Le Crédit agricole condamné face à un client dans une affaire de sécurité bancaire en ligne

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 03 octobre 2023 à 10h00

Le Crédit agricole a été condamné par la Cour de cassation © Crédit agricole

Devant la Cour de cassation, le Crédit agricole s'est retrouvé au cœur d'un débat juridique majeur concernant la sécurité des transactions en ligne et l'authentification forte. Un client pas assez prudent, d'abord lésé par la Cour d'appel, a finalement obtenu gain de cause.

Dans un arrêt du 30 août 2023, la Cour de cassation a réaffirmé la responsabilité des banques en cas d'opérations de paiement non autorisées, à moins que le client n'ait agi frauduleusement. Cette décision, que nous allons vous expliquer plus en détail, a des implications importantes pour les pratiques de sécurité en ligne des institutions financières et la protection des consommateurs.

Le Crédit agricole avait puni le client pour négligence

La Cour de cassation a posé le principe suivant : sauf en cas d'agissement frauduleux du client, ce dernier ne supporte aucune conséquence financière si une opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n'exige une authentification forte du payeur, comme prévu par l'article L. 133-44 du Code monétaire et financier. Mais que s'est-il passé dans cette affaire ?

Ici, un client de la banque Crédit agricole Centre France (CACF) avait communiqué un code de sécurité à 6 chiffres (« 3D Secure ») à un tiers qu'il pensait être un employé de sa banque. Il avait d'abord été contacté par téléphone et par message.

Après avoir communiqué le code, un paiement non autorisé a été effectué, et la banque avait refusé de rembourser le client, arguant qu'il avait commis une négligence grave. En d'autres termes, qu'il n'avait pas suffisamment fait attention et que ce n'était pas de la responsabilité de l'établissement.

La question de l'authentification forte dans les opérations bancaires est devenue majeure. Mieux, elle est réglementaire © The Digital Artist / Pixabay

La Cour de cassation a considéré que c'était à l'établissement bancaire d'assurer la sécurité nécessaire

Si le tribunal judiciaire de Clermont-Ferrand, puis la Cour d'appel ont confirmé la décision prise par le Crédit agricole, la Cour de cassation a opéré un revirement en cassant le jugement initial. Pour la juridiction suprême de l'ordre judiciaire, la banque devait s'assurer que l'authentification forte avait été effectuée avant de refuser le remboursement. Le Crédit agricole a donc été condamné à verser 3 000 euros au justiciable.

Au sens légal, le Crédit agricole n'a pas proposé une authentification forte sur cette opération. Et la Cour de cassation a rappelé que les établissements bancaires ont l'obligation de mettre en place des mesures de sécurité robustes pour s'assurer que les paiements en ligne sont effectués de manière authentique.

Cette décision peut en tout cas faire jurisprudence pour de futures affaires. Si une banque ne respecte pas les exigences réglementaires et qu'une opération non autorisée se produit, elle ne peut tout simplement pas rejeter la responsabilité sur son client. Des méthodes comme l'authentification à deux facteurs ou les codes de sécurité dynamiques peuvent, et même doivent aider le consommateur à se protéger en cas de tentative de fraude. Et le service juridique de la banque aussi.

Sources : Legalis, Cour de cassation

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Régulation numérique

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Pas_de_Bol

Et même s’il y avait eu une authentification forte, le pigeon aurait aussi transmis ou approuvé la demande face à ses arnaqueur…

Alexol

Je ne suis pas d’accord avec le verdict…
Partout il est écrit de ne pas communiquer son code confidentiel même à son banquier… alors bon faut être ding-ding pour le faire…

Nmut

Oui, mais le jugement porte sur le comportement de la banque qui n’a pas respecté son obligation. Le fait que le client ait été négligeant ne rentre pas en ligne de compte dans ce cas.

Attention à ne jamais se croire plus malin que les autres. Les escrocs savent manipuler les gens, on est jamais à l’abri d’un problème… On va faire une analogie avec les tours de magie: ce n’est pas parce que l’on connait le mécanisme d’un tour qu’un bon prestidigitateur ne peut pas arriver à faire des choses que tu ne comprends pas.

Yorgmald

Je suis intrigué dans cette gestion de ce code, pour certaines action comme un achat à crédit ou application de remboursement on passe par un serveur qui est sécurisé théoriquement mais qui demande ce fameux code. Du coup on se retrouve comment dans les faits si une transaction se produit sans notre accord.
Pour être plus précis si on fait un achat all acces pour une Xbox chez MS en ligne il nous est demandé de donner ses infos dans une session dite chiffrée , peut on avoir confiance ? Même si c’est validé par la bnf ?
Idem avec l’application Naomi du groupe Auchan ?

dante0891

J’ai eu 2 collègues qui ont eu le soucis d’un appel d’un soit disant banquier… Ils avaient toute les infos nécessaire pour mettre à l’aise les personnes (date de naissance, noms, adresse, IBAN…).
Une s’est fait avoir et l’autre non.

Celle qui c’est fait avoir est en galère auprès de la banque et des assurances…

Alexol

Non quand même, tu ne files pas ton code même à ton banquier.
C’est de la négligence, la banque a raison…

Je ne me prétends pas plus malin que ça, les escrocs peuvent m’avoir autrement, je ne dis pas le contraire, comme les tentatives sont de plus en plus élaboré, mais ce cas-ci n’a rien d’élaboré, et la victime, successivement, répond au téléphone puis au message, même pas une seconde il réfléchit.

Métaphoriquement, on ne donne pas le code de son coffre-fort même à son banquier.

Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité.

zoup01

Pour avoir eu le même genre d’appel téléphonique, je confirme qu’il est facile de se faire piéger…
J’ai eu la chance que mon arnaqueur avait en sa possession mon ancien numéro de carte bancaire, la mienne ayant été renouvelée quelque temps auparavant.

malak

« Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité. »
Tu n’es pas d’accord? donc la banque ne devrait avoir aucune obligation de sécurisation? c’est bien sur ça que repose le verdict final.

Ce n’est pas son problème si elle a un accès simplifié au compte bancaire où un seul code à 4 chiffres serait demandé?
Encore heureux qu’il y ai des lois pour contraindre les banques à avoir un minimum de sécurité…

jbobby

Je n’ai pas compris pourquoi au sens légal l’envoi du code 3D secure n’est pas une authentification forte? c’est quoi sinon? une application d’authentification?

Alexol

Ce que je comprends dans cette affaire, c’est que la personne a elle même transmis le code d’authentification… (puisque ça parle de 3d secure)
Pas un accès simplifié donc.