Opération de paiement non autorisée : nouvelle confirmation de la jurisprudence de 2020

Les opérations de paiement non autorisées au sens du code monétaire et financier ont fait l’objet, ces derniers mois, d’une certaine actualité tant la problématique est récurrente et délicate (v. sur l’articulation entre droit commun et droit spécial, Com. 15 janv. 2025, n° 23-13.579 FS-B  et n° 23-15.437 FS-B, Dalloz actualité, 21 janv. 2025, obs. C. Hélaine ; D. 2025. 522 , note J. Lasserre Capdeville ; ibid. 196, point de vue P. Storrer ; RTD com. 2025. 173, obs. D. Legeais ; sur les fraudes téléphoniques, Com. 23 oct. 2024, n° 23-16.267 FS-B, Dalloz actualité, 5 nov. 2024, obs. C. Hélaine ; D. 2024. 2090 , note P. Storrer ; AJ pénal 2024. 578 et les obs. ; RTD com. 2024. 979, obs. D. Legeais ). Nous retrouvons ainsi une décision rendue le 30 avril 2025 par la chambre commerciale de la Cour de cassation qui interroge la bonne articulation des articles L. 133-19, IV et L. 133-23 du code monétaire et financier. Sa publication au Bulletin témoigne d’une volonté de construire ce qui peut, désormais, s’apparenter à une jurisprudence constante.

À l’origine de l’affaire, se trouve une société à responsabilité limitée qui est titulaire d’un compte ouvert dans les livres d’un établissement bancaire. En novembre 2020, un courriel envoyé par un pirate informatique imite une communication de la banque et piège ainsi le dirigeant de la société qui a cliqué sur les liens contenus à l’intérieur dudit courriel. Cette opération a permis au pirate d’ajouter un bénéficiaire et d’opérer sept ordres de virements par le site internet sécurisé de la banque entre le 27 novembre 2020 et le 3 décembre 2020 pour des montants d’environ 20 000 € par opération.

La société titulaire du compte informe son établissement bancaire le 2 décembre 2020 de ce piratage informatique. Des mesures sont ainsi prises par la banque pour récupérer 89 016,51 €. La cliente souhaite, toutefois, obtenir le reliquat des sommes détournées, soit 50 696,49 €. Cependant, la banque s’y refuse.

La société décide, dans ce contexte, de l’assigner en remboursement des sommes débitées en alléguant des opérations non autorisées au sens du code monétaire et financier. Le Tribunal de commerce de Quimper condamne la banque à régler à sa cliente la somme de 50 696,49 €. L’établissement bancaire interjette appel en maintenant son raisonnement sur l’application de l’article L. 133-19, IV, du code monétaire et financier. En cause d’appel, les demandes de la cliente sont rejetées en précisant que le dirigeant a fait preuve de négligence grave en cliquant sur le courriel suspicieux (Rennes, 7 nov. 2023, n° 22/06033, disponible sur Judilibre en libre accès). La société se pourvoit en cassation en arguant de l’absence de preuve par la banque des éléments issus de l’article L. 133-23, alinéa 1^er, du code monétaire et financier s’agissant d’un instrument de paiement doté d’un dispositif de sécurité personnalisé.

L’arrêt rendu le 30 avril 2025 aboutit, en effet, à une cassation pour défaut de base légale. Nous allons examiner pourquoi une telle confirmation de jurisprudence reste encore importante après la solution de principe posée en 2020.

Une méthodologie désormais connue et confirmée

Au préalable, on ne peut que noter une certitude, au moins à hauteur de cassation. Les sept virements sont bien considérés comme des opérations non autorisées au sens du code monétaire et financier. La discussion ne portait, en réalité, que sur la mise en jeu de la négligence grave de l’utilisateur citée par l’article L. 133-19, IV, de ce même code. Nous avons commenté dans ces colonnes un certain nombre de décisions qui, au contraire, plaçaient au cœur de leur solution le caractère autorisé ou non qui demeure bien souvent le nerf de la guerre des instances opposant les banques et leurs clients quand un refus de remboursement apparaît à la suite de fraudes bancaires (v. par ex., Com. 2 mai 2024, n° 22-17.233...