La preuve par deux de l’opération de paiement non autorisée

1. Fraude au paiement ou op&eacute;ration de paiement non autoris&eacute;e : le paysage jurisprudentiel post-DSP continue &agrave; se dessiner, au fil d&rsquo;arr&ecirc;ts r&eacute;guliers rendus par la chambre commerciale de la Cour de cassation. Hier, il &eacute;tait par exemple jug&eacute;, en substance, que la n&eacute;gligence grave du payeur, appr&eacute;ci&eacute;e objectivement, ne peut souffrir aucun partage [1] . Et voici qu&rsquo;aujourd&rsquo;hui se d&eacute;tache un int&eacute;ressant arr&ecirc;t s&eacute;lectionn&eacute; par la toute nouvelle Lettre de la chambre commerciale, financi&egrave;re et &eacute;conomique de la Cour de cassation, dans son num&eacute;ro 2, paru en janvier 2021. La d&eacute;cision retient d&rsquo;autant plus l&rsquo;attention qu&rsquo;elle a &eacute;t&eacute; rendue sur renvoi apr&egrave;s cassation d&rsquo;un arr&ecirc;t de la chambre commerciale du 25 octobre 2017. Or ce dernier avait fait date en retenant &ndash; nous citons le r&eacute;sum&eacute; qu&rsquo;en a fait le Bulletin civil : &laquo; Prive sa d&eacute;cision de base l&eacute;gale, au regard des articles L. 133‑16 et L. 133‑19 du code mon&eacute;taire et financier, la juridiction de proximit&eacute; qui, pour condamner une banque &agrave; rembourser une somme pr&eacute;lev&eacute;e sur le compte de son client au titre d&rsquo;un paiement effectu&eacute; par internet sans son autorisation, retient que ce dernier a communiqu&eacute;, certes volontairement mais &agrave; la suite d&rsquo;un hame&ccedil;onnage, &agrave; une personne se pr&eacute;sentant sous une fausse identit&eacute;, les informations relatives &agrave; sa carte de paiement, qui ont ainsi &eacute;t&eacute; d&eacute;tourn&eacute;es &agrave; son insu, sans toutefois divulguer le code confidentiel de la carte, ni le code 3D Secure, de sorte qu&rsquo;il ne peut lui &ecirc;tre reproch&eacute; de ne pas avoir respect&eacute; les dispositions de l&rsquo;article L. 133‑16 du code mon&eacute;taire et financier, sans rechercher, au regard des circonstances de l&rsquo;esp&egrave;ce, si ce client n&rsquo;aurait pas pu avoir conscience que le courriel, auquel il avait ainsi r&eacute;pondu, &eacute;tait frauduleux et si, en cons&eacute;quence, le fait d&rsquo;avoir communiqu&eacute; son nom, le num&eacute;ro de sa carte de paiement, la date d&rsquo;expiration de celle-ci et le cryptogramme figurant &agrave; son verso, ainsi que des informations relatives &agrave; son compte aupr&egrave;s de son op&eacute;rateur t&eacute;l&eacute;phonique permettant &agrave; un tiers de prendre connaissance du code 3D Secure, ne caract&eacute;risait pas un manquement, par n&eacute;gligence grave, &agrave; ses obligations mentionn&eacute;es &agrave; l&rsquo;article pr&eacute;cit&eacute; &raquo; [2] . Nous avions vu, &agrave; chaud, dans cette jurisprudence, &laquo; la possibilit&eacute; d&rsquo;une n&eacute;gligence grave du porteur &raquo; [3] dans les affaires de fraude au paiement ; possibilit&eacute; qui, ce faisant, contrebalan&ccedil;ait le sentiment d&rsquo;une preuve contraire impossible que nous avait laiss&eacute; une pr&eacute;c&eacute;dente d&eacute;cision, ayant jug&eacute; : &laquo; Si, aux termes des articles L. 133‑16 et L. 133‑17 du code mon&eacute;taire et financier, il appartient &agrave; l&rsquo;utilisateur de services de paiement de prendre toute mesure raisonnable pour pr&eacute;server la s&eacute;curit&eacute; de