Introduction

L’arrêt rendu par la Cour de cassation le 28 mars 2018 (n°16-20.018), constitue un jalon déterminant dans l’appréciation de la responsabilité de la victime en matière de fraude bancaire. Là où le droit positif consacrait jusqu’alors un principe protecteur du client, cette décision opère un rééquilibrage en mettant au premier plan la notion de négligence grave, désormais analysée de manière plus exigeante.

En application de l’article L.133-18 du Code monétaire et financier, le principe demeure celui d’un remboursement immédiat des opérations non autorisées. La banque ne peut s’y soustraire qu’à la condition de démontrer l’existence d’une fraude imputable au client ou, plus fréquemment, d’un manquement caractérisé à ses obligations de vigilance. Toute la difficulté réside ainsi dans l’identification précise de cette négligence, dont la portée a été sensiblement élargie par la jurisprudence récente.

Une analyse structurée des situations de fraude pour déterminer les responsabilités

L’appréciation de la responsabilité respective de la banque et du titulaire du compte ne peut être abstraite. Elle suppose une qualification rigoureuse des circonstances de la fraude, traditionnellement regroupées en trois hypothèses distinctes, chacune répondant à un régime juridique spécifique.

Dans le premier cas, celui de l’interception de la carte bancaire lors de son envoi, la défaillance est imputable à l’établissement bancaire. Le prestataire de services de paiement est en effet tenu, en vertu de l’article L.133-15 du Code monétaire et financier, de garantir la confidentialité des données de sécurité associées à l’instrument de paiement. Cette obligation s’inscrit désormais dans un cadre renforcé par le droit des données personnelles, notamment le RGPD, qui impose la mise en œuvre de mesures techniques et organisationnelles adaptées. Dès lors que la fraude trouve son origine dans une insuffisance de ces dispositifs, la responsabilité de la banque est pleinement engagée, sans qu’aucune faute ne puisse être reprochée au client.

La seconde hypothèse concerne la perte ou le vol de la carte bancaire. Le législateur a prévu un mécanisme équilibré, fondé sur une participation limitée du client au préjudice subi. En vertu de l’article L.133-19 du Code monétaire et financier, une franchise d’au maximum 50 euros peut être laissée à sa charge. En revanche, ce plafond ne s’applique pas dans certaines hypothèses prévues par le texte, et le payeur supporte l’intégralité des pertes en cas d’agissement frauduleux ou de manquement intentionnel ou constitutif d’une négligence grave à ses obligations.. En pratique, dès lors que le client agit avec diligence, notamment en faisant opposition rapidement, la banque demeure tenue d’un remboursement quasi intégral.

La troisième situation, aujourd’hui la plus fréquente, est celle de l’usurpation des données bancaires, alors même que la carte demeure en possession de son titulaire. Elle recouvre des techniques variées, telles que le clonage de carte, l’intrusion dans des systèmes informatiques ou, plus fréquemment encore, le phishing (technique de fraude consistant à tromper une personne afin qu’elle divulgue des informations sensibles (identifiants, mots de passe, données bancaires), en se faisant passer pour un tiers de confiance (banque, administration, entreprise). C’est dans ce cadre que se cristallisent les principales difficultés contentieuses, la frontière entre fraude subie et comportement fautif du client étant particulièrement ténue.

Le phishing : une requalification progressive par la jurisprudence de la responsabilité du client

Le contentieux du phishing illustre parfaitement l’évolution de la jurisprudence. Dans un premier temps, la Cour de cassation avait adopté une position protectrice, considérant que le simple fait pour un client d’avoir été trompé par un stratagème frauduleux ne suffisait pas à caractériser une négligence grave. L’arrêt du 18 janvier 2017 (arrêt n° 15-18102 rendu par la chambre commerciale de la Cour de Cassation le 18 janvier 2017) s’inscrivait dans cette logique en imposant à la banque de rapporter la preuve d’un comportement manifestement imprudent.

Toutefois, l’arrêt du 28 mars 2018 n°16-20.018 de la Cour de cassation marque une inflexion notable. La Cour y admet que la négligence grave peut résulter de la non-détection d’indices pourtant apparents de fraude, tels que des incohérences dans l’adresse du site internet, des fautes d’orthographe ou encore le caractère inhabituel de la demande formulée. Cette approche repose sur une exigence accrue de vigilance, le client étant désormais tenu d’exercer un regard critique sur les sollicitations qu’il reçoit.
La portée de cette décision est considérable. Elle ne se limite pas à sanctionner des comportements manifestement imprudents, mais tend à instaurer un véritable standard de diligence, apprécié in concreto par les juges. Ainsi, la qualité apparente du message frauduleux, le contexte dans lequel il intervient ou encore le profil de la victime peuvent être pris en compte pour apprécier l’existence d’une négligence.

phising responsabilité client

Apport majeur de l’arrêt : le rôle déterminant des dispositifs de sécurité dans l’appréciation de la faute

L’un des apports majeurs de l’arrêt du 28 mars 2018 réside dans la prise en compte des dispositifs de sécurité mis en place par la banque. La Cour considère que l’utilisation d’un système d’authentification renforcée, tel que le 3D Secure, est de nature à faire présumer que les données confidentielles ont été compromises du fait du client lui-même.

Autrement dit, lorsque la validation d’un paiement suppose la saisie d’un code reçu personnellement par le titulaire du compte, il devient difficile pour celui-ci de contester toute implication dans la fraude. Cette présomption, bien que simple, renforce considérablement la position des établissements bancaires, qui peuvent s’appuyer sur ces éléments techniques pour démontrer un défaut de vigilance.

Cette évolution traduit un déplacement du centre de gravité de la responsabilité. Plus les systèmes de sécurité sont sophistiqués, plus l’exigence pesant sur le client s’intensifie. La technologie, censée protéger l’utilisateur, devient ainsi un critère d’appréciation de sa propre faute.

Conclusion

L’arrêt du 28 mars 2018 marque une évolution significative dans l’appréhension de la fraude bancaire en droit français, en opérant un rééquilibrage entre la protection du client et ses propres obligations de vigilance. Là où le principe de remboursement immédiat des opérations non autorisées demeure, son effectivité dépend désormais étroitement de l’absence de négligence grave, dont l’appréciation est devenue plus exigeante et contextualisée.

La jurisprudence consacre ainsi une approche plus responsabilisante du titulaire du compte, en particulier face aux techniques de fraude modernes telles que le phishing. Parallèlement, elle intègre pleinement les évolutions technologiques, notamment les dispositifs d’authentification renforcée, qui participent désormais à l’évaluation du comportement du client.

Le cabinet Dreyfus et Associés accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Le cabinet Dreyfus et Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus.

 

FAQ :

Comment se répartit la charge de la preuve en cas de fraude bancaire ?
Le principe demeure favorable au client : c’est à la banque de démontrer que l’opération a été authentifiée et correctement exécutée. Toutefois, pour échapper à son obligation de remboursement, elle doit également établir l’existence d’une négligence grave du client ou d’une fraude. En pratique, cette preuve repose souvent sur des éléments techniques (authentification forte, traçabilité des opérations) qui renforcent la position des établissements bancaires.

Le simple fait d’avoir communiqué ses données suffit-il à caractériser une faute ?
Non, la jurisprudence adopte une approche nuancée. La communication de données bancaires ne constitue pas automatiquement une négligence grave. Les juges apprécient les circonstances concrètes : qualité de la fraude, sophistication du stratagème, crédibilité du message reçu. Toutefois, depuis 2018, une vigilance accrue est attendue du client, notamment face à des indices manifestes d’irrégularité.

La rapidité de réaction du client influence-t-elle sa responsabilité ?
Oui, de manière significative. Le fait de faire opposition rapidement après la découverte d’une fraude constitue un élément déterminant. Une réaction diligente peut permettre d’écarter toute négligence grave et de maintenir le droit au remboursement. À l’inverse, une inertie prolongée peut être interprétée comme un manquement aux obligations de vigilance.

Les dispositifs de sécurité bancaire exonèrent-ils systématiquement la banque ?
Non, mais ils jouent un rôle central dans l’analyse. La mise en place d’un dispositif d’authentification forte, comme le 3D Secure, tend à démontrer que l’opération a été validée avec les moyens personnels du client. Cela crée une présomption de de négligence. Toutefois, cette présomption peut être renversée si le client établit qu’il a été victime d’un procédé particulièrement sophistiqué.

Les nouvelles technologies renforcent-elles la responsabilité du client ?
Indirectement, oui. Plus les systèmes de sécurité sont avancés, plus les attentes en matière de vigilance augmentent. L’utilisateur est supposé comprendre les mécanismes de validation et agir avec prudence. La technologie devient ainsi un critère d’appréciation du comportement du client.