3 avril 2019
Cour de cassation
Pourvoi n°
18-11.293
Chambre commerciale financière et économique - Formation de section
ECLI:FR:CCASS:2019:CO00349
Texte de la décision
COMM.
IK
COUR DE CASSATION
______________________
Audience publique du 3 avril 2019
Rejet
Mme MOUILLARD, président
Arrêt n° 349 FS-D
Pourvoi n° X 18-11.293
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu l'arrêt suivant :
Statuant sur le pourvoi formé par la société Caisse de crédit mutuel de Cysoing, société coopérative de crédit, dont le siège est [...] ,
contre l'arrêt rendu le 5 octobre 2017 par la cour d'appel de Douai (3e chambre), dans le litige l'opposant :
1°/ à M. O...-B... U...,
2°/ à Mme K... V..., épouse U...,
tous deux domiciliés [...],
défendeurs à la cassation ;
La demanderesse invoque, à l'appui de son pourvoi, le moyen unique de cassation annexé au présent arrêt ;
Vu la communication faite au procureur général ;
LA COUR, composée conformément à l'article R. 431-5 du code de l'organisation judiciaire, en l'audience publique du 5 mars 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, M. Guérin, Mme Vallansan, M. Remeniéras, Mmes Graff-Daudret, Vaissette, Bélaval, conseillers, Mme Schmidt, M. Guerlot, Mmes Barbot, Brahic-Lambrey, Kass-Danno, Lion, conseillers référendaires, Mme Henry, avocat général, M. Graveline, greffier de chambre ;
Sur le rapport de M. Blanc, conseiller référendaire, les observations de la SCP Célice, Soltner, Texidor et Périer, avocat de la société Caisse de crédit mutuel de Cysoing, l'avis de Mme Henry, avocat général, à la suite duquel le président a demandé à l'avocat s'il souhaitait présenter des observations complémentaires, et après en avoir délibéré conformément à la loi ;
Attendu, selon l'arrêt attaqué (Douai, 5 octobre 2017), que M. et Mme U..., titulaires d'un compte dans les livres de la société Caisse de crédit mutuel de Cysoing (la banque), ont assigné celle-ci en remboursement d'opérations de paiement du prix d'achats effectués par Internet au moyen du système de paiement « Payweb » et de retraits effectués au moyen du système de paiement « e-retrait », qu'ils contestaient avoir autorisés ;
Sur la demande de saisine préjudicielle de la Cour de justice de l'Union européenne, dont l'examen est préalable :
Attendu que la banque demande que soit posée à la Cour de justice de l'Union européenne la question suivante : l'article 59, § 2, de la directive 2007/64/CE du 13 novembre 2007, en ce qu'il dispose que « l'utilisation d'un instrument de paiement, telle qu'enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l'opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave, à une ou plusieurs des obligations qui lui incombent en vertu de l'article 56 », autorise-t-il le juge national à déduire la fraude ou la négligence grave du payeur de l'utilisation sans constatation d'une défaillance technique de l'instrument de paiement en cause, à raison des caractéristiques de ce dernier en matière de sécurité et de confidentialité des transactions ? ;
Mais attendu que, selon la jurisprudence de la Cour de justice de l'Union européenne, même une disposition claire, précise et inconditionnelle d'une directive visant à conférer des droits ou à imposer des obligations aux particuliers ne saurait trouver application en tant que telle dans le cadre d'un litige qui oppose exclusivement des particuliers ; que, toutefois, une juridiction nationale, saisie d'un litige opposant exclusivement des particuliers, est tenue, lorsqu'elle applique les dispositions du droit interne adoptées aux fins de transposer les obligations prévues par une directive, de prendre en considération l'ensemble des règles du droit national et de les interpréter, dans toute la mesure du possible, à la lumière du texte ainsi que de la finalité de cette directive pour aboutir à une solution conforme à l'objectif poursuivi par celle-ci (CJUE, arrêt du 15 janvier 2014, Association de médiation sociale, C-176/12) ;
Que, selon ses considérants 4 et 5, la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur tend à établir un cadre juridique garantissant des conditions de concurrence équitables pour tous les systèmes de paiement afin de maintenir le choix offert au consommateur, ce qui devrait représenter un progrès sensible en termes de coûts pour le consommateur, de sûreté et d'efficacité par rapport aux systèmes existant au niveau national ; qu'elle tend notamment à définir, dans ce cadre, les droits et obligations des utilisateurs et prestataires de services de paiement ; que l'article 59 de cette directive énonce, à ce titre, que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, l'utilisation d'un instrument de paiement, telle qu'enregistrée par le prestataire de services de paiement, ne suffit pas nécessairement en tant que telle à prouver que l'opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n'a pas satisfait, intentionnellement ou à la suite d'une négligence grave, à une ou plusieurs des obligations qui lui incombent en vertu de l'article 56, lequel prévoit que l'utilisateur de services de paiement habilité à utiliser un instrument de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et informe sans tarder son prestataire de services de paiement de la perte, du vol, du détournement ou de toute utilisation de son instrument de paiement lorsqu'il en a connaissance ; qu'il résulte enfin des considérants 33 et 34 de la directive, qui concernent la portée de cet