Auteurs
Avancée majeure de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur dite « DSP2 », l’authentification forte du client où « SCA » pour Strong Customer Authentification a permis une chute spectaculaire des fraudes aux moyens de paiement, réduites de 50 % entre 2020 et 2021.
Rappelons qu’il s’agit, comme le prévoit l’article L. 133-44 du Code monétaire et financier, pour un prestataire de service de paiement d’exiger, chaque fois que son client accède à son compte en ligne, initie une opération de paiement électronique ou exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse, d’exiger le respect d’une mesure d’authentification. Cette mesure repose sur l'utilisation de deux éléments (ou plus) appartenant aux catégories « connaissance » (quelque chose que seul l'utilisateur connaît), « possession » (quelque chose que seul l'utilisateur possède) et « inhérence » (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en question la fiabilité des autres ; elle est conçue de manière à protéger la confidentialité des données d'authentification, comme le prévoit l’article L. 133-4 du même code.
Concrètement, le client qui souhaite par exemple accéder à son compte via une application mobile doit usuellement entrer un code et activer une clé digitale. Cette mesure est destinée avant tout à protéger le client contre d’éventuelles fraudes. Mais elle présente également un intérêt juridique marqué pour le prestataire de services de paiement concerné, ainsi que cela ressort clairement d'un arrêt rendu le 30 août dernier par la chambre commerciale de la Cour de cassation (n° 22-11.707, F-B ).
En l’espèce, le titulaire d’un compte de paiement avait été victime d’une fraude fondée sur la manipulation sociale qui consiste classiquement pour le délinquant à se faire passer au téléphone pour un employé de la banque de sa victime afin d’obtenir un code de validation de ses paiements en ligne. Le client ainsi trompé s’était alors retourné vers son prestataire de services de paiement afin d’obtenir le remboursement de l’opération en cause, sur le fondement de l’article L. 133-19, V du Code monétaire et financier. Ce texte prévoit en effet le remboursement du payeur en cas d’opération de paiement non autorisée, sous la réserve décrite ci-après.
En principe, et comme le prévoit le IV de l’article précité, aucun remboursement n’est dû lorsque l’opération en cause, soit résulte du comportement frauduleux du client lui-même, soit a été permise par un manquement intentionnel ou par une négligence grave du client à son obligation de sauvegarder ses données de sécurité. Ainsi, dès lors que le client a, par exemple, transmis ses données personnelles en réponse à un courrier électronique présentant des indices qui auraient dû le conduire à percevoir son caractère frauduleux, alors la négligence du client est réputée établie (Cass. com., 25 oct. 2017, n° 16-11.644).
Cette issue n’est toutefois offerte au prestataire de service de paiement du payeur que dans l’hypothèse où une mesure d’authentification forte a bien été exigée par lui. En effet, le V de ce même article précise que, si tel n’est pas le cas, seule la fraude du client peut être invoquée pour faire échec à sa demande de remboursement.
C’est cette condition que la Cour de cassation a mise en avant dans l’arrêt du 30 août 2023, en censurant le tribunal judiciaire de Clermont-Ferrand pour avoir refusé le remboursement demandé au motif d’une négligence grave du client, sans avoir pris le soin de relever qu’une mesure d’authentification forte avait été exigée. Ce faisant elle rappelle utilement l’articulation entre les différentes dispositions de l’article L. 133-19 du Code monétaire et financier.
Article paru dans Option Finance le 10/11/2023
En savoir plus sur notre cabinet d’avocats :
Notre cabinet d'avocats est l'un des principaux cabinets d'avocats d'affaires internationaux. Nous sommes membre du réseau international CMS, implanté dans plus de 40 pays. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée en droit fiscal, en droit des affaires et en droit du travail.
|
|
|
