Opérations de paiement non autorisées : quand l’utilisateur ne peut plus, la caution peut encore

Les questions préjudicielles. L’affaire était banale : une banque avait consenti à une société une ouverture de crédit en compte courant, garantie par un cautionnement. À ceci près que lorsque la banque a actionné en paiement la caution, la société a fait valoir qu’en procédant à des virements au profit de tiers sans autorisation, la banque avait commis une faute, de sorte que le montant de ces virements devait venir en déduction de sa créance.

Par suite, deux questions préjudicielles inédites furent posées par la Cour de cassation française [1] à la Cour de justice de l’Union européenne (CJUE), toutes deux relatives à l’action en responsabilité dirigée contre le prestataire de services de paiement (PSP) en cas d’opérations de paiement non autorisées (ou mal exécutées) :

– l’utilisateur de services de paiement (USP) peut-il, lorsqu’il est forclos, agir néanmoins sur le terrain de la responsabilité contractuelle de droit commun ?

– la réponse apportée à cette première question vaut-elle pour la caution de l’USP ?

Suivant largement les conclusions sereines de son avocat général, la Cour rend un arrêt parfaitement équilibré.

La réponse à la première question : un régime de responsabilité exclusif. Le droit des opérations de paiement non autorisées (ou mal exécutées) est logé principalement aux articles 58 et suivants de la DSP 1, tels que repris, « en substance » [2] , par les articles 71 et suivants de la DSP 2. En droit français, il se retrouve, pour l’essentiel, aux articles L. 133-18 et L. 133-24 du Code monétaire et financier (CMF).

La « règle pivot », on le sait, tient à l’obligation de notification faite à l’utilisateur de signaler « sans tarder » (ou « sans retard injustifié ») à son PSP une opération de paiement non autorisée ou mal exécutée, « au plus tard dans les treize mois suivant la date de débit » [3] , sous peine de forclusion, précise le CMF. Sachant qu’en contrepoint, la responsabilité « immédiate », presque automatique, du PSP est engagée en cas d’opérations de paiement non autorisées (et seulement celles-ci), dans la mesure où, « sans préjudice » de la règle pivot, les articles 60 de la DSP 1 et 73 de la DSP 2 l’obligent à rembourser « immédiatement » au payeur le montant de l’opération contestée [4] .

Partant, l’USP peut-il engager la responsabilité du PSP sur le fondement d’un régime de responsabilité autre (i. e. de droit commun) lorsqu’il a manqué à son obligation de notification dans les treize mois ? Aux termes d’une lecture littérale, contextuelle, téléologique et, enfin, historique des dispositions pertinentes de la DSP 1 (que l’on retrouve mutatis mutandis dans la DSP 2), la CJUE parvient à l’interprétation selon laquelle « le législateur de l’Union a établi, de la façon la plus claire possible, le lien entre la responsabilité du prestataire de services de paiement et le respect par l’utilisateur de ces services du délai maximal de treize mois pour notifier toute opération non autorisée afin de pouvoir engager la responsabilité, de ce fait, de ce prestataire. Ce faisant, il a également fait le choix univoque de ne pas permettre à cet utilisateur d’intenter une action en responsabilité dudit prestataire en cas d’opération non autorisée, à l’expiration de ce délai » [5] . Le régime de responsabilité établi par la DSP 1 (et la DSP 2) en cas d’opérations de paiement non autorisées est, et doit demeurer, exclusif.

La réponse à la seconde question : une harmonisation totale mais non exclusive. Si la voie de la responsabilité civile de droit commun est fermée à l’USP forclos, peut-elle néanmoins profiter à la caution qui a garanti la dette du PSP ?

À l’évidence, la DSP 1, comme la DSP 2, ne concerne que « les droits et obligations respectifs des utilisateurs de services de paiement et des prestataires de services de paiement dans le cadre de la prestation de services de paiement en tant qu'activité habituelle ou professionnelle » [6] . De même qu’il est tout aussi évident que « la caution ne relève pas de la notion d’“utilisateur de services de paiement”, son rôle ne s’apparentant ni de près ni de loin à celui d’un “payeur” ou à celui d’un “bénéficiaire”, au sens de l’article 4, points 7 et 8, de la directive 2007/64 » [7] . De sorte que, poursuit la Cour, « le contrat de cautionnement entre un prestataire de services de paiement et une caution n’est pas régi par les dispositions de la directive 2007/64 ni d’ailleurs par aucun autre instrument de droit de l’Union. Un tel contrat demeure donc soumis aux droits et aux obligations déterminées par le droit national applicable » [8] . Par conséquent, en cas de manquement du PSP à ses obligations liées à une opération de paiement non autorisée, la caution d’un USP peut bien invoquer le régime de responsabilité contractuelle de droit commun dudit prestataire, par ailleurs bénéficiaire du cautionnement, afin de contester le montant de la dette garantie.

L’avocat général, M. Henrik Saugmandsgaard Øe, soutenait avec vigueur que l’harmonisation totale du droit des services de paiement voulue par la DSP 1, et poursuivie par la DSP 2, ne commande pas, pour autant, une harmonisation exhaustive : « Je rappelle que le fait que l’harmonisation soit totale n’implique pas qu’elle soit exhaustive. S’agissant de directives portant notamment sur la responsabilité de professionnels à l’égard de consommateurs, la Cour a jugé qu’une directive peut, sur les points qu’elle réglemente, poursuivre une “harmonisation totale” des dispositions législatives, réglementaires et administratives des États membres, sans pour autant avoir vocation à harmoniser de manière “exhaustive” le domaine de la responsabilité couvert par la directive, en dehors desdits points [9] . » On peut y voir aussi l’illustration originale du principe cardinal d’indépendance entre opération de paiement et obligation sous-jacente [10] , le régime de responsabilité de l’une laissant entier celui de l’autre.