Réf. : Cass. com., 20-11-2024, n° 23-15.099, F-B N° Lexbase : A78826HE
Lecture: 6 min
N1070B3Z
Citer l'article
Créer un lien vers ce contenu
par Jérôme Lasserre Capdeville, Maître de conférences - HDR à l'Université de Strasbourg
le 27 Novembre 2024
► Il résulte des articles L. 133-19, IV, et L. 133-23, alinéa 1er, du Code monétaire et financier, que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit, au préalable, prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n'a pas été affectée par une déficience technique ou autre.
En cas d’opération de paiement non autorisée correctement signalée par l’utilisateur (dans le délai de 13 mois de l’article L. 133-24, alinéa 1er, du Code monétaire et financier N° Lexbase : L5124LGU) le prestataire de services de paiement du payeur doit rembourser le payeur. Ce prestataire du payeur rétablira donc le compte débité dans l’état où il se serait trouvé si l’opération non autorisée n’avait pas eu lieu (C. mon. fin., art. L. 133-18 N° Lexbase : L7451MDC).
Une limite existe cependant en la matière. Selon l’article L. 133-19, IV, du Code monétaire et financier N° Lexbase : L5118LGN, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou si celui-ci n’a pas « satisfait intentionnellement ou par négligence grave aux obligations prescrites par les articles L. 133-16 N° Lexbase : L5114LGI et L. 133-17 N° Lexbase : L5113LGH », c’est-à-dire, respectivement, l’obligation de préserver la sécurité de ses données de sécurité personnalisées et celle d’informer sans tarder son prestataire (ou l’entité désignée par celui-ci) de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées.
Mais la démonstration de cette négligence grave du payeur par le prestataire de services de paiement suffit-elle à ce dernier pour échapper au remboursement prévu par l’article L. 133-18 du Code monétaire et financier ? La Chambre commerciale de la Cour de cassation répond à cette interrogation par la négative.
Faits et procédure. En l’espèce, M. S. avait ouvert un compte auprès de la société Banque populaire Rhône-Alpes sans autorisation de découvert et assorti d’une carte de paiement. Les 23 et 27 mars 2018, le compte avait été débité de diverses sommes en exécution de divers virements, paiements et retraits. Le 30 mars 2018, M. S. avait déposé plainte pour le vol de sa carte bancaire et de ses instruments de paiement.
Après avoir dénoncé ses concours, la banque avait assigné M. S. en paiement du solde débiteur du compte.
Par un arrêt du 18 janvier 2023, la cour d’appel de Riom avait condamné M. S. à payer la somme de 50 097,78 euros et l’avait débouté de sa demande d’indemnisation (CA Riom, 18 janvier 2023, n° 21/00397 N° Lexbase : A484989H). L’intéressé avait alors formé un pourvoi en cassation.
Décision. Ce dernier se révèle utile puisque la Haute juridiction casse et annule, en toutes ses dispositions, l’arrêt rendu le 18 janvier 2023 par la cour d’appel de Riom.
Pour la Cour de cassation, il résulte des articles L. 133-19, IV, et L. 133-23, alinéa 1er N° Lexbase : L5125LGW, du Code monétaire et financier que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, « le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ».
Or, pour condamner M. S. à payer à la banque une certaine somme, l’arrêt de la cour d’appel, après avoir dit inopérant le moyen pris de ce que la convention de compte ne permettait pas de virement en ligne, avait retenu qu’il ressortait de ses explications confuses et divergentes qu’en remettant son relevé d'identité bancaire, puis sa carte bancaire et ses codes « cyber » à un inconnu rencontré sur Instagram, M. S. avait commis des négligences graves qui avaient permis les virements, retraits et paiements frauduleux.
Dès lors, en se déterminant ainsi, sans rechercher, comme il lui incombait, si les opérations litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n'avaient pas été affectées par une déficience technique ou autre, la cour d’appel avait privé sa décision de base légale.
Observations. Cette solution ne surprendra pas le lecteur. Elle figurait déjà dans une décision remarquée de la Cour de cassation du 12 novembre 2020 (Cass. com., 12 novembre 2020, n° 19-12.112, FS-P+B N° Lexbase : A514434B, K. Rodriguez, Lexbase Affaies, décembre 2020, n° 659 N° Lexbase : N5727BYR).
Pour autant doit-on critiquer la Cour de cassation d'exiger cette double preuve ? Nous ne le pensons pas. Force est de constater qu’elle est parfaitement conforme à la lettre de l’article L. 133-23, alinéa 1er, du code. Elle est alors, d’un point de vue juridique, convaincante. D’ailleurs, l’article précité n’est que la transposition de l’article 59 de la Directive n° 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur (dite « DSP 1 ») N° Lexbase : L5478H3B, qui prévoit que les États membres doivent exiger « que, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ». La position de la Cour de cassation est donc bien conforme, également, au droit européen.
L’arrêt qui nous occupe démontre alors que cette jurisprudence, peu favorable aux banques, est toujours d’actualité. Elle pourrait avoir des incidences notables.
| Pour allers plus loin : v. ÉTUDE : Le droit des opérations de paiement (cartes, virements, prélèvements), L’encadrement de la contestation, in Droit bancaire (dir. J.-L. Capdeville), Lexbase N° Lexbase : E8910B4R. |
© Reproduction interdite, sauf autorisation écrite préalable
newsid:491070
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.