Nous avons déjà examiné les obligations qui vous incombent en tant qu’utilisateur d’un instrument de paiement.
Je passerai à présent en revue les différentes obligations que le Code de droit économique impose à votre banque lorsqu’elle preste des services de paiement :
1. Garantir la confidentialité des données de sécurité personnalisées
Votre banque doit s’assurer que les données de sécurité personnalisées de votre instrument de paiement ne soient pas accessibles à d’autres personnes que vous.
Les travaux préparatoires (d’une version antérieure de la loi, mais dont la pertinence reste d’actualité) précisent qu’il s’agit d’« une véritable obligation de résultat (dans le chef du) prestataire de services de paiement : il doit prendre toutes les mesures qui s’imposent pour garantir la confidentialité vis-à-vis de tiers du numéro d’identification personnel ou de tout autre code d’identification de l’utilisateur. Pour assurer le respect de cette obligation de confidentialité, le prestataire doit également prendre des mesures au sein de son entreprise afin de faire respecter cette obligation par son personnel. Le non-respect de cette obligation rend le prestataire de services de paiement entièrement responsable des conséquences ».
Cette obligation de la banque ne porte toutefois pas préjudice à l’obligation que vous avez de préserver la sécurité des codes personnels qui permettent l’utilisation de votre instrument de paiement.
Si votre banque n’a pas respecté cette obligation de garantir que les données de sécurité personnalisées de votre instrument ne soient pas accessibles à des tiers, elle sera responsable de toutes les conséquences résultant de l’usage d’un instrument de paiement par un tiers non autorisé (quand bien même vous auriez commis une négligence grave, mais pour peu que vous n’ayez pas agi frauduleusement).
En pratique, il n’est toutefois guère aisé de se prévaloir d’un éventuel non-respect de son obligation de garantir la confidentialité des données de sécurité par la banque, car vous êtes difficilement en mesure de savoir si votre banque a pris ou non les mesures nécessaires pour assurer cette obligation spécifique de confidentialité.
2. Supporter les risques de l’envoi de l’instrument
Le Code fait interdiction à votre banque de vous envoyer un instrument de paiement que vous n’avez pas demandé (sauf pour remplacer un instrument de paiement dont vous disposez déjà).
Mais surtout, lorsque votre banque vous envoie un instrument de paiement, c’est elle qui supporte le risque lié à son envoi ou à l’envoi des moyens qui en permettent l’utilisation (en particulier toute donnée de sécurité personnalisée).
Un excellent auteur de doctrine (M.D. WEINBERGER) relève à cet égard qu’il n’est « pas davantage possible pour le prestataire de services de paiement de reporter anticipativement sur l’utilisateur le risque résultant de l’envoi d’un instrument de paiement, par l’effet d’une disposition contractuelle lui imposant, par exemple, de signaler un changement d’adresse. Ceci ne serait pas davantage possible en stipulant que le manquement à cette obligation serait constitutif d’une négligence grave ».
Il appartient dès lors à la banque de vérifier le caractère actuel de votre adresse avant de vous envoyer un instrument de paiement.
C’est notamment en raison de cette obligation imposée à votre banque de supporter les risques de l’envoi d’une carte bancaire que vous êtes protégés dans le cadre d’une fraude assez récente sur laquelle l’OMBUDSFIN a voulu attirer votre attention dans son dossier du mois de septembre 2024 :
Cette nouvelle fraude consiste, pour les fraudeurs, à demander une déviation de votre courrier à Bpost (soi-disant en votre nom) et à usurper ensuite votre identité en contactant Card Stop pour faire bloquer votre carte et obtenir que la carte de remplacement leur soit finalement livrée à l’adresse de transfert, le cas échéant avec un nouveau code PIN.
Les travaux préparatoires évoqués plus haut précisent qu’il « appartient dès lors au prestataire de services de paiement de fournir la preuve de l’envoi et de la réception » ; concrètement, en cas de fraude, ce sera à votre banque de prouver que l’usage frauduleux de l’instrument de paiement a été effectué après que vous ayez réceptionné votre instrument.
3. CARD STOP et HELPDESK
Votre banque doit veiller à la disponibilité, à tout moment, de moyens appropriés vous permettant de procéder à la notification de la perte, du vol, du détournement ou de toute utilisation non autorisée de votre instrument de paiement ou de demander le déblocage de votre instrument de paiement.
