Droit de la preuve des opérations de paiement non autorisées

Cass. com. 4 juill. 2018, n° 17-10.158, D : le droit à la preuve du banquier face au secret bancaire. Le droit commun de la contestation et de la responsabilité en cas d’opérations de paiement non autorisées (CMF, art. L. 133-18 et s.) est avant tout affaire de preuve, dont les « modalités pratiques » sont fixées par l’article L. 133-23 du CMF. C’est en effet au prestataire de services de paiement (« PSP ») du payeur de « prouver » que l’opération en question a bien été autorisée (que le payeur y a bien consenti, obligeant dès lors le PSP à rapporter la preuve que l’opération a été dûment authentifiée) [1] , preuve que l’utilisation de l’instrument de paiement, telle qu’enregistrée par le PSP, ne suffit pas « nécessairement en tant que telle » à rapporter.

En l’espèce, pour écarter des débats les relevés de compte du payeur mécontent produits par sa banque, puis condamner celle-ci à lui rembourser les sommes litigieuses (4 442, 60 euros de retraits par carte), l’arrêt attaqué, rendu par la cour d’appel de Paris, a retenu que « la banque, en produisant lesdits relevés quand aucun élément ne lui permettait de lever le secret bancaire, a violé celui-ci ». Cassation est prononcée pour défaut de base légale au visa de l’article L. 511-33 du Code monétaire et financier (relatif au secret professionnel bancaire) et des articles 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (droit à un procès équitable) et 9 du Code de procédure civile (« Il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention ») : « en se déterminant ainsi, sans rechercher si la production litigieuse n'était pas indispensable à l'exercice par la banque de son droit à la preuve et proportionnée aux intérêts antinomiques en présence, la cour d'appel a privé sa décision de base légale ».

Bien qu’inédite (i. e. non publiée), la présente décision n’en est pas moins remarquable lorsqu’elle évoque le « droit à la preuve » du banquier, cependant que, dans un précédent arrêt remarqué (et, pour le coup, publié), la Cour de cassation se bornait à énoncer que le secret professionnel ne constituait pas un « empêchement légitime » : « Le secret bancaire institué par l'article L. 511-33 du code monétaire et financier ne constitue pas un empêchement légitime au sens de l'article 145 du code de procédure civile lorsque la demande de communication de documents est dirigée contre l'établissement de crédit non en sa qualité de tiers confident, mais en celle de partie au procès intenté contre lui en vue de rechercher son éventuelle responsabilité dans la réalisation de l'opération contestée [2] . » Il en ressort une solution manifestement de bon sens, quand bien même la question de la levée du secret bancaire est, toujours, une question délicate : assigné en remboursement d’opérations de paiement contestées, le PSP peut légitimement produire les relevés de compte indispensables à la manifestation de la réalité, la levée du secret professionnel étant ainsi proportionnée à la défense de ses intérêts ; bon sens qui, peut-être, aurait pu justifier la publication de la présente décision.

Cass. com. 3 oct. 2018, n° 17-21.395, D (1) : négligence grave du payeur. L’arrêt rendu le 3 octobre dernier par la chambre commerciale de la Cour de cassation doit à l’évidence être lu dans la continuité des trois dernières « grandes » décisions rendues en la matière. Car de « preuve diabolique » [3] en « négligence possible » [4] puis en « probable équilibre » [5] , il semblerait, malgré le caractère inédit de l’arrêt (à moins que cela soit au contraire à cause de son audace qu’il ne soit pas publié…), que l’on serait sur le point d’aboutir à une sorte de « preuve nécessaire » inférée du comportement du payeur face à une manœuvre d'hameçonnage, qui n’est plus si irrésistible qu’auparavant [6] .

Un jugement avait écarté toute négligence grave d’un payeur ayant contesté avoir payé des achats sur internet et condamné sa banque à lui rembourser le prix de ceux-ci. La cassation est fulminée au visa des articles L. 133-16 et L. 133-19 du CMF : « en se déterminant ainsi, sans rechercher, au regard des circonstances de l'espèce, si le fait, qu'elle avait constaté, que M. X... ait répondu à un courriel d'hameçonnage ne résultait pas d'un manquement de celui-ci, par négligence grave, à ses obligations mentionnées au premier des textes susvisés, la juridiction de proximité a privé sa décision de base légale ».

Voilà donc que la preuve par le PSP que l’opération de paiement a bien été autorisée serait non seulement possible mais, davantage encore, qu’il appartient aux juges du fond, dès lors que révélation a été faite que le payeur avait bien répondu à un e-mail de phishing, de rechercher si négligence grave il y a eu. Ce disant, on remarque que ce n’est pas l’article L. 133-23 qui est visé par la Cour de cassation, mais les articles L. 133-16 et L. 133-19 du CMF, soit deux textes qui, en amont des « modalités pratiques et délais en cas d’opérations de paiement non autorisées ou mal exécutées » (CMF, art. L. 133-23 et s.), posent des règles fondamentales relatives, pour le premier, aux « obligations des parties en matière d’instruments de paiement » et, pour le second, au « cas particulier des instruments de paiement dotés d’un dispositif (désormais « de données ») de sécurité personnalisé (es) ». De sorte que le contentieux paraît se déplacer de l’obligation de preuve pesant sur le PSP (CMF, art. L. 133-23) à l’obligation de sécurité à la charge du payeur (CMF, art. L. 133-16 : sécurité du dispositif ou des données de sécurité personnalisé (es)), sanctionnée par le IV de l’article L. 133-19 : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. » Si un tel mouvement dépassait le cas d’espèce, il serait remarquable

Cass. com. 3 oct. 2018, n° 17-21.395, D (2) : responsabilité du seul PSP du payeur. La décision du 3 octobre 2018 présente encore l’intérêt, sinon de poser une solution essentielle, du moins originale. En effet, au cas présent, le payeur avait assigné sa caisse locale, qui tenait son compte, mais aussi la caisse régionale (fédérale) à laquelle elle était affiliée, sachant qu’il supposait que dépendaient de celle-ci les services informatiques ayant effectué les paiements litigieux, services qui pouvaient vérifier l'origine géographique des adresses IP utilisées et prouver en conséquence son absence de responsabilité.

Mais c’est là violer l’article 133-18 du CMF, dans la mesure où, dit La Cour, « seul le prestataire de services de paiement contractuellement lié au payeur est seul tenu de rembourser à ce dernier, en application du texte susvisé, le montant des opérations non autorisées, la juridiction de proximité a violé ce texte ». En langage DSP 2, on dirait aujourd’hui que seul le PSP gestionnaire de compte doit remboursement.

Une fois encore, la décision est de bon sens, mais nous n’avons pas connaissance de précédents. C'est pourquoi elle mérite d’être épinglée sous l’article (directeur) L. 133-18 qui, dans sa version pré-DSP 2, disposait sobrement qu’ « en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ». Lorsque l’on sait que, désormais, les prestataires de services d’initiation de paiement peuvent venir s’ajouter à la relation bilatérale entre le payeur et son PSP, il n’est sans doute pas inutile de rappeler la nécessité, du moins entre ces deux-là, d’un lien contractuel.

Achevé de rédiger le 22 octobre 2018.