Dans un arrêt du 24 mars 2009, la Cour de cassation a estimé que le Crédit lyonnais devait restituer les 780 euros débités du compte d’une cliente qui avait effectué une réservation d’une chambre d’hôtel sur un site internet sans donner suite à son projet. Pour garantir cette réservation, elle avait communiqué son numéro de carte bancaire, sa date de validité et le cryptogramme visuel de trois chiffres. Sur le formulaire de saisie des données, il était inscrit : « Aucun débit ! Les données de la carte de crédit (sont) nécessaires uniquement pour garantir votre réservation ». La Cour de cassation a considéré que, faute de mandat, la banque était tenue de restituer la somme débitée. Certes l’article 132-2 du code monétaire et financier prévoit que tout ordre ou engagement de payer donné au moyen d’une carte bleue est irrévocable, sauf utilisation frauduleuse. Mais la Cour se place sur le terrain contractuel, rappelant la mention du site sur le fait qu’aucune somme ne serait débitée suite à la simple communication de données.