Responsabilité de la Banque à l'égard du client en cas de SPOOFING

Dans un arrêt du 23 octobre 2024 (pourvoi n° 23-16.267), la Cour de cassation s’est prononcée sur la responsabilité des banques en cas d’utilisation frauduleuse d’instruments de paiement. Cette décision clarifie les obligations des établissements financiers et des utilisateurs en matière de sécurité et de vigilance, tout en précisant les critères de la négligence grave prévus à l’article L. 133-19 du Code monétaire et financier.

Lien vers la décision complète :

Cass com 23 oct 2024 n°23-16.267

Éléments factuels
Contexte :
En mai 2019, M. [J] a constaté des virements frauduleux pour un montant de 54 500 euros effectués depuis son compte bancaire. Ces virements ont été réalisés après qu’il a été contacté par une personne usurpant l’identité de sa conseillère bancaire via un procédé de "spoofing" (usurpation de numéro).
Procédure :
M. [J] a assigné la BNP Paribas en remboursement des sommes débitées frauduleusement. La banque a contesté, arguant que M. [J] avait fait preuve de négligence grave en validant ces opérations.
Décisions antérieures :
La cour d’appel de Versailles a condamné BNP Paribas au remboursement des sommes débitées, excluant toute négligence grave de M. [J]. La banque a formé un pourvoi devant la Cour de cassation.

Raisonnement de la Cour
Articles cités :

Article L. 133-19 du Code monétaire et financier :
« Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'une négligence grave de sa part. »
URL : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006469033/

Principaux points :

Définition de la négligence grave :
La Cour a rappelé que pour établir une négligence grave, il incombe à la banque de prouver que l'utilisateur n'a pas respecté ses obligations minimales de vigilance.

Contexte du spoofing :
La Cour a retenu que le mode opératoire du "spoofing" (usurpation de numéro de téléphone) a mis M. [J] en confiance en lui donnant l’illusion qu’il communiquait avec sa conseillère bancaire. Ce contexte atténue la responsabilité de l’utilisateur.

Validation sécurisée :
M. [J] ayant validé les opérations via l’application mobile sécurisée de la banque, la Cour a estimé qu’il n’avait pas commis de faute caractérisant une négligence grave.

Confirmation de l’arrêt d’appel :
La Cour a rejeté le pourvoi de BNP Paribas, confirmant que la négligence grave de M. [J] n’était pas établie.

Conséquences juridiques

Encadrement des obligations des utilisateurs :
Cette décision limite la portée de la "négligence grave" en tenant compte des techniques de fraude sophistiquées, telles que le spoofing, qui réduisent la vigilance des utilisateurs.

Renforcement des responsabilités des banques :
Les banques doivent renforcer leurs systèmes de détection des fraudes et ne peuvent se décharger de leur responsabilité sur leurs clients en l’absence de preuves claires de négligence grave.

Clarification des litiges liés à la fraude :
Les tribunaux disposent d’une grille d’analyse plus précise pour évaluer les responsabilités en cas d’opérations frauduleuses.

Évolution par rapport à la jurisprudence antérieure

Arrêt du 18 mai 2022 (Cass. com., pourvoi n° 21-11.345) :
La Cour avait exclu la négligence grave dans un cas de phishing via courriel. L’arrêt de 2024 confirme cette logique, étendue au spoofing téléphonique.

Arrêt du 25 juin 2013 (Cass. com., pourvoi n° 12-14.423) :
Dans cet arrêt, la Cour avait admis une négligence grave en cas de divulgation délibérée d’informations bancaires. L’arrêt de 2024 nuance cette approche en fonction du contexte de fraude.