Un client demandait à sa banque le remboursement de trois prélèvements frauduleux sur son compte bancaire.
Il faisait valoir que même en possession des données de connexion bancaires, un tiers ne devrait pas pouvoir débiter son compte.
Selon lui, la banque avait commis une faute en répondant aux sollicitations et en envoyant sans s'en rendre compte un code secret, pour confirmation du paiement, à une adresse inhabituelle.
La banque de son côté évoquait l'hypothèse du phishing (hameçonnage du client d'une banque pour obtenir des données confidentielles).
Pour elle, le client avait certainement répondu à un mail frauduleux qu'il pensait émaner de sa banque pour qu'il renseigne certains points (identifiants, mots de passe et codes de clefs) permettant de réaliser les opérations à distance.
Pour la Cour de cassation, si l'utilisateur de services de paiement doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, c'est à la banque qu'il appartient de rapporter la preuve que l'utilisateur, qui conteste avoir autorisé une opération de paiement, a agi frauduleusement ou a été particulièrement négligent.
Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
Rappelons par ailleurs que la loi impose à la banque de s'assurer que les dispositifs de sécurité personnalisés d'un instrument de paiement ne sont pas accessibles à d'autres personnes qu'à l'utilisateur autorisé à utiliser cet instrument.
Source