(Cass. com., 15 janvier 2025, n° 23-13.579 et n° 23-15.437)

Cette jurisprudence importante en matière bancaire a précisé l’application exclusive du régime spécial issu des articles L. 133-18 à L. 133-24 du code monétaire et financier pour les litiges liés aux services de paiement par rapport aux règles de la responsabilité contractuelle de droit commun.

L’article L. 133-18 du code monétaire et financier pose le principe du remboursement lorsqu’une opération de paiement non autorisée est signalée, le prestataire de services de paiement doit rembourser immédiatement le montant de l’opération au payeur et, le cas échéant, rétablir le compte dans l’état où il se serait trouvé sans l’opération litigieuse.

Ce principe est protecteur, mais pas absolu.

En effet l’article L. 133-19 prévoit deux exceptions de taille : la fraude ou la négligence grave du payeur.

Par deux arrêts rendus le 15 janvier 2025, la chambre commerciale de la Cour de cassation affirme avec une grande cohérence la portée exclusive et impérative du régime européen de responsabilité applicable aux prestataires de services de paiement, tel qu’il résulte des directives DSP1 et DSP2, transposées aux articles L. 133-18 à L. 133-24 du code monétaire et financier.

Dans la première des deux affaires deux sociétés du même groupe, titulaires d’un compte ouvert dans les livres d’un établissement bancaire, avaient souscrit un service sécurisé de transmission d’ordres d’opération de paiement, devant être « authentifiés par un certificat numérique ». Elles s’étaient pourtant rendu compte que six virements bancaires avaient été ordonnés depuis l’ordinateur de leur comptable pour un montant avoisinant les 500 000 €, au profit de bénéficiaires qu’elles ne connaissaient pas, sur des comptes ouverts à l’étranger. Après avoir déposé plainte pour escroquerie, les sociétés clientes avaient contesté ces opérations auprès de la banque

Il faut savoir que dans la première affaire l’ordinateur du comptable des sociétés avait été infesté d’un virus l de sorte que l’escroc avait pu récupérer les données bancaires des deux sociétés et effectuer les virements frauduleux.

Dans les deux espèces, les juridictions du fond avaient cherché à contourner ce régime spécial en recourant au droit commun de la responsabilité contractuelle, afin de sanctionner un prétendu manquement de la banque à son obligation générale de vigilance, malgré la constatation d’une négligence grave des clients ou l’exécution conforme des ordres sur la base de l’identifiant unique fourni.

La Cour de cassation opère un rappel de principe net : lorsque la responsabilité du prestataire est recherchée à raison d’une opération de paiement non autorisée ou mal exécutée, le régime issu du droit de l’Union est totalement harmonisé et exclut tout fondement concurrent tiré du droit national. Il ne peut donc être fait appel ni à l’ancien article 1147, ni à l’actuel article 1231-1 du code civil pour réintroduire, par la voie prétorienne, une obligation de vigilance autonome.

Dans le premier arrêt, la Cour censure la Cour d’appel pour avoir maintenu une responsabilité partielle de la banque malgré la caractérisation d’une négligence grave du payeur, alors même que celle-ci faisait obstacle à tout remboursement en application de l’article L. 133-19 IV. Dans le second, elle écarte toute responsabilité bancaire dès lors que l’ordre a été exécuté conformément à l’identifiant unique fourni, conformément à l’article L. 133-21, peu important que cet identifiant ait été frauduleusement substitué.

Ces décisions s’inscrivent dans le sillage direct de la jurisprudence de la CJUE, notamment l’arrêt Beobank du 16 mars 2023, et traduisent la volonté de la Cour de cassation de préserver l’effet utile du droit européen. Elles marquent un coup d’arrêt clair aux tentatives de requalification des litiges de fraude bancaire en manquements généraux de vigilance.

La portée pratique est considérable : le contentieux des fraudes aux virements est désormais strictement enfermé dans les conditions, exceptions et exclusions prévues par le code monétaire et financier, au prix d’un transfert assumé du risque vers l’utilisateur lorsque celui-ci a manqué à ses obligations de sécurité ou fourni un identifiant erroné.

Cette logique conduit à un transfert assumé du risque vers l’utilisateur dans deux hypothèses majeures. La première est celle de la négligence grave : dès lors que le client a manqué à ses obligations de sécurité – conservation des dispositifs personnalisés, vigilance élémentaire face aux tentatives de fraude –, il supporte seul la perte, quand bien même la banque aurait pu détecter une anomalie. La seconde est celle de l’identifiant unique erroné : si l’ordre est exécuté conformément à l’identifiant fourni, la banque est réputée avoir correctement exécuté l’opération, peu importe que cet identifiant ait été obtenu par tromperie ou substitution frauduleuse.

La conséquence est lourde sur le plan contentieux. Le débat ne porte plus sur la qualité globale du comportement de la banque, mais sur la qualification juridique précise des faits au regard des textes spéciaux : existence ou non d’une opération non autorisée, caractérisation d’une négligence grave, exactitude formelle de l’identifiant unique. Tout ce qui excède ce cadre devient juridiquement indifférent.

Ces arrêts traduisent ainsi une philosophie claire : la sécurité des paiements repose prioritairement sur l’utilisateur, la banque n’étant plus l’assureur de dernier ressort des fraudes lorsque les conditions légales de son exonération sont réunies. Le contentieux des virements frauduleux change de nature : il n’est plus un terrain d’équité correctrice, mais un contentieux de conformité normative, strictement borné par le code monétaire et financier.

Jean-Luc Médina – Avocat associé

Pour plus d’informations, vous pouvez le contacter jl.medina@cdmf-avocats.com – 04.76.48.89.89