article 59, d'abord, que s'il convient de tenir compte de toutes les circonstances pour évaluer l'éventualité d'une négligence de la part de l'utilisateur de services de paiement, les preuves et le degré de négligence devraient être évalués conformément au droit national et, ensuite, qu'afin de favoriser la confiance en la sûreté de l'utilisation des instruments de paiement électronique, les Etats membres devraient être autorisés à réduire la responsabilité du payeur ou à l'en exonérer complètement, sauf agissement frauduleux de sa part ; que cette directive, si elle ne l'exclut pas, n'impose pas de présumer, du seul fait qu'une opération de paiement a été dûment authentifiée et en considération du niveau de sécurité offert par le service de paiement en cause, que l'utilisateur de ce service, qui conteste avoir autorisé ladite opération, a agi frauduleusement ou a été gravement négligent dans la préservation de la sécurité des dispositifs de sécurité personnalisés liés à l'instrument de paiement utilisé ;
Qu'en droit interne, l'article 1315, devenu 1353, du code civil, dispose que celui qui réclame l'exécution d'une obligation doit la prouver et que, réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l'extinction de son obligation ; que l'article 1353 du même code, dans sa rédaction antérieure à celle issue de l'ordonnance du 10 février 2016, dispose que les présomptions qui ne sont point établies par la loi sont abandonnées aux lumières et à la prudence du magistrat, qui ne doit admettre que des présomptions graves, précises et concordantes ; que l'article 9 du code de procédure civile dispose qu'il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention ;
Que l'article L. 133-19, IV, du code monétaire et financier, dans sa rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE du 13 novembre 2007, dispose que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ; que l'article L. 133-23 du même code, dans sa rédaction issue de la même ordonnance, dispose que l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ;
Et attendu qu'est conforme aux objectifs de la directive du 13 novembre 2007, en ce que celle-ci tend à favoriser la confiance en la sûreté de l'utilisation des instruments de paiement électronique, l'interprétation de ces dispositions du code monétaire et financier, au regard des dispositions précitées de droit interne relatives à la charge et aux modalités de la preuve, selon laquelle la preuve que l'utilisateur d'un service de paiement, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations qui lui incombent en application des articles L. 133-16 et L. 133-17 du même code, ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés et qui exclut, ainsi, de mettre à la charge de cet utilisateur, en considération du niveau de sécurité offert par le service de paiement en cause, la preuve d'une absence de fraude ou de négligence grave de sa part dans la préservation de la sécurité des dispositifs de sécurité personnalisés attachés à son instrument de paiement ;
D'où il suit qu'en l'absence de doute raisonnable quant à l'interprétation du droit de l'Union, en particulier de la directive du 13 novembre 2007, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne d'une question préjudicielle ;
Sur le moyen unique, pris en ses première, deuxième, troisième, quatrième, cinquième, septième et huitième branches :
Attendu que la banque fait grief à l'arrêt de la condamner à payer à M. et Mme U... la somme de 5 680,30 euros alors, selon le moyen :
1°/ que si, selon l'article L. 33-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la banque à rembourser à M. et Mme U... le montant d'opérations réalisées au débit de leur compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » a néanmoins considéré que « les utilisations successives des données attachées à la carte des époux U... ne suffisent pas en tant que telles à prouver que les opérations litigieuses (
) ont été autorisées par les époux U... ou qu'ils n'ont pas satisfait intentionnellement ou par négligence grave aux obligations leur incombant en la matière », et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'auraient commise M. et Mme U... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
2°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée, si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés « payweb » et « e-retrait », lesquels nécessitaient pour fonctionner non seulement que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier, ne permettait pas de démontrer que M. et Mme U... avaient nécessairement été négligents dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
3°/ qu'en retenant que l'existence de paiements reçus les 27 et 28 mai 2014, soit postérieurement à l'opposition de M. et Mme U... sur leur carte bancaire « [n'était] pas particulièrement cohérent[e] avec la thèse de la caisse sur la circonstance, alléguée mais non démontrée par celle-ci, que les époux U... auraient nécessairement et volontairement communiqué leurs informations personnelles et confidentielles à un tiers par négligence grave (
) », la cour d'appel, qui s'est fondée sur une circonstance inopérante dès lors que ces paiements avaient pour origine la création de cartes payweb le 26 mai 2014, avant l'opposition formée par M. et Mme U..., a violé les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
