Dans deux arrêts du 15 janvier 2025 (Com. 15 janv. 2025, FS-B, n° 23-13.579 ; Com. 15 janv. 2025, FS-B, n° 23-15.437), la chambre commerciale de la Cour de cassation a confirmé sa jurisprudence concernant la responsabilité des prestataires de services de paiement. Ces décisions, accompagnées d’un communiqué, mettent en lumière l’importance accordée à certaines solutions en matière d’escroqueries bancaires.
L’exclusivité du droit spécial en matière de responsabilité bancaire
La Cour de cassation a rappelé que les règles des articles L. 133-18 à L. 133-24 du code monétaire et financier sont exclusivement applicables en matière de responsabilité des prestataires de services de paiement. Le droit commun, tel que l’article 1231-1 du code civil, se trouve donc paralysé dès lors que les dispositions spécifiques du code monétaire et financier sont applicables. Cette position est conforme à la jurisprudence récente de la chambre commerciale (Com. 2 mai 2024, n° 22-18.074 F-B ; Com. 27 mars 2024, n° 22-21.200 FS-B). Elle s’aligne également avec l’arrêt Beobank de la Cour de justice de l’Union européenne, qui exclut l’application conjointe des régimes de responsabilité afin de préserver l’harmonisation prévue par les directives européennes (CJUE 16 mars 2023, Beobank, aff. C-351/21 ; CJUE 2 septembre 2021, CRCAM, aff. C-337/20).
Étude de cas : Deux affaires de fraude bancaire
Les arrêts du 15 janvier 2025 concernent deux affaires distinctes :
- Fraude au cheval de Troie : Dans la première affaire (Com. 15 janv. 2025, FS-B, n° 23-13.579), des sociétés ont été victimes de virements frauduleux à la suite d’une infection de l’ordinateur de leur comptable par un virus de type « Cheval de Troie ». Le communiqué souligne que le courriel contenant le virus présentait un caractère manifestement trompeur (p. 1). La cour d’appel avait retenu une négligence grave des sociétés (L. 133-19, IV du code monétaire et financier), mais avait également constaté un manquement de la banque à son obligation de vigilance.
- Modification frauduleuse d’IBAN : Dans la seconde affaire (Com. 15 janv. 2025, FS-B, n° 23-15.437), des époux ont vu l’IBAN d’un vendeur substitué par un tiers sur leur messagerie électronique. Dans cette affaire, l’article L. 133-21 du code monétaire et financier était au cœur du litige. Selon cette disposition, le prestataire de services de paiement n’est pas tenu responsable d’une erreur dans l’IBAN ou le RIB transmis par l’utilisateur du service (comp. sur la modification de l’IBAN à l’insu du donneur d’ordre, la chambre commerciale avait précédemment retenu que « l’ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été ultérieurement modifié par un tiers à l’insu du donneur d’ordre ne constitue pas une opération autorisée » Com. 1er juin 2023, n° 21-19.289 F-B). Or, malgré l’IBAN inexact fourni par les utilisateurs, la cour d’appel avait condamné la banque sur le fondement du droit commun pour manquement à son obligation de vigilance, considérant qu’elle aurait dû contrôler l’absence d’anomalie apparente.
La décision de la chambre commerciale de la Cour de cassation : un rappel des obligations des banques
La Cour de cassation a cassé les deux arrêts d’appel pour violation de la loi. Elle a jugé que si les juges du fond caractérisent une négligence grave du client (Com. 27 mars 2024, n° 22-21.200 FS-B ; Com. 1re juin 2023, n° 21-19.289 F-B) ou un IBAN inexact (Com. 2 mai 2024, n° 22-18.074 F-B), ils ne peuvent pas, dans le même temps, mettre en mouvement le régime de droit commun pour sanctionner le comportement de l’établissement bancaire. Selon la chambre commerciale, la négligence grave caractérisée sur le fondement de l’article L. 133-19, IV du code monétaire et financier, ou le régime applicable à l’IBAN inexact (L. 133-21 du code monétaire et financier) ne peuvent pas, en somme, être neutralisés, voire contournés, par le retour au droit commun.
Impact de ces décisions sur les remboursements bancaires
Ces décisions de la chambre commerciale semblent fermer la porte à une application distributive des règles entre droit commun et droit spécial, dans le prolongement de l’arrêt Beobank. La Chambre commerciale privilégie une interprétation stricte des dispositions du code monétaire et financier, particulièrement favorable aux banque.
À l’ère de l’intelligence artificielle cette jurisprudence ne manque pas de questionner ce qu’il reste du devoir de vigilance du banquier.
En effet, selon la BPI « Les banques ont investi plus de 150 milliards d’euros dans l’intelligence artificielle en 2024, d’après des chiffres de idc Cela représente 13 % des investissements en matière d’IA à l’échelle du globe » et « Grâce à l’application d’algorithmes de machine learning, les systèmes d’intelligence artificielle sont capables d’analyser les transactions en temps réel, une solution qui facilite l’identification de nouveaux schémas de fraude et de comportements suspects » (source : BPI).
Compte tenu des outils technologiques à la disposition des banques et des escrocs, le devoir de vigilance demeure, aujourd’hui, le dernier rempart le plus puissant contre les fraudes bancaires puisqu’il permet de s’extraire des schémas frauduleux. Pourtant la jurisprudence semble vouloir abaisser le niveau de protection des utilisateurs à la dichotomie opération autorisée / non autorisée, pour assurer une harmonisation totale.
On se demande si, finalement, cette volonté d’harmonisation excessive ne conduit pas à un nivellement par le bas au détriment des utilisateurs et à perdre de vue les objectifs de la directive. Or, il faut garder à l’esprit que la confiance dans le système bancaire est un pilier indispensable au bon fonctionnement de l’économie. Le niveau de protection des utilisateurs est donc un curseur particulièrement sensible et il risque d’être mis à l’épreuve par le développement des nouvelles technologies liées à l’intelligence artificielle.
