Quelle est la date d’application de l’obligation de mise en place de l’authentification forte (Cour de cassation, 30 août 2023, n°22-11.707) ?
Afin de sécuriser les opérations bancaires dématérialisées il a été mis en place l’obligation de recourir à un mécanisme d’authentification forte. Cette obligation résulte d’une ordonnance n°2017-1252 du 9 août 2017, ordonnance qui a transposé une directive « DSP2 » du 25 Novembre 2015.
Un arrêt de la Cour de cassation du 30 août 2023 n°22-11.707 est venu apporter des précisions sur la date d’application obligatoire de cette authentification forte.
Cet arrêt est d’une importante pratique importante pour certains contentieux portant sur des virements non autorisés.
Qu’est-ce que l’authentification forte ?
L’authentification forte est définie par l’article L133-4 du code monétaire et financier « Une authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories " connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est).
Ce procédé est devenu assez courant aujourd’hui : c’est par exemple un code SMS que l’on doit rentrer dans l’application accessible depuis son téléphone mobile via un deuxième code d’identification.
Quelle sanction en l’absence d’authentification forte ?
La sanction est de taille. L'absence de mise en place évacue toute discussion sur l’éventuelle négligence grave de la victime du virement non autorisé susceptible d’exclure l’obligation de remboursement de l’opération par la Banque. L’article L133-19 prévoit en effet que la victime du virement ne supportera aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement de ce même payeur n’ait exigé l’authentification forte de ce dernier.
A partir de quelle date cette absence d’authentification forte peut être sanctionnée ?
La date d’application de cette obligation d’authentification forte était discutée. La Cour de cassation, chambre commerciale, dans son arrêt du 30 août 2023, tranche le débat. Il convient de prendre en considération la date du 14 septembre 2019, c’est-à-dire dix mois après l’entrée en vigueur du règlement délégué (UE) n°2018/389 de la commission du 27 Novembre 2017. Cela est conforme au texte.
De nombreuses banques ayant tardé à mettre en place l’authentification forte une telle décision va permettre sans doute de permettre à de nombreuses victimes d’obtenir plus rapidement une indemnisation, sans que les Banques tentent de différer celle-ci.