Dans un précédent article, je vous exposais le système de répartition des pertes prévu dans le Code de droit économique en cas d’opérations de paiement non autorisées consécutives à l’utilisation d’un instrument de paiement.
Il nous reste à déterminer ce que le Code entend par opération « non autorisée ».
L’art. VII.32 du Code est ainsi rédigé :
§ 1er. Une opération de paiement est réputée autorisée si le payeur a donné son consentement à l’exécution de l’ordre de paiement. (…)
§ 2. Le consentement à l’exécution d’une opération de paiement ou d’une série d’opérations de paiement est donné sous la forme convenue entre le payeur et le prestataire de services de paiement et conformément à la procédure convenue. (…) En l’absence de consentement, l’opération de paiement est réputée non autorisée.
§ 4. La procédure de consentement fait l’objet d’un accord entre le payeur et le ou les prestataires de services de paiement concernés.
Les banques et certains auteurs soutiennent que la notion de consentement à une opération de paiement doit s’entendre dans un sens purement technique ; dès lors que la procédure de paiement prévue (dans les conditions générales de la banque) a été respectée, il devrait être considéré que vous avez porté votre consentement à l’opération.
Les banques assimilent ainsi le consentement à la procédure convenue pour l’exprimer : selon elles, si la procédure a été respectée (par exemple, la carte a été utilisée via l’utilisation du code PIN et du lecteur de carte), l’opération est réputée autorisée.
Elles estiment ainsi qu’en prouvant que l’instrument de paiement a été utilisé (obligation d’authentification de l’opération), le cas échéant avec ses codes confidentiels, elles prouvent par la même occasion que cette utilisation a été autorisée par son titulaire légitime.
Cette thèse implique de considérer que les opérations qui ont fait l’objet d’une procédure « d’authentification forte » sont nécessairement réputées autorisées, alors même que l’art. VII 44 CDE (applicable aux opérations non autorisées) s’applique précisément à l’hypothèse d’une opération exécutée via un procédé d’autorisation forte.
Mais surtout, cette thèse revient à vous imposer d’apporter la preuve que vous n’avez pas donné votre consentement.
Or le Code prévoit que lorsque vous contestez avoir autorisé une opération, c’est à votre banque qu’il revient de prouver que vous avez porté votre accord sur l’opération et que pour ce faire « l’utilisation d’un instrument de paiement, telle qu’enregistrée par le prestataire de services de paiement (…) ne suffit pas nécessairement en tant que telle à prouver que l’opération de paiement a été autorisée par le payeur (…) » (art. VII. 42 CDE).
La thèse soutenue par le secteur bancaire entraîne ainsi rien de moins qu’un renversement de la charge de la preuve instituée par le Code.
Il n’est dès lors guère étonnant que cette thèse peine à convaincre nos Cour et tribunaux.
Nos juridictions se prononcent majoritairement en faveur d’une autre thèse, selon laquelle le consentement visé à l’art. VII. 32, §1, CDE s’entend d’un consentement réel qui doit porter sur le montant du paiement, son but et son bénéficiaire.
Dans cette seconde optique, il n’est par exemple pas question d’une opération autorisée si vous retirez des fonds à un distributeur sous la menace d’un couteau ou si vous effectuez un paiement en faveur d’un inconnu en pensant réaliser un investissement, payer une facture à l’un de vos créanciers, ou pour quelque motif sur lequel un fraudeur vous aurait induit en erreur.
Comme j’y ai déjà insisté dans de précédents articles, les règles contenues dans le Code de droit économique qui sont relatives aux services de paiement sont la transposition de la directive européenne PSD 2.
Afin d’interpréter l’article VII. 32 CDE, il est dès lors utile (et en réalité obligatoire) de se tourner vers la disposition de la directive que cet article transpose en droit belge.
Le contenu de cette disposition est le suivant : « Les États membres veillent à ce qu’une opération de paiement ne soit réputée autorisée que si le payeur a donné son consentement à l’exécution de l’opération de paiement » (art. 64, §1er PSD 2).
Elle ajoute que « Le consentement à l’exécution d’une opération de paiement ou d’une série d’opérations de paiement est donné sous la forme convenue entre le payeur et le prestataire de services de paiement. (…) En l’absence de consentement, l’opération de paiement est réputée non autorisée » (art. 64, §1er PSD 2).
La Cour de Justice de l’Union Européenne a récemment été amenée à interpréter cette disposition (ou plus exactement l’art. 54 de la précédente directive PSD 1, mais il s’agit de la même disposition).
Dans son arrêt Eurobank Bulgaria du 11 juillet 2024 (C‑409/22), la Cour énonce clairement :
- « qu’il appartient au prestataire de services de paiement d’apporter la preuve que l’utilisateur des services de paiement a autorisé l’opération de paiement en donnant son consentement à cette opération sous la forme convenue entre les parties. »
Il ne peut dès lors plus être question de suivre l’argumentation d’une banque lorsqu’elle assimile l’authentification d’une opération avec l’autorisation donnée par le payeur ; elle doit rapporter la preuve (1) du fait qu’elle a procédé à l’authentification de l’opération et (2) que l’utilisateur des services de paiement a consenti à cette opération de paiement sous la forme convenue entre les parties.