4°/ que la banque faisait valoir que les services de paiement payweb et e-retrait, utilisés pour effectuer les opérations litigieuses, nécessitaient que soient communiqués, non seulement un code confidentiel à 6 chiffres envoyé au sociétaire, en l'occurrence, sur son téléphone portable, mais préalablement encore l'identifiant et le mot de passe de connexion sur le site cmne.fr, ainsi qu'un code confidentiel contenu sur une carte de clefs personnelles (s'agissant du service payweb) ou un numéro virtuel (s'agissant du service e-retrait) ; qu'en retenant, pour écarter la négligence grave reprochée à M. et Mme U..., qu'un changement de carte SIM frauduleux avait été effectué le 26 mai 2014 à 17 heures 28, sans rechercher, ainsi qu'elle y était invitée, si cette circonstance n'était pas insuffisante pour écarter la négligence grave reprochée à M. et Mme U... dans la mesure où les services de paiement utilisés (payweb et e-retrait) nécessitaient également que le donneur d'ordre soit également en possession de l'identifiant et du mot de passe du client sur le site cmne.fr, ainsi que de la carte de clefs personnelle ou du numéro virtuel e-retrait, la cour d'appel n'a pas donné de base légale à sa décision au regard des articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
5°/ que le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant que la banque ne pouvait prouver la négligence grave qu'elle imputait aux époux U... par la seule démonstration de ce que les services de paiement utilisés étaient hautement sécurisés et qu'ils avaient été utilisés sans qu'une défaillance technique ou un piratage n'ait été constaté(e), sans que ne soient pour autant méconnues les exigences d'un procès équitable et de la loyauté dans l'administration de la preuve, quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6, § 1, de la Convention européenne des droits de l'homme, ensemble les articles 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil, devenu l'article 1353 du même code ;
6°/ que la banque faisait valoir que les opérations de paiement litigieuses avaient été effectuées par le biais des systèmes hautement sécurisés payweb et e-retrait, nécessitant, outre la fourniture des informations présentes sur la carte du sociétaire (nom, cryptogramme visuel, numéro et date d'expiration de la carte), que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier ; qu'en se bornant à affirmer, par motifs supposément adoptés du premier juge, que « les données de carte codée sont en outre transmises par voie postale et donc potentiellement interceptables », sans rechercher si la circonstance que les opérations de paiement litigieuses avaient été effectuées via des systèmes de paiement sécurisés nécessitant, outre le code figurant sur la carte de clefs personnelle, que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, et qu'il fournisse un code confidentiel pour valider l'opération de paiement, ne permettait pas de démontrer que M. et Mme U... avaient nécessairement été négligents dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
7°/ que la circonstance que les ordres de paiement aient pu être passés à partir d'un ordinateur ou d'un appareil n'appartenant pas à M. et Mme U... n'excluait pas que ces derniers aient communiqué leurs données confidentielles à un tiers ayant effectué les opérations depuis un autre support ; qu'en relevant, par motifs supposément adoptés du premier juge, que « la caisse de Crédit mutuel de Cysoing se gard[ait] de justifier du traçage de l'adresse IP de l'ordinateur ou appareil à partir duquel les ordres auraient été passés », la cour d'appel, qui s'est fondée sur une circonstance inopérante, a violé les articles L. 133- 16, L. 133-19, IV, et L. 133-23 du code monétaire et financier ;
Mais attendu, en premier lieu, que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 transposant la directive 2007/64/CE du 13 novembre 2007, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, dans leur rédaction alors applicable, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; que le moyen qui, pris en ses première, deuxième, quatrième et septième branches, postule le contraire, manque en droit ;
Attendu, en second lieu, qu'en retenant que l'utilisation sans défaillance technique ou piratage des services de paiement en cause ne permettait pas de présumer la négligence grave de M. et Mme U..., sans considération du niveau de sécurité offert par ces services de paiement, et en excluant ainsi de mettre à la charge de ces utilisateurs la preuve, non moins difficile à rapporter, d'une absence de négligence grave de leur part, la cour d'appel, qui n'a fait qu'appliquer les règles de droit commun relatives à la charge et aux modalités de la preuve, n'a pas placé la banque dans une situation de net désavantage dans la présentation de sa cause par rapport à M. et Mme U... et n'a donc pas méconnu le principe de l'égalité des armes ;
D'où il suit qu'inopérant en ses troisième et huitième branches, qui critiquent des motifs surabondants, le moyen n'est pas fondé pour le surplus ;
Et attendu qu'il n'y a pas lieu de statuer par une décision spécialement motivée sur le moyen, pris en sa sixième branche, qui n'est manifestement pas de nature à entraîner la cassation ;
PAR CES MOTIFS :
Dit n'y avoir lieu à saisine préjudicielle de la Cour de justice de l'Union européenne ;
REJETTE le pourvoi ;
Condamne la société Caisse de crédit mutuel de Cysoing aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du trois avril deux mille dix-neuf.
