29 mai 2019
Cour de cassation
Pourvoi n°
18-10.147
Chambre commerciale financière et économique - Formation restreinte hors RNSM/NA
ECLI:FR:CCASS:2019:CO00460
Texte de la décision
COMM.
CH.B
COUR DE CASSATION
______________________
Audience publique du 29 mai 2019
Rejet
Mme MOUILLARD, président
Arrêt n° 460 F-D
Pourvoi n° B 18-10.147
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu l'arrêt suivant :
Statuant sur les pourvois formés par :
1°/ la Caisse fédérale du crédit mutuel Nord-Europe, société coopérative à forme anonyme à capital variable, dont le siège est [...] ,
2°/ la Caisse de crédit mutuel des enseignants de la Marne, société coopérative de crédit, dont le siège est [...] ,
contre l'arrêt rendu le 29 août 2017 par la cour d'appel de Reims (1re chambre civile, section instance), dans le litige les opposant à Mme K... V..., domiciliée [...] ,
défenderesse à la cassation ;
Les demanderesses invoquent, à l'appui de leur pourvoi, le moyen unique de cassation annexé au présent arrêt ;
Vu la communication faite au procureur général ;
LA COUR, en l'audience publique du 2 avril 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Labat, greffier de chambre ;
Sur le rapport de M. Blanc, conseiller référendaire, les observations de la SCP Célice, Soltner, Texidor et Périer, avocat de la Caisse fédérale du crédit mutuel Nord-Europe et de la Caisse de crédit mutuel des enseignants de la Marne, de Me Occhipinti, avocat de Mme V..., l'avis de Mme A..., avocat général, et après en avoir délibéré conformément à la loi ;
Donne acte à la société Caisse fédérale du crédit mutuel Nord Europe du désistement de son pourvoi ;
Sur le moyen unique :
Attendu, selon l'arrêt attaqué (Reims, 29 août 2017), que Mme V..., titulaire d'un compte dans les livres de la société Caisse de crédit mutuel des enseignants de la Marne (la banque), a assigné celle-ci en remboursement d'opérations de paiement du prix d'achats effectués par Internet au moyen du système de paiement « 3D Secure », qu'elle contestait avoir autorisées ;
Attendu que la banque fait grief à l'arrêt de la condamner à payer à Mme V... la somme de 1 364 euros et à rétablir son compte dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu alors, selon le moyen :
1°/ que si, selon l'article L. 133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la société Caisse de crédit mutuel des enseignants de la Marne à rembourser à Mme V... le montant de deux débits effectués sur son compte bancaire dont elle contestait être l'auteur, la cour d'appel, après avoir pourtant constaté que la banque produisait aux débats « un tableau reprenant la chronologie des deux paiements comportant le numéro de téléphone de Mme K... V... et le code de confirmation saisi et satisfait ainsi aux dispositions de l'article L. 133-23 du code monétaire et financier », a considéré que la preuve que Mme V..., « cliente de la caisse de crédit mutuel depuis trente-cinq ans et qui nie avoir autorisé le paiement et avoir divulgué ses données tant bancaires que de téléphonie et soutient au contraire avoir fait preuve de diligence et de prudence », avait agi frauduleusement ou n'avait pas satisfait intentionnellement ou par négligence grave à ses obligations « ne pouvait se déduire du seul fait que l'instrument de paiement ou les données personnelles ont été utilisées » ; qu'en statuant ainsi, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité du service de paiement employé, la cour d'appel a violé les articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
2°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée si la circonstance que les opérations de paiement litigieuses avaient été effectuées via le système de paiement sécurisé « 3D Secure », lequel nécessitait pour fonctionner non seulement que l'utilisateur fournisse les données figurant sur sa carte bancaire, mais également un code confidentiel temporaire adressé sur le téléphone du client, ne permettait pas de démontrer que Mme V..., qui n'avait jamais fait état de la perte ou du vol de son téléphone, ni prétendu qu'il aurait été défectueux, avait nécessairement été négligente dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
3°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée, si la circonstance que les opérations de paiement litigieuses avaient été effectuées sans défaillance technique, via le système de paiement sécurisé « 3D Secure », nécessitant, outre la fourniture des informations présentes sur la carte du sociétaire (nom, cryptogramme visuel, numéro et date d'expiration de la carte), un code de confirmation adressé sur le téléphone portable de ce dernier, Mme V... n'ayant jamais fait état de la perte ou du vol de son téléphone, ni prétendu qu'il aurait été défectueux, ne permettait de présumer que Mme V... avait été gravement négligente dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
4°/ que le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant que la société Caisse de crédit mutuel des enseignants de la Marne ne pouvait invoquer l'article 6, § 1, de la Convention européenne des droits de l'homme sur la nécessité d'un procès équitable « alors qu'il n'existe pas un déséquilibre entre les parties mais seulement une règle juridique qui impose à la banque la charge de la preuve de faits à l'encontre de son client », quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6, § 1, de la Convention européenne des droits de l'homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ;
Mais attendu, en premier lieu, que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE du 13 novembre 2007, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, dans leur rédaction alors applicable, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; que le moyen, qui, en ses première, deuxième et troisième branches, postule le contraire, manque en droit ;
Et attendu, en second lieu, qu'en retenant que la preuve que Mme V..., qui contestait avoir autorisé les paiements en cause et divulgué ses données tant bancaires que de téléphonie, avait agi frauduleusement ou n'avait pas satisfait intentionnellement ou par négligence grave à ses obligations ne pouvait se déduire du seul fait que son instrument de paiement ou ses données personnelles avaient été utilisées, sans considération du niveau de sécurité offert par le service de paiement en cause, et en excluant ainsi de mettre à la charge de cette utilisatrice la preuve, non moins difficile à rapporter, d'une absence de négligence grave de sa part, la cour d'appel, qui n'a fait qu'appliquer les règles de droit commun relatives à la charge et aux modalités de la preuve, n'a pas placé la banque dans une situation de net désavantage dans la présentation de sa cause par rapport à Mme V... et n'a donc pas méconnu le principe de l'égalité des armes ;
D'où il suit que le moyen n'est pas fondé ;
PAR CES MOTIFS :
REJETTE le pourvoi ;
Condamne la société Caisse de crédit mutuel des enseignants de la Marne aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à Mme V... la somme de 3 000 euros ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-neuf mai deux mille dix-neuf.
