Après avoir reçu, sur son téléphone mobile, deux messages lui communiquant un code à six chiffres, dénommé « 3D Secure », destiné à valider deux paiements par Internet qu’elle n’avait pas réalisés, Madame Y, le même jour, fait opposition à sa carte bancaire auprès de sa banque.
La banque refuse de rembourser les deux opérations au motif d’une négligence grave de sa cliente, dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.
En effet, répondant à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, elle avait communiqué des informations relatives à son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte.
La banque est néanmoins condamnée à rembourser Madame Y, par le Tribunal, saisi en dernier ressort.
La Cour de Cassation confirme cette décision et précise que la preuve de la négligence fautive de l’utilisateur ne suffit pas.
Se fondant sur les dispositions de l’article L133-23 du code monétaire et financier, elle ajoute que la banque « doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre » (Cass com 12 nov 2020, n°19-12.112)
En l’espèce, cette preuve n’étant pas rapportée, la condamnation de la banque était justifiée.