La négligence grave de l’utilisateur de services de paiement ne se partage pas !

1. Les règles. S’agissant de « contestation et de responsabilité en cas d’opération de paiement non autorisée » – pour reprendre les termes du Code monétaire et financier (CMF, Livre Ier, Titre III, Chapitre III, Section 6) –, et au cas particulier des instruments de paiement dotés de ce que l’on appelait, jadis, un « dispositif » [1] et, désormais, des « données » [2] de sécurité personnalisé(es), il est une règle, demeurée inchangée nonobstant la transposition de la DSP 2, qui veut que « le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 » [3] ; obligations qui sont essentiellement de préservation de la sécurité du dispositif ou des données susmentionné(es) ainsi que d’opposition, sans tarder, en cas de perte, vol ou détournement de son instrument de paiement.

L’arrêt sous commentaire du 1er juillet 2020 retient l’attention dans la mesure où il éclaire spécialement le point IV de l’article L. 133-19 du CMF sous un jour jusque-là demeuré, semble-t-il, dans l’ombre.

2. L’espèce. Voilà que M. V…, titulaire d’un compte bancaire (on notera qu’il n’est jamais question d’instrument de paiement dans la décision), contestait des opérations de paiement effectuées, selon lui, frauduleusement sur ce compte et en demandait le remboursement à sa banque ; banque qui le lui a refusé, arguant qu’il aurait commis une faute en donnant à des tiers des informations confidentielles permettant d’effectuer de telles opérations.

Le tribunal d’instance saisi par la victime crut pouvoir rendre une sorte de jugement de Salomon, en condamnant la banque à rembourser à M. V… la moitié des sommes détournées, dès lors que « celui-ci, qui était de bonne foi, a été victime d’une fraude commise par un tiers, de sorte qu’il n’était pas entièrement responsable de son préjudice ». Mais cela devait lui attirer les foudres de la Cour de cassation.

3. La cassation. La Haute Juridiction reproche en effet aux juges du fond une violation de la loi : « en statuant ainsi, alors qu’il avait aussi retenu que M. V... avait commis une négligence grave en répondant à un courriel présentant de sérieuses anomalies tenant tant à la forme qu’au contenu du message qu’il comportait, le tribunal a violé les textes susvisés ».

Les textes susvisés sont les article L. 133-19, IV, et L. 133-16 du CMF, dans leur rédaction antérieure à la transposition de la DSP 2 par l’ordonnance n° 2017-1252 du 9 août 2017, interprétés ainsi par la Cour : « Attendu qu’il résulte du premier de ces textes que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave, exclusive de toute appréciation de sa bonne foi, à l’obligation, imposée à l’utilisateur de services de paiement par le second de ces textes, de prendre toute mesure raisonnable pour préserver la sécurité du dispositif de sécurité personnalisé mis à sa disposition ».

Deux enseignements principaux, tenant à la nature comme au régime de la négligence grave, peuvent être tirés de la décision rapportée, qui prend du même coup une certaine importance, digne de la publication au Bulletin. Mais, auparavant, un rapprochement mérite d’être fait avec un précédent.

4. Un rapprochement. On se souvient de cette hypothèse d’un « partage de responsabilité » entre droit spécial du paiement et droit commun des obligations que la Cour de cassation avait ouverte dans une décision (non publiée, faut-il préciser) du 17 mai 2017. Elle avait en effet jugé, au visa des articles 1147 ancien du Code civil et L. 133-19 du CMF, que « la négligence grave retenue contre le titulaire de la carte bancaire pour n'avoir pas préservé la sécurité de celle-ci et de son code confidentiel ne le privait pas du droit d'invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle » [4] .

Se pourrait-il que l’arrêt du 1er juillet 2020 revienne sur la solution de 2017 ? Cela n’est pas certain. Car retenir, en 2020, que l’utilisateur de services de paiement gravement négligent supporte, seul, l’entière charge des pertes occasionnées par un paiement frauduleux n’obère pas nécessairement la possibilité qu’il aille chercher, à côté et le cas échéant comme cela fut illustré par la décision de 2017, la responsabilité contractuelle de droit commun du prestataire de services de paiement.

5. La portée de l’arrêt. Quoi qu’il en soit, revenons sur la négligence grave de l’utilisateur, qui est bien au cœur de l’arrêt commenté. Il s’en évince d’abord que la caractérisation.de celle-ci est « exclusive de toute appréciation de sa bonne foi ». La négligence grave [5] se distingue ainsi clairement des deux autres causes de décharge de la « responsabilité » (du poids de la charge des risques serait plus exact) du prestataire de services de paiement que sont l’agissement frauduleux de l’utilisateur ou l’intention de ne pas satisfaire à ses obligations. Peu importe la volonté, la croyance ou la bonne ou mauvaise foi de celui qui assure ne pas avoir autorisé une opération de paiement : seul compte l’écart « objectif », la mesure « tangible » entre la réaction raisonnablement attendue de lui et la négligence à de ne pas l’avoir adoptée. L’étalon de la négligence grave se trouve ainsi dans le comportement, pas dans la conscience qui le meut.

Second enseignement, peut-être inédit en jurisprudence : la négligence grave ne se partage pas ! Autrement dit, l’utilisateur gravement négligent, une fois que cette gravité a été caractérisée – ce qui n’était pas discuté dans l’espèce rapportée –, doit supporter « toutes les pertes occasionnées par des opérations de paiement non autorisées », comme en dispose avec netteté l’article L. 133-19, IV. Il n’y aurait ainsi pas de place, sinon pour un partage de « responsabilité » (cf. supra, point 4), du moins pour une répartition des risques [6] et des pertes qui les accompagnent [7] . Mais il ne sert à rien d’y voir un arrêt « éminemment favorable aux intérêts des établissements de crédit » [8] . Car aussi bien verra-t-on dans une prochaine décision de la Cour de cassation une faveur faite aux consommateurs, et vice-versa la fois d’après. La question n’est évidemment pas là mais dans la confiance que les uns peuvent faire aux autres ; elle est dans l’équilibre d’un système de paiement aussi fragile que redoutablement efficace… tant que cela marche bien.

Et puis, nul doute que l’avènement, sans cesse retardé, de l’authentification forte prônée par la DSP 2 rebattra bientôt les cartes en la matière. Mais c’est un autre sujet.

Achevé de rédiger le 9 septembre 2020.