MOYEN ANNEXE au présent arrêt
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Cysoing
Il est fait grief à l'arrêt attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de Cysoing à payer à Monsieur O...-B... U... et Madame K... V... épouse U... la somme de 5680,30 €, assortie des intérêts au taux légal à compter du 6 août 2015, date de l'assignation valant mise en demeure,
AUX MOTIFS PROPRES QUE « 1. Sur la demande en remboursement des époux U... Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. La négligence grave de l'utilisateur de services de paiement confine au dol et dénote l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave est d'une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services ; il appartient au prestataire de services d'établir par d'autres éléments extrinsèques la preuve d'une négligence grave imputable à l'utilisateur de services. - Sur l'existence du détournement Les époux U... produisent au débat une attestation manuscrite aux termes de laquelle M. U..., "porteur de la carte [...] , certifie ne pas avoir effectué les opérations suivantes :
- 26/05/2014 500 euros E-Retrait Strasbourg
- 26/05/2014 500 euros E-Retrait Strasbourg
- 26/05/2014 517,90 Hipay.Com Paris
- 26/05/2014 517,90
- 26/05/2014 517,90
- 26/05/2014 517,90
- 26/05/2014 517,90
- 26/05/2014 517,90
- 26/05/2014 517,90 GG
- 26/05/2014 58,90 euros Coliposte Paris
- 26/05/2014 17,40 euros Primo Conseil
- 26/05/2014 30 euros Ticket Transfert Boulogne Bill
- 26/05/2014 213,65 Compagnie Nationale Paris
- 26/05/2014 241,92 44 GG G4
- 26/05/2014 493,13 euros TECH CREA Valenciennes".
Les époux U... corroborent cette attestation manuscrite en produisant au débat un document bancaire intitulé "Récapitulatif de la réponse au guichet", lequel est édité au nom de M. U... pour le compte d'opération n° [...] et la carte [...] ; ce document comporte un commentaire "M. détient toujours sa carte", `piratage du mobile détecté par SFR" et un tableau intitulé "liste des autorisations à vérifier" indiquant notamment :
Date et heure
Nature
Montant
en EUR
Réponse
Point de vente
Type de commerce
Présence
physique de
la carte
effectué par
le client
26/05/2014
à 19:18:24
Achat
493,13 EUR
Accord
TECHCREA [...] ;
France
REPRODUCTION
D'ENREGISTREMENTS
INFORMATIQUES
Non
Non
26/05/2014
à 19:00:07
Achat
241,92 EUR
Accord
COMPAGNIE
NATIONALE [...] ;France
RAM
Non
Non
26/05/2014
à 18:53:42
Achat
213,65 EUR
Accord
COMPAGNIE
NATIONALE [...] ;France
RAM
Non
Non
26/05/2014
5 18:39:31
Achat
30,00 EUR
Accord
TICKET TRANSFER
[...]
BILLAN;France
FAB. D'EQUIPEMENTS
D'EMISSION ET DE
TRANSMISSI
Non
Non
26/05/2014
à 18:31:54
Achat
17,40 EUR
Accord
PRIMMO CONSEIL
3RUXELLES ; Belgique
FABRICATION D'APPAREIL
DE TELEPHONIE
Non
Non
26/05/2014
5 18:23:45
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 18:20:47
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
5 18:18:55
Achat
58,90 EUR
Accord
COLIPOSTE 75 75757
PARIS CEDE , France
'OSTES NATIONALES
Non
Non
26/05/2014
à 18:15:11
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 17:55:00
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 17:52:05
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 17:46:13
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 17:43:49
Achat
517,90 EUR
Accord
HIPAY.COM [...];France
AUTRES ACTIVITES
RATTACHEES A
L'INFORMATIQUE
Non
Non
26/05/2014
à 17:37:01
Achat
500,00 EUR
Accord
Reserv. e-retrait
[...]
RETRAIT CASH
Non
Non
26/05/2014
5 17:36:05
Achat
500,00 EUR
Accord
Reserv. e-retrait
[...]
RETRAIT CASH
Non
Non
La cour relève aussi qu'il ressort notamment de ce document bancaire intitulé "Récapitulatif de la réponse au guichet" que le 26 mai 2014 entre 20:00:18 et 21:01:43, dix opérations, qualifiées d'"achat", pour un montant de 360 euros chacune et ayant toutes eu pour réponse un refus, ont été réalisées auprès du point de vente "PAYTPV ONLINE S.L. BILBAO ; Espagne" ayant comme type de commerce "Direct Marketing Catalog Merchant", étant précisé qu'il est indiqué que le client n'a pas effectué ces opérations.
Les époux U... produisent encore au débat un dossier de "Réclamation / Sinistre carte" comprenant les mentions :
- Identification du client : U... O...-B...,
- Références bancaires : compte n° [...] et n° carte : [...] ,
- Motif de la réclamation : "le client n'est pas à l'origine des Paiements/retraits, effectuées en France ou à l'étranger".
Les époux U... produisent enfin au débat un mail de SFR du 27 mai 2014 envoyé à 19h08 des termes duquel il s'évince qu'un changement de carte SIM frauduleux a été effectué le 26 mai 2014 à 17h28 sur leur contrat et que le 27 mai 2014 à 10h45, SFR a réactivé une nouvelle carte SIM et changé le numéro d'appel. Il ressort également du document bancaire "Caractéristiques des opérations frauduleuses enregistrées", produit au débat par la Caisse, qu'en page 6, outre la mention "Dossier confidentiel Usage strictement interne", figure un tableau récapitulatif des achats réalisés et débités sur le compte par "Payweb" via la carte [...] ; celui-ci indique :
Date
Heure
Montant
Devise
Type
Réseau
(...)
