Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur
Affaire ING Bank
Un détenu a reproché en vain à la société ING Bank France d’avoir manqué à son obligation de sécurisation de ses données personnelles : ce dernier affirmait que son ex-épouse, profitant de son incarcération, aurait demandé le changement du code secret permettant d’accéder à son compte épargne ouvert chez ING Bank et aurait ensuite effectué des virements, pour un montant total de 19.000 €, à destination de son compte bancaire Crédit Lyonnais sur lequel elle disposait d’une procuration, avant de détourner les fonds en les virant sur un compte personnel.
Process de sécurisation des données personnelles
Il a été jugé que la société ING Bank France avait respecté ses obligations relatives à la mise à disposition des données de sécurité sécurisées. L’incarcération du détenu ne permet pas d’exclure qu’il soit à l’origine d’une demande de changement de code secret, puisqu’il a parfaitement pu avoir accès à un téléphone ou un ordinateur pendant sa détention. La banque avait bien respecté son process de sécurisation des données personnelles..
Les Conditions Générales Produits d’Epargne et d’Investissement ING Direct prévoient que l’accès au service à distance s’effectue au moyen d’un numéro client et d’un code secret, lesquels sont transmis au client, par plis séparés, au moment de l’ouverture du compte.
Le client peut néanmoins demander un nouveau code secret, en cas de perte ou de vol. En cas d’oubli du code secret, il doit donner sa date de naissance et répondre à plusieurs questions de sécurité. Il choisit alors soit de créer un nouveau code secret en ligne, soit de demander à le recevoir par courrier.
En l’espèce, la banque a été destinataire par le biais de l’espace client du détenu, dont l’accès ne peut se faire que grâce au numéro client, d’une demande de modification de son code secret ; les réponses aux questions de sécurité ayant été fournies, la banque a transmis un nouveau code secret par courrier postal.
Le client lésé ne pouvait donc reprocher à la banque un quelconque manquement quant à la transmission du code secret, qui a été effectuée de façon parfaitement sécurisée. De plus, il n’établissait pas ne pas être à l’origine de cette demande.
Obligations de la banque
L’article 9 du code de procédure civile dispose qu’il incombe à chaque partie de prouver, conformément à la loi, les faits nécessaires au succès de sa prétention. Toutefois, le prestataire de service qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à l’utiliser (article L.133-15 du code monétaire et financier).
Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur (article L.133-23 du même code)
