Diaporama
Actualités
Vous êtes ici :
  1. Actus
  2. Actualités
  3. OPERATIONS DE PAIEMENT NON AUTORISEES ET RESPONSABILITE

OPERATIONS DE PAIEMENT NON AUTORISEES ET RESPONSABILITE

Publié le : 12/05/2026 12 mai mai 05 2026
Actualités

A l’occasion d’un commentaire d’un arrêt rendu par la Cour d’Appel d’Amiens le 29 juin 2021, nous avions rappelé le régime de la responsabilité partagée entre le prestataire de services et le payeur, titulaire de la carte bancaire, en cas d’opérations de paiement non autorisées.

Ce régime résulte de la combinaison ou articulation des articles L 133-18 et L 133-19 du Code Monétaire et Financier.

L’article L 133-18 du Code Monétaire et Financier dispose :

« En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu.

Lorsque l'opération de paiement non autorisée est initiée par l'intermédiaire d'un prestataire de services de paiement fournissant un service d'initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. La date de valeur à laquelle le compte de paiement du payeur est crédité n'est pas postérieure à la date à laquelle il avait été débité.

En cas de manquement du prestataire de services de paiement aux obligations prévues aux deux premiers alinéas du présent article, les pénalités suivantes s'appliquent :

1° Les sommes dues produisent intérêt au taux légal majoré de cinq points ;
2° Au-delà de sept jours de retard, les sommes dues produisent intérêt au taux légal majoré de dix points ;
3° Au-delà de trente jours de retard, les sommes dues produisent intérêt au taux légal majoré de quinze points.
Si le prestataire de services de paiement qui a fourni le service d'initiation de paiement est responsable de l'opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l'opération de paiement non autorisée.
Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire ».

L’article L 133-19 du même code dispose :

« I. – En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 50 €.
Toutefois, la responsabilité du payeur n'est pas engagée en cas :
– d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
– de perte ou de vol d'un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ;
– de perte due à des actes ou à une carence d'un salarié, d'un agent ou d'une succursale d'un prestataire de services de paiement ou d'une entité vers laquelle ses activités ont été externalisées.

II. – La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées.
Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument.

III. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17.

IV. – Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ».

V. – Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue à l'article L. 133-44.

VI. – Lorsque le bénéficiaire ou son prestataire de services de paiement n'accepte pas une authentification forte du payeur prévue à l'article L. 133-44, il rembourse le préjudice financier causé au prestataire de services de paiement du payeur ».

L’article L 133-18 du code monétaire et financier pose donc pour principe que, en cas d’opérations de paiement non autorisées par l’utilisateur d’une carte bancaire, le prestataire de services de paiement doit rembourser le payeur, c’est à dire le titulaire de la carte bancaire.

L’article L 133-19 du même code dispose que ce payeur supporte toutes les pertes occasionnées  par des opérations de paiement non autorisées si ces pertes « résultent d’un agissement frauduleux de sa part ou si celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations prescrites par les articles L 133-16 et L 133-17 ».
Ces derniers textes font mention de l’obligation de préserver la sécurité des données de sécurité personnalisées et de celle d’informer sans tarder son prestataire de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.

Plusieurs décisions ont été rendues récemment sur la question.

Par un arrêt du 27 mars 2024 (n° 22-21.200), la chambre commerciale de la cour de cassation a posé pour principe que la responsabilité contractuelle de droit commun résultant de l’article 1231-1 du code civil est inapplicable en présence d’un régime de responsabilité exclusif, soit, en l’espèce, les articles L 133-18 et suivants du Code Monétaire et Financier prévoyant un régime propre aux prestataires de services de paiement et en présence d’une opération de paiement non aurtorisée.

Par cet arrêt, la chambre commerciale casse un arrêt de cour d’appel qui avait condamné une banque à verser une somme importante à titre de dommages et intérêts à une cliente qui avait contesté avoir consenti à des virements dont les ordres avaient été adressés par un tiers ayant piraté sa messagerie électronique. 

Pour condamner la banque à verser à sa cliente certaines sommes en réparation des préjudices résultant de l’exécution des ordres de virement litigieux, l’arrêt d’appel a considéré qu’il ressortait des éléments produits que la cliente n’était pas à l’origine des ordres qui avaient été exécutés en qu’en les exécutant, alors qu’ils présentaient des anomalies apparentes, la banque avait manqué à son devoir contractuel de vigilance et ainsi engagé sa responsabilité de droit commun.

Cette condamnation était prononcée au visa de l’article 1231-1 du code civil, texte de droit commun de la responsabilité contractuelle.