ses dispositifs de s&eacute;curit&eacute; personnalis&eacute;s et d&rsquo;informer sans tarder son prestataire de tels services de toute utilisation non autoris&eacute;e de l&rsquo;instrument de paiement ou des donn&eacute;es qui lui sont li&eacute;es, c&rsquo;est &agrave; ce prestataire qu&rsquo;il incombe, par application des articles L. 133‑19, IV, et L. 133‑23 du m&ecirc;me code, de rapporter la preuve que l&rsquo;utilisateur, qui nie avoir autoris&eacute; une op&eacute;ration de paiement, a agi frauduleusement ou n&rsquo;a pas satisfait, intentionnellement ou par n&eacute;gligence grave, &agrave; ses obligations. Cette preuve ne peut se d&eacute;duire du seul fait que l&rsquo;instrument de paiement ou les donn&eacute;es personnelles qui lui sont li&eacute;es ont &eacute;t&eacute; effectivement utilis&eacute;s &raquo; [4] . Mais voici que la question de la charge de la preuve viendrait &agrave; se d&eacute;doubler. Et dire que ce n&rsquo;&eacute;tait d&eacute;j&agrave; pas simple auparavant&hellip; 2. Aux termes d&rsquo;un attendu r&eacute;dig&eacute; en forme de principe, l&rsquo;arr&ecirc;t (de rejet) du 22 novembre 2020 (destin&eacute; &agrave; &ecirc;tre publi&eacute; au Bulletin) juge ceci [5] : &laquo; Il r&eacute;sulte des articles L. 133-19, IV, et L. 133-23 du code mon&eacute;taire et financier, dans leur r&eacute;daction issue de l'ordonnance n&deg; 2009-866 du 15 juillet 2009, que s'il entend faire supporter &agrave; l'utilisateur d'un instrument de paiement dot&eacute; d'un dispositif de s&eacute;curit&eacute; personnalis&eacute; les pertes occasionn&eacute;es par une op&eacute;ration de paiement non autoris&eacute;e rendue possible par un manquement de cet utilisateur, intentionnel ou par n&eacute;gligence grave, aux obligations mentionn&eacute;es aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'op&eacute;ration en cause a &eacute;t&eacute; authentifi&eacute;e, d&ucirc;ment enregistr&eacute;e et comptabilis&eacute;e et qu'elle n'a pas &eacute;t&eacute; affect&eacute;e par une d&eacute;ficience technique ou autre &raquo;. Tout est dans ce &laquo; doit aussi &raquo; que formule la Cour de cassation : le prestataire de services de paiement ne peut plus se contenter de rapporter la preuve des turpitudes de son client ; encore doit-il (doit-il aussi) justifier que, de son c&ocirc;t&eacute;, tout s&rsquo;est bien pass&eacute;. C&rsquo;est bien ce que laisse entendre le commentaire que l&rsquo;on trouve dans la Lettre de la chambre commerciale, financi&egrave;re et &eacute;conomique de la Cour de cassation : &laquo; Par le pr&eacute;sent arr&ecirc;t, la chambre pr&eacute;cise qu&rsquo;outre cette preuve du manquement commis par l&rsquo;utilisateur, le prestataire doit encore rapporter celle du lien de causalit&eacute; entre ce manquement et les pertes occasionn&eacute;es par l&rsquo;op&eacute;ration non autoris&eacute;e. Pour ce faire, le prestataire doit d&eacute;montrer, d&rsquo;une part, que l&rsquo;&eacute;mission de l&rsquo;ordre de paiement litigieux a &eacute;t&eacute; rendue possible par ce manquement et, d&rsquo;autre part, qu&rsquo;il a correctement ex&eacute;cut&eacute; cet ordre, c&rsquo;est-&agrave;-dire, comme le pr&eacute;voit l&rsquo;article L. 133-23, que l&rsquo;op&eacute;ration a &eacute;t&eacute; authentifi&eacute;e, d&ucirc;ment enregistr&eacute;e et comptabilis&eacute;e et qu'elle n'a pas &eacute;t&eacute; affect&eacute;e par une d&eacute;ficience technique ou autre &raquo; [6] . Si bien que