Payweb comporte pourtant un processus de paiement à distance sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion et puis, pour la réalisation de chaque opération de paiement, la création d’une carte à l’aide d’un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes avant que la banque n’envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement souhaité.

Pour la banque, l’utilisation de ce système de paiement sécurisé impliquait nécessairement que son client a soit divulgué soit laissé à disposition d’un tiers « ses données personnelles » ayant permis d’effectuer les débits litigieux frauduleux et soutenait donc qu’il s’était rendu coupable d’une « négligence grave dans la conservation de des données sécurisées » qui, à elle seule, devait lui faire « supporter l’intégralité de la perte subie ». Une autre hypothèse évoquée par la banque était un « hameçonnage », le client aurait répondu à un courriel frauduleux qu’il pensait provenir de la banque et aurait ainsi fourni à un tiers les identifiant, mot de passe et clefs ayant permis de réaliser les opérations à distance…

Mais le juge de proximitéJur. prox. Lille, 17 mars 2015, Franck X. c/ société Caisse de crédit mutuel de Wattignies. ne l’a pas entendu de cette oreille-là et pour la condamner à rembourser au client les trois débits contestés, il avait retenu qu’il appartenait à l’établissement financier de rapporter la preuve que le client avait dévoilé ses données personnelles à un tiers et c’est la banque, avait-il retenu, qui a commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées ».

Pour approuver le premier juge, la chambre commerciale de la cour de cassationCom., 18 janv. 2017, n° 15-18102, Caisse de crédit mutuel de Wattignies c/ Franck X. relève que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de toute utilisation non autorisée, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19 IV et L. 133-23 du même code, de « rapporter la preuve que l’utilisation, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence à ses obligations », cette preuve ne pouvant se déduire, précise la juridiction suprême, « du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Une saine jurisprudence qui doit conduire les banques à sécuriser encore davantage ces paiements à distance faciles mais dangereux.