
La directive européenne (et dans la foulée les lois nationales de transposition) pose pour principe que la banque doit rembourser à son client les opérations « non-autorisées » (voir notre guide pour les détails), sauf dans deux cas :
Ces deux exceptions présentent des points communs : elles s’expliquent toutes les deux par la nécessité de responsabiliser le client qui n’agit pas correctement, soit parce qu’il est malhonnête, soit parce qu’il est gravement négligent. Il n’y a pas de raison que la banque couvre les comportements frauduleux ou gravement négligents.
Ces deux exceptions présentent aussi des divergences : on ne saurait mettre sur un pied d’égalité un client qui tente de frauder, et un client qui se montre négligent (même gravement). Le premier est animé par une intention coupable, tandis que le second peut simplement avoir eu un moment de relâchement ou commis une erreur d’appréciation, ce qui peut arriver à tout le monde.
Appliquer le concept de négligence grave dans les cas particuliers, a été extrêmement difficile pour les cours et tribunaux. On constate une énorme divergence en fonction des sensibilités de chaque tribunal, et de sa compréhension de la directive.
Très souvent, on constate que la discussion évolue vers le critère de « détectabilité » : la fraude était-elle, ou non, détectable, pour une personne prudente placée dans la même situation ?
L’idée est la suivante : lorsque la fraude est sophistiquée au point d’être non-détectable, on peut difficilement reprocher au payeur de s’être fait piéger, tandis qu’une fraude moins sophistiquée, dite détectable, sera plus facilement mise à charge du payeur à qui on reprochera, au titre de la négligence grave, de ne pas l’avoir détectée.
Le critère de détectabilité n’est pas parfait :
D’un récent arrêt Veracash du 1er aout 2025 de la CJUE, on retient que :
Dans un récent arrêt du 12 juin 2025, la Cour de cassation française a jugé que ne commet pas de négligence grave dans la conservation et l’utilisation de ses données personnelles de sécurité, une société dont la salariée effectue des opérations sur le service de paiement en ligne pour reconstituer des écritures, à la demande d’une personne qui, par téléphone, se faisant passer pour un technicien de la banque dont il a usurpé le numéro, lui donne des informations de nature à conforter la thèse d’une panne informatique.
Le raisonnement de la Cour est le suivant : « Après avoir exactement énoncé que, dans l’hypothèse d’ordres de paiement non autorisés, il appartient à la banque de fournir les éléments afin de prouver la faute ou la négligence grave commise par sa cliente, l’arrêt, se fondant sur les auditions par les services d’enquête du dirigeant et de l’employée de la société, retient que la secrétaire de cette société avait reçu un appel téléphonique d’un soi-disant employé de la banque l’avertissant d’une panne informatique qui avait fait disparaitre les écritures du matin, et qu’à la demande de l’escroc, cette employée, après s’être connectée au service de paiement en ligne à l’aide du dispositif de sécurité personnalisé mais sans le mot de passe, avait effectué diverses manipulations afin de reconstituer les écritures sans se méfier de son interlocuteur qui ne lui demandait pas de mot de passe. Il relève que la circonstance que l’escroc ait pu usurper un numéro de téléphone de la banque et annoncer le code qui s’affichait sur l’écran de l’utilisatrice était de nature à persuader celle-ci qu’elle était en relation avec un technicien. Il ajoute que la connaissance par son interlocuteur des opérations réalisées avant l’appel et de leur disparition pouvait la conforter dans la croyance qu’un incident informatique était survenu. Il retient encore que l’historique des opérations versé aux débats par la société révèle que le numéro d’abonné du titulaire de la carte de transfert sécurisé n’était pas attaché à la validation des tiers. »
Le raisonnement paraît correct, mais il est malheureusement beaucoup trop attaché aux faits et ne permet pas de dégager une définition neutre sur le plan factuel.
C’est tout l’intérêt de l’arrêt rendu ce 29 juin 2026 par la Cour de cassation belge. Pour la première fois, une Cour suprême s’approche de ce qui ressemble à une définition neutre de la négligence grave, que les praticiens peuvent dorénavant appliquer aux cas d’espèce.
Reprenant à son compte l’exigence de « manquement qualifié à l’obligation de vigilance » qui ressort de l’arrêt de la CJUE, la Cour de cassation juge que :
« Il y a négligence grave […] lorsque le payeur adopte un comportement, ou s’abstient d’adopter un comportement, qu’un payeur raisonnable, normalement prudent et diligent, n’aurait jamais adopté ou n’aurait jamais omis d’adopter. » (traduction libre de l’arrêt en langue néerlandaise)
Cette définition appelle les commentaires suivants :