12 novembre 2020
Cour de cassation
Pourvoi n°
19-12.112
Chambre commerciale financière et économique - Formation de section
Publié au Bulletin
ECLI:FR:CCASS:2020:CO00708
Titres et sommaires
BANQUE - Paiement - Instrument de paiement - Utilisation frauduleuse par un tiers - Responsabilité du titulaire - Fraude ou non-respect des obligations - Appréciation - Eléments à considérer - Absence de déficience technique - Preuve - Charge
Il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre
BANQUE - Paiement - Instrument de paiement - Utilisation frauduleuse par un tiers - Responsabilité de la banque - Appréciation - Eléments à considérer - Absence de déficience technique - Preuve - Charge
Texte de la décision
COMM.
CH.B
COUR DE CASSATION
______________________
Audience publique du 12 novembre 2020
Rejet
Mme MOUILLARD, président
Arrêt n° 708 FS-P+B
Pourvoi n° G 19-12.112
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 12 NOVEMBRE 2020
1°/ la société Caisse de crédit mutuel de Calais, société coopérative de crédit, dont le siège est [...] ,
2°/ la société Caisse fédérale du crédit mutuel Nord Europe, société coopérative à forme anonyme à capital variable, dont le siège est [...] ,
ont formé le pourvoi n° G 19-12.112 contre le jugement rendu le 12 décembre 2018 par le tribunal d'instance de Dunkerque, dans le litige les opposant à Mme H... Y... , domiciliée [...] , défenderesse à la cassation.
Les demanderesses invoquent, à l'appui de leur pourvoi, le moyen unique de cassation annexé au présent arrêt.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Blanc, conseiller référendaire, les observations de la SCP Célice, Texidor, Périer, avocat des sociétés Caisse de crédit mutuel de Calais et Caisse fédérale du crédit mutuel Nord Europe, et l'avis de Mme Henry, avocat général, après débats en l'audience publique du 6 octobre 2020 où étaient présents Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mmes Vallansan, Graff-Daudret, Vaissette, Bélaval, Fontaine, Fevre, M. Riffaud, conseillers, M. Guerlot, Mmes Barbot, Brahic-Lambrey, Kass-Danno, Tostain, Bessaud, M. Boutié, Mme Bellino, conseillers référendaires, Mme Henry, avocat général, et Mme Fornarelli, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l'article R. 431-5 du code de l'organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt ;
Faits et procédure
1. Selon le jugement attaqué (tribunal d'instance de Dunkerque, 12 décembre 2018), rendu en dernier ressort, sur renvoi après cassation (Com., 25 octobre 2017 pourvoi n° 16-11.644, Bull. n° 139), après avoir reçu, sur son téléphone mobile, deux messages lui communiquant un code à six chiffres dénommé « 3D Secure », destiné à valider deux paiements par Internet qu'elle n'avait pas réalisés, Mme Y... a, le même jour, fait opposition à sa carte bancaire auprès de la société Caisse de crédit mutuel de Calais, dans les livres de laquelle était ouvert son compte. Elle lui a ensuite demandé, ainsi qu'à la société Caisse fédérale de crédit mutuel Nord Europe, de lui rembourser la somme qui avait été prélevée sur ce compte à ce titre et de réparer son préjudice moral.
2. Soutenant que Mme Y... ne contestait pas avoir, en réponse à un courriel se présentant comme émanant de l'opérateur téléphonique SFR, communiqué à son correspondant des informations relatives à son compte chez cet opérateur, permettant de mettre en place un renvoi téléphonique des messages reçus de la banque, ainsi que ses nom, numéro de carte de paiement, date d'expiration et cryptogramme figurant au verso de la carte, les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale de crédit mutuel Nord Europe se sont opposées à sa demande au motif qu'elle avait ainsi commis une négligence grave dans la conservation des dispositifs de sécurité personnalisés mis à sa disposition.
