La responsabilité du banquier en cas de fraude
La législation soumet le banquier à des obligations dont l'objectif est de protéger sa clientèle. Il a une obligation générale d'information et de loyauté, doublée d'une obligation particulière de vigilance et de mise en garde. La loi lui impose d'être toujours en mesure d'évaluer la cohérence des opérations bancaires effectuées au regard de la connaissance qu'il a du client.
Particulièrement d'actualité, la fraude bancaire peut se manifester de différentes manières : chèques ou virements frauduleux (faux RIB), piratage de carte bancaire... Elle est souvent rendue possible en raison d'une faille du système opérationnel de la banque. C'est en cela que la responsabilité du banquier est susceptible d'être engagée par son client en vue d'obtenir le remboursement des sommes dérobées et éventuellement une indemnisation du préjudice subi, puisque le banquier est assujetti à une obligation de vigilance.
Le devoir de vigilance du banquier
La jurisprudence est constante en ce qu'elle attribue aux banquiers un devoir général de vigilance et de vérification. Le banquier est tenu de déceler les opérations suspectes apparentes et de mettre en œuvre les moyens nécessaires pour éviter toute conséquence préjudiciable pour les usagers. Ce devoir vise à protéger les personnes victimes d'une fraude ou de toute autre opération bancaire effectuée par erreur (par exemple : escroquerie par usage de faux RIB).
Le devoir de vigilance repose sur un principe simple : celui de vérifier la conformité des transactions effectuées sur les comptes ouverts dans son établissement, au bénéfice ou au nom de ses clients. Ainsi, le banquier doit détecter les anomalies matérielles pouvant affecter un ordre de paiement ou lors de l'ouverture d'un compte. L'anomalie apparente se définit comme une incohérence ne pouvant échapper à un banquier normalement prudent et diligent. Il s'agit d'une irrégularité formelle aisément détectable et le banquier sera tenu pour responsable s'il ne perçoit pas les anomalies apparentes. Celle-ci se retrouve essentiellement sur un titre ou sur un support tel qu'un chèque, un RIB ou un ordre de virement.
Avant d'en affecter le montant au crédit du compte de son client, la banque réceptionnaire d'un ordre de virement, même électronique, ne peut se borner à un traitement automatique sur son seul numéro de compte, sans procéder à une vérification du nom du bénéficiaire, dès lors qu'il est inclus dans les enregistrements reçus du donneur d'ordre, et qu'il n'a pas été exclu de tout contrôle avec l'assentiment de ce dernier 2.
En application de l'article 1231-1 du Code civil, le principe de la non-ingérence du banquier dans les affaires de son client cède devant son obligation de vigilance portant sur la régularité apparente d'une opération. S'il ne lui appartient pas, sauf à porter atteinte à la vie privée du dépositaire des fonds, d'effectuer des recherches ou de réclamer des justifications pour s'assurer que les opérations de son client, dont il n'a pas à rechercher la cause, sont régulières, opportunes et exemptes de danger, il doit néanmoins déceler le caractère manifestement anormal d'une opération en contrôlant l'adéquation entre le nom du bénéficiaire désigné sur un ordre de virement et le nom du titulaire du compte du bénéficiaire effectif. Dans le cas où des opérations seraient manifestement anormales, la banque ne saurait arguer de son devoir de non-immixtion.
Dans l'hypothèse d'une défaillance dans la mise en œuvre de cette obligation de vigilance, conformément à l'article L133-18 du Code monétaire et financier, la banque doit rembourser à son client le montant frauduleusement dérobé. Le banquier doit également mettre en place un contrôle des anomalies de fonctionnement du compte de son client. Les montants importants ou inhabituels des virements doivent attirer l'attention de la banque. Ainsi, le fait que le montant du virement soit exceptionnel au regard de la pratique habituelle du client constitue une alerte qui doit conduire la banque à demander des instructions 3.
La mise en place d'un dispositif d'authentification forte
L'article L133-44 du Code monétaire et financier dispose que la banque est tenue de mettre en place des dispositifs d'authentification forte (clé digitale) pour garantir la sécurité des transactions en ligne. Pour autant, l'utilisation de ces dispositifs n'exonère pas systématiquement la banque de toute responsabilité en cas de débits frauduleux. Selon les termes de l'article précité, « les prestataires de services de paiement mettent en place des mesures de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées des utilisateurs de services de paiement. » La jurisprudence est bien établie concernant l'obligation qui incombe à la banque de prouver que le client a validé ces opérations frauduleuses par le dispositif d'authentification forte 4.
