Tribunal de commerce de Nanterre, le 24 janvier 2025, n°2023F00550
Le Tribunal des activités économiques de Nanterre, par jugement du 24 janvier 2025, a condamné un établissement bancaire en ligne au remboursement intégral d’opérations de paiement non autorisées. Un retraité avait subi trente virements frauduleux pour un montant total de 59 760 euros, opérés en vingt-trois minutes le 23 octobre 2022. La banque avait restitué une partie de la somme, refusant le solde au motif que le client aurait commis une négligence grave. Le demandeur assignait la banque en paiement du solde de 39 745,89 euros, soutenant l’absence d’authentification forte pour les opérations litigieuses. La défenderesse opposait la négligence grave du client, invoquant notamment une alerte de sécurité Orange antérieure et l’autorisation d’un nouvel appareil. Le tribunal a fait application des articles L. 133-18 et suivants du code monétaire et financier. Il a jugé que la banque ne rapportait pas la preuve de la mise en œuvre d’une authentification forte ni de la négligence grave de son client, et l’a condamnée au remboursement. Cette décision illustre rigoureusement la répartition de la charge de la preuve en matière de paiements non autorisés et souligne l’exigence probatoire pesant sur le prestataire de services de paiement.
La charge de la preuve concernant l’authentification forte incombe pleinement au prestataire de services de paiement. Le tribunal rappelle le principe posé par l’article L. 133-23 du code monétaire et financier : lorsque l’utilisateur nie avoir autorisé une opération, « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée ». La banque défenderesse produisait un fichier Excel présenté comme un « Journal des connexions ». Le tribunal en a analysé le contenu et la forme. Il constate que ce document, dépourvu de glossaire explicatif, « ne permet pas au tribunal de s’assurer que les opérations […] ont fait l’objet d’une authentification forte au sens des articles L. 133-23 et L. 133-4 ». Cette insuffisance probante est déterminante. La banque ne démontre pas avoir exigé, pour la connexion, l’ajout de bénéficiaires ou la validation des virements, une authentification forte reposant sur deux éléments indépendants. Dès lors, le tribunal applique strictement l’article L. 133-19, V, qui prévoit que le payeur « ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire […] n’exige une authentification forte ». L’exigence légale est ainsi interprétée comme une condition de forme dont la preuve doit être apportée par la banque de manière claire et intelligible. Cette rigueur renforce la protection de l’utilisateur en sanctionnant l’imprécision des éléments d’enregistrement produits par le professionnel.
L’appréciation restrictive de la négligence grave du payeur limite les exceptions à son droit au remboursement. Pour se soustraire à son obligation de remboursement immédiat, la banque invoquait la négligence grave du client au sens de l’article L. 133-19, IV. Elle soutenait que celui-ci s’était abstenu de prendre toute mesure conservatoire après une alerte de sécurité Orange et après avoir autorisé un nouvel appareil. Le tribunal examine ces griefs. Il relève que le client a modifié son mot de passe Orange suite à l’alerte et a bloqué son compte bancaire dès le soir du 23 octobre. Il en déduit que la banque « ne démontre pas la négligence grave commise par son client ». Cette qualification exige en effet un manquement caractérisé aux obligations de vigilance. Le jugement opère une distinction nette entre une simple négligence et la négligence grave, qui seule permet de faire peser les pertes sur le client. En l’espèce, la réactivité du client, bien que postérieure au début des opérations frauduleuses, écarte ce caractère grave. Cette interprétation restrictive est conforme à l’objectif de protection du consommateur. Elle évite que la banque ne se prévale trop facilement de comportements passifs pour rejeter sa responsabilité. La portée de la décision est significative dans le contexte de la cybercriminalité. Elle rappelle que la charge de prouver la faute du client repose sur la banque et que les juges du fond en contrôlent strictement les éléments. Ce raisonnement pourrait inciter les établissements bancaires à renforcer leurs systèmes de traçabilité et de preuve de l’authentification forte. Il confirme également que la vigilance attendue du client n’est pas une obligation de résultat absolue, mais une obligation de moyens dont l’appréciation reste souveraine.
