Arrêt n° 346 du 28 mars 2018 (16-20.018) - Cour de cassation - Chambre commerciale, financière et économique - ECLI:FR:CCASS:2018:CO00346

Banque

Cassation

Sommaire 1 :
Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est au prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

Sommaire 2 :
Manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hammeçonage.


Demandeur : société caisse de crédit mutuel de Beauvais
Défendeur : M. Y...


Attendu, selon l’arrêt attaqué, qu’invoquant le caractère frauduleux de paiements par carte bancaire et par virement débités sur deux comptes ouverts à son nom dans les livres de la société Caisse de crédit mutuel de Beauvais (la banque), M. Y... a assigné cette dernière en remboursement de ces sommes ; que la banque s’y est opposée en lui reprochant une négligence grave dans la garde et la conservation de ses données personnelles du dispositif de sécurité de ces instruments de paiement ;

Sur le moyen unique, pris en sa cinquième branche :

Attendu que la banque fait grief à l’arrêt de la condamner à payer à M. Y... la somme de 2 731,98 euros au titre des paiements frauduleux par carte bancaire et celle de 4 500 euros au titre du virement litigieux débité de son Livret Bleu alors, selon le moyen, que la circonstance qu’un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur internet par utilisation, outre des données afférentes à sa carte bancaire, d’un code adressé directement au client sur son téléphone mobile ou fixe, permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu’il appartient dans ces circonstances à l’utilisateur du service de paiement de rapporter par tous moyens la preuve qu’il a respecté son obligation de conserver les données confidentielles permettant l’utilisation du service qui lui a été proposé ; qu’en statuant comme elle l’a fait, sans rechercher, ainsi qu’elle y était invitée, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. Y..., et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l’utilisateur dans la conservation de ses données personnelles, la cour d’appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;

Mais attendu que, si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; que le moyen n’est pas fondé ;

Mais sur le moyen, pris en ses deuxième et quatrième branches :

Vu les articles L. 133-16 et L. 133-19 du code monétaire et financier ;

Attendu que pour statuer comme il fait, l’arrêt, après avoir relevé que M. Y... a été victime d’un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d’un "certificat de sécurité à remplir attentivement" qu’il a scrupuleusement renseignés, allant même jusqu’à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté, retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d’orthographe du message, sont de nature à interpeller le client, ce à quoi n’est pas nécessairement sensible un client non avisé, étant observé que M. Y..., qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette dernière sur le hameçonnage, puis en déduit que c’est à son insu que M. Y... a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n’est pas constitutive d’une négligence grave le fait pour un client "normalement" attentif de n’avoir pas perçu les indices propres à faire douter de la provenance des messages reçus ;

Qu’en statuant ainsi, alors que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage, la cour d’appel a violé les textes susvisés ;

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs :

CASSE ET ANNULE, en toutes ses dispositions, l’arrêt rendu le 19 avril 2016, entre les parties, par la cour d’appel d’Amiens ; remet, en conséquence, la cause et les parties dans l’état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d’appel de Rouen ;


Président : Mme Mouillard
Rapporteur : Mme Robert-Nicoud

Avocat général : Mme Henry
Avocat(s) : Me Haas, SCP Célice, Soltner, Texidor et Périer