Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7875

de Bert Anciaux (sp.a) du 22 janvier 2013

au vice-premier ministre et ministre de l'Économie, des Consommateurs et de la Mer du Nord

Banques - Fraude commises lors d'opérations bancaires en ligne - Indemnisation du préjudice - Febelfin

criminalité informatique
bancatique
protection du consommateur

Chronologie

22/1/2013 Envoi question
21/2/2013 Réponse

Question n° 5-7875 du 22 janvier 2013 : (Question posée en néerlandais)

J'ai déjà posé cette question précédemment au ministre des Finances (5-7522) qui me renvoie vers le ministre.

Le nombre de cas de fraudes commises lors d'opérations bancaires en ligne connaît une croissance exponentielle. Les montants ainsi détournés au cours des cinq premiers mois de 2012 sont déjà quatre fois plus élevés que sur l'ensemble de l'année 2011. C'est ce que révèlent les chiffres de Febelfin, la fédération du secteur financier.

Jusqu'à présent, toutes les personnes qui, ces dernières années, étaient victimes de ces arnaques en Belgique étaient indemnisées. Mais cette indemnisation ne va manifestement plus de soi. Réagissant à ces annonces, les banques disent qu'elles examinent la situation « au cas par cas » et que l'indemnisation du préjudice n'est pas automatique mais est un « geste commercial ». Tant que le nombre de cas reste limité, l'indemnisation ne semble donc pas poser de problème et les banques remboursent loyalement. Mais, si ces cas de fraude continuent à croitre (et leur hausse est très rapide), les banques seront de moins en moins enclines à faire un « geste ».

D'autres experts qui défendent les intérêts des clients (entre autres Test-Achats) prétendent toutefois que cette attitude n'est pas correcte. Conformément à la loi sur les opérations électroniques, les banques sont tenues d'indemniser le client, sauf négligence grave de sa part. La banque doit en outre pouvoir démontrer la négligence. Reste encore à savoir ce que l'on entend par négligence.

Mes questions sont les suivantes :

1) À quel cadre réglementaire l'indemnisation du préjudice subi par un consommateur lors d'opérations bancaires en ligne est-elle soumise ? Le ministre peut-il donner des explications ?

2) Est-il vrai que les indemnités sont un « geste commercial » des banques ou bien celles-ci sont-elles obligées de rembourser, comme le prétend entre autres Test-Achats ? Le ministre reconnaît-il qu'un traitement « au cas par cas » est inacceptable et que les banques doivent utiliser des critères uniformes pour indemniser les consommateurs victimes d'une fraude lors d'opérations bancaires en ligne ? Pense-t-il qu'il faille à tout le moins préciser le statut juridique du consommateur ?

3) Que faut-il comprendre par « négligence grave » concernant ce genre de cas de fraude ? À qui la charge de la preuve incombe-t-elle ? Ce n'est actuellement pas clair pour les consommateurs. Le ministre pense-t-il comme moi que cette situation soit fâcheuse et que l'argent en tant que moyen de paiement et les opérations de paiement (en ligne) reposent uniquement sur la confiance ? Reconnaît-il qu'en renforçant la responsabilité des consommateurs on risque de saper la confiance dans les opérateurs de paiement en ligne alors qu'il s'agit justement d'une méthode de paiement très efficace ? Estime-t-il comme moi que la sécurité des opérations bancaires en ligne incombe avant tout aux banques ?

4) Les banques tentent de rejeter sur le client la responsabilité de la fraude en ligne prenant pour cible les comptes de paiement, par exemple, en imposant aux clients de disposer d'un antivirus et de le mettre à jour régulièrement. Quelle latitude les banques ont-elles pour exiger des consommateurs une « connaissance de l'internet » minimale et une protection minimale des ordinateurs avant de procéder à l'indemnisation du préjudice ?

5) Le ministre s'est-il déjà concerté avec Febelfin à ce sujet ? Avec quel résultat ?

Réponse reçue le 21 février 2013 :

1. La législation applicable est la loi du 10 décembre 2009 relative aux services de paiement (ci-après LSP), qui est une transposition de la directive européenne 2007/64/CE concernant les services de paiement.