Les travaux préparatoires mentionnés plus haut énoncent qu’« en d’autres termes, il s’agit de mettre à disposition un système permettant de fonctionner 24 heures sur 24 et 7 jours sur 7. Vu l’importance de la “notification”, y compris le moment exact de celle-ci, du vol ou de la perte, dans le partage des risques entre le prestataire de services de paiement et l’utilisateur, ce dernier doit pouvoir fournir la preuve de la notification, surtout quand celle-ci se fait par téléphone, en instaurant un système d’identification de la notification téléphonique. Il peut s’agir de l’octroi d’un numéro de dossier concomitant à l’appel qui prouvera que la notification a bien eu lieu. L’utilisateur pourra s’en prévaloir si le prestataire conteste l’existence ou le moment de la notification. Il est en effet important que ce système d’identification permette de prouver non seulement l’existence de la notification mais encore la date et l’heure. Ce moment est crucial puisque, une fois la notification faite à l’entité désignée, le partage des responsabilités intervient ».
Le Code précise sur ce point que votre banque doit pouvoir vous adresser, sur demande, pendant dix-huit mois à compter de la notification, les moyens de prouver que vous avez bien procédé à cette notification (art. VII. 39, 3°, CDE).
Le Code précise enfin que votre banque a l’obligation de vous fournir gratuitement la possibilité de procéder à cette notification (ce qui implique notamment que le numéro de téléphone mis à disposition par la banque pour effectuer la notification ne peut pas être un numéro payant). Tout au plus pourra-elle vous facturer les éventuels coûts de remplacement de l’instrument de paiement qui aura dû être bloqué (art. VII. 39, 4°, CDE).
A défaut d’avoir respecté son obligation de garantir la disponibilité permanente de moyens appropriés vous permettant de faire la notification ou de demander le déblocage de l’instrument de paiement, votre banque sera responsable de toutes les conséquences résultant de l’usage d’un instrument de paiement par un tiers non autorisé (quand bien même vous auriez commis une négligence grave, mais à nouveau pour peu que vous n’ayez pas agi frauduleusement).
4. BLOQUER L’INSTRUMENT DES LA NOTIFICATION
Votre banque a l’obligation d’empêcher toute utilisation de votre instrument de paiement dès que vous avez effectué la notification visée ci-dessus.
Les travaux préparatoires déjà mentionnés relèvent qu’il s’agit encore d’une obligation de résultat imposée au prestataire, « qui, lui seul a la possibilité d’interrompre l’utilisation de l’instrument. (…). En outre, cette obligation vaut pour “toute” utilisation ultérieure, quelle que soit la manière dont l’instrument de paiement est utilisé, avec l’aide de moyens électroniques ou non ».
Nous verrons dans un autre article (disponible ici) que la banque sera responsable de l’ensemble des pertes qui seraient encourues après la notification, même en cas de négligence grave de votre part.
6. ET BIEN D’AUTRES OBLIGATIONS ENCORE DANS LE CODE DE DROIT ECONOMIQUE ET EN DEHORS DU CODE
Le Code de droit économique fait encore peser d’autres obligations sur votre banque.
Et d’autres obligations, le cas échéant très importantes en pratique, s’imposent encore à votre banque en application d’autres législations ou en application du droit commun.
Nous verrons toutefois que le système légal mis en place pour trancher la question des responsabilités en cas de fraude bancaire repose sur une responsabilité objective de votre banque, c’est-à-dire que celle-ci sera le cas échéant amenée à supporter les pertes liées à la fraude même en dehors de toute faute qu’elle aurait commise.
Je me limite dès lors, dans le présent article, à épingler les obligations dont le non-respect impose à votre banque d’assumer les pertes liées à une fraude bancaire alors même que vous auriez normalement dû assumer ces pertes en application du système de répartition qui sera examiné dans le prochain article.
* * *
Maintenant que vos obligations et celles de votre banque ont été énumérées, nous allons pouvoir, dans le prochain article, détailler le régime légal mis en place pour vous permettre de déterminer qui, de vous ou de votre banque, doit assumer les pertes liées à la fraude bancaire dont vous seriez victime.
A la semaine prochaine.
Le 24 septembre 2025
Laurent Frankignoul, avocat