Depuis l’entrée en vigueur des dispositions issues de la DSP2, la question de la sécurité des paiements à distance et de la responsabilité bancaire face à la fraude est au centre des débats juridiques. L’obligation d’authentification forte (C. mon. fin., art. L. 133-44 et L. 133-19, V) est un pilier essentiel de cette législation, visant expressément à lutter contre les opérations non autorisées. La Cour de cassation, par son arrêt du 22 octobre 2025 (n° 24-19.749), vient réaffirmer avec force la primauté de cette obligation légale.
Rappel des faits
La lutte contre les opérations de paiement non autorisées repose largement sur l’authentification forte. Cette exigence légale oblige les banques à mettre en œuvre des mécanismes de sécurité robustes pour les opérations à distance. Cependant, la fraude persiste.
L’affaire oppose la Caisse de crédit agricole mutuel des Savoie à son client, M. [J]. Le 6 mars 2021, M. [J] a été victime d’hameçonnage (phishing). Il a répondu à un courriel qu’il croyait authentique, l’incitant à communiquer des données confidentielles pour « activer » son système d’authentification forte. Le lendemain, un virement non autorisé était constaté.
La banque a refusé le remboursement, arguant que M. [J] avait commis une négligence grave.
La banque faisait valoir que le client avait lui-même permis la fraude en communiquant des codes confidentiels (y compris ceux permettant de valider l’ajout d’un bénéficiaire et le virement) après avoir répondu à un courriel présentant des anomalies.
La Cour de cassation réaffirme la primauté de l’authentification forte
La Cour de cassation rejette le pourvoi de la banque, et la condamne à rembourser les opérations frauduleuses. Pourquoi une telle rigueur, même face à une faute grave du client ?
La question centrale n’est pas de savoir si le client a été négligent—il est reconnu qu’il l’a été gravement. La véritable question est de déterminer si le prestataire de services de paiement a rempli son obligation de procéder à une authentification forte.
L’article L. 133-19, V du Code monétaire et financier prévoit que « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur ».
En d’autres termes, la charge de la preuve incombe au prestataire. La banque doit être en mesure de prouver qu’elle a effectivement appliqué et exigé l’authentification forte lors de l’opération de paiement contestée.
L’arrêt relève explicitement que, bien que M. [J] ait commis une négligence grave en communiquant des données confidentielles après avoir répondu à un courriel présentant des anomalies grossières, la banque n’a pas justifié avoir exigé l’activation de l’authentification forte.
Le tribunal a exactement déduit que, faute pour la banque de justifier avoir satisfait à son obligation légale d’exiger l’authentification forte, la négligence grave du payeur n’est pas de nature à l’exonérer de l’obligation de remboursement.
En clair, l’interprétation a contrario de l’article L. 133-19, V du CMF est validée : la négligence grave du client, même avérée, n’est pas suffisante si la banque échoue à prouver la mise en œuvre de l’authentification forte au moment de l’opération. Autrement dit, la faute du client devient secondaire tant que la banque ne rapporte pas la preuve qu’elle a appliqué le niveau de sécurité exigé par la loi. L’authentification forte constitue donc la condition préalable et indispensable permettant à l’établissement bancaire d’écarter sa responsabilité ; à défaut, la banque demeure tenue de rembourser les sommes frauduleusement prélevées, même si le comportement du client a facilité la fraude.
En conséquence, la banque a été condamnée à rembourser M. [J] et à lui verser 3 000 euros au titre de l’article 700 du code de procédure civile.