Examen du moyen
Enoncé du moyen
3. Les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale de crédit mutuel Nord Europe font grief au jugement de dire qu'elles ne démontrent pas que l'opération litigieuse n'a pas été affectée par une déficience technique ou autre et de les condamner en conséquence in solidum à payer à Mme Y... la somme de 3 300,28 euros, avec intérêts au taux légal à compter du 7 décembre 2015, alors :
« 1°/ que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non-autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave à l'obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; qu'en l'espèce, le tribunal d'instance a retenu que Mme Y... avait commis une négligence grave en transmettant ses nom, numéro de carte bancaire, date d'expiration et cryptogramme visuel en réponse à un courriel manifestement frauduleux aux yeux de tout utilisateur normalement attentif ; qu'en jugeant néanmoins que faute pour la banque de prouver que l'opération litigieuse n'avait pas été affectée d'une déficience technique, la banque devait être condamnée à rembourser à sa cliente le montant des sommes détournées, le tribunal d'instance a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier, dans leur rédaction applicable en la cause issue de l'ordonnance n° 2009-866 du 15 juillet 2009 ;
2°/ que, dans ses conclusions d'appel, la banque faisait valoir qu'il résultait du tableau chronologique ainsi que du rapport établis par ses services, mentionnant l'ensemble des informations relatives à l'opération contestée (date et heure de l'opération, numéro de la carte bancaire de Mme Y... , montant des l'opération, site sur lequel la transaction avait été effectuée) que cette opération avait été "enregistrée, comptabilisée, authentifiée, et n'a été affectée d'aucune déficience technique" ; que la banque soulignait qu'il résultait du rapport de ses services que le code unique à six chiffres utilisé pour valider l'opération avait été reçu par SMS par Mme Y... ; qu'en énonçant que la banque "ne donne aucune explication de nature à démontrer l'absence de déficience", le tribunal d'instance a dénaturé les conclusions des exposantes, violant ainsi les articles 4 et 5 du code de procédure civile ;
3°/ qu'en s'abstenant de rechercher si les éléments ainsi invoqués par la banque ne permettaient pas d'établir que l'opération litigieuse avait été réalisée sans déficience technique, le tribunal d'instance a privé sa décision de base légale au regard de l'article L. 133-23 du code monétaire et financier, dans sa rédaction applicable en la cause issue de l'ordonnance n° 2009-866 du 15 juillet 2009. »
Réponse de la Cour
4. En premier lieu, il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
5. Le moyen, pris en sa première branche, qui postule le contraire, manque en droit.
6. En second lieu, sous le couvert des griefs infondés de dénaturation et de manque de base légale, le moyen, pris en ses deuxième et troisième branches, ne tend qu'à remettre en cause l'appréciation, souveraine, par laquelle le tribunal a estimé que les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale de crédit mutuel Nord Europe ne rapportaient pas cette preuve.
7. Le moyen n'est donc pas fondé.
PAR CES MOTIFS, la Cour :
REJETTE le pourvoi ;
Condamne les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale de crédit mutuel Nord Europe aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du douze novembre deux mille vingt.
MOYEN ANNEXE au présent arrêt
Moyen produit par la SCP Célice, Texidor, Périer, avocat aux Conseils, pour les sociétés Caisse de crédit mutuel de Calais et Caisse fédérale du crédit mutuel Nord Europe.
Il est fait grief au jugement attaqué D'AVOIR dit que la Caisse de Crédit Mutuel de CALAIS et la Caisse Fédérale de Crédit Mutuel Nord Europe ne démontraient pas que l'opération litigieuse n'avait pas été affectée par une déficience technique ou autre, et D'AVOIR en conséquence condamné in solidum la Caisse de Crédit Mutuel de Calais et la Caisse Fédérale de Crédit Mutuel Nord Europe à payer à Madame H... Y... la somme de 3.300,28 €, avec intérêts au taux légal à compter du 7 décembre 2015 ;
AUX MOTIFS QUE « 1) Sur l'existence d'un dispositif de sécurité personnalisé Aux termes de l'article L. 133-4 a) du code monétaire et financier, dans sa rédaction alors en vigueur, « un dispositif de sécurité personnalisé s'entend de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l'utilisation d'un instrument de paiement. Ce dispositif, propre à l'utilisateur de services de paiement et placé sous sa garde, vise à l'authentifier". En l'espèce, il n'est pas contesté que le système 3D SECURE est une procédure d'authentification personnelle. En effet, lors d'un achat en ligne, après saisie des données relatives à la carte bancaire, l'utilisateur est redirigé vers le site internet de sa banque pour confirmer son identité. Un code unique lui est transmis par SMS ou serveur vocal interactif et permet alors l'autorisation de la transaction effectuée. En conséquence, le paiement avec le système 3D SECURE doit être qualifié de dispositif de sécurité personnalisé. Sur la responsabilité du payeur Dans le cas particulier des instruments de paiement dotés d'un dispositif de sécurité personnalisé, l'article L. 133-19 du code monétaire et financier, dans sa rédaction alors en vigueur, dispose que : " II - La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non-autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17." Selon l'article L. 133-16 du code monétaire et financier, dans sa rédaction alors en vigueur : "Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation." En cas d'opérations non-autorisées, L. 133-23 du code monétaire et financier, dans sa rédaction alors en vigueur, dispose que : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière." Il résulte de l'ensemble de ces textes que, dans le cas d'un paiement