La Banque de France et l'Observatoire de la sécurité des moyens de paiement ont été interpellés par les associations de consommateurs sur les difficultés rencontrées par leurs adhérents pour bénéficier du droit à remboursement en cas de fraude, prévu par les textes, en particulier dans les cas où l'opération contestée a fait l'objet d'une authentification forte.
L'Observatoire de la sécurité des moyens de paiement publie à cette fin un ensemble de treize recommandations qui visent à améliorer les démarches de remboursement des victimes de fraude, tout en rappelant que « si une transaction contestée par l'utilisateur a fait l'objet d'une authentification forte, alors il revient à l'établissement teneur de compte de déterminer si cette transaction peut être considérée comme autorisée par l'utilisateur. »
Sont pris en compte les différents paramètres associés à la transaction (origine de la transaction, paramètres de l'authentification forte, interactions avec le payeur, etc.), l'existence d'une authentification forte n'étant pas suffisante en soi pour considérer que la transaction a été autorisée. Après analyse du dossier, et à défaut d'éléments suffisants pour justifier le caractère autorisé de la transaction ou démontrer une négligence grave de l'utilisateur, l'établissement est tenu de rembourser sans délai l'opération en cause. La banque devra alors prouver la négligence grave du client 5.
Afin de s'exonérer de sa responsabilité, le banquier doit prouver que son client n'a pas pris toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Dès lors, le client devra supporter les pertes occasionnées par des opérations de paiement non autorisées, seulement si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave à ses obligations 6. Selon la jurisprudence, « constitue une négligence grave le fait de communiquer les données de sa carte bancaire à la suite d'un hameçonnage, dès lors que l'utilisateur avait conscience du caractère frauduleux du courriel reçu » 7 ou encore « le fait, pour le titulaire d'un compte bancaire qui paie ses factures par prélèvement, de communiquer des données confidentielles en répondant à un courriel de rappel présentant des irrégularités permettant de douter de sa provenance, en l'espèce, inexactitude de l'adresse de l'expéditeur et du numéro du contrat mentionné, discordance entre les montants réclamés » 8. L'utilisateur doit également être alerté du caractère douteux de la provenance du courriel présentant de sérieuses anomalies tenant tant à la forme qu'au contenu du message 9. Il appartient à la banque de prouver la négligence grave du titulaire 10.
Il est important de garder à l'esprit que si le phishing, ou toute autre forme de fraude, est suffisamment bien exécuté, il est légitimement envisageable qu'un client normalement averti puisse être dupé, pour autant la banque ne saurait lui reprocher un comportement de négligence grave.
Ainsi, à défaut de prouver que l'opération a été authentifiée par le client lui-même, sans être affectée par des circonstances étrangères telle qu'une déficience technique, et que le client n'a pas contribué à son propre dommage par une négligence suffisamment grave, la responsabilité du banquier resterait engagée et l'obligation de rembourser son client demeurerait.
1 Code monétaire et financier, art. L. 561-2.
2 CA Paris, pôle 5 ch. 6, 6 nov. 2014, n° 13/14139, CA Aix-en-Provence,
ch. 3 3, 30 juin 2022, n° 19/12183. TJ Paris, 9e ch. 1re sect.,
2 avr. 2024, n° 22/07324.
3 Cass. Com., 31 janv. 2017, n° 15-17.498
4 Cass. Com. 12 novembre 2020, pourvoi n° 19-12112
5 Article de la Banque De France du 16 mai 2023
6 Code monétaire et financier art. L 133-19, IV
7 Cass. com. 25-10-2017 n° 16-11.644 FS-PBI : RJDA 4/18 n° 354
8 Cass. com. 6-6-2018 n° 16-29.065 F-D : RJDA 10/18 n° 766.
9 Cass. com. 1-7-2020 n° 18-21.487 F-PB : RJDA 11/20 n° 594
10 Cass. com. 18-1-2017 n° 15-18.102 FS-PBI : RJDA 3/17 n° 205 ;
Cass. com. 28-3-2018 n° 16-20.018 FS-PBI : RJDA 8-9/18 n° 676.