Enseigne
Localisation
Date
règlement
26/05/2014
18:53:42
213,65
EUR2
facture
achat
Domestique
(...)
AIRMARO MAROC 1
PARIS
27/05/2014
26/05/2014
18:18:55
58,9
EUR2
facture
achat
Domestique
(...)
COLIPOSTE
PARIS CEDEX 15
28/05/2014
26/05/2014
19:00:08
241,92
EUR2
facture
achat
Domestique
(...)
AIRMARO MAROC
PARIS
27/05/2014
26/05/2014
17:52:06
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
17:43:49
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
19:18:23
493,13
EUR2
facture
achat
Domestique
(...)
TECHCREA
VALENCIENNES
27/05/2014
26/05/2014
18:23:46
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
17:46:14
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
18:20:48
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
18:15:12
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
26/05/2014
17:55:00
517,9
EUR2
facture
achat
Domestique
(...)
HIPAY.COM
[...]
27/05/2014
Figure ensuite sur cette page 6 un tableau d'information relatif à la commande d'un "e-retrait" via la carte bancaire [...] ; celui-ci indique notamment que : - l'obtention d'un numéro virtuel a été faite le 26 mai 2014 à "17:36:05" pour un montant de 500 euros et que l'autorisation a été acceptée chez le commerçant "CIC Angoulême S... [...] " à "17:53:47" pour un montant de 500 euros,
- l'obtention d'un numéro virtuel a été faite le 26 mai 2014 à "17:37:01" pour un montant de 500 euros et que l'autorisation a été acceptée chez le commerçant "CMPS Montpellier [...] MONTP" à "18:13:55" pour un montant de 500 euros.
Il résulte de ces éléments que les cartes "Payweb" créées le 26 mai 2014, à partir de la carte de crédit n° [...] ont permis d'effectuer, le 26 mai 2014 :
-entre 17h43 et 49 secondes et 18h23 et 45 secondes, sept achats auprès de l'enseigne HIPAY.COM à Paris La Défense,
-à 18h18 et 55 secondes, un achat auprès de Coliposte à Paris Cedex 15,
-à 18h31 et 54 secondes, un achat auprès de PRIMMO Conseil à Bruxelles, - à 18h39 et 31 secondes, un achat auprès de "Ticket Transfer" à "Boulogne Billan",
-à 18h53 et 42 secondes, un achat auprès de la compagnie Nationale ayant pour enseigne "AIR MARO MAROCI" à Paris,
-à 19h00 et 07 secondes, un achat auprès de la compagnie Nationale ayant pour enseigne "AIR MARO MAROCI" à Paris,
- à 19h18 et 24 secondes, un achat auprès de Techrea à Valenciennes.
Il résulte encore de ces éléments que les cartes "Payweb" créées le 26 mai 2014, à partir de la carte de crédit n° [...] , ont également été utilisées afin de tenter de réaliser 10 achats auprès "PAYTPV ONLINE S.L." à Bilbao en Espagne entre 20h00 et 18 secondes et 21h00 et 16 secondes. Il résulte enfin de ces éléments que deux "e-retraits à partir" de la carte de crédit n° [...] ont été effectués l'un à Montpellier à 18h13 et 55 secondes et l'autre à Angoulême à 17h53 et 47 secondes. En l'état de ces constatations, les circonstances entourant la création et l'utilisation des cartes "Payweb" et du système "E-retrait" générés à partir de la carte de crédit n° [...] démontrent suffisamment que les opérations litigieuses réalisées le 26 mai 2014 ont nécessairement été effectuées à l'insu des époux U... par le biais d'un détournement frauduleux par un tiers de leurs instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions de l'article L. 133-18 du code monétaire et financier, sans que les exigences d'un procès équitable et de loyauté dans l'administration de la preuve aient été méconnues. - Sur la divulgation des données personnelles par les époux U... En premier lieu, il ressort de la "Notice d'information relative aux usages frauduleux de cartes bancaires et aux dispositions du code monétaire et financier en la matière" que M.U... s'est présenté le 27 mai 2014 à la brigade de gendarmerie de Cysoing "pour déclarer l'utilisation frauduleuse de sa carte de paiement, d'une carte contrefaite ou des données liées à la carte (numéro, date d'expiration)". Il ressort également du document bancaire "Caractéristiques des opérations frauduleuses enregistrées", produit au débat par la Caisse, que M. U... a fait opposition sur sa carte bancaire n° [...] , le 27 mai 2014 à 14h55, pour un vol sans code. Il s'ensuit que les époux U... ont réagi rapidement au détournement de leurs données en informant immédiatement la Caisse, ainsi qu'en faisant opposition à la carte de crédit n° [...] . En second lieu, la cour observe, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage. La cour observe aussi que les utilisations successives des données attachées à la carte des époux U... ne suffisent pas en tant que telles à prouver que les opérations litigieuses, décrites dans le document bancaire intitulé "Récapitulatif de la réponse au guichet" produit au débat par les époux U... et le document bancaire "Caractéristiques des opérations frauduleuses enregistrées" produit au débat par la Caisse, et qui ont été réalisées le 26 mai 2014 entre 17h36 et 05 secondes et 19h18 et 24 secondes, ont été autorisées par les époux U... ou qu'ils n'ont pas satisfait intentionnellement ou par négligence grave aux obligations leur incombant en la matière. La cour observe ensuite que selon le document bancaire "Caractéristiques des opérations frauduleuses enregistrées", produit au débat par la Caisse, que des paiements ont été reçus, alors que l'opposition sur la carte bancaire n° [...] a été faite le 27 mai 2014 à 14h55 par les époux U... pour un vol sans code, étant précisé que lesdits paiements ont été effectués les :
