Le 12 juin dernier, la Cour de cassation a rendu publiques quatre décisions qui feront date dans le domaine du droit bancaire. Trois d’entre elles portaient sur la fraude aux opérations de paiement, tandis qu’une quatrième concernait la situation particulière d’un client mineur. Ce faisceau de décisions confirme une tendance lourde : la montée en puissance du contentieux contre les banques et, plus encore, l’augmentation des condamnations prononcées à leur encontre. Pendant longtemps, les établissements financiers avaient réussi à tirer leur épingle du jeu,
invoquant des règles qui leur étaient favorables et laissant bien souvent les clients victimes assumer seuls les pertes. Les juges ont choisi de rééquilibrer ce rapport de forces, au profit des consommateurs.
Il faut dire que la fraude aux virements bancaires est devenue un véritable fléau. Phishing, usurpations d’identité, ordres de virement falsifiés ou usurpés : les arnaques exploitent la rapidité et l’irréversibilité des paiements numériques. Jusqu’ici, lorsqu’un client se retrouvait victime, la banque invoquait régulièrement l’article L.133-23 du Code monétaire et financier, qui impose à l’utilisateur de prouver que l’opération contestée n’a pas été autorisée. Dans la pratique, cette règle se traduisait par une difficulté immense pour les consommateurs, qui n’avaient ni les moyens techniques ni les outils de contrôle pour apporter une telle démonstration. Le résultat était prévisible : le client supportait les pertes, et la banque se retranchait derrière une simple preuve d’authentification, comme l’envoi d’un SMS ou la validation via une application.
Or, les arrêts du 12 juin changent profondément la lecture de ce dispositif. La Cour de cassation rappelle d’abord que la sécurité des opérations de paiement est une obligation qui pèse directement sur les établissements bancaires. Les dispositifs d’authentification technique, aussi sophistiqués soient-ils, ne suffisent plus à dégager leur responsabilité. Une banque ne peut plus se contenter de dire : « le client a reçu un SMS de validation, donc l’opération est authentifiée ». Elle doit désormais démontrer qu’elle a exercé une vigilance globale sur la cohérence de l’opération.
Le point le plus sensible concerne la correspondance entre le nom du bénéficiaire et le numéro de compte (IBAN). Jusqu’ici, les banques considéraient qu’elles n’avaient aucune obligation de vérifier cette correspondance. Elles exécutaient le virement dès lors que l’IBAN existait et fonctionnait, même si le nom du destinataire était fictif ou manifestement incohérent. Cette position est aujourd’hui remise en cause. Les juges estiment que l’absence de vérification peut constituer une négligence fautive, surtout lorsque le virement présente un caractère inhabituel ou suspect.
Désormais, l’exigence est claire : si les conditions d’un virement soulèvent un doute manifeste – par son montant, par son caractère exceptionnel, par la destination ou par l’incohérence des données – la banque doit intervenir. Elle doit alerter le client, voire bloquer temporairement l’opération, faute de quoi sa responsabilité peut être engagée. Dans les trois affaires liées à la fraude, la Cour souligne que la simple mise en œuvre d’une authentification forte ne suffit pas à prouver que le client a véritablement consenti à l’opération. L’analyse du contexte devient essentielle.
Cette évolution bouleverse les pratiques. Les banques vont devoir investir massivement dans des systèmes de contrôle automatisés capables de rapprocher le nom du bénéficiaire de l’IBAN, comme c’est déjà le cas au Royaume-Uni avec le dispositif dit de “confirmation of payee”. Elles devront également renforcer leurs outils de détection des virements atypiques, en s’appuyant sur des algorithmes d’intelligence artificielle et des mécanismes de scoring comportemental. Ce changement s’accompagnera inévitablement de nouvelles obligations d’information auprès des clients, qui devront être avertis que la validation d’un virement ne les protège pas entièrement contre la fraude et que leur vigilance reste indispensable.
Le déplacement de la charge des risques est manifeste. Alors qu’hier encore la banque pouvait se retrancher derrière une interprétation restrictive de ses obligations, elle se voit désormais contrainte de prouver qu’elle a exercé une vigilance active. En d’autres termes, si elle ne parvient pas à démontrer qu’elle a pris toutes les mesures nécessaires, elle devra indemniser le client victime. Cette réorientation pourrait bien provoquer une hausse significative du contentieux, car les consommateurs se sentiront désormais légitimes à engager des recours pour obtenir réparation.
Évidemment, la doctrine bancaire s’inquiète. Certains professionnels dénoncent un déséquilibre au détriment des établissements, qui devront supporter un coût accru lié à la mise en place de dispositifs techniques de contrôle. D’autres craignent que cette exigence de vigilance permanente ne ralentisse les opérations, alors que la rapidité d’exécution est l’un des atouts majeurs des paiements électroniques. Mais la Cour a tranché : face à des escroqueries toujours plus sophistiquées, ce sont les banques, et non les particuliers isolés, qui disposent des moyens nécessaires pour garantir la sécurité des transactions.
Les associations de consommateurs, quant à elles, saluent une avancée décisive. Les arrêts du 12 juin redonnent confiance dans les paiements en ligne et posent les bases d’une meilleure protection des clients. Le mouvement est d’ailleurs européen : la directive sur les services de paiement (DSP2) avait déjà introduit l’authentification forte, mais la Commission réfléchit à aller plus loin en imposant à tous les États membres un système de correspondance obligatoire entre le nom et l’IBAN. La France, à travers cette jurisprudence, prend donc une longueur d’avance.
En conclusion, ces décisions de la Cour de cassation marquent un tournant. Elles consacrent une obligation de vigilance renforcée qui transforme la responsabilité des banques et redonne un levier de protection aux consommateurs. Pour les établissements financiers, le défi est immense : il faudra conjuguer sécurité accrue et fluidité des paiements. Pour les clients, c’est une garantie nouvelle que leurs intérêts ne seront plus laissés pour compte en cas de fraude. Une chose est certaine : après ces arrêts, le paysage juridique de la fraude aux paiements ne sera plus jamais le même.
Eleonor ZAMATY
Juriste à l’iepb.
