Fraude à la clé digitale : l’exigence d’une démonstration rigoureuse de la négligence grave du client

-

L’affaire présente un schéma désormais classique. Une cliente de 80 ans a constaté la réalisation de trois paiements en ligne, intervenus entre les 14 et 16 mai 2022, pour un montant total de 13 554,84 euros. Quelques jours auparavant, elle avait reçu plusieurs appels d’un individu se présentant comme appartenant au service « Clé Digitale » de sa banque.

Ne maîtrisant pas pleinement les outils numériques, elle a reconnu avoir suivi les instructions données par téléphone et avoir effectué certaines manipulations dans son application bancaire. Le même jour, sa clé digitale a été enrôlée sur un nouvel appareil de type iPhone. Les paiements litigieux ont été exécutés dans les jours qui ont suivi.

La cliente a déposé plainte et a sollicité le remboursement des sommes débitées. L’établissement bancaire a toutefois refusé de rembourser, en invoquant la négligence grave de sa cliente. Selon la banque, l’enrôlement de la clé digitale sur un appareil tiers n’avait pu être réalisé qu’avec la coopération active de la victime, laquelle aurait nécessairement communiqué ses identifiants et validé l’opération via le code unique transmis sur son téléphone. Elle a soutenu en outre que les paiements avaient fait l’objet d’une authentification forte conforme aux exigences réglementaires et qu’aucune défaillance technique n’était démontrée.

Le tribunal a rappelé d’emblée le cadre juridique applicable : le régime issu des articles L133-18 à L133-24 du Code monétaire et financier, transposant les directives européennes relatives aux services de paiement, régime autonome et exclusif. En cas d’opération de paiement non autorisée signalée dans les délais, le prestataire de services de paiement est tenu de rembourser immédiatement le montant débité, sauf à démontrer soit que l’opération était autorisée, soit qu’elle résulte d’un comportement frauduleux du client ou d’une négligence grave de celui-ci dans la conservation de ses données de sécurité personnalisées. La charge de la preuve pèse intégralement sur la banque.

En l’espèce, l’établissement n’a pas contesté le caractère non autorisé des paiements. Le débat s’est concentré sur deux questions successives, récurrentes dans ces dossiers : la preuve de l’authentification et la caractérisation d’une négligence grave.

S’agissant de l’authentification, la banque a produit des traces informatiques attestant de l’enrôlement de la clé digitale sur un nouvel appareil et de la validation des paiements par authentification forte. Le tribunal a admis la valeur probatoire de ces éléments, tout en précisant qu’ils constituaient un commencement de preuve susceptible de discussion contradictoire. Il a retenu que les opérations avaient donc été dûment enregistrées et qu’aucune défaillance technique n’était démontrée.

Toutefois, le tribunal a pris soin de rappeler un principe fondamental : l’authentification technique ne vaut pas consentement du payeur. L’utilisation des identifiants ou d’un dispositif de sécurité ne suffit pas à établir que l’opération a été autorisée au sens des textes.

La question centrale devenait alors celle de la négligence grave. Le raisonnement du tribunal a été particulièrement nuancé. Il était établi que la cliente avait participé au processus d’enrôlement frauduleux en suivant les instructions du fraudeur et en effectuant des manipulations dans son application bancaire. Cette participation caractérisait donc et traduisait un manque de vigilance dans un contexte d’ingénierie sociale. Cependant, la qualification de négligence grave suppose davantage. Elle implique un manquement d’une particulière gravité aux obligations de conservation des données de sécurité, manquement ayant permis la réalisation des opérations litigieuses.

Or, le tribunal a relevé que l’initiation des paiements en ligne nécessitait la connaissance des données complètes de la carte bancaire, à savoir le numéro, la date d’expiration et le cryptogramme visuel. La banque a affirmé que ces informations ont nécessairement été communiquées par la cliente, mais elle n’en a pas rapporté la preuve. Aucun élément ne démontrait qu’elles avaient été divulguées lors de l’appel téléphonique. Aucun élément ne prouvait qu’elles étaient accessibles depuis l’espace client auquel le fraudeur aurait eu accès.

Le tribunal a dès lors considéré que, si la cliente avait contribué à l’enrôlement de la clé digitale, il n’était toutefois pas établi qu’elle soit à l’origine de la divulgation des informations indispensables à l’initiation des paiements. Dès lors, la faute retenue, bien réelle, ne présentait pas le degré de gravité exigé par l’article L133-19 du Code monétaire et financier.

La décision opère ainsi une distinction particulièrement éclairante entre une négligence simple, liée à une manipulation imprudente sous l’influence d’un fraudeur, et une négligence grave consistant à livrer volontairement ou avec une imprudence caractérisée l’ensemble des données nécessaires à l’exécution des paiements. La causalité matérielle des paiements devient un critère déterminant de l’analyse.

En conséquence, la banque a été condamnée à rembourser l’intégralité des sommes débitées, assorties des intérêts au taux légal et de la capitalisation, ainsi qu’à verser une indemnité au titre des frais irrépétibles.