-27 mai 2014 à 14h56 et 17 secondes par le commerçant HIPAY.COM pour un montant de 517,90 euros,
-27 mai 2014 à 14h56 et 54 secondes par le commerçant HIPAY.COM pour un montant de 517,90 euros,
-27 mai 2014 à 14h57 et 18 secondes par le commerçant HIPAY.COM pour un montant de 517,90 euros,
-27 mai 2014 à 14h58 et 00 secondes par le commerçant HIPAY.COM pour un montant de 517,90 euros,
-28 mai 2014 à 07h40 et 43 secondes par le commerçant Coliposte pour un montant de 58,90 euros,
-28 mai 2014 à 07h39 et 52 secondes et 07h41 et 27 secondes par le commerçant COMPAGNIE NATIONALE pour des montants respectifs de 241,92 euros et 213,65 euros.
Il s'ensuit que ces paiements postérieurs à la mise en opposition de la carte bancaire par les époux U... ne sont pas particulièrement cohérents avec la thèse de la Caisse sur la circonstance, alléguée mais non démontrée par celle-ci, que les époux U... auraient nécessairement et volontairement communiqué leurs informations personnelles et confidentielles à un tiers par négligence grave ou par manquement intentionnel à leurs obligations leur incombant en la matière. La cour observe aussi, au vu du mail de SFR du 27 mai 2014 envoyé à 19h08, et produit au débat par les époux U..., qu'un changement de carte SIM frauduleux a été effectué le 26 mai 2014 à 17h28 sur leur contrat et que le 27 mai 2014 à 10h45, SFR a réactivé une nouvelle carte SIM et changé le numéro d'appel, l'ancien numéro [...] ayant été changé au profit d'un nouveau numéro [...] ; ce faisant, il résulte des pièces versées au débat que les codes spécifiques aux opérations litigieuses ont été adressés par SMS par la Caisse sur le numéro de mobile [...] le 26 mai 2014 entre 17h35 et 41 secondes et 19h16, soit manifestement après que la carte SIM des époux U... a été piratée. La cour observe encore que dans ses écritures, la Caisse ne fait qu'évoquer au conditionnel la thèse du "phishing" dont les époux U... auraient pu être les victimes malgré l'information qu'elle fait de cette pratique auprès de ses clients ; de surcroît, la seule circonstance que les époux U... ont déposé plainte contre X du chef d'escroquerie ne permet pas de déduire, contrairement à ce qu'allègue la Caisse sans le démontrer, qu'il y a eu nécessairement remise ou transmission par les époux U... de leurs coordonnées à un tiers. La Caisse ne peut enfin pas utilement se contenter d'exposer que les époux U... ne donnent aucune explication rationnelle sur la survenance des opérations qu'ils contestent, et notamment sur le contexte du détournement ou les circonstances de la création de la carte de paiement "payweb" ou sur les "e-retrait", étant rappelé que la Caisse est tenue de prouver, sans que soient méconnues les exigences d'un procès équitable et de la loyauté dans l'administration de la preuve, l'implication à titre ou à un autre des époux U... dans les opérations litigieuses pour caractériser leur négligence fautive ou leur manquement intentionnel, voire même leur action frauduleuse. Au surplus, il n'est nullement établi par la Caisse que les époux U... ont transmis à un tiers leurs identifiants, leur code confidentiel personnel, leurs clés confidentielles ou leurs coordonnées personnelles. En l'état de ces énonciations et constatations, la Caisse est défaillante dans l'établissement du manquement intentionnel ou de la négligence grave alléguée à l'encontre des époux U.... Le jugement attaqué sera donc confirmé en ce qu'il a condamné la Caisse à payer aux époux U... la somme de 5 680,30 euros assortie des intérêts au taux légal à compter du 6 août 2015, date de l'assignation »
ET AUX MOTIFS, A LES SUPPOSER ADOPTES DU PREMIER JUGE, QU' « Il est constant que, le 27 mai 2014 Les époux U... ont fait opposition sur leur moyen de paiement en indiquant qu'ils n'étaient pas à l'origine des 15 opérations frauduleuses effectuées le 26 mai 2014 pour un montant de 5680.30 euros. Pour s'opposer à leur demande de remboursement du montant des opérations réalisées avec cette carte avant l'opposition, la CAISSE DE CRÉDIT MUTUEL DE CYSOING évoque la faute de ses clients en application des dispositions de l'article L133-19 du Code Monétaire et Financier aux termes duquel le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 de prendre toute mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés et de faire opposition sans tarder en cas de vol. Il n'est pas contesté qu'en l'espèce, les opérations litigieuses d'achat n'ont pu être réalisées par leur auteur qu'en ayant connaissance des éléments d'identification confidentiels du client de la banque identifiant et mot de passe pour l'accès au site de la banque en ligne, code confidentiel parmi les 64 codes délivrés sur une carte de clefs personnelles donnée par la banque à son client, ainsi que le numéro de téléphone portable de celui-ci