Au-travers un cas concret de perte de carte bancaire et d’opérations frauduleuses sur le compte d’un client, nous revenons sur les responsabilités de la banque et du client en cette matière (les “Services de paiement”), à l’instar de celles en cas de phishing.
Cas d’un client qui croyait que sa carte avait été avalée
Un client avait effectué des opérations bancaires sur un automate (ATM) situé au sein d’une agence bancaire. Sa carte y avait été avalée… du moins le croyait-il.
En réalité, alors qu’il retirait ses extraits de compte – selon copie du procès-verbal de son audition ultérieure par la police – le client avait été distrait par un homme derrière lui. Ce dernier lui avait indiqué que deux billets de 5 EUR se trouvaient sur le sol. Après avoir ramassé les deux billets qui s’y trouvaient effectivement, le client avait constaté que l’écran de l’automate bancaire avait changé et qu’il lui était demandé d’insérer sa carte.
Pensant que sa carte avait été avalée, et sans parvenir à la récupérer, il avait quitté l’agence. Le lendemain matin, lors de sa visite à l’agence, le client constatait que sa carte avait en réalité fait l’objet d’une utilisation frauduleuse durant la nuit[4]. Il déclarait alors la perte / le vol de sa carte et la faisait bloquer, tout en sollicitant l’intervention de la banque, en application de l’article 36 de la loi du 10 décembre 2009 relative aux services de paiement[5].
La banque, dont la position était partagée par l’Ombudsfin, avait refusé d’intervenir, invoquant l’article 37 de la loi, au motif que le client avait commis une négligence grave, estimant que l’opposition à la carte bancaire au lendemain des faits était tardive. Le tribunal de première instance de Bruxelles était du même avis et avait débouté le demandeur de sa demande de voir la banque indemniser le client à hauteur de la fraude. Pour le tribunal, l’opposition aurait dû intervenir immédiatement le soir des faits.
Appréciation judiciaire : une carte que l’on croit avalée n’est pas une perte de carte ou un vol de carte
Si loi du 10 décembre 2009 relative aux services de paiement était encore en vigueur au moment des faits[2], les concepts auxquels cette décision font référence sont toujours d’actualité, notamment en matière de phishing.
Pour la Cour d’appel de Bruxelles, le constat – ou la croyance – de l’avalement d’une carte ne s’identifie pas strictement avec la perte, le vol, le détournement ou une utilisation non autorisée de la carte, au sens de la loi.
En l’espèce, seule une disposition contractuelle reprise en fin du Règlement Général des Opérations de la banque (le « RGO ») reprenait, sous forme de « conseil de prudence » – et non d’une obligation contractuelle -, le fait d’avertir Card Stop de « tout incident » pouvant survenir à l’égard de l’utilisation d’une carte de paiement.
Au vu des circonstances de l’espèce, la Cour a estimé qu’une négligence grave dans le chef du client n’était pas démontrée, dès lors que les manœuvres dont ce dernier avait fait l’objet dans l’agence avaient précisément pour objectif de lui faire croire que sa carte avait été avalée et de l’empêcher de comprendre qu’elle lui avait été subtilisée.
Rappel des principes : responsabilités en cas d’utilisation frauduleuse d’une carte de banque
Sous l’égide du droit actuel, à l’instar du phishing, lors d’une opération de paiement passée au moyen d’une carte bancaire volée, la responsabilité des opérations intervenues avant que la perte ou le vol ne soit porté à la connaissance de la banque ne repose sur le titulaire de la carte qu’à concurrence d’un montant de 50 EUR, tandis que si les opérations non-autorisées sont intervenues en vertu d’un comportement frauduleux ou gravement négligent du titulaire, ce dernier supporte l’entière responsabilité de ces opérations.
La négligence est une notion subjective laissée à l’appréciation du juge, mais il va de soi qu’il est attendu du titulaire d’un instrument de paiement qu’il fasse usage de celui-ci conformément aux conditions accompagnant son émission, qu’il prenne toutes les mesures raisonnables pour assurer la sécurité de l’instrument de paiement et la confidentialité des données qui y sont liées, et qu’il prévienne immédiatement l’émetteur de toute perte, vol, utilisation illégale ou non-autorisée de l’instrument[3].
La perception des faits par la victime doit-elle permettre d’apprécier la négligence grave ?
Le Professeur STEENNOT a commenté cette décision, qui soulève une question importante : la perception des faits par le titulaire de la carte en cas de perte doit-elle être prise en considération pour apprécier son éventuelle négligence ?[6]
De la même manière que l’auteur précité, nous pensons qu’il est préférable – et conforme au droit de la responsabilité civile et au principe de sécurité juridique – d’apprécier la situation d’un point de vue objectif et non en tenant compte la manière dont le titulaire de l’instrument de paiement exprime avoir perçu la situation.
L’analyse doit tenir compte de toutes les circonstances de l’espèce et du comportement qu’adopterait une personne prudente placée dans une situation identique.
[1] Bruxelles, 14 novembre 2019, D.B.F., 2020/2, pp. 71 et s., note R. STEENNOT, ”Niet-toegestane betalingstransacties: de kennisgevingsverplichting eng ingevuld”.
[2] C’est aujourd’hui le livre VII du Code de droit économique qui reprend ces dispositions, ces dernières ayant été par ailleurs modifiées suite à la transposition de la Directive « PSD II » 2015/2366 UE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, transposée par la loi du 11 mars 2018 relative au statut et au contrôle des établissements de paiement et des établissements de monnaie électronique, à l’accès à l’activité de prestataire de services de paiement, et à l’activité d’émission de monnaie électronique, et à l’accès aux systèmes de paiement, et par la loi du 19 juillet 2018 portant modification et insertion de dispositions en matière de services de paiement dans différents livres du Code de droit économique
[3] Article VII. 38 du Code de droit économique.
[4] Ce type de cas est fréquent. En 2019, l’Ombudsfin a recensé 95 dossiers de fraude en cas de perte ou de vol de carte (pour 221 dossiers concernant des opérations de paiement non-autorisées à distance). Voy. le rapport annuel de l’Ombudsfin disponible sur http://www.ombudsfin.be.
[5] « Sans préjudice de l’application de l’article 34, le prestataire de services de paiement du payeur doit, en cas d’opération de paiement non autorisée, après une vérification prima facie pour fraude dans le chef du payeur, rembourser immédiatement au payeur le montant de cette opération de paiement non autorisée et, le cas échéant, rétablir le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu, le cas échéant augmenté d’intérêts sur ce montant.
En outre, le prestataire de services de paiement du payeur doit rembourser les autres conséquences financières éventuelles, notamment le montant des frais supportés par le titulaire pour la détermination du dommage indemnisable ».
[6] R. STEENNOT, ”Niet-toegestane betalingstransacties: de kennisgevingsverplichting eng ingevuld”, op. cit., p. 75.
[7] Voy. le considérant 72 de la Directive 2015/2366 UE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ; voy. également Bruxelles, 4 octobre 2005, D.B.F., 2006, 148 et note R. STEENNOT.
[8] R. STEENNOT, op. cit., p. 75, pt 6.