Paiement en ligne frauduleux : la Cour de cassation force une banque à rembourser un client

Paiement en ligne frauduleux : la Cour de cassation force une banque à rembourser un client

Dans un arrêt récent, la Cour de cassation a condamné une banque à indemniser un client victime d'une escroquerie au paiement non autorisé. Une décision qui pourrait faire jurisprudence en réaffirmant la responsabilité des établissements bancaires.

La justice du côté des clients des banques ? C'est bien ce qu'il ressort d'un arrêt de la Cour de cassation rendu le 30 août dernier. L'institution judiciaire devait alors apprécier la responsabilité d'un établissement bancaire dans le cadre d'une transaction non autorisée. Cette décision, qui a des implications importantes pour les pratiques de sécurité en ligne des institutions financières et la protection des consommateurs, a réaffirmé que les clients ne peuvent être tenus responsables des opérations non autorisées, à moins qu'ils n'aient agi de manière frauduleuse.

L'affaire qui a conduit à cette décision a impliqué un client de la banque Crédit agricole Centre France (CACF) qui avait divulgué un code de sécurité à six chiffres – selon la procédure de 3D Secure, une solution d'authentification – à un tiers qui s'était présenté comme un employé de sa banque qui l'avait contacté par téléphone et par message. Bien évidemment, l'usurpateur a aussitôt utilisé ce précieux code de sécurité pour effectuer un paiement avec le compte de sa victime. Le client s'est aussi rapidement retourné vers sa banque, une fois la supercherie découverte. Mais l'établissement bancaire a refusé de le rembourser, arguant qu'il avait commis une grave négligence en dévoilant son code de sécurité.

Paiement en ligne frauduleux : pas de faute sans authentification forte

Le tribunal judiciaire de Clermont-Ferrand ainsi que la cour d'appel avaient initialement confirmé que la banque n'était pas responsable de cet incident, rendant des jugements en faveur du Crédit agricole. Mais la Cour de cassation vient de changer radicalement la donne en donnant raison au client lésé. Selon l'institution judiciaire, la banque aurait dû s'assurer que l'authentification forte avait été mise en place avant de refuser le remboursement. La Cour de cassation a également souligné que les établissements bancaires ont l'obligation légale de mettre en place des mesures de sécurité robustes pour garantir que les paiements en ligne sont authentiques et sécurisés, comme le stipulent  les dispositions légales en vigueur. En conséquence, le Crédit agricole a été condamné à verser une somme de 3 000 euros à son client.

Cette décision pourrait faire jurisprudence pour les affaires futures impliquant des opérations non autorisées. Si une banque ne respecte pas les exigences réglementaires en matière de sécurité et qu'une opération non autorisée est effectuée, elle ne pourrait plus rejeter la responsabilité sur le client.