afin de recevoir les codes de confirmation par SMS. Il est certain que les époux U... n'apportent aucune explication sur ces contraintes techniques, et ne sont pas en mesure d'expliquer comment leur identifiant, code d'accès au site de banque en ligne, codes confidentiels figurant sur la carte de clés personnelles ont pu parvenir entre les mains de tierces personnes, et ils contestent avoir répondu à un mail de phishing, ce dont la banque ne peut apporter la preuve du contraire. Cependant, de son côté, la banque ne rapporte pas la preuve de ce que son système de paiement en ligne est absolument sécurisé et de ce que les données confidentielles de ses clients n'ont pu être rendues accessibles à des personnes mal intentionnées via une faille de sécurité de son système informatique. Les données de carte codée sont en outre transmises par voie postale et donc potentiellement interceptables. Les époux U... justifient en outre qu'ils ont été victimes d'un changement de carte SIM frauduleux. Enfin, la Caisse de CREDIT MUTUEL DE CYSOING se garde bien de justifier du traçage de l'adresse IP de l'ordinateur ou appareil à partir duquel les ordres auraient été passés. La Banque comme tout établissement bancaire a pourtant à sa disposition un service des fraudes et affaires spéciales qui aurait pu rendre un rapport. La Banque ne peut donc, sans un renversement de la charge de la preuve, se contenter d'apporter des explications techniques générales, et reprocher aux demandeurs de ne pas fournir de justifications sur la fraude dont ils s'affirment victimes. La défenderesse ne peut donc, sans preuve de la mauvaise foi des époux U..., s'opposer au remboursement des sommes qu'elle a indûment débitées des comptes de ceux-ci au titre des opérations de paiement effectuées litigieuses ; Aucune négligence grave de la part de les époux U... au regard des dispositions précitées de l'article L. 133-16 du code monétaire et financier n'étant en ces conditions établie, la CAISSE DE CRÉDIT MUTUEL DE CYSOING doit être condamnée à leur rembourser les sommes débitées à tort de leur compte bancaire ; En conséquence, il convient de condamner la CAISSE de CREDIT MUTUEL DE CYSOING à rembourser aux époux U... les sommes indûment prélevées sur leur compte bancaire, à savoir la somme de 5680.30 euros. - Sur la demande de dommages et intérêts pour résistance abusive En vertu de l'article 1153 alinéa 4 du Code civil, "le créancier auquel le débiteur en retard a causé, par sa mauvaise foi, un préjudice indépendant de ce retard, peut obtenir des dommages et intérêts distincts des intérêts moratoires de la créance". Toutefois, aux termes de l'article 9 du Code de Procédure Civile, "il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention". En l'espèce, les demandeurs ne rapportent pas la preuve d'un quelconque préjudice distinct du simple retard de paiement. Les époux U... seront donc déboutés de sa demande de dommages et intérêts pour résistance abusive. - Sur les autres demandes En vertu de l'article 696 du Code de Procédure Civile, la partie perdante est condamnée aux dépens. La CAISSE DE CREDIT MUTUEL DE CYSOING sera donc condamnée aux dépens. En application des dispositions de l'article 700 du Code de Procédure Civile, le juge condamne la partie tenue aux dépens ou, à défaut, la partie perdante, à payer à l'autre partie la somme qu'il détermine au titre des frais exposés et non compris dans les dépens. En l'espèce, la CAISSE DE CREDIT MUTUEL DE CYSOING sera condamnée au paiement de la somme de 1000 euros au titre de l'article 700 du Code de procédure civile » ;
1°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de Cysoing à rembourser aux époux U... le montant d'opérations réalisées au débit de leur compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 7, avant-dernier §) a néanmoins considéré que « les utilisations successives des données attachées à la carte des époux U... ne suffisent pas en tant que telles à prouver que les opérations litigieuses (
) ont été autorisées par les époux U... ou qu'ils n'ont pas satisfait intentionnellement ou par négligence grave aux obligations leur incombant en la matière » (p. 7, dernier §), et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'auraient commise les époux U... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
2°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée (conclusions d'appel de la banque, not. p. 4-6 ; p. 10-13), si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés « payweb » et « e-retrait », lesquels nécessitaient pour fonctionner non seulement que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier, ne permettait pas de démontrer que les époux U... avaient nécessairement été négligents dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
3°) ALORS QU' en retenant que l'existence de paiements reçus les 27 et 28 mai 2014, soit postérieurement à l'opposition des époux U... sur leur carte bancaire « [n'était] pas particulièrement cohérent[e] avec la thèse de la Caisse sur la circonstance, alléguée mais non démontrée par celle-ci, que les époux U... auraient nécessairement et volontairement communiqué leurs informations personnelles et confidentielles à un tiers par négligence grave (
