[Brèves] Sanction à l’absence de mise en œuvre de l’authentification forte

► Il ressort de l'article L. 133-19, V, du Code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252, du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue par le second de ces textes ;

Il résulte, en outre, de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252, du 9 août 2017, que l’article L. 133-44 du Code monétaire et financier, auquel renvoie l’article L. 133-19, V, est entré en vigueur le 14 septembre 2019, dix-huit mois après l’entrée en vigueur du Règlement délégué (UE) 2018/389, de la Commission, du 27 novembre 2017.

Le droit régissant les instruments de paiement a connu d’importantes évolutions à la suite de la transposition, dans notre législation, des dispositions de la Directive (CE) n° 2007/64, du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, dite « DSP 1 » N° Lexbase : L5478H3B  et la Directive (UE) n° 2015/2366, du Parlement et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur, dite « DSP 2 » N° Lexbase : L1744LDX. On doit notamment à ce dernier texte, transposé en France par l’ordonnance n° 2017-1252, du 9 août 2017 N° Lexbase : L1744LDX, l’obligation de recourir à une authentification forte.

Cette notion doit être définie. Pour l’article L. 133-4, f, du Code monétaire et financier N° Lexbase : L5108LGB, il s’agit d’« une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l’utilisateur connaît), "possession" (quelque chose que seul l’utilisateur possède) et "inhérence" (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ». L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

L’article L. 133-44 du Code monétaire et financier N° Lexbase : L1482MHD prévoit alors que cette authentification forte doit être obligatoirement appliquée dans trois cas :   

• lorsque le payeur accède à son compte de paiement en ligne ;
• lorsque le payeur initie une opération de paiement électronique ; et enfin
• lorsque ce même payeur exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Des sanctions sont, sans surprise, envisagées si le recours obligatoire à cette authentification forte n’est pas respecté. Celles-ci ont vocation à jouer tant en présence d’opérations de paiement non autorisées que d’opérations mal exécutées. La première hypothèse citée retiendra notre attention.

L’article L. 133-19 du Code monétaire et financier N° Lexbase : L5118LGN prévoit ainsi un cas d’irresponsabilité du payeur particulier : celui-ci ne supportera aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement de ce même payeur n’ait exigé l’authentification forte de ce dernier (C. mon. fin., art. L. 133-19, V). Le prestataire de services de paiement du payeur assumera, par conséquent, l’entière dépense de l’opération en question du fait de l’absence de cette dernière.

Or, jusqu’ici, la Cour de cassation n’avait pas eu l’occasion de se prononcer sur cette dernière disposition légale. La décision du 30 août 2023, qui porte sur ce sujet, attire alors l’attention du lecteur.

Faits et procédure. En réponse à un appel téléphonique et à un message, M. X. avait communiqué à un tiers, qu'il pensait être un employé de la banque Y. auprès de laquelle il avait ouvert un compte, le code à six chiffres (dénommé « 3D Secure »), destiné à valider les paiements par internet à partir de ce compte. À la suite de cette communication, un paiement, non réalisé par l’intéressé, avait été effectué le 27 janvier 2020. M. X. avait alors demandé à la banque de lui rembourser la somme qui avait été prélevée à ce titre et de réparer son préjudice

Cependant, faisant valoir que ce client avait commis une négligence grave en communiquant volontairement un code de sécurité validant une opération financière à une personne extérieure, la banque Y. s’était opposée à sa demande.

Le tribunal judiciaire de Clermont-Ferrand avait pour sa part, par un jugement du 13 janvier 2022, rejeté l'intégralité des demandes de M. X. Celui-ci avait alors formé un pourvoi en cassation.

Décision. Ce dernier se révèle utile puisque la Haute juridiction casse le jugement des magistrats auvergnats.

D’abord, il ressort de l’article L. 133-19, V, du Code monétaire et financier que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l'opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n'exige une authentification forte du payeur prévue par le second de ces textes.

Ensuite, il résulte de l'article 34, VIII, 3°, de l'ordonnance n° 2017-1252, du 9 août 2017 N° Lexbase : L4211LG3, que l’article L. 133-44 du même code (renvoie l’article L. 133-19, V), est entré en vigueur le 14 septembre 2019, dix-huit mois après l'entrée en vigueur du Règlement délégué (UE) n° 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 N° Lexbase : L5188LIY par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.

Or, pour rejeter la demande de M. X., le jugement avait retenu qu’il avait commis une négligence grave en faisant confiance à une personne qu'il ne connaissait pas et qui lui racontait une histoire assez peu crédible.

Dès lors, en se déterminant ainsi, sans rechercher, comme il lui incombait, si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l'authentification forte du payeur, la tribunal n’avait pas donné de base légale à sa décision.

Observations. Voilà une solution importante. Elle rappelle que le régime mis en place par la « DSP 2 », concernant l’authentification forte, est particulièrement protecteur pour le payeur. Si la banque n’a pas respecté cette obligation, et a donc permis la réalisation de paiement par le simple recours au 3D Secure, elle se voit tenue de rembourser l’opération ainsi passée.

Mais depuis quand l’obligation liée à l’authentification forte doit-elle être respectée ? La décision étudiée nous l’indique : depuis le 14 septembre 2019, c’est-à-dire dix-huit mois après l’entrée en vigueur du Règlement délégué (UE) n° 2018/389, de la Commission du 27 novembre 2017.

Or tous les établissements de crédit appliquaient-ils l’authentification forte, dans notre pays, à cette date ? On peut légitimement en douter. En effet, il faut rappeler que nombre des professionnels concernés par cette évolution n’étant pas prêts au 14 septembre 2019, l’Autorité bancaire européenne avait décidé de repousser cette entrée en vigueur (J. Lasserre-Capdeville, Où en sommes-nous de l'entrée en vigueur des dispositions nouvelles relatives à l’authentification forte ?, JCP E, 2020, 567). Celle-ci a finalement été opérée le 15 mai 2021

L’arrêt étudié démontre dès lors que, malgré ce report de l’ABE, les juges prennent en considération la date du 14 septembre 2019 pour se prononcer sur le remboursement des opérations passées sans recourir à l’authentification forte. Voilà qui pourrait se révéler redoutable pour les établissements de crédit !

© Reproduction interdite, sauf autorisation écrite préalable