Sommaire rédigé par la Cour de cassation
Il résulte des articles L. 133-19, IV, et L. 133-23, alinéa 1er, du code monétaire et financier que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit, au préalable, prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre
Commentaire d’arrêt rédigé par l’IA :
Introduction
Le 30 avril 2025, la chambre commerciale, financière et économique de la Cour de cassation a rendu un arrêt (n° 222 F, pourvoi n° C 24-10 149) intéressant la répartition de la charge de la preuve dans l’hypothèse d’opérations de paiement non autorisées imputables à la négligence grave de l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé. La société [M] [H] reprochait à sa banque, la CRCAM du Finistère, d’avoir débité sur son compte plusieurs virements frauduleux, et réclamait la restitution des sommes concernées en invoquant l’inobservation par la banque de l’obligation de prouver l’authenticité et le bon enregistrement des opérations. Après rejet de ses demandes par la cour d’appel de Rennes, la société [M] [H] s’est pourvue en cassation. La question de droit posée était la suivante : le prestataire de services de paiement, pour se prévaloir de la négligence grave de l’utilisateur et refuser la restitution des sommes indûment prélevées, doit-il non seulement établir la faute de celui-ci, mais également démontrer que l’opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée, sans déficience technique ni autre ? La Cour, cassant l’arrêt d’appel, a répondu par l’affirmative.
I – Le sens de la décision
A. L’obligation de preuve du prestataire de services de paiement
La Cour de cassation rappelle d’abord, sur le fondement des articles L. 133-19, IV, et L. 133-23, alinéa 1er, du code monétaire et financier, que si un prestataire entend faire supporter à l’utilisateur la perte occasionnée par une opération non autorisée rendue possible par la négligence grave de ce dernier (au sens des articles L. 133-16 et L. 133-17 du même code), il doit, avant toute chose, prouver que l’opération a bien été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a souffert d’aucune déficience technique ou autre. Cette exigence résulte directement de la directive européenne relative aux services de paiement (PSD2) que le législateur français a transposée.
B. Le manquement de la cour d’appel
En l’espèce, la cour d’appel de Rennes s’était limitée à retenir la négligence grave de l’utilisateur, fondée sur le fait que M. [H] avait cliqué sur un courriel frauduleux comportant des incohérences manifestes et précédé d’une première tentative d’escroquerie signalée par un conseiller. XXX n’avait pas recherché si la banque avait vérifié la bonne authentification et l’enregistrement des sept virements litigieux, ni exclu une éventuelle défaillance technique. Dès lors, en ne remplissant pas cette obligation de preuve, la décision des juges du fond a été privée de base légale.
Transition
Après avoir clarifié la solution retenue par la Cour, il convient désormais d’en apprécier la valeur et la portée pour le droit des services de paiement.
II – Appréciation de l’arrêt : valeur critique et portée
A. La valeur de la décision
1. Sur le plan théorique, l’arrêt est heureux : il affirme une exigence de sécurité juridique cohérente avec l’objectif de protection de l’utilisateur du service de paiement. En imposant au prestataire la preuve non seulement de la faute de l’utilisateur, mais aussi du bon fonctionnement et de l’authenticité de l’opération, la Cour équilibre la répartition des risques entre la banque et son client.
2. Sur le plan pratique, la décision invite les juridictions du fond à examiner plus attentivement les conditions techniques de chaque opération contestée, ce qui pourrait alourdir le travail de preuve pour la banque, mais renforce la confiance des usagers dans les paiements en ligne.
B. La portée de l’arrêt
1. Par rapport au droit antérieur, l’arrêt confirme et explicite la portée des articles L. 133-19 et L. 133-23, déjà invoqués dans quelques arrêts de chambre commerciale, tout en réglant définitivement la question de la double preuve.
2. Dans l’avenir, cette solution constituera une référence pour toutes les contestations d’opérations non autorisées impliquant un dispositif de sécurité personnalisé : les juges du fond seront désormais tenus d’engager une recherche systématique sur l’authentification et l’enregistrement des flux de paiement.
3. L’arrêt s’inscrit également dans la logique de la PSD2 et offre un parallèle avec la jurisprudence de la Cour de justice de l’Union européenne, qui veille à la protection renforcée du consommateur face aux fraudes bancaires.
Conclusion
Par son arrêt du 30 avril 2025, la Cour de cassation rappelle et précise que la charge de la preuve incombe au prestataire de services de paiement non seulement pour démontrer la négligence grave de l’utilisateur, mais aussi pour établir l’authenticité, l’enregistrement et l’absence de défaillance technique des opérations litigieuses. Cette décision, qui élève le niveau d’exigence pesant sur les établissements bancaires, constitue un jalon important dans la protection des usagers et dans la mise en œuvre pragmatique de la directive PSD2 en droit interne.