Le titulaire d’un compte bancaire n’est pas forcément responsable en cas de piratage
D’après un récent arrêt de la Cour de cassation, lorsqu’un compte ou une carte bancaire est piraté (e), la banque ne peut tenir son titulaire pour responsable des débits frauduleux par simple déduction. Concrètement, il ne peut être désigné coupable de la divulgation des données d’accès audit compte faute d’autre explication.
Réclamation du remboursement de débits frauduleux consécutifs à un piratage
Dans cette affaire, des paiements et retraits d’argent frauduleux avaient été effectués sur le compte bancaire d’un particulier. Pour ce faire, le pirate avait modifié les informations personnelles d’authentification :
- adresse de messagerie électronique,
- numéro de téléphone,
- codes confidentiels.
Pour la validation des différentes opérations, il était passé par un code envoyé par SMS. S’appuyant sur les dispositions légales en vigueur, la victime avait réclamé à sa banque la restitution des sommes indûment débitées.
La banque a rejeté sa requête, au motif que le fraudeur n’avait pu obtenir l’identifiant et le code secret permettant de se connecter au compte que de la part du client en personne ou à la suite d’un comportement imprudent de ce dernier.
Or, a fait valoir l’établissement, le titulaire d’un compte a l’obligation légale de mettre en œuvre des mesures de protection suffisantes pour ses données personnelles afin d’éviter qu’elles ne tombent entre de mauvaises mains.
Une cour d’appel a suivi la banque dans cette logique, attribuant par déduction la responsabilité de l’accès au compte au client lui-même, volontairement ou imprudemment.
Pas d’attribution automatique de la responsabilité de la fraude au client
Mais la Cour de cassation a cassé cet arrêt de la cour d’appel. Pour elle, l’absence d’autre explication aux mouvements frauduleux enregistrés sur un compte bancaire ne suffit pas pour désigner son titulaire responsable des faits.
La Cour rappelle pour l’occasion les termes de l’article L133-23 du Code monétaire et financier. Selon le texte,
l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant.
Si le client nie avoir effectué ou autorisé une opération de paiement, à défaut de pouvoir établir formellement la négligence de ce dernier, la banque est tenue de rembourser le montant non autorisé.