MOYEN ANNEXE au présent arrêt.
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel des enseignants de la Marne.
Il est fait grief à l'arrêt attaqué D'AVOIR condamné la Caisse de Crédit Mutuel des Enseignants de la Marne à payer à Madame V... la somme de 1.364 € en principal, assortie des intérêts au taux légal à compter du 24 novembre 2015, date de l'assignation, D'AVOIR condamné la Caisse de Crédit Mutuel des enseignants de la Marne à recréditer le compte bancaire de Madame K... V... des sommes prélevées au titre du plan d'apurement particulier, et D'AVOIR ordonné à la Caisse de Crédit Mutuel des Enseignants de la Marne de rétablir le compte bancaire de Madame K... V... dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ;
AUX MOTIFS QUE « le 14 janvier 2015, alors qu'elle se rendait sur internet pour consulter en ligne son compte bancaire, Mme K... V... a constaté qu'il présentait un débit important. Après avoir procédé à l'analyse des opérations bancaires réalisées sur ledit compte, elle a remarqué que deux débits avaient été effectués à quelques minutes d'intervalle le 2 janvier 2015. Ces deux opérations portaient sur la même somme d'argent et comportent les mêmes références : "PAIEMENT CB [...] [...] CARTE [...]". Mme K... V... a contacté sa banque pour les informer de l'irrégularité de ces prélèvements. Le 16 janvier 2015, elle s'est rendue à la gendarmerie pour porter plainte et le 20 janvier 2015, elle est allée à la banque pour remplir le dossier de demande de remboursement, conformément à l'article L. 133-18 du code monétaire et financier. La banque a refusé de la rembourser. Aux termes des articles L. 133-16 et L. 133-17 et L. 133-24 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité et personnalisés. L'article L. 133-15 du code monétaire et financier dispose que le prestataire de services de paiement qui délivre un instrument de paiement doit s'assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l'article L. 133-4 ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé à utiliser cet instrument... il supporte le risque lié à l'envoi au payeur d'un instrument de paiement ou de tout dispositif de sécurité personnalisé de celui-ci. L'article L. 133-19 du code monétaire et financier prévoit que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant à son insu l'instrument de paiement ou les données qui lui sont liées et que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire. L'article L. 133-23 du même code dispose que lorsque l'utilisateur de service de paiement nie avoir autorisé une opération de paiement qui a été exécutée, il incombe aux prestataires de service de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée ou qu'elle n'a pas été affectée par une déficience technique ou autre. En application de ces deux articles c'est au prestataire de service de paiement qu'il incombe de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou par négligence grave à ses obligations. Il doit établir que l'ordre émane bien de l'utilisateur de ce service, cette disposition n'étant que l'application de l'article 1937 du code civil selon laquelle le dépositaire ne peut se libérer des fonds reçus de son client que sur son ordre ou sur celui de son mandataire. La Caisse de Crédit Mutuel des Enseignements de la Marne soutient que les paiements contestés sont des paiements sécurisés effectués par carte bancaire, validés par processus "3D SECURE", opérations confirmées après dispositif de sécurité personnalisé et que pour les réaliser, sont nécessaires, le nom, le cryptogramme visuel, le numéro de la carte et la date de validité et surtout la communication et la confirmation d'un code spécifique à 6 chiffres adressé via un mode de communication renseigné par le sociétaire sur le site de banque en ligne et que les deux codes de confirmation ont été adressés sur le numéro de téléphone portable de Mme V... qui conteste avoir perdu ou s'être fait voler son appareil. La banque produit aux débats un tableau reprenant la chronologie des deux paiements comportant le numéro de téléphone de Mme K... V... et le code de confirmation saisi et satisfait ainsi aux dispositions de l'article L. 133-23 du code monétaire et financier. Cependant la preuve que Mme K... V..., cliente de la caisse de crédit mutuel depuis 35 ans et qui nie avoir autorisé le paiement et avoir divulgué ses données tant bancaires que de téléphonie et soutient au contraire avoir fait preuve de diligence et de prudence, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles ont été utilisées. Il convient de rappeler que l'article L. 133-15 du code monétaire et financier fait supporter à la banque le risque lié à l'envoi à son client de tout dispositif de sécurité personnalisé. La Caisse de Crédit Mutuel des Enseignements de la Marne ne saurait invoquer l'article 6 paragraphe 1 de la convention européenne des droits de l'homme sur la nécessité d'un procès équitable alors qu'il n'existe pas un déséquilibre entre les parties mais seulement une règle juridique qui impose à la banque la charge de la preuve de faits à l'encontre de son client. Mme K... V... a contacté sa banque pour lui faire part des anomalies dans les débits de son compte dès le 14 janvier 2015 après s'être rendue sur internet pour consulter son compte et son opposition ne peut être qualifiée de tardive au regard des dispositions de l'article L. 133-19 du code du code monétaire et financier qui prévoit que l'utilisateur doit informer sans tarder son prestataire de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées aux fins de blocage de l'instrument et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion. Mme K... V... s'est présentée à la gendarmerie de Guignicourt le 16 janvier 2015 où il lui a été indiqué que la loi n'impose pas le dépôt de plainte auprès des services de police ou de gendarmerie pour bénéficier du remboursement du montant des opérations résultant d'une utilisation frauduleuse de la carte bancaire (Pièce n° 7) et la Caisse de Crédit Mutuel des Enseignements de la Marne est malvenue à lui faire un reproche sur l'absence de dépôt de plainte alois qu'il est demandé aux services de police et de gendarmerie de ne plus recevoir ce type de plainte (pièce 12 et 13). Il appartient à la Caisse de Crédit Mutuel des Enseignements de la Marne en application de l'article L. 133-18 du code monétaire et financier de rembourser à Mme K... V... le montant de l'opération non autorisée et de rétablir le compte débité dans l'état ou il se serait trouvé si l'opération de paiement n'avait pas eu lieu » ;
1°) ALORS QUE si, selon l'article L. 133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel des enseignants de la Marne à rembourser à Madame V... le montant de deux débits effectués sur son compte bancaire dont elle contestait être l'auteur, la cour d'appel, après avoir pourtant constaté que la banque produisait aux débats « un tableau reprenant la chronologie des deux paiements comportant le numéro de téléphone de Mme K... V... et le code de confirmation saisi et satisfait ainsi aux dispositions de l'article L. 133-23 du code monétaire et financier », a considéré que la preuve que Madame V..., « cliente de la caisse de crédit mutuel depuis 35 ans et qui nie avoir autorisé le paiement et avoir divulgué ses données tant bancaires que de téléphonie et soutient au contraire avoir fait preuve de diligence et de prudence », avait agi frauduleusement ou n'avait pas satisfait intentionnellement ou par négligence grave à ses obligations « ne [pouvait] se déduire du seul fait que l'instrument de paiement ou les données personnelles ont été utilisées » ; qu'en statuant ainsi, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité du service de paiement employé, la cour d'appel a violé les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
2°) ALORS SUBSIDIAIREMENT QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée (conclusions d'appel de la banque, not. p. 3-4 ; p. 5 ; p. 10) si la circonstance que les opérations de paiement litigieuses avaient été effectuées via le système de paiement sécurisé 3D SECURE, lequel nécessitait pour fonctionner non seulement que l'utilisateur fournisse les données figurant sur sa carte bancaire, mais également un code confidentiel temporaire adressé sur le téléphone du client, ne permettait pas de démontrer que Madame V..., qui n'avait jamais fait état de la perte ou du vol de son téléphone, ni prétendu qu'il aurait été défectueux, avait nécessairement été négligente dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
3°) ALORS, A TOUT LE MOINS, QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée, si la circonstance que les opérations de paiement litigieuses avaient été effectuées sans défaillance technique, via le système de paiement sécurisé 3D SECURE, nécessitant, outre la fourniture des informations présentes sur la carte du sociétaire (nom, cryptogramme visuel, numéro et date d'expiration de la carte), un code de confirmation adressé sur le téléphone portable de ce dernier, Madame V... n'ayant jamais fait état de la perte ou du vol de son téléphone, ni prétendu qu'il aurait été défectueux, ne permettait de présumer que Madame V... avait été gravement négligente dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
4°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant que la Caisse de Crédit Mutuel des enseignants de la Marne ne pouvait invoquer l'article 6 paragraphe 1er de la Convention européenne des droits de l'Homme sur la nécessité d'un procès équitable « alors qu'il n'existe pas un déséquilibre entre les parties mais seulement une règle juridique qui impose à la banque la charge de la preuve de faits à l'encontre de son client », quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne des Droits de l'Homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ;