Votre carte bancaire n’a pas été volée, mais vous constatez des opérations frauduleuses sur votre compte ? Même si votre banque vous assure le contraire, elle devra généralement vous rembourser les montants dérobés. A condition de ne pas lui dire que vous avez communiqué vos informations confidentielles à un tiers !

C’est ce que rappelle un arrêt de la Cour de cassation du 18 janvier. L’affaire porte sur trois paiements effectués à l’été 2013 depuis la région parisienne, via le compte de Franck X.. Opérations frauduleuses, selon ce dernier, qui a expliqué se trouver au moment des faits en vacances dans le Sud. Il a demandé le remboursement des 838 euros en question à sa banque, le Crédit mutuel de Wattignies, une commune de la banlieue de Lille. En vain.

Rejet du pourvoi du Crédit mutuel

Si son client n’a pas lui-même réalisé ces opérations, la banque a présumé qu’un tiers avait agi. Et que compte tenu du système de sécurisation des paiements utilisé par le Crédit mutuel, ce tiers détenait forcément l’identifiant et le mot de passe nécessaires pour se connecter au compte du client et pouvoir réaliser un achat.

La banque a alors supposé que Franck X. avait été victime de « phishing », d’« hameçonnage » – cette fraude consiste à extorquer à quelqu’un des informations personnelles (mot de passe, code, identifiant, etc.) en se faisant passer pour un organisme de confiance, par exemple sa banque. Elle en a déduit que son client avait une part de responsabilité dans ce qui lui était arrivé. Il aurait commis une faute, celle de communiquer les informations confidentielles permettant au fraudeur d’effectuer les trois paiements.

Face à ce refus, Franck X. a décidé d’attaquer le Crédit mutuel. Finalement, les juges lui ont donné raison, en première instance, en 2015, comme en cassation, mi-janvier.

N’avoue jamais, jamais, jamais…

Leur raisonnement est le suivant. Certes, un client ayant agi avec négligence ne peut prétendre à un remboursement en cas de fraude. Le code monétaire et financier le précise en son article L133-16, « dès qu’il reçoit un instrument de paiement, l’utilisateur prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ». Encore faut-il que la banque prouve la négligence.

Car c’est à elle « qu’il incombe de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations », souligne la Cour de cassation. Or, la banque « se bornait à évoquer l’hypothèse d’un hameçonnage, sans en apporter la démonstration ».

« Il est fréquent que certaines banques répondent à leurs clients qu’ils ont été imprudents, pour ne pas les rembourser, et, généralement, ces derniers se laissent intimider », note Thierry Vallat, avocat au barreau de Paris :

« Mais il faut savoir que ce n’est pas comme ça que cela fonctionne ! Si la banque ne peut prouver qu’il y a eu phishing, elle doit vous rembourser. Seul un aveu de votre part peut permettre de prouver que vous êtes responsable. »
« Si vous constatez des opérations frauduleuses sur votre compte et que vous écrivez à votre banque, contentez-vous donc d’indiquer que vous avez été victime d’une fraude, ne dites surtout pas que vous avez communiqué vos informations confidentielles par erreur. »

Moralité de l’histoire : comme dans la chanson qui a représenté la France à l’Eurovision en 1965, « n’avoue jamais, jamais, jamais, oh non jamais »que tu as été phishé !