LCB-FT : Arrêt de la Cour de cassation, chambre commerciale, 4 mars 2026, n° 24-19.588

Un client d'un établissement bancaire, M. [V], a été victime d'une fraude par hameçonnage téléphonique (« phishing »). Une personne se faisant passer pour un employé de sa banque l'a contacté et l'a incité à se connecter à son application bancaire pour annuler de prétendues opérations frauduleuses. En suivant ces instructions, M. [V] a en réalité validé deux opérations de paiement à distance non autorisées, qui ont été débitées de son compte.

M. [V] a assigné sa banque, la société Banque CIC Ouest, en remboursement des sommes débitées.
Le tribunal de proximité de Morlaix, statuant en dernier ressort le 18 juin 2024, a condamné la banque au remboursement. Il a retenu que la banque avait manqué à son devoir de surveillance et de vigilance au titre de l'article L. 561-6 du Code monétaire et financier, et que M. [V] n'avait pas commis de négligence grave.

La banque a formé un pourvoi en cassation, soutenant deux principaux arguments :
1. L’obligation de vigilance prévue à l’article L. 561-6 du Code monétaire et financier (relatif à la lutte contre le blanchiment et le financement du terrorisme - LCB-FT) a une finalité exclusive et ne peut fonder une action en responsabilité d’un client victime de fraude.
2. Le client a commis une négligence grave au sens de l'article L. 133-19 du même code, car il a validé des opérations de paiement après avoir reçu un message de confirmation de la banque indiquant sans ambiguïté qu'il s'agissait d'un "paiement" et non d'une "annulation", ce qui aurait dû l'alerter.

La thèse du tribunal de proximité, censurée par la Cour de cassation, était la suivante :
- D'une part, le manquement d'une banque à son obligation de surveillance et de vigilance, prévue par l'article L. 561-6 du Code monétaire et financier, suffit à engager sa responsabilité contractuelle envers son client et à justifier sa condamnation à rembourser les sommes frauduleusement débitées.
- D'autre part, un client victime d'une escroquerie par hameçonnage ne commet pas de négligence grave lorsque les circonstances de la fraude sont particulièrement crédibles (appel provenant du numéro officiel de l'agence bancaire, pendant les heures d'ouverture), car ces éléments sont de nature à rassurer une personne raisonnable.

La Cour de cassation était saisie de deux questions de droit :

1. Un manquement de l'établissement bancaire à son obligation de vigilance LCB-FT, prévue à l'article L. 561-6 du Code monétaire et financier, peut-il fonder une action en responsabilité civile de la part d'un client victime d'une fraude ?

2. La caractérisation de la négligence grave d'un utilisateur de services de paiement, au sens de l'article L. 133-19 du Code monétaire et financier, peut-elle être écartée au seul motif de la sophistication de la fraude, sans rechercher si l'utilisateur n'était pas en mesure de suspecter le caractère frauduleux de l'opération à la lecture des messages de confirmation émis par la banque ?

La Cour de cassation casse et annule le jugement du tribunal de proximité sur deux points.

- Sur le premier moyen (relatif à l'obligation de vigilance) :
- Visa : Article L. 561-6 du code monétaire et financier.
- Réponse : La Cour de cassation répond par la négative. Elle affirme que l'obligation de vigilance imposée aux organismes financiers par les articles L. 561-4-1 à L. 561-14-2 du Code monétaire et financier a pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme. En conséquence, la victime d'agissements frauduleux ne peut se prévaloir de l'inobservation de ces dispositions pour réclamer des dommages-intérêts. Le tribunal a donc violé ce texte par fausse application.

- Sur le troisième moyen (relatif à la négligence grave) :
- Visas : Articles L. 133-19 et L. 133-16 du code monétaire et financier.
- Réponse : La Cour de cassation casse la décision pour manque de base légale. Elle reproche aux juges du fond de ne pas avoir recherché, comme ils y étaient invités, si le client, à la réception du message de confirmation de la banque précisant qu'il s'agissait d'une "validation de paiement" et non d'une "annulation", n'était pas en mesure de suspecter le caractère frauduleux des opérations. Cette recherche était indispensable pour apprécier l'existence d'une négligence grave.

L’arrêt rendu par la chambre commerciale de la Cour de cassation le 4 mars 2026 vient clarifier avec fermeté la répartition des responsabilités en cas de fraude par hameçonnage. En cassant un jugement qui avait donné raison à un client trompé, la Haute Juridiction rappelle, d'une part, l'étanchéité du régime de la lutte contre le blanchiment de capitaux (LCB-FT) vis-à-vis des actions en responsabilité civile et, d'autre part, affine les critères d'appréciation de la négligence grave de l'utilisateur. La décision se structure autour de deux axes clairs : le cantonnement strict de l’obligation de vigilance à sa finalité de politique publique (I) et la centralité de la conscience de l’utilisateur dans l’appréciation de sa faute (II).

