Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Fraude : la Cour de cassation définit la « négligence grave » du payeur

Publié le par 4 vues

Jusqu’où va la responsabilité d’une victime de phishing ? La réponse dépend de la notion de « négligence grave », mais celle-ci était jusqu’à présent appliquée de manière très variable par les tribunaux. Dans un arrêt du 29 juin 2026, la Cour de cassation belge franchit une étape importante : pour la première fois, elle…

Jusqu’où va la responsabilité d’une victime de phishing ? La réponse dépend de la notion de « négligence grave », mais celle-ci était jusqu’à présent appliquée de manière très variable par les tribunaux. Dans un arrêt du 29 juin 2026, la Cour de cassation belge franchit une étape importante : pour la première fois, elle propose une définition générale de la négligence grave, dans le prolongement de la jurisprudence de la Cour de justice de l’Union européenne. Une décision qui devrait influencer durablement les litiges opposant les banques à leurs clients.

Le principe : la banque doit rembourser les opérations non autorisées sauf dans deux cas (dont la négligence grave)

La directive européenne (et dans la foulée les lois nationales de transposition) pose pour principe que la banque doit rembourser à son client les opérations « non-autorisées » (voir notre guide pour les détails), sauf dans deux cas :

  • La fraude du client lui-même (c’est rare, mais cela arrive) ;
  • Le manquement intentionnel, ou à la suite d’une négligence grave, à une ou plusieurs des obligations qui incombent au payeur.

Ces deux exceptions présentent des points communs : elles s’expliquent toutes les deux par la nécessité de responsabiliser le client qui n’agit pas correctement, soit parce qu’il est malhonnête, soit parce qu’il est gravement négligent. Il n’y a pas de raison que la banque couvre les comportements frauduleux ou gravement négligents.

Ces deux exceptions présentent aussi des divergences : on ne saurait mettre sur un pied d’égalité un client qui tente de frauder, et un client qui se montre négligent (même gravement). Le premier est animé par une intention coupable, tandis que le second peut simplement avoir eu un moment de relâchement ou commis une erreur d’appréciation, ce qui peut arriver à tout le monde.

La « négligence grave » dans les jurisprudences nationales

Appliquer le concept de négligence grave dans les cas particuliers, a été extrêmement difficile pour les cours et tribunaux. On constate une énorme divergence en fonction des sensibilités de chaque tribunal, et de sa compréhension de la directive.

Très souvent, on constate que la discussion évolue vers le critère de « détectabilité » : la fraude était-elle, ou non, détectable, pour une personne prudente placée dans la même situation ?

L’idée est la suivante : lorsque la fraude est sophistiquée au point d’être non-détectable, on peut difficilement reprocher au payeur de s’être fait piéger, tandis qu’une fraude moins sophistiquée, dite détectable, sera plus facilement mise à charge du payeur à qui on reprochera, au titre de la négligence grave, de ne pas l’avoir détectée.

Le critère de détectabilité n’est pas parfait :

  • A l’évidence, si la fraude est indétectable aux yeux d’une personne normalement prudente et diligente, il est probable que la banque ne puisse ni établir ni prouver la négligence grave de son client ;
  • A l’inverse – et c’est là la limite du critère de détectabilité – on ne saurait considérer par principe qu’une fraude détectable équivaut à établir la négligence grave du payeur. Raisonner de la sorte viderait de son sens les termes de la directive, d’autant que le considérant 72 précise que « la négligence grave devrait impliquer plus que la simple négligence et comporter un défaut de vigilance caractérisé »..

La « négligence grave » dans la jurisprudence de la Cour de justice de l’Union européenne

D’un récent arrêt Veracash du 1er aout 2025 de la CJUE, on retient que :

