Une récente décision de la Cour de cassation (chambre commerciale, financière et économique, 15 janvier 2025, K 23-13.579) rappelle un principe essentiel pour les entreprises et les particuliers : lorsqu’un client victime d’une fraude bancaire a commis une négligence grave, sa banque n’a aucune obligation de le rembourser, même si elle-même a fait preuve de laxisme dans la surveillance des comptes.
Une intrusion informatique à l’origine de la fraude
Deux entreprises appartenant au même groupe ont perdu près de 500.000 euros à la suite d’une attaque informatique. Tout a commencé lorsqu’un comptable a reçu un courriel malveillant rédigé en anglais, dépourvu de justification claire. Malgré ces signaux d’alerte, le salarié a ouvert le message contenant un cheval de Troie, permettant ainsi à un escroc de prendre le contrôle de son ordinateur.
L’attaquant a réalisé six virements bancaires vers des bénéficiaires étrangers, détournant ainsi une importante somme à l’insu des entreprises lésées. Devant la gravité du préjudice, ces dernières ont saisi la justice pour obtenir le remboursement des virements non autorisés, conformément à l’article L.133-18 du code monétaire et financier.
Règle générale : la banque doit rembourser… sauf en cas de négligence grave
L’article L.133-18 du code monétaire et financier pose le principe selon lequel la banque doit rembourser les opérations frauduleuses si son client n’en est pas à l’origine. Toutefois, cette obligation comporte une exception de taille : aucune indemnisation n’est due en cas de « négligence grave » du client.
Dans l’affaire en question, le courrier électronique à l’origine de la fraude présentait clairement des éléments suspects (rédaction en anglais sans raison apparente, pièces jointes douteuses, etc.). Ces indices auraient dû alerter le comptable et l’inciter à plus de prudence. Pour la Cour, le manquement à cette vigilance basique s’apparente à un comportement particulièrement fautif.
Des condamnations d’abord partagées…
En première instance, puis en appel, les juges ont reconnu que la banque avait elle aussi commis des erreurs. Selon le communiqué de la Cour de cassation, l’établissement financier n’avait « tenu compte ni des alertes d’un organisme de surveillance des attaques informatiques, ni de nombreuses tentatives de connexion le jour des faits » – on parle ici d’une centaine de signaux inhabituels.
Les juges d’appel ont donc estimé que cette carence de la banque justifiait un partage de responsabilité : elle a été condamnée à rembourser la moitié de la somme détournée, considérant qu’elle n’avait pas fait preuve de la vigilance requise pour des opérations d’un tel montant et dans un contexte manifestement frauduleux.
…Mais la Cour de cassation tranche en faveur de la banque
Malgré cette décision intermédiaire, la plus haute juridiction commerciale française a donné raison à la banque. Elle a en effet jugé que la « négligence grave du client libère la banque de tout partage de responsabilité ».
Autrement dit, si le comportement du titulaire du compte est jugé suffisamment fautif, la banque ne peut être tenue de rembourser même une partie des sommes perdues. Cette solution vaut même si la banque a manifestement manqué à son propre devoir de surveillance et de diligence dans la gestion du compte concerné.
Un rappel qui incite à renforcer la sécurité informatique
Cette affaire illustre combien la cybersécurité est cruciale pour les entreprises, y compris dans leurs communications quotidiennes. L’ouverture non contrôlée d’un simple courriel malveillant peut conduire à des fraudes massives et placer les salariés au cœur des dispositifs de sécurité.
Pour limiter les risques :
• Formations et sensibilisations : Les employés doivent être régulièrement informés des méthodes de phishing et d’hameçonnage, avec une attention particulière sur la langue, le style, ou les pièces jointes inhabituelles.
• Politiques de protection renforcées : L’installation d’antivirus, de pare-feu et la mise à jour systématique des logiciels sont indispensables.
• Procédures internes : Mettre en place des validations multiples pour tout virement significatif peut freiner les tentatives d’escroquerie.
Un signal fort pour les tribunaux et les acteurs bancaires
La décision de la Cour de cassation confirme la rigueur du cadre légal : lorsque le client fait preuve d’une légèreté considérable face à un risque évident, il s’expose à supporter seul les conséquences financières d’une éventuelle fraude.
Cela met également en lumière les pouvoirs et responsabilités des banques. Leur obligation de vigilance demeure, mais elle ne prime pas sur la faute grave du client. Les établissements financiers disposent donc d’un argument juridique solide pour refuser tout remboursement s’ils parviennent à démontrer que la victime n’a pas su se prémunir contre un danger caractérisé.
Au final, cette affaire illustre combien la sécurité informatique relève d’une responsabilité partagée. Les banques sont tenues de déployer des systèmes de détection et de prévention performants, mais les usagers, eux, doivent adopter des comportements exemplaires. Faute de quoi, la justice n’hésitera pas à les priver de tout recours en cas de fraude avérée.