Par son premier attendu de principe, la Cour de cassation rappelle que toutes les obligations légales ne sont pas créatrices de droits subjectifs pour les particuliers. Elle réaffirme ainsi la finalité purement répressive et préventive du dispositif LCB-FT (A), ce qui conduit à une imperméabilité entre ce régime et celui, spécial, de la responsabilité en matière de services de paiement (B).

La Cour de cassation censure le tribunal de proximité pour avoir fondé la responsabilité de la banque sur l'article L. 561-6 du Code monétaire et financier. Ce faisant, elle énonce une règle claire : « L'obligation de vigilance à l'égard de la clientèle [...] a pour seule finalité la lutte contre le blanchiment de capitaux et le financement du terrorisme ». Cette solution n'est pas nouvelle mais sa réaffirmation dans un arrêt publié est notable. Elle consacre l'idée que le dispositif LCB-FT, qui impose aux banques une surveillance constante des opérations de leurs clients [Code monétaire et financier - Article - R561-38], est un instrument de politique publique et non un mécanisme de protection des intérêts privés.

La victime d'une fraude ne peut donc se prévaloir d'un éventuel manquement de la banque à ses obligations déclaratives ou de contrôle à l'égard de Tracfin pour obtenir réparation de son préjudice. Cette obligation est conçue dans l'intérêt de la collectivité pour préserver l'ordre public économique, et non pour garantir la sécurité patrimoniale de chaque client.

En conséquence logique, la Cour de cassation renforce la spécificité et l'exclusivité du régime de responsabilité applicable aux opérations de paiement non autorisées. Comme l'a déjà jugé la Cour, dès lors que la responsabilité d'un prestataire de services de paiement (PSP) est recherchée à ce titre, « seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, [...] à l'exclusion de tout régime alternatif » [Cass., com., 15 janvier 2025, n°23-15.437].

L'arrêt commenté s'inscrit parfaitement dans cette ligne jurisprudentielle. En écartant l'application de l'article L. 561-6, il oblige les juges et les parties à se concentrer sur le seul terrain de débat pertinent : celui de la répartition des pertes organisée par les articles L. 133-16 et L. 133-19 du Code monétaire et financier, qui repose sur l'analyse de la négligence grave de l'utilisateur. Tenter de contourner ce régime en invoquant un devoir général de vigilance est une voie que la Cour de cassation ferme ici de manière catégorique.

Le second apport majeur de l'arrêt réside dans la méthode d'appréciation de la négligence grave de la victime. La Cour déplace le curseur de l'analyse, des circonstances de la fraude vers la réaction de l'utilisateur face aux ultimes alertes de sécurité (A), renforçant ainsi le devoir de vigilance active qui pèse sur lui (B).

Le tribunal de proximité avait écarté la négligence grave en se fondant sur les éléments objectifs et rassurants de l'escroquerie (numéro de téléphone de l'agence, horaires d'ouverture). La Cour de cassation juge cette motivation insuffisante. Elle reproche aux juges de ne pas avoir recherché si le message de confirmation, qui mentionnait explicitement une "validation de paiement" et non une "annulation", n'était pas de nature à alerter M. [V].

Ce faisant, la Cour opère un recentrage de l'analyse. La sophistication de la fraude n'est plus un élément exonératoire en soi. L'élément déterminant devient la capacité de l'utilisateur "normalement attentif" [Cass., com., 24 novembre 2021, n°20-13.767] à prendre conscience de l'incohérence entre le discours du fraudeur et les informations factuelles transmises par la banque. L'appréciation de la négligence grave devient moins une question de crédulité face à la ruse qu'une question de réaction face à une information claire.

En exigeant cette recherche, la Cour de cassation consacre l'importance des mécanismes d'authentification forte et des messages d'alerte qui les accompagnent. Ces messages ne sont pas de simples formalités ; ils constituent un ultime rempart que l'utilisateur a le devoir de considérer avec attention. L'article L. 133-16 du Code monétaire et financier impose à l'utilisateur de prendre « toute mesure raisonnable pour préserver la sécurité de ses données ». L'arrêt du 4 mars 2026 suggère qu'ignorer un message d'alerte explicite pourrait constituer un manquement à cette obligation.

Cette solution s'inscrit dans une jurisprudence qui tend à responsabiliser l'utilisateur, en lui demandant de faire preuve d'un esprit critique minimal face à des sollicitations, même si elles paraissent légitimes [Cass., com., 25 octobre 2017, n°16-11.644]. La charge de la preuve de la négligence grave incombe toujours à la banque [Code monétaire et financier - Article - L133-23], mais cet arrêt lui fournit un angle d'attaque précis : démontrer que le client disposait, au moment de valider l'opération, d'une information contradictoire qu'il a choisi d'ignorer.