La Cour d’appel, dans un arrêt du 6 mai 2025, statue sur un litige opposant une cliente à son établissement bancaire suite à des virements frauduleux. La juridiction infirme le jugement de première instance qui avait débouté la cliente. Elle retient la responsabilité de la banque pour défaut de preuve d’une authentification forte et l’absence de négligence grave imputable à la victime de l’escroquerie.

La qualification de l’opération non autorisée

La définition légale du consentement. La cour rappelle le régime des opérations de paiement non autorisées défini par le code monétaire et financier. Elle souligne que le consentement du payeur doit être donné selon la forme convenue avec le prestataire. « En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée » (Motifs). L’arrêt établit que les virements litigieux ont été ordonnés depuis des sessions de connexion étrangères à la cliente. La banque ne conteste d’ailleurs pas son impossibilité d’accès à son compte durant la période critique. Ce constat objectif permet de qualifier les opérations de non autorisées sans ambiguïté.

La répartition de la charge de la preuve. La cour applique strictement l’article L. 133-23 du code monétaire et financier. La charge de la preuve pèse sur le prestataire de services de paiement en cas de contestation. « Il incombe à la banque prestataire de services de paiement, selon l’article L 133-23 ‘de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre' » (Motifs). La banque ne démontre pas avoir mis en œuvre une authentification forte conforme aux exigences légales. Ce manquement est déterminant pour son obligation de remboursement.

L’exonération de la banque et la faute de l’utilisateur

L’exigence d’une authentification forte non satisfaite. La cour examine le moyen d’exonération invoqué par la banque fondé sur une négligence grave de la cliente. Elle opère un revirement par rapport aux premiers juges. L’arrêt se fonde sur l’article L. 133-19, V, du code monétaire et financier. « Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte » (Motifs). La banque n’allègue ni ne démontre avoir utilisé un tel procédé sécurisé. Cette carence est fatale à sa défense et renforce la protection du consommateur.

L’absence de négligence grave caractérisée. La cour réinterprète les faits pour écarter la qualification de négligence grave. Elle estime que le comportement de la cliente ne répond pas aux critères légaux d’exonération. « Le fait pour [la cliente], recevant un courriel […] l’incitant seulement à se connecter en faisant usage de ses identifiant et code pour ce faire […] mais sans les livrer à quiconque […] ne constitue pas une négligence grave » (Motifs). La réaction rapide de la cliente, dénonçant les faits une semaine après les premiers virements, est également relevée. Cette analyse restrictive de la faute protège les utilisateurs contre des interprétations abusives.

La portée de l’arrêt est significative en matière de fraude bancaire. Il rappelle avec fermeté les obligations probatoires pesant sur les établissements bancaires. La décision renforce la sécurité juridique des consommateurs victimes d’escroquerie. Elle précise que l’utilisation d’un lien frauduleux par la victime ne vaut pas révélation volontaire de ses codes. Cet arrêt s’inscrit dans une jurisprudence exigeante concernant l’authentification forte. « Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus » (Motifs). Il rejoint ainsi une décision antérieure qui sanctionnait déjà un défaut d’authentification. « La banque a laissé mettre en place ce Sécuripass à partir d’un téléphone […] qui n’était pas le téléphone répertorié, ce qui ne répond pas à l’exigence de l’authentification forte » (Cour d’appel de Paris, le 23 mars 2023, n°21/11361). La solution consacre une interprétation protectrice des dispositions issues de la DSP2.