Par cinq arrêts rendus le 18 janvier, la Cour de cassation a rappelé qu’un établissement financier doit apporter la preuve qu’un utilisateur d’un moyen de paiement, qui nie avoir effectué un achat, a agi frauduleusement ou a communiqué à un tiers ses données personnelles ou identifiants par sa négligence. Il ne peut pas se baser sur des suppositions pour refuser le remboursement des sommes indûment débitées. Dans l’arrêt qui concerne le Crédit mutuel de Wattignies, ce dernier avait prétendu, sans toutefois en apporter la démonstration, que son client avait dû être victime d’une action de phishing et qu’il avait dû communiquer ses mots de passe, identifiant et code de clefs en réponse à un email. Dans un autre arrêt impliquant le Crédit mutuel de Quesnoy-sur-Deule, celui-ci avait affirmé que son client avait dû donner ses informations confidentielles permettant un paiement Payweb sans davantage en apporter la preuve.
A l’occasion de ces affaires, la Cour a considéré que les juridictions de première instance de Lille, Douai et Montreuil-sur-Mer avaient justement accueilli les demandes de remboursement, faute pour la banque d’avoir apporté la preuve d’une fraude ou d’une négligence de ses clients. Certes les articles L. 133-16 et 17 du code monétaire et financier imposent à l’utilisateur d’un service de paiement de prendre « toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés » et d’avertir le prestataire de service de toute utilisation non autorisée de son instrument de paiement ou de ses données personnelles. Toutefois rappelle la Cour, les articles L. 133-19 et 23 imposent à la banque d’apporter la preuve de la fraude qu’elle invoque ou de la négligence de son client. Cette preuve ne peut pas consister en la simple déduction du fait que le titre de paiement ou les données confidentielles aient été utilisés pour effectuer des achats frauduleux.