La cour de cassation censure les juges du fonds en rappelant un arrêt « Beobank » du 16 mars 2023 de la Cour de Justice de L’union Européenne qui avait affirmé que le régime de responsabilité des prestataires de services de paiement prévue par la directive 2007/64 faisait l’objet d’une harmonisation totale et qu’était donc incompatible avec cette directive un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits.

Dès lors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, et donc en présence d’une opération de paiement non autorisée, la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L 133-18 du Code Monétaire et Financier et non sur celui de la responsabilité contractuelle de droit commun.    

Par un arrêt rendu le 4 mars 2026 (n° 25-11959), la chambre commerciale de la cour de cassation est venue poser une exception au caractère exclusif du régime de responsabilité spéciale prévue par le Code Monétaire et Financier.
Une distinction est à opérer : la responsabilité contractuelle de droit commun ne s’applique pas si le prestataire de services de paiement exécute l’ordre qui lui est fourni par son client conformément à l’identifiant unique communiqué par ce dernier.

Mais elle a vocation à s’appliquer lorsque le banquier a rédigé l’ordre de virement. Dans cette hypothèse, on sort du droit des instruments de paiement pour basculer vers le devoir de vigilance régi par le droit commun.

Cet arrêt a été rendu concernant une banque qui avait procédé à un paiement après avoir envoyé à ses clients un ordre de virement comportant les références d’un relevé d’identité bancaire au nom d’une SCP notariale. Or, il s’est avéré que ce RIB avait été envoyé préalablement aux clients de la banque à partir d’une adresse électronique imitant frauduleusement celle de la SCP de notaires censée intervenir pour une vente immobilière et que le virement était venu créditer un compte dont le bénéficiaire était inconnu.

Or, il apparaissait que l’identité bancaire figurant sur l’ordre de paiement établi par la banque pour être ensuite soumis à la signature de ses clients comportait des incohérences apparentes et manifestes « qui ne pouvaient laisser aucun doute, pour un professionnel normalement diligent, sur le fait que l’identifiant était un faux grossier ».

Dans ces conditions, la cour d’appel, approuvée par la cour de cassation, en avait « exactement déduit » que la banque ne s’étant pas bornée, en sa qualité de prestataire de services de paiement, à exécuter un ordre de virement conformément à l’identifiant unique fourni par ses clients, mais ayant elle-même rédigé cet ordre, était tenue d’indemniser, sur le fondement du droit commun, ses clients du préjudice causé par ce manquement à son devoir de vigilance.    

Par un autre arrêt du 20 novembre 2024 ( n° 23-15.099), la chambre commerciale de la cour de cassation est venue rappeler la règle selon laquelle, lorsque le prestataire de services de paiement du payeur victime d’une opération non autorisée sur son compte bancaire veut lui faire supporter les pertes dues à cette opération, il lui appartient de prouver, outre le fait que le payeur a agi de manière intentionnelle ou par négligence grave, que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

L’arrêt a été rendu concernant une personne qui avait ouvert un compte bancaire auprès d’une banque qui lui avait remis une carte de crédit.

Le compte de cette personne ayant été débité d’une certaine somme et ce compte était devenu débiteur. La banque avait alors demandé le remboursement, ce que le client avait refusé de faire.

Les juges du fonds l’avaient condamné en relevant qu’il avait remis son relevé d’identité bancaire puis sa carte bancaire et ses codes « cyber » à un inconnu rencontré sur Instagram.

Bien que la négligence grave au sens de l’article L 133-19 paraissait établie, la cour de cassation a cassé l’arrêt de la cour d’appel au motif que celle-ci n’avait pas recherché si les opérations litigieuses avaient été authentifiées, dûment enregistrées  et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre.

La solution est sévère pour la banque qui doit donc rapporter une double preuve : elle doit d’abord démontrer que son système informatique a régulièrement enregistré l’opération litigieuse et qu’elle n’a pas été affectée par une déficience technique, avant de pouvoir et devoir prouver la négligence caractérisée de son client.

Ce principe, à savoir celui selon lequel, pour pouvoir invoquer utilement la négligence grave de son client, le prestataire de services de paiement doit, au préalable, prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée, et qu’elle n’a pas été affectée par une déficience technique ou autre, a été confirmé par un arrêt de la chambre commerciale de la cour de cassation rendu le 30 avril 2025 (n° 24-10.149).

 
Partager sur
Publier cet article Partager sur LinkedIn Partager sur Facebook Envoyer par E-mail

Historique

<< < 1 2 3 4 5 6 7 ... > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK