[Revue de Droit bancaire et financier] Listes noires et vigilance du banquier : l’impasse

L’essor du contentieux lié aux fraudes aux faux investissements a conduit certains à s’interroger sur l’existence d’un devoir d’alerte pesant sur les prestataires de services de paiement, notamment en cas de virement vers un bénéficiaire figurant sur une « liste noire ». L’objectif de cet article est de démontrer que cette hypothèse ne résiste ni à l’analyse juridique ni aux réalités techniques du secteur bancaire. L’absence de base légale, l’incompatibilité structurelle avec les exigences de célérité et d’irrévocabilité propres aux paiements autorisés, ainsi que le flou et la faible fiabilité des données figurant sur ces listes rendent impossible la généralisation d’un tel devoir. Loin d’être une obligation réglementaire pour les banques, et à l’inverse des listes de personnes faisant l’objet de mesures de sanctions, les listes noires doivent demeurer ce qu’elles sont : un simple outil d’information à destination des investisseurs eux-mêmes.

1.- Depuis quelques années, la responsabilité des prestataires de services de paiement dans les affaires dites de « fraude aux faux investissements » fait l’objet d’une attention renouvelée. Ces litiges, dans lesquels des particuliers trompés par un fraudeur habile cherchent à mettre en cause leur établissement bancaire, ne relèvent pourtant pas du cadre classique des « opérations non autorisées », auxquelles la directive européenne DSP2 (transposée aux articles L. 133-18 et suivants du Code monétaire et financier) réserve un régime de remboursement protecteur.

Il s’agit bien, dans la plupart des cas, d’opérations autorisées : initiées, validées et confirmées par le client lui-même. Dans la phase initiale de cette vague contentieuse, la jurisprudence n’a pas toujours perçu cette distinction et a transposé à ces situations nouvelles des solutions élaborées dans un tout autre contexte : celui des « ordres faux ou falsifiés ». Dans ce cadre, qui relèverait aujourd’hui du régime des paiements non autorisés, les tribunaux s’attachaient à rechercher une « anomalie apparente » – matérielle (signature incohérente, rature) ou intellectuelle (montant ou destination inhabituels) – pour dénier à la banque la possibilité d’invoquer l’apparence du mandat dont elle se croyait saisie du client et écarter toute atténuation à son obligation de restitution en sa qualité de dépositaire.

Cette confusion initiale a conduit certains plaideurs à invoquer, dans les paiements autorisés, une « obligation générale de vigilance » du banquier, fondée non sur le droit des paiements, mais sur le droit commun de la responsabilité, en retenant comme anomalie dans un paiement pourtant initié par le titulaire du compte, un montant ou une destination inhabituels. Or, rien n’interdit à chacun d’entre nous de faire des dépenses ou des investissements qui, par définition, sortent du quotidien dès lors que nous en sommes bien les auteurs. Surtout, il n’appartient pas à la banque prestataire des services de paiement, de s’assurer sous sa responsabilité de la pertinence des affaires menées par ses clients, sauf à s’ériger en censeur de leur vie privée.

C’est sans doute que ce qui a amené, depuis ces dernières années, la jurisprudence à évoluer, d’abord en intégrant plus finement les règles issues de la DSP2, puis en distinguant les régimes applicables aux opérations autorisées. Deux tendances principales se dessinent aujourd’hui :

• l’une, s’appuyant sur la lettre des textes, écarte toute obligation de vigilance dans les paiements autorisés, au nom du principe d’exclusivité du régime de la DSP2, mais aussi en vertu des exigences de prompte exécution (C. mon. fin., art. L.133-13) et de non-immixtion dans les affaires du client qui gouvernent l’activité des banques ;
• l’autre, plus nuancée, considère que subsiste, même dans les paiements autorisés, une obligation générale de vigilance résiduelle, mais strictement limitée à la détection d’« anomalies apparentes et flagrantes » dont l’appréciation se fait beaucoup plus restrictive, et sans que la banque ne soit tenue d’enquêter ou de suppléer le manque de discernement de son client.

Dans ce cadre restrictif, les juristes s’interrogent désormais sur ce que peut concrètement constituer une telle anomalie. L’un des points de divergence concerne précisément la présence du bénéficiaire d’un virement sur une « liste noire » publiée par l’AMF ou l’ACPR : certaines juridictions considèrent qu’une telle circonstance devrait alerter la banque et l’amener à prévenir son client ; d’autres estiment, au contraire, qu’aucune faute ne saurait être reprochée au banquier qui exécute fidèlement un ordre donné, sans avoir à consulter de telles listes qui s’adressent aux investisseurs.

