2021.3811

THEME
Paiements et comptes de paiements - Paiements internationaux - Mauvaise/non-exécution
AVIS

Présents
Madame Françoise Sweerts, Président
Madame N. Spruyt; Messieurs R. Steennot, A. Guigui, P D’Haen, membres;

Date : 21 décembre 2021

1. LA PLAINTE
Le requérant a introduit une plainte à l’égard de la banque car en date du 04 juin 2021, il a souhaité faire un achat en ligne avec sa carte Mastercard auprès d’un fournisseur situé aux Etats-Unis pour un montant de 147,20 euros.

Il déclare que sa commande n’a jamais été validée, ni mise en statut terminé. Elle fut donc abandonnée après 3 essais.

Il a toutefois constaté avoir été débité de son compte de la somme de 147,20 euros et souhaite obtenir le remboursement de celle-ci.

2 POSITION DE LA BANQUE

Depuis le 15 mai 2021, la directive PSD2 (directive paiement 2015/2366 du 25 11 2015) impose une authentification forte pour les paiements en ligne.

La Banque ajoute que cette directive ne concerne pas les transactions « one leg out (sur une jambe) » où l’acquéreur (le bénéficiaire du paiement ici le commerçant américain) est situé en dehors de l’Espace Economique Européen (EEE). Ce type de transaction ne relève pas du champ d’application de la directive PSD2.

A l’appui de sa position, la Banque invoque la réponse de l’EBA (European Banking Authority) à une question posée par le régulateur suédois (Single Rulebook q/a 2018_4233 06 09 2019). EBA précise que la réglementation d’authentification forte (SCA Strong Customer Authentification) n’est pas applicable au paiement par carte avec un Prestataire de Service de Paiement (PSP) du payeur (émetteur) situé à l’intérieur de EEE alors que le PSP du bénéficiaire (acquéreur = en clair le commerçant américain) est situé en dehors de EEE et (souligné par le collège pour la bonne compréhension du cas litigieux) lorsque l’acquéreur (non situé dans EEE) ne prend pas en charge SCA( l’authentification forte du payeur).

La Banque ajoute que le requérant a marqué son accord sur la transaction.

En conclusion, la banque estime que la somme de 147,20 euros ne doit pas être remboursée au requérant.

3 POSITION DU COLLEGE
Le collège est d’avis que le cadre légal applicable en l’espèce n’est pas la directive PSD2 mais le Livre VII du code de droit économique (CDE) et plus particulièrement les titres I à III qui ont intégré dans l’ordre législatif belge les dispositions de la directive PSD2.

Le collège attire l’attention sur l’article VII.2§1 al3 qui édicte : « Le chapitre 2 du titre 3 du présent livre, à l'exception des articles VII.15, § 1er, 2° ), VII.22, 2°, e), VII.22, 5°, g), et VII.26, 1°, et le chapitre 3 du titre 3 du présent livre, à l'exception des articles VII.30, §§ 2 et 4, VII.46, VII.47, VII.51, VII.53, § 1er, VII.55/2, VII.55/3 et VII.55/8, s'appliquent aux opérations de paiement dans toutes les devises lorsqu'un seul des prestataires de services de paiement est situé dans un Etat membre, pour ce qui concerne les parties de l'opération de paiement qui sont effectuées dans un Etat membre ».

Il convient dès lors de se référer aux travaux préparatoires de la loi du 19 juillet 2018 qui a intégré le nouveau champ d’application du livre VII sur le service des paiements (Exposé des motifs, Doc.parl., Ch.repr. , sess.ord. 2018-2019, n°3131 page 16) et qui précise : « Le § 1er, alinéa 3, étend le champ d’application des chapitres 2 et 3, titre 3, du présent projet, à l’exception d’un certain nombre d’articles, aux opérations de paiement qui sont effectuées dans toutes les devises (c’est-à-dire les devises d’un État membre ou d’autres devises) dès qu’un seul prestataire de services de paiement est situé dans l’EEE en ce qui concerne les parties de l’opération effectuées dans l’EEE. Il s’agit d’opérations de paiement dites “one-leg”. Cela vaut donc pour tous les paiements, indépendamment de la devise dans laquelle ils sont effectués. Ainsi, par exemple en cas d’utilisation abusive aux États-Unis d’une carte de paiement détenue par un titulaire de carte belge, elle doit être bloquée conformément aux dispositions légales et le régime de responsabilité des paiements non autorisés est également d’application »

Il est exact que l’EBA a reçu de la part de autorités européennes (considérants 93 et sq. de la directive PSD2) un mandat pour définir les normes techniques d’authentification qui sont traduites dans ce qu’on appelle les RTS (Regulatory Technical Standard) mais l’avis évoqué par EBA ne se prononce que sur l’authentification forte et non, comme le laisse penser la Banque, sur l’ensemble de la législation protectrice du consommateur.

Le collège considère que la directive traduite dans l’ordre juridique belge par le code de droit économique Livre VII est donc applicable à la transaction litigieuse et note par ailleurs que les deux articles qu’elle souhaite mettre en avant ne sont pas exclus du champ d’application de l’article VII.2§1al3.

Tout d’abord l’article VII 42§1 alinéa 1« Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe au prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre du service fourni par le prestataire de services de paiement….Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services d'initiation de paiement, fournit des éléments à l'appui afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. »

Le collège constate que la Banque s’est contentée d’affirmer que la transaction avait été validée par le plaignant malgré les précisions apportées par le plaignant dans sa plainte.

En plus et de manière plus décisive, il faut mentionner, comme l’a fait à juste titre Ombudsfin dans sa réponse à la Banque, l’article VII 44§2 qui stipule que « Lorsque le prestataire de services de paiement du payeur n'exige pas une authentification forte du client, le payeur ne supporte aucune perte financière éventuelle, à moins qu'il ait agi frauduleusement. ».

Il n’est pas contesté que la transaction n’a pas fait l’objet d’une authentification forte. La banque l’a pourtant acceptée sans réserve et est donc responsable au sens de l’article précité.

En conclusion, le collège estime que la réponse de la Banque ne correspond pas au cadre législatif applicable à la transaction contestée par le plaignant et que par conséquent la Banque doit rembourser au plaignant le montant de son préjudice de 147,20 euros.

4. CONCLUSION DE L’OMBUDSMAN
Ombudsfin fait sienne la position du Collège d’experts et invite donc la banque à rembourser le requérant la somme de 147,20 euros.