55logo mikael le bot avocat

Négligence Grave Carte Bancaire : L’usage seul du code confidentiel ne suffit pas – Cass. com., 26 mars 2025

  • Droit bancaire

Cass. com., 26 mars 2025, n° 23-21.299

La Cour de cassation, dans un arrêt rendu par sa Chambre commerciale, financière et économique le 26 mars 2025, a eu l’occasion de rappeler les critères de la négligence grave de l’utilisateur de services de paiement, dans le cadre de l’exécution d’opérations de paiement non autorisées. Cette décision, bien qu’annoncée comme « Inédit », vient renforcer la protection de l’utilisateur face à son prestataire de services de paiement (la banque) en matière de responsabilité.

Les Faits à l’Origine de l’Affaire

L’affaire trouve sa source dans une situation malheureusement fréquente : des retraits d’espèces frauduleux effectués sur le compte bancaire d’une cliente.

  1. La Victime et la Banque : L’utilisatrice concernée, Mme [U], était titulaire d’un compte auprès de la Société générale.
  2. Les Opérations Litigieuses : Entre le 2 décembre 2019 et le 19 juin 2020, de nombreux retraits d’espèces ont été réalisés dans des distributeurs automatiques de billets. Ces opérations ont été débitées du compte de Mme [U].
  3. L’Instrument Utilisé : Fait marquant, ces retraits ont été effectués au moyen de quatre cartes bancaires successivement détenues par Mme [U] sur cette période. Le montant total des retraits contestés s’élevait à 3 290 euros.
  4. Les Réactions de la Cliente : Mme [U] a fait opposition sur ses cartes bancaires à plusieurs reprises : le 15 février 2020, le 19 avril 2020, le 28 avril 2020 et le 20 juin 2020. À chaque opposition, elle contestait les retraits qui avaient été effectués. Un détail important souligné par l’arrêt est que le code confidentiel associé à la quatrième carte bancaire a été changé.
  5. Le Refus de Remboursement : Confrontée à ces retraits qu’elle n’avait pas autorisés, Mme [U] a demandé à la Société générale de lui restituer les sommes débitées. Cependant, la banque a refusé de procéder au remboursement.

C’est ce refus qui a conduit Mme [U] à saisir la justice pour obtenir la condamnation de la banque.

La Procédure Devant le Tribunal Judiciaire

Mme [U] a assigné la Société générale devant le Tribunal judiciaire de Lille.

Le tribunal, dans son jugement du 22 novembre 2022, a rejeté les demandes de Mme [U]. Pour justifier sa décision, le tribunal a retenu que la banque établissait la « négligence grave » de Mme [U] en se fondant sur les éléments suivants :

  • La banque produisait des certificats d’authentification des cartes établissant qu’elles n’avaient pas été falsifiées.
  • Le code confidentiel avait été utilisé lors de chaque retrait.
  • Les retraits contestés (24 au total) et non contestés (17) avaient été effectués sur les mêmes distributeurs automatiques.
  • Les retraits contestés étaient parfois suivis ou précédés de retraits non contestés, utilisant les quatre cartes bancaires différentes.
  • Mme [U] n’avait changé son code confidentiel qu’avec la quatrième carte, après la délivrance de celle-ci, et même après ce changement, un nouveau retrait contesté avait eu lieu (le 19 juin 2020).
  • Les délais de contestation des retraits par Mme [U] variaient (2 mois et demi, 25 jours, 11 jours, 20 jours).
  • Les deux plaintes déposées par Mme [U] auprès des autorités n’avaient pas abouti à des poursuites.

Pour le tribunal, l’ensemble de ces faits démontrait que Mme [U] avait manqué à son obligation de prendre toute mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés.

Le Pourvoi et la Position de la Cour de Cassation

Mme [U] a formé un pourvoi en cassation contre ce jugement. Elle soutenait que si l’utilisateur a bien des obligations de sécurité, c’est au prestataire de services de paiement (la banque) qu’il incombe de prouver la fraude ou la négligence grave. Surtout, elle invoquait que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données qui lui sont liées (le code confidentiel) ont été effectivement utilisés. Elle estimait que le tribunal avait précisément fondé sa décision sur cette seule utilisation effective.

La Cour de cassation lui a donné raison. Rappelant les dispositions des articles L. 133-23, L. 133-19, IV, et L. 133-16, alinéa 1er du code monétaire et financier, la Cour confirme qu’il incombe bien au prestataire de services de paiement de prouver la fraude ou la négligence grave de l’utilisateur.

Et surtout, elle énonce un principe clair : « La négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

La Cour constate ensuite que le tribunal de Lille a rejeté les demandes de Mme [U] en se basant sur le fait que les cartes n’étaient pas falsifiées et que le code confidentiel avait été utilisé, ainsi que sur les circonstances entourant ces retraits (similarité avec des retraits non contestés, utilisation successive de cartes, changement de code, délais de contestation, absence de poursuites).

En statuant ainsi, c’est-à-dire en déduisant la négligence grave des éléments liés à l’utilisation effective des moyens de paiement et des données de sécurité, le tribunal a violé les textes du code monétaire et financier.

Portée de la Décision

Cet arrêt est important car il sanctionne une pratique consistant à déduire quasi automatiquement la négligence grave de l’utilisateur de la seule utilisation du code confidentiel ou de l’instrument de paiement par un tiers. La Cour de cassation réaffirme que la charge de la preuve pèse lourdement sur la banque. La banque doit démontrer un manquement de l’utilisateur à ses obligations de sécurité qui soit d’une particulière gravité (négligence grave) ou intentionnel, et ce manquement doit résulter d’éléments spécifiques autres que la simple constatation de l’utilisation frauduleuse.

En l’espèce, bien que le tribunal ait listé plusieurs faits (délais de contestation, suites judiciaires, etc.), la Cour de cassation considère que l’essence de son raisonnement reposait sur l’utilisation effective du code et des cartes, ce qui est jugé insuffisant pour caractériser la négligence grave.

La Cour a donc cassé et annulé le jugement du Tribunal judiciaire de Lille et renvoyé l’affaire devant le Tribunal judiciaire de Douai pour qu’elle soit rejugée à la lumière des principes qu’elle a rappelés.

En conclusion, cette décision rappelle aux prestataires de services de paiement l’exigence d’une preuve solide et caractérisée pour pouvoir imputer la responsabilité d’opérations non autorisées à la négligence grave de leur client. La simple utilisation de l’instrument et des données de sécurité par un fraudeur ne suffit pas à exonérer la banque de son obligation de remboursement.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
RGPD :

Articles similaires

assets task 01jwreep41e6sshen0x1x7b6k5 1748872242 img 1

Vol de Téléphone & Face ID : Fraude Bancaire, Responsabilité des Banques & Remboursement

En tant qu’avocat dédié à la défense de vos droits, je constate avec préoccupation l’évolution des risques liés au vol de téléphone mobile. Ce n’est ...

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Fraude Spoofing (Faux conseiller) : Pas de négligence grave du client selon la Cour d’appel de Douai (6 mars 2025)

La fraude dite du « faux conseiller bancaire », souvent associée à la technique du « spoofing » (subtilisation du numéro de téléphone de la ...

assets task 01jx01kc9je198568y9z2b3rtj 1749127150 img 0

Cautionnement Disproportionné et Obligation d’Information Bancaire (Crédit Agricole vs GAEC)

Cour de cassation, Chambre commerciale, 21 mai 2025, 24-11.783, Inédit Une décision récente de la Cour de cassation met en lumière les obligations des banques ...