La question de la restitution des sommes débitées à la suite à de virements non autorisés, souvent liés à des fraudes telles que le phishing, est au cœur de nombreux litiges entre les utilisateurs et leurs banques.
Deux arrêts de la Cour de cassation, rendus le 30 avril 2025, donnent l’occasion d’illustrer les exigences requises par la haute juridiction lorsque la Banque entend invoquer la négligence grave de son client (Cass. com., 30 avr. 2025, n° 24-10.149, Publié au bulletin ; Cass. com., 30 avr. 2025, n° 24-13.663, Inédit).
Le Code monétaire et financier, notamment ses articles L. 133-19, IV, et L. 133-23, alinéa 1er, prévoit que si un PSP entend faire supporter à l’utilisateur d’un instrument de paiement les pertes occasionnées par une opération non autorisée — même si elle est rendue possible par un manquement intentionnel ou par négligence grave de l’utilisateur aux obligations des articles L. 133-16 et L. 133-17 — il doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
Cette exigence de preuve préalable pèse lourdement sur les PSP, et la Cour de cassation a constamment renforcé cette charge probatoire au fil des arrêts. La caractérisation de la négligence grave de l’utilisateur ne peut intervenir qu’après que le PSP a rempli cette obligation primaire.
Deux décisions complémentaires du 30 avril 2025 : principe et illustration
Les deux arrêts de la Chambre commerciale de la Cour de cassation du 30 avril 2025 sont particulièrement éclairants et se complètent mutuellement.
L’affirmation du principe : La Cour de cassation censure le défaut de preuve préalable (Cass. com., 30 avr. 2025, n° 24-10.149, Publié au bulletin)
Dans cette affaire, la société [M] [H] était titulaire d’un compte au Crédit agricole mutuel du Finistère. Suite à un ajout de bénéficiaire et à sept virements non autorisés entre le 27 novembre et le 3 décembre 2020, la société a assigné la banque en restitution des sommes débitées. La Cour d’appel de Rennes avait rejeté la demande, retenant que M. [H] avait fait preuve d’une négligence grave en cliquant sur un courriel frauduleux comportant des incohérences facilement décelables, après avoir déjà été alerté par son conseiller.
Cependant, la Cour de cassation a cassé et annulé l’arrêt de la Cour d’appel de Rennes. La raison ? La cour d’appel n’avait pas vérifié si les virements avaient été correctement authentifiés, dûment enregistrés et comptabilisés, et qu’ils n’avaient pas été affectés par une déficience technique ou autre. Le simple fait d’établir une négligence grave de l’utilisateur ne suffit pas si la banque n’a pas prouvé, en amont, la régularité technique des opérations. L’affaire est renvoyée devant la Cour d’appel d’Angers. Cette décision réaffirme avec force l’alourdissement de la charge de la preuve pesant sur les PSP.
La preuve est « lourde mais pas impossible » : Le rejet du pourvoi faute d’une preuve préalable suffisante de la banque (Cass. com., 30 avr. 2025, n° 24-13.663, Inédit)
Le second arrêt illustre que, bien que la preuve soit exigeante, elle n’est pas insurmontable. M. [U] contestait un virement opéré sur son compte chez Milleis banque, prétendant avoir été victime de fraude et demandant le remboursement. La banque avait refusé, invoquant une négligence grave de M. [U]. Le tribunal judiciaire de Nantes avait rejeté la demande de M. [U], considérant qu’il avait manifestement négligé les avertissements SMS de la banque et que la banque avait prouvé avoir mis en œuvre les éléments de sécurisation nécessaires.
La Cour de cassation a rejeté le pourvoi de M. [U]. Elle a relevé que les constatations du tribunal, notamment basées sur le « fichier logs » produit par la banque, établissaient que M. [U] avait validé l’ensemble des opérations ayant permis le virement litigieux, y compris la modification de son code secret et la validation du virement grâce à un code secret temporaire avec avertissement. Ces éléments permettaient d’exclure que le virement puisse résulter d’une déficience technique et confirmaient que les opérations avaient été authentifiées, dûment enregistrées et comptabilisées.
Implications pour les prestataires de services de paiement et les utilisateurs
Ces décisions soulignent l’importance capitale de la preuve technique. Les PSP ne peuvent plus se contenter d’établir la négligence grave de leur client pour rejeter une demande de remboursement. Ils doivent, en amont, démontrer la fiabilité de leur système et des opérations en prouvant :
- L’authentification de l’opération.
- L’enregistrement et la comptabilisation de l’opération.
- L’absence de toute déficience technique ou autre ayant affecté l’opération.
Le « fichier logs » et autres données techniques deviennent des éléments décisifs dans ces litiges. Il est impératif pour les PSP de conserver minutieusement ces données techniques, car elles sont la clé pour apporter la preuve préalable exigée par la Cour de cassation. La Cour de cassation invite ainsi à un déplacement du débat : la question de la négligence grave de l’utilisateur n’est pertinente qu’une fois que la banque a établi sa propre diligence technique.
Conclusion
Ces deux arrêts du 30 avril 2025, bien que distincts par leur issue, envoient un message clair : la protection des utilisateurs de services de paiement est renforcée. La Cour de cassation maintient une ligne ferme quant à la charge de la preuve pesant sur les PSP. Avant de pouvoir invoquer la négligence grave de l’utilisateur, les banques doivent impérativement démontrer la régularité et l’intégrité technique de l’opération. C’est une démarche qui assure une plus grande transparence et une meilleure sécurité pour les consommateurs, tout en incitant les institutions financières à une vigilance accrue et à une documentation technique irréprochable.
