Arrêt n° 108 du 18 janvier 2017 (15-18.102) - Cour de cassation - Chambre commerciale, financière et économique - ECLI:FR:CCASS:2017:CO00108

Banque - Instrument de paiement - Utilisation frauduleuse par un tiers

Rejet

Demandeur(s) : société caisse de Crédit mutuel de Wattignies

Défendeur(s) : M. Franck X...


Sur le moyen unique  :

Attendu, selon le jugement attaqué (juridiction de proximité de Lille, 17 mars 2015), rendu en dernier ressort, que M. X..., titulaire d’un compte dans les livres de la caisse de Crédit mutuel de Wattignies (la Caisse), a contesté trois opérations de paiement, effectuées, selon lui, frauduleusement sur ce compte, et demandé à la Caisse de lui en rembourser le montant ; que, se heurtant au refus de celle-ci, qui lui reprochait d’avoir commis une faute en donnant à un tiers des informations confidentielles permettent d’effectuer les opérations contestées, M. X... l’a assignée en paiement ;

Attendu que la Caisse fait grief au jugement de la condamner, à payer à M. X... la somme de 838 euros alors, selon le moyen :

1°/ que l’utilisateur d’un service de paiement qui agit avec une négligence grave est tenu de supporter l’intégralité de la perte subie ; que la circonstance qu’un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d’une donnée confidentielle, ainsi que le numéro de téléphone ou l’adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l’article L. 133-16, alinéa 1, du code monétaire et financier ; qu’en l’espèce, la Caisse faisait valoir que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par M. X..., comportait un processus hautement sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte « payweb » par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d’une carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré ; qu’elle soulignait que l’utilisation de ce système de paiement impliquait nécessairement que M. X... avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que la preuve de ce que M. X... avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant de la sorte, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, n’impliquait pas que ce dernier avait commis une négligence grave dans la conservation des dites données, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;

 2°/ que la circonstance qu’un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d’un l’identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l’adresse électronique du client aux fins de réception du code de confirmation permettant l’achat, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu’il appartient dans ces circonstances à l’utilisateur du service de paiement de rapporter par tous moyens la preuve qu’il a respecté son obligation de conserver les données confidentielles permettant l’utilisation du service qui lui a été proposé ; qu’en se bornant à retenir, pour condamner la Caisse à rembourser à M. X... le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce M. X... avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l’utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l’article 1134 du code civil ;

3°/ que les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu’en se contentant d’énoncer, pour entrer en voie de condamnation à l’encontre de la Caisse, qu’il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que M. X... aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE Direct déterminant les obligations respectives des parties, qui stipulait notamment que l’utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse dans ses conclusions, soulignant que l’utilisation de ce service de paiement impliquait qu’un tiers se soit trouvé en possession des données personnelles de M. X..., dont ce dernier devait assurer la conservation, le juge de proximité a violé l’article 455 du code de procédure civile ;

4°/ qu’il résulte de l’article L. 133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé de ce service, ce dernier ayant la charge d’assurer la conservation et la confidentialité des données nécessaires à l’utilisation de l’instrument de paiement en cause ; qu’ainsi que le faisait valoir la Caisse dans ses conclusions, il résultait par ailleurs de l’article 1er des conditions générales du contrat CMNE Direct, permettant l’accès du client à ses comptes bancaires par internet, que le souscripteur devait dès sa première connexion modifier le mot de passe qui lui était initialement fourni, et qu’il était « entièrement responsable de l’usage et de la conservation de ses codes personnels, et, le cas échéant, des conséquences d’une divulgation involontaire à quiconque de leur transmission » ; que l’article 4 stipulait également que « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/ données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d’identification décrits à l’article « accès au service » nécessaires pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s’assurer que la conservation de la saisie desdits éléments soit effectuée dans des conditions parfaites de sécurité et de confidentialité » ; que la Caisse soulignait encore que le système de paiement « payweb » mis à la disposition de M. X... nécessitait pour fonctionner des données confidentielles que seul ce dernier avait en sa possession, de sorte que le fait que les débits litigieux aient été effectués par le biais de ce système impliquait qu’un tiers avait eu accès à ces données ; que, pour dire que la Caisse avait manqué à ses obligations contractuelles, le juge de proximité a considéré que cette dernière avait commis une faute « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, quand il incombait à M. X... d’assurer la conservation des données confidentielles permettant l’utilisation du service de paiement « payweb » et que la banque n’avait fait que se conformer à ses obligations contractuelles en exécutant un ordre de paiement effectué conformément aux stipulations de la convention CMNE Direct, le juge de proximité a méconnu l’article 1134 du code civil, ensemble les articles L. 133-15 et L. 133-16 du code monétaire et financier ;

Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X... avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l’hypothèse d’un « hameçonnage », en prétendant que M. X... avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c’est exactement que la juridiction de proximité, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X... ; que le moyen n’est pas fondé ;

Par ces motifs  :

REJETTE le pourvoi ;


Président : Mme Mouillard
Rapporteur : M. Guérin
Avocat général : Mme Henry
Avocat(s) : SCP Célice, Soltner, Texidor et Périer