C’est à ce débat que le présent article se consacre, avec pour objectif de démontrer que l’assimilation automatique de la présence du bénéficiaire sur ces listes à un critère d’anomalie apparente est juridiquement fragile et techniquement impraticable. Nous verrons ainsi que (1) ces listes ne peuvent être la source d’une obligation de vigilance des banques ; (2) leur contenu et leur structure sont incompatibles avec les systèmes actuels de filtrage bancaire et (3) leur usage méconnaît les principes fondamentaux de la relation bancaire, en particulier la non-immixtion et l’irrévocabilité des ordres de paiement.

1. Des « listes noires » conçues pour les investisseurs, non pour les banques

2.- Investir implique, par nature, un risque de perte : le payeur engage des fonds sur un support dont il espère un rendement. Dans les placements traditionnels – proposés par l’État ou les banques – ce risque est mesuré ; en revanche, dès lors qu’on s’aventure dans des circuits moins encadrés, comme les « actifs atypiques », promettant des rendements élevés et faisant intervenir des acteurs peu identifiables car non nécessairement régulés, le risque s’accroît sensiblement, notamment celui de contracter avec un opérateur peu scrupuleux, voire de tomber dans un schéma frauduleux.

Les investisseurs disposent d’outils pour mesurer le niveau de risque de l’opération projetée et identifier les escroqueries potentielles. En premier lieu, les listes noires publiées par l’Autorité des marchés financiers (AMF), qui recensent les acteurs non autorisés à proposer des produits ou services financiers en France. Ces listes sont régulièrement complétées par l’ACPR, la Banque de France, ou encore le site Assurance Banque Épargne Info Service.

Des équivalents existent à l’étranger : BaFin (Allemagne), FCA (Royaume-Uni), FSMA (Belgique), SEC (États-Unis). À l’échelle européenne ou mondiale, l’ESMA, l’Union européenne, l’OMC, ou l’OCDE publient également des listes relatives aux risques de blanchiment, de fraude, ou de sanctions.

Au-delà du secteur strictement financier, et pour que les personnes amenées à effectuer un investissement puissent prévenir les risques liés à leurs opérations, il existe des listes spécialisées sur les contrefaçons (EUIPO, USTR), les pratiques commerciales trompeuses (DGCCRF), les sites frauduleux (Scamdoc), ou encore le travail des enfants (U.S. Department of Labour). Leur finalité est claire : informer le public et promouvoir des comportements responsables.

Mais ces listes, par construction, n’ont pas vocation à fonder des obligations spécifiques à la charge des banques. Celles-ci sont, au contraire, tenues à un devoir de non-immixtion, qui leur interdit de questionner leurs clients sur la finalité de l’opération qu’ils ont pour mission de payer, et, dont elles ignorent souvent les contours.

Si l’on attendait des établissements bancaires qu’ils activent une vigilance spécifique sur la base de ces listes, un cadre normatif minimal serait à prévoir, comme cela existe en matière de lutte contre le blanchiment, le financement du terrorisme ou le gel des avoirs, où les obligations sont précises, étayées et renforcées régulièrement. Or, il n’en est rien.

Le Code monétaire et financier ne mentionne même pas une seule fois la notion de « liste noire ». Son fondement juridique réside uniquement dans un article autorisant l’AMF à publier une « déclaration publique mentionnant toute personne responsable d’un manquement aux règlements européens, lois, règlements ou règles professionnelles » (C. mon. fin., art. L. 621-13-9 ). Ce socle est pour le moins fragile.

En l’absence de définition légale ou réglementaire, le périmètre des listes à prendre en compte reste flou. La cour d’appel de Besançon y a ainsi intégré les entités référencées par la CSSF, l’autorité luxembourgeoise démonstration parfaite de l’insécurité juridique qui en découle.

Cette carence normative a d’ailleurs été explicitement relevée par la cour d’appel de Versailles, qui juge qu’il « ne peut être reproché à la [banque] de n’avoir pas procédé à des recherches que ne lui impose aucune norme » , ou par celle de Lyon, notant qu’il n’existe « [pas] d’obligation particulière de vérification par rapport à cette liste » .

Le flou persiste également quant au comportement concret attendu du banquier. Certaines décisions considèrent qu’il doit « exercer sa vigilance » , en prenant « toute mesure utile » ou en alertant les donneurs d’ordre . Mais aucune règle n’en précise les modalités : quelle forme devrait prendre l’alerte ? Doit-on suspendre l’opération ? Pour combien de temps ? Que faire si le client confirme malgré tout ? Ces questions restent sans réponse.

Et pour cause : cette prétendue obligation de filtrage repose entièrement sur la notion floue d’« anomalie apparente », dont le contenu varie selon les juridictions et n’a jamais été défini par les textes. Il ne peut pourtant s’agir que d’un indice manifeste de fraude, et non d’un simple soupçon.

2.Des listes inexploitables par les systèmes de filtrage bancaire

3.- L’idée d’un filtrage automatique des virements vers des bénéficiaires figurant sur des listes noires pourrait, à première vue, sembler de bon sens. Il suffirait, croit-on, d’une alerte déclenchée par le système d’information, suivie d’un appel de vérification au client, pour prévenir l’escroquerie. Cette approche rassurante, en apparence pragmatique, ne résiste pourtant pas à l’examen des réalités techniques et juridiques du secteur bancaire.

Car les listes noires ne contiennent ni coordonnées bancaires, ni IBAN frauduleux. Elles mentionnent essentiellement des noms de domaines, des URL de sites web, ou des adresses e-mail. Or, ces éléments ne figurent pas nécessairement dans l’ordre de virement transmis à la banque : le bénéficiaire, l’intitulé du virement et son motif sont renseignés directement par le client. Toute correspondance – parfois partielle – avec les éléments figurant sur une liste noire dépend donc de ce que le client choisit de déclarer, et de la manière dont il l’écrit.

Ce décalage structurel a été mis en évidence par plusieurs juridictions. Les cours d’appel de Lyon et d’Angers ont ainsi souligné l’impossibilité, pour les banques, d’établir un lien fiable entre les données dont elles disposent et celles figurant sur les listes, en l’absence d’une concordance directe entre le bénéficiaire déclaré et l’entité référencée .

En pratique, une détection automatisée n’aurait guère de sens. Nombre de noms figurant sur ces listes – en particulier dans le domaine des placements atypiques – contiennent des termes génériques : « invest », « capital », « patrimoine », « placements », « épargne », etc. On y trouve des sites tels que www. bivouac-capital.com, www.epargne-whisky.com, www.investirvin.info, www.lesgrandscrus.net. . Autant d’intitulés qui peuvent tout aussi bien renvoyer à des offres licites. Distinguer une fraude d’un investissement atypique régulier devient, dans ces conditions, illusoire. La systématisation du filtrage conduirait ainsi à de nombreux « faux positifs » – c’est-à-dire de fausses alertes – par milliers, voire par millions, totalement impossibles à gérer.

Une alerte informatique ne peut être efficace que si elle est rare et significative. Multipliée sans discernement, elle perd son sens – comme une alarme anti-vol ou un incendie qui se déclencherait toutes les minutes de manière intempestive.

La cour d’appel de Besançon, sans vraiment mesurer ce que représente le flux quotidien d’opérations traitées par une banque, a ainsi considéré qu’un simple mot – « fil », renseigné dans un ordre de virement – aurait dû alerter l’établissement sur un avertissement publié par le CSSF concernant le site « www.fil-lux.com », lequel usurpait l’identité d’une société bel et bien régulière Fil-Luxembourg . On attendrait donc de l’établissement qu’il opère spontanément un rapprochement entre un terme générique, une entité étrangère parfaitement légale, et un avertissement d’une autorité étrangère. Une exigence de vigilance presque omnisciente, qui laisse songeur sur le degré de corrélation que la banque serait censée opérer entre une information partielle et un risque dissimulé.

Le filtrage bute également sur un phénomène massif d’usurpation d’identité. Plus de 60 % des entités inscrites sur ces listes noires sont en réalité des imitateurs, reprenant des noms de domaines ou des adresses e-mail proches de ceux d’organismes légitimes : prénom.nom@boursorama-europe.com info@binance-patrimoine.com, amundi-france.com . Autant de déclinaisons que même un opérateur humain aguerri aurait du mal à distinguer d’une entité réelle, a fortiori un système automatique qui devrait bloquer, au moins temporairement, toutes les opérations à destination des organismes dont l’identité a été usurpée.

La cour d’appel de Paris, dans une décision plus lucide, a reconnu cette difficulté. Dans l’affaire GBE Capital Ltd, elle a constaté que la société figurant sur la liste noire était une usurpation d’une entité financière légale britannique, et en a conclu qu’il n’était pas démontré que la banque aurait pu identifier l’escroquerie, même en procédant à des vérifications. Le nom du bénéficiaire, même s’il évoque une société listée, ne suffit pas à caractériser une anomalie apparente .

Enfin, les motifs d’inscription sur les listes noires sont eux-mêmes d’une hétérogénéité extrême : entités non agréées, promesses de rendement irréalistes, soupçons de démarchage abusif, signalements en cours d’instruction… Cette diversité empêche toute application uniforme et automatisée.

3.Un système d’alerte incompatible avec les impératifs bancaires

4.-La mise en œuvre d’un système d’alerte fondé sur les listes noires ne peut avoir de sens que si elle permet au client, une fois informé d’un risque potentiel, de suspendre ou d’annuler l’opération envisagée. Autrement dit, elle suppose la possibilité d’interrompre temporairement l’exécution du paiement.

Or, cette logique heurte de front les règles applicables aux opérations de paiement autorisées. Les articles L. 133-8 et L. 133-13 du Code monétaire et financier imposent, en effet, une exécution rapide et irrévocable : le virement doit être crédité sur le compte du bénéficiaire au plus tard à la fin du premier jour ouvrable suivant la réception de l’ordre. Cette exigence de célérité, au cœur de la directive DSP2, s’inscrit dans une dynamique plus large de fluidification des paiements en Europe, qui tend désormais vers l’instantanéité (exécution en dix secondes dans le cas du SEPA instantané) .

Dans ce contexte, comment concilier une exigence d’exécution quasi immédiate avec un devoir de vigilance qui impliquerait de suspendre l’opération pour évaluer la fiabilité du bénéficiaire ? Ce dilemme souligne l’incompatibilité structurelle entre un filtrage sur la base des listes noires et le fonctionnement normal du système de paiement.

La contradiction ne s’arrête pas là. Une telle exigence heurterait également un autre principe fondamental de la relation bancaire : la non-immixtion du banquier dans les affaires de son client. En l’absence d’un service de conseil, la banque n’a ni à s’enquérir des motivations de l’opération, ni à juger de l’opportunité de l’investissement (à supposer même qu’elle sache que le paiement qu’on lui demande d’exécuter correspond à une opération d’investissement). Elle ne saurait devenir la gardienne des choix patrimoniaux de ses clients lorsque ceux-ci sont réalisés en-dehors des offres qu’elle peut lui proposer. Elle ne saurait devenir ni le garant des décisions patrimoniales de ses clients, ni l’assureur des risques qu’ils décident de prendre en dehors des circuits bancaires.

Cette position de retrait est conforme à la liberté contractuelle et à la liberté d’investissement, que le législateur a expressément réaffirmées. Le Gouvernement, en réponse à une question de l’Assemblée nationale, a ainsi rappelé que les épargnants sont libres d’investir auprès de prestataires non agréés, soulignant que l’inscription sur une liste noire n’équivaut pas nécessairement à une escroquerie .

Certaines entités y figurent simplement parce qu’elles exercent sans autorisation ou n’ont pas encore obtenu d’agrément – ce qui, en soi, ne fonde aucune présomption d’illégalité. La directive MIFID II reconnaît d’ailleurs la possibilité pour un prestataire de pays tiers de faire de la « sollicitation inversée », correspondant à la situation dans laquelle l’investisseur prend lui-même l’initiative de contracter avec l’entreprise étrangère sans qu’elle ne l’ait démarché ou sollicité. Un système de filtrage systématique les exposerait à un bannissement arbitraire des systèmes bancaires, sans compter les perturbations majeures susceptibles d’affecter les sociétés victimes d’usurpation d’identité dont le nom figure sur une liste.

La jurisprudence elle-même commence à reconnaître les limites de cette logique intrusive. La cour d’appel de Nîmes a ainsi censuré une banque qui avait refusé d’exécuter un virement vers une société listée par l’AMF, estimant qu’elle ne démontrait pas que la cliente était victime d’une escroquerie pénalement qualifiée, et qu’elle avait ainsi méconnu le principe de non-ingérence .

C’est là le cœur du malentendu. Les listes noires ont été conçues comme un outil de vigilance à destination des investisseurs eux-mêmes, pour leur permettre de vérifier la fiabilité de leurs interlocuteurs avant d’engager des fonds. Elles n’ont jamais été pensées comme un instrument de surveillance pour les banques, qui ne peuvent ni filtrer efficacement, ni bloquer légitimement des paiements autorisés sur ce seul fondement a fortiori à l’heure actuelle où le principe du paiement instantané devient la norme.

La banque – faut-il le rappeler – n’est pas la tutrice de ses clients. Sa mission, dans les opérations autorisées, est d’assurer la sécurité des transactions dans les délais prescrits, sans s’ériger en arbitre de leur bien-fondé économique. Une interprétation qui conduirait à faire naître, sur le fondement de l’obligation de vigilance, un devoir général de consultation des listes noires assorti d’une obligation d’alerte au client ne pourrait tenir : une telle construction heurterait les exigences de fluidité propres au bon fonctionnement des systèmes de paiement, sans offrir de réelle efficacité, et au prix de dommages collatéraux difficilement justifiables, a fortiori en l’absence de toute base légale.

Mots clés : Vigilance du banquier. – Listes noires