Il convient d’y insister, car différents auteurs et juridictions (ainsi que l’Ombudsfin) estimaient jusqu’alors qu’une fois la preuve de l’authentification rapportée par la banque, la preuve de l’autorisation devait être rapportée par l’utilisateur (ou à tout le moins, celui-ci devait apporter des éléments rendant plausible cette autorisation).
L’arrêt Eurobank Bulgaria ne permet plus de les suivre.
La charge de la preuve de l’autorisation repose sur la banque en application de la directive.
Il ne lui est par ailleurs pas possible d’y déroger contractuellement, à tout le moins à l’égard des consommateurs (voy. le considérant 33 PSD 1 cité dans l’arrêt et l’art. l’art. VII.2, §4 CDE).
Les modalités de preuve permettant d’établir que le payeur a donné son consentement à l’opération de paiement relèvent quant à elles de chaque droit national.
- Que « Rien (…) ne permet d’ailleurs de considérer que (…) le législateur de l’Union visait uniquement à ce que l’établissement de l’autorisation de paiement se limite à la vérification de la régularité formelle des actes juridiques utilisés pour donner ce consentement ».
Dans un récent commentaire de cet arrêt, le professeur R. STEENNOT écrit qu’il en ressort que même si la procédure convenue a été respectée, il est possible qu’il s’agisse d’une opération de paiement non autorisée.
En authentifiant l’opération (c’est-à-dire en démontrant que l’instrument de paiement a été utilisé, le cas échéant avec ses codes confidentiels), la banque ne rapporte ainsi nullement la preuve de son autorisation.
Il précise à juste titre que même si l’affaire concernait une situation particulière dans laquelle l’ordre de paiement avait été donné par un fraudeur ayant falsifié une procuration, une lecture attentive de l’arrêt montre clairement que la Cour n’a pas voulu limiter la portée de son arrêt à de telles situations (R. STEENNOT, « Betaalfraude: a never ending story ? » RDC 2025/1, p. 88, n°12).
Ce qui me fait dire que la thèse du caractère objectif du consentement (entendez technique) défendue par le secteur bancaire a été rejetée par la Cour de Justice, et ne peut dès lors plus être appliquée par les juridictions nationales.
Ceci m’amène à une troisième thèse, notamment défendue par R. STEENNOT dans l’article que je viens de mentionner.
Selon cet excellent auteur, il (serait nécessaire mais il) suffirait que l’accord du payeur porte – via la procédure convenue – sur le montant à transférer et sur le numéro de compte bancaire à créditer.
Autrement dit, le consentement du payeur doit être réel et non purement technique, mais il ne devrait porter que sur le montant du paiement et sur le compte bancaire à créditer, et non pas sur le but, ni sur le bénéficiaire de l’opération de paiement.
Cet auteur fonde sa théorie sur le caractère neutre de l’opération de paiement, qui s’analyse comme un transfert de fonds de compte à compte indépendamment des raisons sous-jacentes à ce transfert.
A mon sens, un tel fondement ne peut toutefois prévaloir que sous l’angle de la correcte exécution d’une opération de paiement (par le prestataire) et non sous l’angle de son autorisation (par le payeur).
La question du consentement se pose en effet dans le chef du payeur (qui est celui qui doit consentir), et non dans le chef du prestataire.
Une opération peut parfaitement avoir été exécutée moyennant le consentement vicié du payeur (par exemple lorsque les fonds sont versés sur un compte détenu par un fraudeur ou une mule alors que le payeur pensait effectuer un virement sur un compte ouvert à son propre nom), tout en ayant été correctement exécutée par son prestataire (c’est-à-dire conformément aux instructions qui lui ont été données par le payeur).
Il est exact que la notion d’opération de paiement vise le maniement des fonds, leur transfert, et qu’elle doit être distinguée de l’obligation existant entre le payeur et le bénéficiaire (de sorte que la notion d’opération de paiement doit être distinguée de la notion de paiement en droit des obligations).
Une opération de paiement n’en implique pas moins un transfert de fonds vers un bénéficiaire, définit comme « le destinataire prévu de fonds ayant fait l’objet d’une opération de paiement », et non pas seulement un transfert sur un compte bancaire.
Cette troisième thèse m’apparait par ailleurs incompatible tant avec l’équilibre des régimes de partage des responsabilités retenus par la directive PSD 2 qu’avec l’objectif de protection de l’utilisateur qu’elle poursuit.
A mon sens, vous l’aurez compris, c’est donc à bon droit que la jurisprudence majoritaire estime, en Belgique, que le consentement visé à l’art. VII. 32, §1, CDE s’entend d’un consentement réel qui doit porter sur le montant du paiement, son but et son bénéficiaire.
Le 7 octobre 2025
Laurent Frankignoul, avocat