Le Tribunal des activités économiques de Nanterre, par jugement du 24 janvier 2025, a condamné un établissement bancaire en ligne au remboursement intégral d’opérations de paiement non autorisées. Un retraité avait subi trente virements frauduleux pour un montant total de 59 760 euros, opérés en vingt-trois minutes le 23 octobre 2022. La banque avait restitué une partie de la somme, refusant le solde au motif que le client aurait commis une négligence grave. Le demandeur assignait la banque en paiement du solde de 39 745,89 euros, soutenant l’absence d’authentification forte pour les opérations litigieuses. La défenderesse opposait la négligence grave du client, invoquant notamment une alerte de sécurité Orange antérieure et l’autorisation d’un nouvel appareil. Le tribunal a fait application des articles L. 133-18 et suivants du code monétaire et financier. Il a jugé que la banque ne rapportait pas la preuve de la mise en œuvre d’une authentification forte ni de la négligence grave de son client, et l’a condamnée au remboursement. Cette décision illustre rigoureusement la répartition de la charge de la preuve en matière de paiements non autorisés et souligne l’exigence probatoire pesant sur le prestataire de services de paiement.
La charge de la preuve concernant l’authentification forte incombe pleinement au prestataire de services de paiement. Le tribunal rappelle le principe posé par l’article L. 133-23 du code monétaire et financier : lorsque l’utilisateur nie avoir autorisé une opération, « il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée ». La banque défenderesse produisait un fichier Excel présenté comme un « Journal des connexions ». Le tribunal en a analysé le contenu et la forme. Il constate que ce document, dépourvu de glossaire explicatif, « ne permet pas au tribunal de s’assurer que les opérations […] ont fait l’objet d’une authentification forte au sens des articles L. 133-23 et L. 133-4 ». Cette insuffisance probante est déterminante. La banque ne démontre pas avoir exigé, pour la connexion, l’ajout de bénéficiaires ou la validation des virements, une authentification forte reposant sur deux éléments indépendants. Dès lors, le tribunal applique strictement l’article L. 133-19, V, qui prévoit que le payeur « ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire […] n’exige une authentification forte ». L’exigence légale est ainsi interprétée comme une condition de forme dont la preuve doit être apportée par la banque de manière claire et intelligible. Cette rigueur renforce la protection de l’utilisateur en sanctionnant l’imprécision des éléments d’enregistrement produits par le professionnel.
L’appréciation restrictive de la négligence grave du payeur limite les exceptions à son droit au remboursement. Pour se soustraire à son obligation de remboursement immédiat, la banque invoquait la négligence grave du client au sens de l’article L. 133-19, IV. Elle soutenait que celui-ci s’était abstenu de prendre toute mesure conservatoire après une alerte de sécurité Orange et après avoir autorisé un nouvel appareil. Le tribunal examine ces griefs. Il relève que le client a modifié son mot de passe Orange suite à l’alerte et a bloqué son compte bancaire dès le soir du 23 octobre. Il en déduit que la banque « ne démontre pas la négligence grave commise par son client ». Cette qualification exige en effet un manquement caractérisé aux obligations de vigilance. Le jugement opère une distinction nette entre une simple négligence et la négligence grave, qui seule permet de faire peser les pertes sur le client. En l’espèce, la réactivité du client, bien que postérieure au début des opérations frauduleuses, écarte ce caractère grave. Cette interprétation restrictive est conforme à l’objectif de protection du consommateur. Elle évite que la banque ne se prévale trop facilement de comportements passifs pour rejeter sa responsabilité. La portée de la décision est significative dans le contexte de la cybercriminalité. Elle rappelle que la charge de prouver la faute du client repose sur la banque et que les juges du fond en contrôlent strictement les éléments. Ce raisonnement pourrait inciter les établissements bancaires à renforcer leurs systèmes de traçabilité et de preuve de l’authentification forte. Il confirme également que la vigilance attendue du client n’est pas une obligation de résultat absolue, mais une obligation de moyens dont l’appréciation reste souveraine.