Dans quel délai l’utilisateur doit-il dénoncer une opération de paiement non autorisée ? C’est la question tranchée par la Chambre commerciale de la Cour de cassation, dans un arrêt du 14 janvier 2026.

Un litige bancaire aux enjeux procéduraux majeurs

La société Veracash, spécialisée dans les services de paiement liés à l’épargne-métaux, avait envoyé à son client une carte bancaire qu’il n’avait pas sollicitée. Exploitant cette situation, un tiers a effectué une série de retraits non autorisés entre mars et mai 2017. Le client n’a signalé ces opérations frauduleuses que plusieurs semaines après leur découverte. La cour d’appel avait rejeté sa réclamation au motif qu’il n’avait pas réagi avec la célérité requise.

La question préjudicielle qui s’imposait

Face à l’ambiguïté de l’article L. 133-24 du code monétaire et financier, la Cour de cassation a décidé, le 8 novembre 2023, de saisir la Cour de justice de l’Union européenne de questions préjudicielles. L’enjeu était considérable : deux obligations semblaient coexister sans articulation claire. D’un côté, une obligation de réagir « sans tarder » ; de l’autre, un délai de treize mois. Comment concilier un standard temporel imprécis avec un délai chiffré ?

La Cour de justice a fourni sa réponse le 1er août 2025. Elle a établi que l’obligation de signaler « sans tarder » commence à courir à partir du moment où l’utilisateur a effectivement connaissance de l’opération délictueuse, non à partir de la date du débit. Le délai de treize mois fonctionne alors comme une limite absolue, une sorte de butoir au-delà duquel aucun droit ne peut être exercé, quelles que soient les circonstances.

La censure de la cour d’appel et ses enseignements

La Cour de cassation casse l’arrêt d’appel pour deux motifs substantiels.
En premier lieu, elle reproche aux juges du fond de n’avoir pas recherché la date exacte à laquelle le demandeur avait eu connaissance de la première opération non autorisée. Or, cette date est déterminante pour apprécier la tardiveté du signalement. Les juges s’étaient contentés de comparer la date du premier retrait (30 mars 2017) avec celle du signalement formel (23 mai 2017), sans examiner le moment précis de la découverte de la fraude. Le demandeur arguait que l’arnaque s’était déroulée dès les 13 et 14 mars 2017, alors qu’il était encore en territoire français et aurait pu agir immédiatement. Cette enquête factuelle était indispensable avant de conclure à une violation du délai.

En second lieu, la Cour casse l’arrêt en ce qu’il caractérise une négligence grave de manière trop superficielle. Les juges du fond s’étaient bornés à énumérer des manquements génériques : défaut de vigilance sur la boîte aux lettres, absence de surveillance des identifiants de connexion. La Cour de cassation y voit des motifs insuffisants. Pour établir une négligence grave, il faut démontrer comment, concrètement, le tiers a accédé aux données de sécurité, ce qui aurait permis d’évaluer si le demandeur avait commis une violation caractérisée de son obligation de diligence.

Les implications pratiques de cette décision

Cet arrêt redessine les contours de la responsabilité de l’utilisateur de services de paiement. Le délai de treize mois ne constitue pas une période de grâce durant laquelle l’utilisateur pourrait laisser traîner la contestation. Au contraire, l’obligation de réagir « sans tarder » s’impose dès que l’utilisateur détecte l’anomalie, quelle que soit la date du débit.

Cette approche revêt une logique commerciale certaine. Elle limite l’exposition des prestataires de paiement à des réclamations tardives et crée une incitation pour les utilisateurs à surveiller activement leurs comptes. Simultanément, elle préserve un mécanisme de protection : le délai de treize mois empêche la forclusion d’intervenir de manière disproportionnée lorsque l’utilisateur a signalé l’opération dans ce délai, même s’il a attendu quelques semaines après sa découverte.

En matière de négligence grave, la décision impose une appréciation nuancée. Le simple reproche de ne pas avoir pris les mesures « raisonnables » requises ne suffit pas. Les juges devront démontrer, sur la base des faits établis, en quoi l’utilisateur a manqué à une obligation de diligence de manière manifeste et caractérisée. C’est une exigence d’approfondissement qui rééquilibre en quelque sorte la charge probatoire.

Un renvoi devant la cour d’appel avec des directives précises

La Cour de cassation renvoie l’affaire devant une cour d’appel autrement composée, ce qui signifie que le dossier sera rejugé. Les juges du fond devront désormais préciser le moment exact où le client a découvert les opérations frauduleuses, apprécier si son délai de réaction à partir de ce moment était raisonnablement « sans tarder », et caractériser, le cas échéant, une négligence grave par des motifs substantiels et contextualisés.

Conclusion

L’article L. 133-24 du code monétaire et financier n’offre pas aux utilisateurs un délai de grâce de treize mois, mais impose une obligation immédiate de vigilance. Il s’agit de trouver un équilibre entre deux préoccupations, la protection du consommateur contre les fraudes massives, mais aussi la responsabilité du consommateur quant à la surveillance de ses comptes.

Source : Cour de cassation, Ch. Com., n° 22-14.822, publié au Bulletin – Lien vers la source en cliquant-ici