I. Le cadre juridique du paiement bancaire non autorisé

A. La définition légale et la typologie

Le CMF consacre une approche claire :

Selon l’article L133-23, une opération est autorisée si le payeur a donné son consentement.

À défaut, l’opération est réputée non autorisée, et la banque doit immédiatement rembourser son client.

Trois formes de paiements non autorisés peuvent être identifiées :

Les fraudes externes : piratage de cartes, hameçonnage, vol d’identifiants.

L’usurpation d’identité : utilisation frauduleuse d’informations personnelles pour initier une transaction.

Les erreurs techniques : opérations déclenchées sans instruction réelle du client.

Cette catégorisation montre que l’absence d’autorisation peut résulter aussi bien d’un fait du tiers malveillant que d’un dysfonctionnement bancaire.



B. L’obligation de remboursement de la banque

Le principe est posé à l’article L133-18 CMF : « En cas d’opération de paiement non autorisée, le prestataire de services de paiement du payeur rembourse immédiatement ce dernier du montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération n’avait pas eu lieu. »

Cette règle transpose les dispositions de la Directive européenne 2007/64/CE (DSP1), reprise et renforcée par la Directive (UE) 2015/2366 (DSP2). La DSP2 introduit notamment l’obligation d’authentification forte (Strong Customer Authentication – SCA), afin de limiter les fraudes.

La jurisprudence confirme que la banque supporte une obligation de sécurité renforcée. Ainsi, dans un arrêt du 28 mars 2018 (Cass. com., n° 16-20.018), la Cour de cassation a rappelé que le simple fait que les transactions aient été réalisées avec les identifiants corrects ne suffisait pas à démontrer l’autorisation du client.



C. La responsabilité limitée du client

Le client ne peut être tenu responsable que dans deux cas :

La fraude : lorsque le client est lui-même à l’origine de l’opération frauduleuse.

La négligence grave : par exemple, divulgation volontaire de ses codes confidentiels, conservation du code PIN avec la carte, absence de vigilance manifeste.

La banque doit en rapporter la preuve. Or, la jurisprudence adopte une interprétation restrictive de cette notion :

La Cour de cassation exige des éléments précis pour caractériser la négligence (Cass. com., 25 octobre 2017, n° 16-11.644).

La CJUE, 11 novembre 2020, DenizBank (C-287/19), a rappelé que l’utilisation d’un code PIN ne constitue pas en soi une preuve d’autorisation et ne suffit pas à renverser la charge de la preuve.

Ainsi, le législateur et le juge tendent à protéger l’utilisateur en plaçant une présomption de responsabilité sur la banque.



II. Le contentieux du paiement non autorisé : vers une structuration du droit bancaire


A. Une jurisprudence abondante et protectrice

Les juridictions françaises et européennes adoptent une approche largement favorable au consommateur. Elles rappellent que la banque, en tant que professionnel, dispose de moyens techniques et doit assumer les risques liés à l’insécurité numérique.

En France, de nombreux jugements de proximité ont condamné les banques qui se retranchaient derrière de simples présomptions techniques (ex. TGI Nanterre, 21 février 2019).

Au niveau européen, la CJUE insiste sur la rigueur des conditions du consentement (CJUE, 25 janvier 2022, aff. C-356/20). Ces arrêts contribuent à une harmonisation du droit bancaire dans l’Union.



B. Une fonction structurant le droit bancaire

Le contentieux du paiement non autorisé est structurant à trois égards :

Normatif : il précise l’application des articles L133-18 et L133-23 CMF et complète les directives DSP1 et DSP2.

Jurisprudentiel : il clarifie la notion de « négligence grave », la charge de la preuve, et renforce la protection du consommateur.

Pratique : il incite les banques à renforcer la cybersécurité et à investir dans l’authentification forte (double facteur, biométrie).

Ainsi, chaque litige contribue à consolider l’architecture juridique des paiements électroniques.



C. Les perspectives d’évolution

À l’avenir, le contentieux devrait encore se développer, notamment avec :

Les paiements instantanés (SEPA Instant Credit Transfer), qui accroissent les risques de fraude.

L’émergence des crypto-actifs et de la finance décentralisée (DeFi), où la notion d’« opération autorisée » devra être réinterprétée. Le rôle croissant des prestataires tiers (fintech, néobanques) soumis aux règles de la DSP2 mais présentant des failles de sécurité propres. Le juge et le législateur devront trouver un équilibre entre innovation, fluidité des paiements et sécurité juridique.




Conclusion

Le paiement bancaire non autorisé, en apparence simple litige technique, constitue en réalité un contentieux structurant du droit bancaire. En arbitrant entre protection du consommateur et exigences de sécurité bancaire, la jurisprudence et la législation redéfinissent progressivement les contours de la responsabilité des acteurs financiers.

Ce contentieux illustre la capacité du droit bancaire à s’adapter aux défis de la digitalisation et à poser les bases d’une régulation équilibrée des paiements électroniques. Il continuera à se développer à mesure que de nouvelles technologies, telles que les paiements instantanés et les crypto-actifs, viendront bouleverser les équilibres actuels.


Sources:
Textes
Code monétaire et financier, art. L133-16 à L133-25.
Directive (UE) 2015/2366 (DSP2) sur les services de paiement.

Jurisprudence
Cass. com., 28 mars 2018, n° 16-20.018 (charge de la preuve).
CJUE, 11 nov. 2020, DenizBank, aff. C-287/19 (consentement et sécurité).

Doctrine
B. Saintourens, Droit bancaire et financier, LGDJ, 2022.
C. Gavalda et J. Stoufflet, « Paiements non autorisés et responsabilité bancaire », RDBF, 2020.

Rapports
Banque de France, Rapport annuel sur la sécurité des moyens de paiement, 2022.