De l’importance de l’authentification forte en cas d’opération de paiement non autorisée
Dans un arrêt rendu le 30 août 2023, la chambre commerciale de la Cour de cassation rappelle que, conformément aux dispositions du code monétaire et financier, le payeur ne supporte aucune conséquence dès lors que l’opération de paiement non autorisée a été effectuée sans authentification forte.
Les directives concernant les services de paiement dans le marché intérieur 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, dites DSP1 et DSP2, sont au cœur d’un dispositif protecteur capital en droit économique de l’Union.
Les arrêts rendus à ce titre sont donc particulièrement importants pour cerner les contours du dispositif avec précision notamment pour les achats en ligne (v. à ce titre, Com. 9 févr. 2022, n° 17-19.441 FS-B, Dalloz actualité, 14 févr. 2022, obs. C. Hélaine ; D. 2022. 276 
; Rev. prat. rec. 2022. 19, chron. S. Piédelièvre ; 30 nov. 2022, n° 21-17.614 F-B, Dalloz actualité, 6 déc. 2022, obs. C. Hélaine; D. 2022. 2156 ; RTD com. 2023. 201, obs. D. Legais ; 1er juin 2023, n° 21-19.289, F-B, Dalloz actualité, 6 juin 2023, obs. C. Hélaine ; D. 2023. 1116 ). La décision rendue le 30 août 2023 par la chambre commerciale de la Cour de cassation permet de nouveau de mesurer l’intérêt du système d’authentification forte prévue par la directive DSP2 au moment d’un paiement sur internet (pour la présentation en détail du mécanisme, M. Mignot, J. Lasserre Capdeville, M. Storck, N. Éréséo et J.-P. Kovar, Droit bancaire, 3e éd., Dalloz, coll. « Précis », 2021, p. 714 s., n° 1461 s.). La solution intéressera les services juridiques des établissements bancaires qui opposent parfois des refus plus ou moins justifiés à leurs clients victimes de fraude.
Tout commence par une situation d’apparence, il faut bien le dire, assez banale. Une personne physique reçoit un appel téléphonique et un message d’un pirate se faisant passer pour un employé de la société bancaire dans laquelle il dispose d’un compte courant. Le faux employé lui demande, lors de l’appel et du message, son code « 3D secure » (un des systèmes de double authentification pour sécuriser les achats sur internet). Peu de temps plus tard, le 27 janvier 2020, un achat non réalisé par le titulaire du compte est constaté par celui-ci. L’intéressé demande donc à sa banque de le rembourser de la somme prélevée et de réparer son préjudice. Il n’obtient pas gain de cause à l’amiable auprès du service concerné. La banque répond, en effet, que le client a commis une négligence grave en communiquant son code de sécurité.
La victime de la fraude décide d’assigner son établissement bancaire devant le Tribunal judiciaire de Clermont-Ferrand. Le tribunal saisi considère que le client a commis une négligence grave en faisant confiance à une personne inconnue « et qui lui racontait une histoire assez peu crédible » (n° 6). Par conséquent, le demandeur est débouté de sa prétention tendant à obtenir remboursement de la somme litigieuse.
Pour des questions de taux du ressort, le client se pourvoit directement en cassation. Nous allons examiner pourquoi l’arrêt rendu par la chambre commerciale de la Cour de cassation le 30 août 2023 devait nécessairement aboutir à une cassation.
Une authentification forte nécessaire
L’arrêt rendu le 30 août 2023 repose en grande partie sur l’article L. 133-19, V°, et sur l’article L. 133-44 du code monétaire et financier qui permettent de régler les questions relatives aux conséquences financières de l’opération de paiement non autorisée. L’économie de ces textes est ainsi rappelée aux paragraphes nos4 et 5 pour bien rappeler que le payeur ne peut pas supporter la conséquence financière de l’opération non autorisée sans que le prestataire de services de paiement n’ait exigé une authentification forte du payeur. Comme le résument certains auteurs « Le PSP (ndlr : prestataire de service de paiement) du payeur assume, par conséquent, l’entière dépense de l’opération en question du fait de l’absence de cette dernière » (M. Mignot, J. Lasserre Capdeville, M. Storck, N. Éréséo et J.-P. Kovar, op. cit., p. 718, n° 1470).
La date de l’opération de paiement est importante dans cette affaire car le paiement litigieux a eu lieu le 27 janvier 2020. Or, l’article 34, VIII, 3° de l’ordonnance du 9 août 2017 est rentré en vigueur le 14 septembre 2019 et, rappelle le n° 5 de l’arrêt commenté, « dix-huit mois après l’entrée en vigueur de la directive (UE) 2015/2366 » (la dir. DSP2). L’un des intérêts majeurs de ce texte réside dans l’authentification forte mais également plus généralement dans la modernisation des différents services de paiement dans l’Union européenne. On comprend la trame de fond assez simplement. Le client reprochait à l’établissement bancaire de refuser tout remboursement alors que selon lui il n’y avait eu aucune authentification forte du prestataire de service de paiement. Or, la « négligence grave » qu’utilise comme justification la banque pour refuser la restitution des sommes est alors sans aucune importance, ce qui explique le grief avancé puisque le tribunal judiciaire utilisait cette même motivation pour clore le débat.
La chambre commerciale a donc logiquement prononcé une cassation mais, le détail importe, pour défaut de base légale. Ce qui rend la solution du tribunal judiciaire de renvoi nécessairement plus incertaine.
Un débat encore ouvert
Le vocabulaire employé dans l’arrêt du 30 août 2023 permet de revenir sur les termes utilisés par le code monétaire et financier. Il existe, notamment, une différence importante entre l’autorisation de paiement et l’authentification de paiement. La raison de la cassation repose au moins implicitement sur cette distinction puisque le tribunal judiciaire n’a pas exploité l’absence d’authentification forte que le client invoquait pourtant dans ses écritures en première instance selon le moyen développé en cassation. Les magistrats doivent, dans ces espèces complexes, toujours vérifier si l’authentification forte prévue par la directive DSP2 a été bien exigée par le prestataire de services quand celle-ci s’impose. C’est un argumentaire désormais bien établi des conseils des clients victimes de fraude.
Sous l’angle du droit probatoire, la question se complexifie. Le propre d’une opération non autorisée par le client réside dans… la découverte d’un débit inconnu sur lequel il n’a aucune prise. Seul le prestataire de services de paiement du payeur peut avoir la preuve la plus adéquate en la matière si une telle authentification forte a bien été proposée. Ceci implique que le débat devant le Tribunal judiciaire de Clermont-Ferrand autrement composé soit encore ouvert. Il ne devrait y avoir guère de difficultés au vu de la rédaction du moyen qui semble pouvoir démontrer une telle absence d’authentification forte. À dire vrai, quand l’authentification forte est exigée, l’opération de paiement non autorisée échoue la plupart du temps. Ce n’est que lorsque le paiement passe dans les mailles du filet que la question se pose et dissocie alors authentification et autorisation.
Voici donc un arrêt intéressant qui devra impérativement attirer l’attention des services juridiques des établissements bancaires. Les refus injustifiés de remboursement en contradiction avec les directives DSP1 et DSP2 conduiront nécessairement à ce que la banque succombe et soit condamnée non seulement au remboursement mais également aux entiers dépens de la procédure et à une certaine somme au titre de l’article 700 du code de procédure civile (ici, 3 000 € à hauteur de cassation). Prudence est mère de sûreté.
© Lefebvre Dalloz