non autorisé via des instruments de paiement dotés d'un dispositif de sécurité personnalisé, le prestataire de service de paiement qui demande à ce que le payeur supporte les pertes occasionnées doit démontrer la réalisation de deux conditions cumulatives : - que ces pertes résultent d'un agissement frauduleux de la part du payeur, ou qu'il n'a pas satisfait intentionnellement ou par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il convient alors de préciser que la simple utilisation de l'instrument de paiement ne suffit pas nécessairement en tant que telle à prouver l'autorisation du paiement par le payeur ; - que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. Sur l'existence d'une négligence grave. En l'espèce, il ne peut être contesté que toute personne raisonnable est informée sur l'existence de risques sur le "hameçonnage" ou "phishing", ne serait-ce que par l'utilisation régulière d'une boîte mail. En tout état de cause, il peut être reproché au payeur de ne pas avoir pris toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés si, avisé ou non des risques d'hameçonnage, il existe des indices dans le courriel frauduleux permettant à un utilisateur normalement attentif de douter de sa provenance. Le courriel frauduleusement originaire de la société SFR, reçu le 14 août 2014 par Madame H... Y... : - ne comportait, contrairement aux courriers légitimes de la société SFR, ni son nom ni son adresse, ni le numéro de sa ligne téléphonique ; - ne précisait pas le montant des sommes dues ; - indiquait un numéro de facture erroné. En outre Madame H... Y... ne conteste pas : - avoir eu un compte créditeur au moment des faits litigieux ; - payer ses factures téléphoniques par le biais de prélèvements et non par carte bancaire. Il ressort de l'ensemble de ces éléments que Madame H... Y... a négligé gravement son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés en transmettant, ce qui n'est pas contesté, ses nom, numéro de carte bancaire, date d'expiration et cryptogramme visuel en réponse à un mail manifestement frauduleux aux yeux de tout utilisateur normalement attentif. Sur l'existence d'une déficience En l'espèce, il résulte des pièces du dossier que l'opération litigieuse a été authentifiée, dûment enregistrée et comptabilisée, ce qui n'est pas contesté. Cependant, Madame H... Y... conteste avoir transmis son code 3D SECURE dans le cadre de la transaction litigieuse et nie en conséquence avoir autorisé l'opération de paiement litigieuse qui a été exécutée. Il revient donc à la banque de rapporter la preuve que l'opération "n'a pas été affectée par une déficience technique ou autre", selon les termes de l'article L. 133-23 du code monétaire et financier, dans sa rédaction alors en vigueur. Or, en l'espèce, la CAISSE DE CRÉDIT MUTUEL DE CALAIS et la CAISSE FÉDÉRALE DE CRÉDIT MUTUEL NORD EUROPE : - fournissent, pour démontrer l'absence de déficience, un simple tableau chronologique, pièce par ailleurs quasiment illisible et sans notice explicative l'accompagnant ; - ne donne aucune explication de nature à démontrer l'absence de déficience. Il convient donc de considérer que la CAISSE DE CRÉDIT MUTUEL DE CALAIS et la CAISSE FÉDÉRALE DE CRÉDIT MUTUEL NORD EUROPE ne démontrent pas que l'opération n'ait pas été affectée par une déficience technique ou autre. En conséquence, la CAISSE DE CRÉDIT MUTUEL DE CALAIS et la CAISSE FÉDÉRALE DE CRÉDIT MUTUEL NORD EUROPE doivent donc être condamnées in solidum à payer à Madame H... Y... la somme de 3.300,28 euros »
1°) ALORS, D'UNE PART, QUE le payeur supporte toutes les pertes occasionnées par des opérations de paiement non-autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave à l'obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; qu'en l'espèce, le tribunal d'instance a retenu que Madame Y... avait commis une négligence grave en transmettant ses nom, numéro de carte bancaire, date d'expiration et cryptogramme visuel en réponse à un courriel manifestement frauduleux aux yeux de tout utilisateur normalement attentif ; qu'en jugeant néanmoins que faute pour la Caisse de Crédit Mutuel de prouver que l'opération litigieuse n'avait pas été affectée d'une déficience technique, la banque devait être condamnée à rembourser à sa cliente le montant des sommes détournées, le tribunal d'instance a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier, dans leur rédaction applicable en la cause issue de l'ordonnance n° 2009-866 du 15 juillet 2009 ;
2°) ALORS, SUBSIDIAIREMENT, QUE dans ses conclusions d'appel (spéc.
p. 10-11), le Crédit Mutuel faisait valoir qu'il résultait du tableau chronologique ainsi que du rapport établis par ses services, mentionnant l'ensemble des informations relatives à l'opération contestée (date et heure de l'opération, numéro de la carte bancaire de Madame Y... , montant des l'opération, site sur lequel la transaction avait été effectuée) que cette opération avait été « enregistrée, comptabilisée, authentifiée, et n'a été affectée d'aucune déficience technique » ; que le Crédit Mutuel soulignait (p. 11 ; p. 15) qu'il résultait du rapport de ses services que le code unique à 6 chiffres utilisé pour valider l'opération avait été reçu par SMS par Madame Y... ; qu'en énonçant que le Crédit Mutuel « ne donne aucune explication de nature à démontrer l'absence de déficience », le tribunal d'instance a dénaturé les conclusions des exposantes, violant ainsi les articles 4 et 5 du code de procédure civile ;
3°) ALORS QU' en s'abstenant de rechercher si les éléments ainsi invoqués par le Crédit Mutuel ne permettaient pas d'établir que l'opération litigieuse avait été réalisée sans déficience technique, le tribunal d'instance a privé sa décision de base légale au regard de l'article L. 133-23 du code monétaire et financier, dans sa rédaction applicable en la cause issue de l'ordonnance n° 2009-866 du 15 juillet 2009.