  • La responsabilisation du payeur qui a agi intentionnellement ou de manière gravement négligente prévue à l’article 61, paragraphe 2, de la directive 2007/64 « est une disposition dérogatoire au principe posé par l’article 60, paragraphe 1, de celle-ci et […] doit donc faire l’objet d’une interprétation stricte » ;
  • La CJUE valide la position de l’avocate générale et retient que la négligence grave est une « violation caractérisée d’une obligation de diligence ». En l’occurrence l’avocate générale écrivait que « si la notion de ‘négligence’ implique une action ou omission involontaire par laquelle la personne responsable viole son obligation de diligence, la notion de ‘négligence grave’ ne peut viser qu’une violation caractérisée d’une telle obligation de diligence » ; elle concluait de ceci que « une simple violation du devoir de diligence, ou une ‘simple négligence’, selon les termes de la Commission, ne suffira pas à exclure le remboursement du payeur ». (Dans le même sens, voir Intertanko e.a., 3 juin 2008, C 308/06).
  • « L’exigence d’un lien de causalité entre le comportement du payeur et les pertes qu’il a subies et dont il ne peut obtenir le remboursement de la part de son prestataire de services de paiement est conforme à la mise en balance des intérêts respectifs des utilisateurs de services de paiement et des prestataires de services de paiement, telle qu’effectuée par le législateur de l’Union dans cette directive ».

La « négligence grave » dans la jurisprudence de la Cour de cassation française

Dans un récent arrêt du 12 juin 2025, la Cour de cassation française a jugé que ne commet pas de négligence grave dans la conservation et l’utilisation de ses données personnelles de sécurité, une société dont la salariée effectue des opérations sur le service de paiement en ligne pour reconstituer des écritures, à la demande d’une personne qui, par téléphone, se faisant passer pour un technicien de la banque dont il a usurpé le numéro, lui donne des informations de nature à conforter la thèse d’une panne informatique.

Le raisonnement de la Cour est le suivant : « Après avoir exactement énoncé que, dans l’hypothèse d’ordres de paiement non autorisés, il appartient à la banque de fournir les éléments afin de prouver la faute ou la négligence grave commise par sa cliente, l’arrêt, se fondant sur les auditions par les services d’enquête du dirigeant et de l’employée de la société, retient que la secrétaire de cette société avait reçu un appel téléphonique d’un soi-disant employé de la banque l’avertissant d’une panne informatique qui avait fait disparaitre les écritures du matin, et qu’à la demande de l’escroc, cette employée, après s’être connectée au service de paiement en ligne à l’aide du dispositif de sécurité personnalisé mais sans le mot de passe, avait effectué diverses manipulations afin de reconstituer les écritures sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe. Il relève que la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à persuader celle-ci qu’elle était en relation avec un technicien. Il ajoute que la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu. Il retient encore que l’historique des opérations versé aux débats par la société révèle que le numéro d’abonné du titulaire de la carte de transfert sécurisé n’était pas attaché à la validation des tiers. »

Le raisonnement paraît correct, mais il est malheureusement beaucoup trop attaché aux faits et ne permet pas de dégager une définition neutre sur le plan factuel.

La « négligence grave » dans la jurisprudence de la Cour de cassation belge

C’est tout l’intérêt de l’arrêt rendu ce 29 juin 2026 par la Cour de cassation belge. Pour la première fois, une Cour suprême s’approche de ce qui ressemble à une définition neutre de la négligence grave, que les praticiens peuvent dorénavant appliquer aux cas d’espèce.

Reprenant à son compte l’exigence de « manquement qualifié à l’obligation de vigilance » qui ressort de l’arrêt de la CJUE, la Cour de cassation juge que :

« Il y a négligence grave […] lorsque le payeur adopte un comportement, ou s’abstient d’adopter un comportement, qu’un payeur raisonnable, normalement prudent et diligent, n’aurait jamais adopté ou n’aurait jamais omis d’adopter. » (traduction libre de l’arrêt en langue néerlandaise)

Cette définition appelle les commentaires suivants :

  • Dans son attendu, la cour reprend expressément l’exigence de « manquement qualifié à l’obligation de vigilance » :
  • La cour envisage aussi bien la négligence grave qui résulte d’une action, que celle qui résulte d’une abstention ;
  • Les termes utilisés invitent à une lecture restrictive : il faut établir qu’un payeur raisonnable, normalement prudent et diligent, n’aurait « jamais » agit de la même manière. Dans le même sens, relevons que le communiqué public de la Cour de cassation ajoute un « que » qui prend une saveur particulière : « Phishing – Le payeur n’agit d’une manière gravement négligente […] que lorsqu’il adopte ou s’abstient d’adopter un comportement qu’un payeur raisonnable et normalement prudent n’adopterait jamais ou dont il ne s’abstiendrait jamais. » (nous mettons en italiques)
Droit & Technologies

Annexes

Arret cour de cassation

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK