Le développement rapide des services de paiement numériques, comme l’intégration des cartes bancaires dans les « wallets » d’applications mobiles, expose les consommateurs à de nouvelles formes de fraude. Récemment, la Cour d’appel de Paris a rendu une décision importante, infirmant un jugement de première instance et rappelant fermement à une grande banque (LCL – Le Crédit Lyonnais) son impératif de sécurité et la charge de la preuve en matière d’authentification forte.
Le contexte : une dette contestée et une accusation de négligence grave
L’affaire concerne M. [C] [X], titulaire d’un compte bancaire chez LCL depuis janvier 2022. Entre le 16 et le 21 juillet 2022, 64 transactions, totalisant 7 300,24 euros, ont été effectuées frauduleusement sur son compte. Les opérations litigieuses résultaient de l’enregistrement de sa carte bancaire dans le « wallet Apple Pay ».
En première instance, le juge des contentieux de la protection de Nogent-sur-Marne avait jugé que M. [X] avait fait preuve de négligence grave en ne protégeant pas ses données de sécurité personnalisées. Le jugement du 30 juillet 2024 avait par conséquent condamné M. [X] à payer à LCL la somme de 10 039,01 euros (solde débiteur) et l’avait débouté de ses demandes de dommages et intérêts et de radiation du FICP.
M. [X] a interjeté appel, contestant toute négligence et rappelant que c’est à la banque qu’incombe l’obligation de veiller à la sécurité.
L’authentification forte : la charge de la preuve repose sur la Banque
Au cœur du litige réside la question de l’authentification forte et de la preuve de l’autorisation des opérations.
Les obligations de la Banque
Le Code monétaire et financier (articles L. 133-23, L. 133-16, L. 133-44) impose des obligations strictes aux prestataires de services de paiement. Il est impératif que la banque mette en place une authentification forte lorsque le payeur accède à son compte en ligne, initie une opération de paiement électronique, ou exécute une opération à distance susceptible de comporter un risque de fraude.
En cas de contestation d’une opération par l’utilisateur, la loi est claire : il incombe au prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre. La simple utilisation de l’instrument de paiement ne suffit pas à prouver l’autorisation par le payeur ou sa négligence grave.
La faille du système LCL
La Cour d’appel a estimé que le premier juge avait inversé la charge de la preuve en retenant uniquement la prétendue négligence de M. [X].
La Cour a relevé les défaillances de LCL :
- Absence de preuve d’authentification irréfutable : LCL n’a pas apporté de preuve concrète et irréfutable du bon fonctionnement de l’authentification mise en place pour le compte de M. [X] ou de l’absence de déficience technique. La banque s’est contentée de fournir des documents généraux, sans lien avec le cas précis de M. [X].
- L’énigme des six appareils : LCL avait pourtant admis devant le médiateur que le code secret, adressé au client, avait été communiqué à des tiers et enregistré sur six appareils différents. La Cour a jugé « surprenant » qu’un code à usage unique permette l’enregistrement de la carte bancaire sur six appareils différents, dont cinq n’étaient pas le téléphone de confiance déclaré par le client, et ce sans preuve de validation électronique pour chacun.
- Manquement au devoir de vigilance : M. [X] a souligné des anomalies flagrantes qui auraient dû alerter la banque, engageant son devoir de vigilance. En l’occurrence, 64 opérations ont été effectuées en seulement cinq jours, pour un montant total de 7 300,24 euros, ce qui était hors de proportion avec les habitudes de M. [X] (32 opérations et 1 144,78 euros de dépenses moyennes mensuelles). De plus, 43 des opérations ont eu lieu dans des bars ou débits de tabac faisant PMU, ne correspondant pas à ses habitudes. Enfin, les transactions se déroulaient en France, alors que M. [X] a établi qu’il était en Suède à cette période.
La banque a ainsi manqué à ses obligations en n’exigeant pas une authentification forte du payeur et en n’effectuant pas d’examen attentif des anomalies apparentes sur le compte.
Le remboursement des opérations non autorisées
La Cour d’appel de Paris a infirmé le jugement initial.
- Remboursement : LCL a été condamnée à rembourser à M. [X] la somme indûment prélevée, soit 7 685,80 euros (couvrant les 7 300,24 euros de transactions frauduleuses, plus les frais et intérêts).
- Dette confirmée : La condamnation initiale de M. [X] a été ramenée au solde restant non contesté, soit 2 353,21 euros.
- Dommages et Intérêts : La résistance de la banque étant jugée abusive au vu de son incapacité à prouver la négligence ou l’absence de défaillance technique, LCL a été condamnée à verser 1 000 euros de dommages et intérêts à M. [X] pour préjudice moral.
- FICP : La demande de mainlevée de l’inscription de M. [X] au FICP a été rejetée, car il était en situation de défaillance (débiteur de 2 353,51 euros) avant même la fraude, justifiant son inscription.
En conclusion, cet arrêt rappelle que l’utilisation d’instruments de paiement dématérialisés, comme Apple Pay, impose aux banques d’exiger une authentification forte et, en cas de contestation, de fournir des preuves tangibles de l’utilisation des données personnalisées et de l’absence de défaillance technique. Le fardeau de la preuve reste sur la banque, même en présence d’indices de fraude.
