[Observations] Confirmation de l’application exclusive des dispositions issues des « DSP »

►Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133‐18 à L. 133‐24 du Code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.

L’état du droit régissant les opérations de paiement a fortement évolué à la suite de la transposition en droit interne des dispositions de la Directive (CE) n° 2007/64 du 13 novembre 2007 concernant les services de paiement dans le marché intérieur N° Lexbase : L5478H3B, dite « DSP 1 », par l’ordonnance n° 2009-866 du 15 juillet 2009 N° Lexbase : L4658IEA. Depuis lors, un seul corps de règles commun est prévu à l’égard des opérations de paiement passées à l’aide de la carte bancaire, du virement et du prélèvement. Cet encadrement juridique a depuis encore évolué par suite de la transposition en droit français des dispositions de la Directive (UE) n° 2015/2366 du 25 novembre 2015 N° Lexbase : L1744LDX, dite « DSP 2 » par l’ordonnance n° 2017-1252 du 9 août 2017 N° Lexbase : L4211LG3.

L’application de ce régime juridique était au cœur de la décision sélectionnée. Les faits étaient les suivants.

Faits et procédure. La société AG et la société AS (les sociétés A.), chacune titulaire d’un compte ouvert dans les livres de la banque X., avaient souscrit un contrat de service « Transbred.com » permettant la transmission, par internet, d’ordres d’opérations de paiement authentifiés par un certificat numérique.

Le 23 juin 2015, six ordres de virement d’un montant cumulé de 498 266,50 euros avaient été exécutés à partir des comptes des sociétés A. par la banque. Cependant, contestant avoir autorisé ces paiements, les sociétés A. avaient assigné la banque en remboursement des fonds virés et non récupérés.

Or, par un arrêt du 18 janvier 2023, la cour d’appel de Paris (CA Paris, 5-6, 18 janvier 2023, n° 21/05247 N° Lexbase : A475489X) avait condamné la banque à payer à la société AG la somme de 1 421,70 euros et à la société AS la somme de 123 783,25 euros, soit 50 % des sommes frauduleusement virées et non récupérées pour manquement à son obligation de vigilance et de surveillance de ses systèmes. L’établissement de crédit X. avait alors formé un pourvoi en cassation.

Décision. Celui-ci se révèle utile puisque la Cour de cassation casse la décision des juges du fond.

La Haute juridiction commence par rappeler que la responsabilité contractuelle de droit commun, résultant de l’article 1231-1 du Code civil N° Lexbase : L0613KZQ (anc. art. 1147 N° Lexbase : L1248ABT) n’est pas applicable en présence d’un régime de responsabilité exclusif.

Elle reprend alors le droit de la CJUE. Elle indique ainsi que dans son arrêt du16 mars 2023 (CJUE, 16 mars 2023, aff. C‐351/21, Beobank N° Lexbase : A82479HW), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la Directive n° 2007/64/CE :
« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d'engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C‐337/20, CRCAM, [...] points 42 et 46).
38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C‐337/20, CRCAM, [...] point 45) ».

La Cour de cassation en déduit alors que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133‐18 N° Lexbase : L7451MDC à L. 133‐24 du Code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.

Or, pour condamner la banque à rembourser aux sociétés A. 50 % des pertes subies à la suite de l’exécution des ordres de paiement non autorisés, l’arrêt de la cour d’appel avait retenu que si les sociétés payeuses avaient commis une négligence grave, la banque avait commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d’alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés A. caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.

Dès lors, en statuant ainsi, alors qu’elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l'article L. 133‐18 du Code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés A. devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d’appel avait violé les textes précités.

La Haute juridiction casse et annule l’arrêt rendu le 18 janvier 2023 par la cour d'appel de Paris. L’affaire et les parties sont renvoyées devant la cour d'appel de Paris autrement composée.

Cette solution ne surprendra pas le lecteur. Elle figure donc dans la jurisprudence de la CJUE (CJUE, 2 septembre 2021, aff. C-337/20 N° Lexbase : A232343G ; CJUE, 16 mars 2023, aff. C‐351/21, préc.), mais aussi dans d’autres décisions de la Cour de cassation (Cass. com., 27 mars 2024, n° 22-21.200, FS-B N° Lexbase : A17902XL, J. Lasserre-Capdeville, Lexbase Affaires, avril 2024, n° 791 N° Lexbase : N8930BZR) ; Cass. com., 2 mai 2024, n° 22-18.074, J. Lasserre Capdeville, Lexbase Affaires, mai 2024, n° 795 N° Lexbase : N9271BZE).

On rappellera, néanmoins, que quelques exceptions existent en la matière. D’une part, les obligations générales, tel le devoir de vigilance, peuvent s’appliquer si l’auteur de l’action n’est pas visé par le régime spécial, telle une caution (Cass. com., 9 février 2022, n° 17-19.441, FS-B N° Lexbase : A68187MH J. Lasserre Capdeville, Lexbase Affaires, février 2022, n° 706 N° Lexbase : N0430BZX). D’autre part, une décision récente a eu l’occasion de préciser que si les paiements litigieux ont été réalisés en dollars américains, il n’est pas non plus possible d’appliquer le régime spécial envisagé par les articles L. 133-1 et suivants du Code monétaire et financier (Cass. com., 14 février 2024, n° 22-11.654 N° Lexbase : A19212M4, J. Lasserre Capdeville, Lexbase Affaires, février 2024, n° 786 N° Lexbase : N8538BZA).

© Reproduction interdite, sauf autorisation écrite préalable