[Brèves] Précisions sur la preuve pesant sur le prestataire de services de paiement

► S’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 (N° Lexbase : L5114LGI) et L. 133-17 (N° Lexbase : L5113LGH) du Code monétaire et financier, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.

Voilà une affaire, intéressant le « hameçonnage », déjà connue (Cass. com., 25 octobre 2017, n° 16-11.644, FS-P+B+I N° Lexbase : A6296WW4), qui a pour intérêt de donner lieu à une nouvelle décision remarquée.

Faits et procédure. En l’espèce, après avoir reçu, sur son téléphone mobile, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par internet qu’elle n’avait pas réalisés, la titulaire d'une carte bancaire avait, le même jour, fait opposition à celle-ci auprès de sa banque. Elle lui avait ensuite demandé, ainsi qu’à la Caisse fédérale régionale de la banque, de lui rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral.

Soutenant que l’utilisatrice ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l’opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d’expiration et cryptogramme figurant au verso de la carte, l’établissement de crédit et la Caisse fédérale s’étaient opposées à sa demande au motif qu’elle avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.

Or, par un jugement du 12 décembre 2018 rendu sur renvoi après cassation (Cass. com., 25 octobre 2017, n° 16-11.644, préc.), le tribunal d’instance de Dunkerque était venu dire que ces établissements ne démontraient pas que l’opération litigieuse n’avait pas été affectée par une déficience technique ou autre. Ils avaient alors été condamnés in solidum à payer à l’utilisatrice la somme de 3 300,28 euros.

La banque et la Caisse fédérale ont, sans surprise, formé un pourvoi en cassation.

Moyens. Elles rappelaient, par ce dernier, que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non-autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave à l’obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Or, elles observaient qu’en l’espèce, le tribunal d’instance avait retenu que l’utilisatrice avait commis une négligence grave en transmettant ses nom, numéro de carte bancaire, date d’expiration et cryptogramme visuel en réponse à un courriel manifestement frauduleux aux yeux de tout utilisateur normalement attentif. Dès lors, en jugeant néanmoins que faute pour la banque de prouver que l’opération litigieuse n’avait pas été affectée d’une déficience technique, la banque devait être condamnée à rembourser à sa cliente le montant des sommes détournées, le tribunal d’instance aurait violé les articles L. 133-16, L. 133-19 (N° Lexbase : L5118LGN) et L. 133-23 (N° Lexbase : L5125LGW) du Code monétaire et financier.

Décision. Ce moyen ne parvient pas à convaincre la Haute juridiction.

La Cour de cassation considère en effet qu’il résulte des articles L. 133-19, IV et L. 133-23 du Code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 (N° Lexbase : L4658IEA), que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. Dès lors, le moyen, pris en sa première branche, qui postule le contraire, manque en droit.

Le pourvoi est, au final, rejeté.

Voilà une solution sévère pour les prestataires de services de paiement du payeur, car de nature à rendre particulièrement rares les cas dans lesquels le payeur verra sa responsabilité engagée en présence d’opérations de paiement non autorisées.

Elle est, en revanche, conforme à la loi. L’article L. 133-23, alinéa 1^er, du Code monétaire et financier prévoit bien que lorsque l’utilisateur de services de paiement (payeur ou bénéficiaire) nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, « il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ».

La Cour de cassation souhaite donc faire prévaloir cet alinéa en l’imposant dans tous les cas. Cette lecture de l’article L. 133-23 est, a priori, convaincante.

© Reproduction interdite, sauf autorisation écrite préalable