Banque - Prestataire de services d’investissement
Com., 12 novembre 2020, pourvoi n° 19-12.112
Sommaire :
Il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.
Commentaire :
Le droit des services des paiements a été profondément renouvelé par la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, transposée en droit interne par l’ordonnance n° 2009-866 du 15 juillet 2009.
L’article L. 133-18 du code monétaire et financier pose en principe qu’en cas d’opération de paiement non autorisée, signalée dans le délai prévu par l’article L. 133-24, le prestataire de services de paiement rembourse au payeur le montant de l’opération.
L’article L. 133-19 prévoit ensuite un certain nombre d’exceptions pour ce qui concerne les opérations réalisées au moyen d’un instrument de paiement doté d’un dispositif de sécurité personnalisé (ou, depuis l’entrée en vigueur de l’ordonnance n° 2017-1252 du 9 août 2017, doté de données de sécurité personnalisées).
Le point IV de cet article dispose notamment que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 (qui lui imposent de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ou et d’informer sans tarder son prestataire s’il a connaissance du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement).
L’article L. 133-23 précise enfin les modalités de mise en œuvre de ces dispositions et prévoit en particulier, en son premier alinéa, que lorsqu’un utilisateur nie avoir autorisé une opération de paiement qui a été exécutée, il incombe à son prestataire de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre.
L’apport du présent arrêt consiste à préciser que ces dernières dispositions sont applicables lorsque le prestataire de services de paiement, pour refuser de rembourser le montant d’une opération que son client conteste avoir autorisée, reproche à ce dernier un manquement, intentionnel ou par négligence grave, aux obligations mises à sa charge par les articles L. 133-16 et L. 133-17.
La chambre avait déjà été amenée à juger que, dans cette hypothèse, le prestataire doit rapporter la preuve de cette négligence grave, preuve qui ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com., 18 janv. 2017, n° 15-18.102, publié ; Com., 28 mars 2018, n° 16-20.018, publié ; Com., 21 nov. 2018, n° 17-18.888 ; Com., 3 avr. 2019, n° 18-11.293 ; Com., 29 mai 2019, n° 18-10.147). Elle a également précisé que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles liées à son instrument de paiement en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance (Com., 28 mars 2018, n° 16-20.018 ; Com., 6 juin 2018, n° 16-29.065) ou d'avoir conscience que ce courriel était frauduleux (Com., 25 oct. 2017, n° 16-11.644, Bull. n° 139, rendu dans la présente affaire ; Com., 3 oct. 2018, n° 17-21.395).
Par le présent arrêt, la chambre précise qu’outre cette preuve du manquement commis par l’utilisateur, le prestataire doit encore rapporter celle du lien de causalité entre ce manquement et les pertes occasionnées par l’opération non autorisée. Pour ce faire, le prestataire doit démontrer, d’une part, que l’émission de l’ordre de paiement litigieux a été rendue possible par ce manquement et, d’autre part, qu’il a correctement exécuté cet ordre, c’est-à-dire, comme le prévoit l’article L. 133-23, que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre.