Précédents. Nous nous étions quittés sur une décision qui laissait entrevoir comme une « possibilité » que la responsabilité pour négligence grave du porteur de carte de paiement soit
Possibilité, donc, ouverte par l’arrêt du 25 octobre 2017 : « en se déterminant ainsi, sans rechercher, au regard des circonstances de l'espèce, si Mme X… n'aurait pas pu avoir conscience que le courriel qu'elle avait reçu était frauduleux et si, en conséquence, le fait d'avoir communiqué son nom, son numéro de carte bancaire, la date d'expiration de celle-ci et le cryptogramme figurant au verso de la carte, ainsi que des informations relatives à son compte SFR permettant à un tiers de prendre connaissance du code 3D Secure ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l'article L. 133-16 du code monétaire et financier, la juridiction de proximité a privé sa décision de base légale ».
Ce qui contrastait avec cette sorte de preuve impossible résultant de la décision du 18 janvier 2017 : « Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. »
En l’espèce. Le pluriel utilisé pour intituler ce commentaire – fraude « aux instruments » de paiement – est important, dans la mesure où, en l’espèce, la fraude ne portait pas que sur des paiements (achats sur Internet) par carte bancaire 3D Secure (2 731,98 €), mais aussi par virement (4 500 €), à partir de deux comptes différents ouverts dans les livres d’une banque mutualiste et à la suite d’une campagne de phishing.
En première instance, les juges estimèrent que la banque était tenue au remboursement des paiements effectués par carte, faute d’établir que M. L. avait communiqué les données concernant celle-ci. Le débit du compte opéré par virement était en revanche écarté, dans la mesure où la victime avait reconnu la communication, sans précaution, de ses codes d’accès Internet. Par un arrêt du 19 avril 2016, la cour d’appel d’Amiens suivit volontiers les premiers juges et alla même plus loin puisqu’elle condamna la banque à rembourser tous les paiements frauduleux, par carte comme par virement : « la Cour déduit que c'est véritablement à son insu que X… a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n'est pas constitutive d'une négligence grave le fait pour un client “normalement” attentif de n'avoir pas perçu les indices propres à faire douter de la provenance des messages
Du pourvoi en cassation formé par la banque, on retiendra que seul un axe de défense a fait mouche.
Moyen inopérant. L’apport immédiat de l’arrêt rendu par la Cour de cassation le 28 mars 2018 est de confirmer l’inanité d’une défense de la banque tirée de la présomption du défaut de garde des données confidentielles liées à l’instrument de paiement (des données de sécurité personnalisées au sens de la DSP 2, en somme) par son utilisateur. Autrement dit, le prestataire de services de paiement ne peut inverser la charge de la preuve et reprocher à l’utilisateur (et, derrière, au juge) de n’avoir pas rapporté la preuve qu’il a bien respecté son obligation de conserver les données confidentielles, comme l’article L. 133-16 du Code monétaire et financier lui en fait obligation.
Car le rejet de ce moyen par notre décision se fait exactement dans les mêmes termes que ceux employés dans l’arrêt du 18 janvier 2017 : « Mais attendu que, si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés. »
Réaffirmée par deux fois, la chose paraît entendue et les plaideurs devraient pouvoir faire l’économie d’une telle argumentation.
La place pour une négligence grave. Il y a néanmoins place pour la reconnaissance d’une négligence grave de l’utilisateur de services de paiement et c’est bien la nouveauté de la décision sous commentaire, qui franchit le pas de la cassation ouvert par celle du 25 octobre 2017.
Cassation est en effet encourue pour violation des articles L. 133-16 et L. 133-19 du Code monétaire et financier. Pour comprendre la censure, il faut relever ce que les juges d’appel ont dit, puisque, ce disant, ils ont violé la loi : « Attendu que pour statuer comme il fait, l'arrêt, après avoir relevé que M. L. a été victime d'un hameçonnage, ayant reçu des courriels successifs portant le logo parfaitement imité du Crédit mutuel accompagnés d'un “certificat de sécurité à remplir attentivement” qu'il a scrupuleusement renseignés, allant même jusqu'à demander à la banque la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux, ce qui montre sa totale naïveté, retient que la banque convient que seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message, sont de nature à interpeller le client, ce à quoi n'est pas nécessairement sensible un client non avisé, étant observé que M. L., qui ne se connectait quasiment jamais au site internet de la banque, ignorait les alertes de cette dernière sur le hameçonnage, puis en déduit que c'est à son insu que M. L. a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte et que n'est pas constitutive d'une négligence grave le fait pour un client “normalement” attentif de n'avoir pas perçu les indices propres à faire douter de la provenance des messages reçus. »
Mais non, Messieurs les juges du fond, vous vous contredisez en relevant de telles circonstances sans caractériser la négligence grave de l’utilisateur : « Qu'en statuant ainsi, alors que manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage, la cour d'appel a violé les textes susvisés. »
Mais le droit commun peut prendre le relais. Un arrêt (de cassation), dont la portée doit être relativisée car il n’est pas publié au Bulletin, mérite d’être relevé, d’autant qu’il a reçu l’« entière approbation » du Professeur Thierry
En l’espèce, la négligence grave du porteur d’une carte de paiement avait été retenue – et la franchise de l’article L. 133-19 écartée –, amenant les juges du fond à décider que « M. X… ne saurait prétendre au remboursement des sommes débitées et qu'il importe peu, dans ces conditions, de se pencher sur l'éventuelle faute de la banque qui aurait laissé débiter le compte en l'absence de découvert autorisé ». La décision est sèchement cassée par application du droit commun de la responsabilité contractuelle (l’article 1147 du Code civil, dans sa version antérieure à la réforme du droit des obligations), et c’est cela qui est tout à fait intéressant : « Qu'en statuant ainsi, alors que la négligence grave retenue contre le titulaire de la carte bancaire pour n'avoir pas préservé la sécurité de celle-ci et de son code confidentiel ne le privait pas du droit d'invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle, la cour d'appel a violé les textes susvisés » (article 1147 du Code civil et 133-19 du Code monétaire et financier).
Cette jurisprudence présente l’intérêt évident de sortir d’une logique du « tout ou rien ». À l’heure où l’on constate une forte hausse du nombre de ménages victimes d’au moins un débit frauduleux sur leur compte
Achevé de rédiger le 18 mai 2018.