) », la cour d'appel, qui s'est fondée sur une circonstance inopérante dès lors que ces paiements avaient pour origine la création de cartes payweb le 26 mai 2014, avant l'opposition formée par les époux U... (arrêt attaqué, p. 7, 6ème §), a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
4°) ALORS QUE la Caisse de Crédit Mutuel de Cysoing faisait valoir (ses conclusions d'appel, not. p. 4-6 ; p. 10-13) que les services de paiement payweb et e-retrait, utilisés pour effectuer les opérations litigieuses, nécessitaient que soient communiqués, non seulement un code confidentiel à 6 chiffres envoyé au sociétaire, en l'occurrence, sur son téléphone portable, mais préalablement encore l'identifiant et le mot de passe de connexion sur le site cmne.fr, ainsi qu'un code confidentiel contenu sur une carte de clefs personnelles (s'agissant du service payweb) ou un numéro virtuel (s'agissant du service e-retrait) ; qu'en retenant, pour écarter la négligence grave reprochée aux époux U..., qu'un changement de carte SIM frauduleux avait été effectué le 26 mai 2014 à 17h28, sans rechercher, ainsi qu'elle y était invitée, si cette circonstance n'était pas insuffisante pour écarter la négligence grave reprochée aux époux U... dans la mesure où les services de paiement utilisés (payweb et e-retrait) nécessitaient également que le donneur d'ordre soit également en possession de l'identifiant et du mot de passe du client sur le site cmne.fr, ainsi que de la carte de clefs personnelle ou du numéro virtuel e-retrait, la cour d'appel n'a pas donné de base légale à sa décision au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
5°) ALORS QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant que la Caisse de Crédit Mutuel de Cysoing ne pouvait prouver la négligence grave qu'elle imputait aux époux U... par la seule démonstration de ce que les services de paiement utilisés étaient hautement sécurisés et qu'ils avaient été utilisés sans qu'une défaillance technique ou un piratage n'ait été constaté(e), sans que ne soient pour autant méconnues les exigences d'un procès équitable et de la loyauté dans l'administration de la preuve, quand le prestataire de service de paiement ne dispose d'aucun autre moyen de preuve effectif pour démontrer la négligence grave qu'aurait commise son client, la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne des Droits de l'Homme, ensemble les articles 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ;
6°) ALORS QUE la cour d'appel a constaté « au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 7, dernier §) ; qu'en énonçant, par motifs supposément adoptés du jugement de première instance, que la banque ne rapportait pas la preuve « de ce que son système de paiement en ligne est absolument sécurisé et de ce que les données confidentielles de ses clients n'ont pu être rendues accessibles à des personnes mal intentionnées via une faille de sécurité de son système informatique », la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a derechef violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ;
7°) ALORS ENCORE QUE la Caisse de Crédit Mutuel de Cysoing faisait valoir que les opérations de paiement litigieuses avaient été effectuées par le biais des systèmes hautement sécurisés payweb et e-retrait, nécessitant, outre la fourniture des informations présentes sur la carte du sociétaire (nom, cryptogramme visuel, numéro et date d'expiration de la carte), que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier ; qu'en se bornant à affirmer, par motifs supposément adoptés du premier juge, que « les données de carte codée sont en outre transmises par voie postale et donc potentiellement interceptables », sans rechercher si la circonstance que les opérations de paiement litigieuses avaient été effectuées via des systèmes de paiement sécurisés nécessitant, outre le code figurant sur la carte de clefs personnelle, que l'utilisateur accède à son espace personnel sur le site cmne.fr en renseignant son identifiant et son mot de passe, et qu'il fournisse un code confidentiel pour valider l'opération de paiement, ne permettait pas de démontrer que les époux U... avaient nécessairement été négligents dans la conservation des données confidentielles permettant l'utilisation de ces systèmes de paiement hautement sécurisés, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
8°) ALORS ENFIN QUE la circonstance que les ordres de paiement aient pu être passés à partir d'un ordinateur ou d'un appareil n'appartenant pas aux époux U... n'excluait pas que ces derniers aient communiqué leurs données confidentielles à un tiers ayant effectué les opérations depuis un autre support ; qu'en relevant, par motifs supposément adoptés du premier juge, que « la Caisse de Crédit Mutuel de Cysoing se gard[ait] de justifier du traçage de l'adresse IP de l'ordinateur ou appareil à partir duquel les ordres auraient été passés », la cour d'appel, qui s'est fondée sur une circonstance inopérante, a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier.