligence grave devra être appréciée.
De jurisprudence constante, il incombe à la banque qui supporte la charge de la preuve, de fournir « des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »
L’article L.133-23 du Code monétaire et financier précise néanmoins à ce titre que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »
En d’autres termes, pour espérer pouvoir s’exonérer de son obligation de remboursement, il incombe à l’établissement bancaire de rapporter « la preuve d’une négligence grave [de son client] ayant entraîné l’utilisation frauduleuse de ses moyens de paiement » étant précisé que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute ».
(CA Paris, 25 juin 2020, RG n°17-13402, CA Orléans, 4 avr. 2019, RG n°18/00826, Cass. com., 18 janv. 2017 n°15-18102 ; Cass. com., 3 avr. 2019, n°18-11293 ; CA Paris, 12 janv. 2018, RG n°16/12983)
C’est dire si l’exigence est haute et la preuve est extrêmement compliquée à rapporter en pratique !
Pour ne pas aider la banque, celle-ci n’aura le plus souvent aucune autre preuve ou éléments de discussion que ceux qui lui auront été transmis par son client dès lors qu’elle n’était précisément pas présente au moment de la fraude, ni a fortiori informé de son déroulée.
Elle n’aura donc pour prouver la négligence grave de son client que le récit que ce dernier lui aura tenu après s’être aperçu avoir été victime.
Afin de tenter de rapporter la preuve de cette négligence grave, la banque n’aura donc d’autres éléments matériels que ceux qui lui auront été transmis par son client dont la plainte pénale, que celui-ci devra avoir déposé rapidement après les faits.
D’où la nécessité impérieuse pour le client de se faire assister par un conseil avant le dépôt de cette plainte afin que son récit soit en accord avec les dispositions de l’article L.133-19 précité et puisse lui éviter une qualification de négligence grave.
Dans tous les cas, la tâche de la banque sera particulièrement ardue compte-tenu de l’interprétation faite par la jurisprudence de la notion de négligence grave.
Pour comprendre l’interprétation restrictive faite par la jurisprudence des cas de négligences graves, il convient de préciser que ne sont pas considérées comme des négligences graves qui lui est particulièrement défavorable :
« l’ouverture d’un fichier joint à un mail » contenant un virus, à plus forte raison lorsque la banque n’a pas alerté son client de l’existence de cyberattaques (CA Orléans, 4 avr. 2019, RG n°18/00826)
le fait de laisser la clef sécurisée en permanence sur l’ordinateur (CA Orléans, 4 avr. 2019, RG n°18/00826)
le fait que le client a fait l’objet d’un piratage et n’a pas protégé ses données personnelles ou que les pirates avaient connaissance de la signature du dirigeant et de son compte social (CA Paris, 12 janv. 2018, RG n°16/12983)
Est en revanche considérée comme une négligence grave le fait de communiquer à un tiers ses informations personnelles et coordonnées bancaires et plus particulièrement les données relatives au dispositif de sécurité « en réponse à un courriel contenant des indices permettant à un utilisateur normalement attentif de douter de sa provenance ».
(Cass. com., 25 oct. 2017, n°16-11644, Cass. com., 28 mars 2018 ; n°16-20.018)
La directive européen DSP2 dispose par ailleurs dans son préambule que « si la négligence implique un manquement au devoir de diligence, la négligence grave devrait impliquer plus que de la simple négligence et comporter un défaut de vigilance caractérisé, comme le serait le fait de conserver les données utilisées pour autoriser une opération de paiement à côté de l’instrument de paiement, sous une forme aisément accessible et reconnaissable par des tiers. »
Il faut donc démontrer un manque de prudence caractérisée dans la communication d’informations personnelles et de sécurité, la seule communication de ces informations ne suffisant pas, faute d’éléments extérieurs démontrant des circonstances anormales et imprudentes.
Cette interprétation particulièrement restrictive de la jurisprudence se justifie eu égard à l’obligation reposant sur les banques d’assurer la sécurité des données bancaires de leur client et de leurs systèmes de paiement.
La commission bancaire a rappelé en page 5 de son livre blanc sur la sécurité des systèmes d’exploitation dans les établissements de crédit que « la sûreté des systèmes d’information fait partie intégrante de la sécurité des établissements de crédit dont elle a la responsabilité. Ces derniers ont un devoir de sécurité vis-à-vis de leurs clients, d’eux-mêmes et de l’ensemble du système bancaire ».
Sans rentrer dans le détail de l’arsenal législatif et règlementaire mis en place au niveau européen puis national dans le cadre des lois de transposition et qui instaurent une obligation de résultat de établissements bancaires concernant la sécurité des données de leurs clients et des transactions effectuées, la directive 2015/2366 du 25 novembre 2015 relative aux services de paiement dans le règlement intérieur dite DSP2 dispose notamment en ses articles 67 et 70 que :
« Le prestataire de services d’information sur les comptes (…) veille à ce que les données de sécurité personnalisées de l’utilisateur de services de paiement ne soient pas accessibles à d’autres parties que l’utilisateur et l’émetteur desdites données et veille, lorsqu’il transmet celles-ci, à utiliser des canaux sûrs et efficaces ».
Or, il faut comprendre que les escrocs bénéficient le plus souvent d’un complice opérant depuis l’intérieur même de la banque, comme cela était le cas dans l’arrêt précité de la Cour d’appel de Lyon, voire réussissent parfois à pirater le système informatique des établissements bancaires concernés (Voir décision ci-dessous).
La présence de cet escroc au cœur même du système bancaire permet le développement exponentiel d’un mode opératoire devenu classique : la fraude au faux conseiller bancaire autrement appelée « spoofing ».
Le seul fait qu’un escroc puisse avoir eu accès à des informations confidentielles d’un client et ainsi mettre en place son mode opératoire suffit dès lors à engager la responsabilité de la banque pour manquement à son obligation de sécurisation.
A partir de là, la négligence grave du client sera quasiment impossible à démontrer.
Tel a été le cas de certaines banques dont le système informatique avait été piratée (sans vouloir les nommer : voir décisions ci-dessous).
La jurisprudence est de plus en plus amenée à statuer dans ce type d’hypothèse de faux conseillers bancaires.
Ses contours sont à présents fixés et elle retient l’absence de négligence grave lorsque la victime pouvait légitimement croire, eu égard aux informations qui lui étaient communiquées par le fraudeur, qu’elle était en communication avec un vrai conseiller.
Dans ces cas précis, le plus souvent :
le numéro téléphonique affiché aura été celui du service fraude de la banque voire du véritable conseiller le fraudeur ayant réussi à le pirater.
(Cass. com., 23 oct. 2024, n°23-16.267 confirmant CA Versailles, 13ème chambre, 28 mars 2023, RG n°21/07299 ; TJ Paris, 21 juin 2024, RG n°24/00309)
L’escroc aura réussi à mettre en confiance la victime en lui communiquant des informations confidentielles ou des opérations récemment effectuées ceci en infiltrant ou en piratant le système de sécurité de la banque.
(CA Paris, 7 févr. 2024, RG n°21/17709 ; TJ Paris, 9ème ch. 15 mai 2024, RG n°23/01269)
Les banques ne sont dès lors plus à l’abri de rien dès lors qu’il est particulièrement aisé pour l’escroc de venir pirater le numéro de téléphone de la banque (ou n’importe quel autre numéro) ainsi que l’a démontré de manière assez édifiante un reportage télévisé intitulé « Arnaque aux faux conseillers bancaires », diffusé le 28 février 2024 dans l’émission Envoyé spécial.
Ainsi, suite à la décision de la Cour de cassation du 23 octobre 2024 et avant elle celle de la Cour d’appel de Versailles du 28 mars 2023 précitée, la haute juridiction a publié un communiqué dans lequel elle indique, en gras et dans son chapeau introductif que « le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave. Il a donc le droit d’être remboursé par sa banque des virements frauduleux ».
On ne saurait être plus clair !
C’est la raison pour laquelle les banques tentent actuellement d’inverser la charge de la preuve en multipliant les messages informatifs diffusés sur les applications bancaires (de type : jamais un conseiller bancaire ne vous appellera pour demander vos identifiants), l’idée étant ici de faire affirmer que nul n’est (plus) censé ignorer (sauf négligence grave) le mode opératoire de la fraude au faux conseillers bancaires.
…de la preuve de l’absence de déficience technique de l’opération. Par ailleurs et en tout état de cause, dans une décision récente, la Cour de cassation a précisé que même en cas de démonstration d’une négligence grave de la part du client, la banque devait, en second lieu, rapporter la preuve de l’absence de déficience technique de l’opération, condition d’ailleurs posée par les articles précitées. (Cass. com., 12 nov. 2020, n°19-12.112)
Il s’agit là d’une seconde condition, cumulative, posée par l’article L.133-23 du Code monétaire précité selon lequel :
« Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. »
La Cour d’appel de Lyon dans l’arrêt précité a ainsi rappelé que « la banque du payeur doit prouver de manière cumulative une absence de déficience technique ainsi qu’une négligence grave de l’utilisateur, et pas uniquement d’un manque de prudence. »
A cet égard, il également faut rappeler que selon les dispositions de l’article L.133-19 V du Code monétaire et financier :
« Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue à l’article L. 133-44. »
Selon la jurisprudence, si la banque n’a pas respecté cette obligation, et a donc permis la réalisation de paiement sans recours à un mode d’authentification forte, elle se verra alors dans l’obligation de rembourser l’opération ainsi passée. (Cass. com., 30 août 2023, n° 22-11.707)
Plus généralement, lorsque des virements instantanés ont été réalisés sans que la banque ne soit en mesure d’apporter une explication à ce sujet sa responsabilité est automatiquement engagée.
(CA Lyon, 22 mars 2023, RG n°22/03169 précité, CA Riom, 11 sept. 2024, RG n°23/00835)
Il faut noter que cette disposition est exclusive d’une négligence grave du client, la banque ne pouvant alors s’exonérer de toute responsabilité qu’en cas de fraude du client.
Pour le dire autrement, en cas de réalisation d’un paiement par un fraudeur sans recours à un mode d’authentification forte (et bien entendu à l’insu de la victime) la banque a l’obligation de rembourser les fonds détournés sauf à rapporter la preuve qu’il s’agit en réalité d’une fraude du client vis-à-vis d’elle.
La fraude du client étant encore plus difficile à rapporter, cette disposition laisse à penser que l’absence de recours à un mécanisme d’authentification forte fera automatiquement présumer la déficience technique de l’opération, empêchant ainsi la banque d’échapper à son obligation de remboursement.
Les sanctions additionnelles pouvant être prises à l’encontre des établissements bancaires
En cas de refus de la banque de procéder au remboursement des sommes détournées, la jurisprudence autorise le juge des référés, juge de l’urgence, à l’y contraindre par voie de condamnation au versement d’une provision.
(CA Rennes, 21 févr. 2020, RG n°18/07775, CA Paris, 11 oct. 2018, RG n°17/23272)
La Cour d’appel de Lyon l’a encore rappelé dans un arrêt récent et particulièrement didactique.
(CA Lyon, 22 mars 2023, RG n°22/03169)
Ces décisions s’inscrivent dans un courant jurisprudentiel visant à sanctionner les établissements bancaires qui croient pouvoir se défaire de leurs obligations légales en refusant le remboursement à leurs clients particuliers.
Il est vrai que statistiquement, peu de clients iront saisir la justice, quand bien même il s’agit là d’une responsabilité de plein droit des établissements bancaires.
D’ailleurs, les banques usent de tous les moyens à leur disposition pour les en dissuader, prétendant par exemple que le client serait à l’origine du paiement validé par le biais d’une authentification forte, sans pour autant rapporter la preuve qu’il était bien à l’origine du paiement voire que son numéro de téléphone avait effectivement été utilisé.
L’Autorité de contrôle prudentiel et de résolution (ACPR) s’était d’ailleurs déjà saisie de cette question rappelant aux établissements, par le biais d’un communiqué de presse du 26 avril 2021, que la charge de la preuve leur incombait de sorte que la validation d’une opération par un simple code SMS ne permettait pas de refuser le remboursement.
Plus généralement, les banques refusant de se conformer à leurs obligations légales en faisant croire à leur client qu’elles échapperaient à toute responsabilité, ne seraient pas à l’abri de poursuites pour pratiques commerciales trompeuses.
En fonction du discours tenu par les banques, la piste est en tout cas à étudier et d’ailleurs, l’association UFC a franchi ce cap en juin 2022, en annonçant, avoir porté plainte contre 12 établissements sur le fondement du délit de pratiques commerciales trompeuses, au motif qu’ils laisseraient croire aux consommateurs « qu’ils n’ont aucun droit au remboursement ».
Les établissements visés étaient La Banque Postale, Crédit Agricole, Banque Populaire, BNP Paribas, Société Générale, CIC, LCL, Boursorama, ING, Nickel, Cetelem, et Floa Banque.
A cela s’ajoute une autre sanction particulièrement comminatoire précisée à l’article L.133-18 précité tel que modifié par la loi n°2022-1158 du 16 août 2022 et qui a ajouté des dispositions plus contraignantes pour la banque à savoir qu’en cas de manquement de la banque aux dispositions ci-dessus, des pénalités s’appliquent à savoir que :
« 1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;
2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;
3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points. »
En conclusion, ces pénalités, particulièrement dissuasives, permettront aux victimes de faire fructifier leur créance contre les banques par le biais d’un « placement judiciaire » de toute évidence plus lucratif qu’un livret A.