Le point de départ du législateur est qu’il appartient en premier lieu au prestataire de services de paiement de mettre en place ou d’organiser des structures permettant aux opérations de paiement de se dérouler en toute sécurité. C’est donc le prestataire de services de paiement qui est en premier lieu responsable de la sécurité technique et du bon fonctionnement de ses produits et du système de paiement. Dans ce cadre, je peux également, par exemple, renvoyer à certains cas de fraude où le législateur a explicitement prévu que l’entière responsabilité incombe au prestataire de services de paiement lorsque les systèmes de paiement utilisés s’avèrent être insuffisamment sécurisés: paiement via internet en indiquant simplement le numéro de carte et la date d’expiration de la carte (article 37, § 1er, alinéa 3, 1°, LSP), le clonage (skimming) et le piratage (hacking) (article 37, § 1er,, alinéa 3, 2°, LSP).

2. à 4. Il est essentiel, si l’on veut favoriser le paiement électronique comme “instrument quotidien de paiement” par rapport aux paiements en espèces, que cela s’accompagne de suffisamment de garanties en matière de sécurité, d’efficacité et de prix.

Je ne suis pas d’accord quant à l’affirmation selon laquelle les dédommagements par la banque peuvent être qualifiés de « geste commercial », compte tenu du dispositif légal précité.

Le législateur européen, et par conséquent également belge, n’a pas défini la "négligence grave" et a veillé à ne pas la préciser dans la Directive européenne 2007/64/ CE concernant les services de paiement. Dans les considérants de cette directive, au considérant 33, il est également stipulé qu’afin d'évaluer l'éventualité d'une négligence de la part de l'utilisateur de services de paiement, il convient de tenir compte de toutes les circonstances.

Conformément à l’article 37, § 3, alinéa 1er,, LSP, la charge de la preuve en matière de fraude, d’intention ou de négligence grave incombe au prestataire de services de paiement. Si la charge de la preuve incombait au payeur, le payeur ne pourrait pratiquement pas prouver en pratique qu’il n’a pas agi avec négligence grave (preuve d’un fait négatif).

Je peux également faire référence aux explications du considérant 33 de la directive et au principe général repris à l’article 61, 3°, LSP, qui prévoient que les clauses et conditions ou les combinaisons de clauses et conditions qui ont pour objet de mettre à charge de l’utilisateur de services de paiement la preuve du respect de tout ou partie des obligations qui incombent au prestataire de services de paiement sont interdites et nulles de plein droit. En ce sens, ne peuvent pas être acceptées les clauses contractuelles d’un prestataire de services de paiement reprenant une liste décrivant les négligences graves ou stipulant qu’il est question d’une négligence grave lorsque le consommateur n’a pas respecté les mesures de précautions prescrites dans les conditions générales.

L’article 37, § 3, LSP, décrit cependant deux cas comme suit: « le fait, pour le payeur de noter ses dispositifs de sécurité personnalisés, comme son numéro d’identification personnel ou tout autre code, sous une forme aisément reconnaissable, et notamment sur l’instrument de paiement ou sur un objet ou un document conservé ou emporté par le payeur avec l’instrument de paiement, ainsi que le fait de ne pas avoir notifié au prestataire de services de paiement, ou à l’entité indiquée par celui-ci, la perte ou le vol, dès qu’il en a eu connaissance. » Il est clair que ces deux cas portent sur l’utilisation physique de la carte de paiement. Il appartient cependant au juge d’apprécier si un acte particulier constitue ou non une négligence grave, en tenant compte de l’ensemble des circonstances de fait (voir article 37 in fine, LSP).

5. Je suis parfaitement conscient du fait que la fraude sur internet doit être suivie de près. C’est pour cette raison que j’ai accordé mon soutien à Febelfin pour diffuser un message d’intérêt général visant à encore sensibiliser davantage les citoyens aux risques liés au PC banking et à leur donner des conseils utiles quant à la meilleure manière de réagir à des tentatives de fraude. Je voudrais également faire remarquer que l’Europe a annoncé certaines initiatives pour 2013 en vue de la révision de la directive européenne concernant les services de paiement, ainsi que la poursuite du suivi du Livre vert « Vers un marché européen intégré des paiements par carte, par internet et par téléphone mobile ». Je plaiderai certainement, dans ce cadre, pour que l’on accorde suffisamment d’attention à l’aspect sécurité des paiements électroniques et à une protection adéquate du consommateur.