Par un arrêt du 30 avril 2025, la Chambre Commerciale de la Cour de cassation vient juger qu’en cas d’opérations de paiement non autorisées, la banque doit rapporter la preuve d’une part, d’avoir utilisé l’authentification forte et d’autre part que le payeur aurait commis une négligence grave.
Nous avions déjà évoqué cette question dans plusieurs articles précédents.
Même si du côté des victimes, il était évident que l’article L 133-23 du code monétaire et financiers stipulait que les deux conditions susvisées étaient cumulatives, les banques contestaient systématiquement cette position argumentant sur le fait que si la banque avait rapporté la preuve d’avoir utilisé l’authentification forte, elle n’avait pas à démontrer que la victime aurait commis une négligence grave.
A contrario, si la banque n’arrivait pas à rapporter la preuve d’avoir utilisé l’authentification forte mais qu’elle démontrait que la victime avait commis une négligence grave, cela la déchargeait de toute responsabilité et elle n’avait pas à la rembourser.
A tort.
Aux termes de l’arrêt du 30 avril 2025, la chambre commerciale de la Cour de Cassation coupe court à tout débat et entérine sa position : les deux conditions sont cumulatives :
« Pour rejeter la demande en restitution des sommes litigieuses, l’arrêt retient qu’il est acquis que M. [H] a fait preuve de négligence grave en cliquant sur le courriel, ayant permis l’ajout d’un bénéficiaire, puis les ordres de virements émis grâce à ses identifiants via le site internet de la banque, lui ayant été adressé comme provenant de celle-ci, lequel comportait des incohérences facilement décelables et ayant été précédé d’une première tentative d’escroquerie portée à sa connaissance par le conseiller clientèle peu de jours auparavant.
6. En se déterminant ainsi, sans rechercher, comme il lui incombait, si les opérations de paiement litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre, la cour d’appel a privé sa décision de base légale ».
Cour de Cassation, chambre commerciale, 30 avril 2025, n°24.10-149
Désormais donc, le débat est clos. Dès lors que les banques n’arriveront pas à démontrer de manière cumulative, qu’elles ont utilisé l’authentification forte et que le payeur aurait commis une négligence grave, elles devront rembourser les victimes et ce à hauteur de l’entier préjudice subi.