serait dit pour la premi&egrave;re fois, semble-t-il, que le prestataire de services de paiement qui entend &laquo; ne pas porter le chapeau &raquo; d&rsquo;une op&eacute;ration de paiement non autoris&eacute;e ne peut plus se contenter de rapporter la preuve que le payeur a mal agi ; faut-il en outre qu&rsquo;il se d&eacute;douane sur le terrain de sa propre prestation d&rsquo;ex&eacute;cution de l&rsquo;op&eacute;ration [7] . C&rsquo;est ainsi que se dessine une jurisprudence, touche apr&egrave;s touche, quitte &agrave; repasser sur les couleurs d&rsquo;origine ou &agrave; reprendre les contours initialement trac&eacute;s. La premi&egrave;re cassation, dans notre affaire, aurait pu h&acirc;tivement laisser croire que le ciel se d&eacute;gageait, un peu, pour les prestataires de services de paiement, puisque la juridiction de proximit&eacute; avait priv&eacute; sa d&eacute;cision de base l&eacute;gale en ne recherchant pas si le comportement du client, en l&rsquo;esp&egrave;ce, ne caract&eacute;risait pas un manquement, par n&eacute;gligence grave, &agrave; ses obligations d&rsquo;utilisateur d&rsquo;un instrument de paiement. Or, sur renvoi, les juges du fond, suivis par la Haute Juridiction, ont consid&eacute;r&eacute; que la banque teneur de comptes ne d&eacute;montrait pas que l&rsquo;op&eacute;ration en cause n&rsquo;avait pas &eacute;t&eacute; affect&eacute;e par une d&eacute;ficience technique ou autre, ce pour quoi elle devait &ecirc;tre condamn&eacute;e &agrave; rembourser la somme ind&ucirc;ment d&eacute;bit&eacute;e. L&rsquo;effet de balancier joue &agrave; nouveau. Achev&eacute; de r&eacute;diger le 13 f&eacute;vrier 2021. 1 Cf. Cass. com. 1er juill. 2020, n&deg; 18-21.487. Voir P. Storrer, &laquo; La n&eacute;gligence grave de l&rsquo;utilisateur de services de paiement ne se partage pas ! &raquo;, cette Revue n&deg; 848, oct. 2020, p. 72. 2 Cass. com. 25 oct. 2017, n&deg; 16-11.644, Bull. civ. IV, n&deg; 139. 3 P. Storrer, &laquo; Fraude au paiement carte 3 D Secure : la possibilit&eacute; d&rsquo;une n&eacute;gligence grave du porteur &raquo;, cette Revue n&deg; 814, d&eacute;c. 2017, p. 64. 4 Cass. com. 18 janv. 2017, n&deg; 15-18.102, Bull. civ. IV, n&deg; 6. Cf. P. Storrer, &laquo; Utilisation frauduleuse d&rsquo;un instrument de paiement : la probation diabolica ? &raquo;, cette Revue n&deg; 806, mars 2017, p. 72. 5 &Agrave; noter que l&rsquo;arr&ecirc;t fait application des textes du CMF dans leur r&eacute;daction issue de la transposition de la DSP 1. 6 Lettre pr&eacute;cit., p. 4. 7 Cf. CMF, art. L. 133-23, al. 1er : &laquo; Lorsqu'un utilisateur de services de paiement nie avoir autoris&eacute; une op&eacute;ration de paiement qui a &eacute;t&eacute; ex&eacute;cut&eacute;e, ou affirme que l'op&eacute;ration de paiement n'a pas &eacute;t&eacute; ex&eacute;cut&eacute;e correctement, il incombe &agrave; son prestataire de services de paiement de prouver que l'op&eacute;ration en question a &eacute;t&eacute; authentifi&eacute;e, d&ucirc;ment enregistr&eacute;e et comptabilis&eacute;e et qu'elle n'a pas &eacute;t&eacute; affect&eacute;e par une d&eacute;ficience technique ou autre &raquo;, &eacute;tant ajout&eacute; que l&rsquo;alin&eacute;a 2 dispose en outre que &laquo; l'utilisation de l'instrument de paiement telle qu'enregistr&eacute;e par le prestataire de services de paiement ne suffit pas n&eacute;cessairement en tant que telle &agrave; prouver que l'op&eacute;ration a &eacute;t&eacute; autoris&eacute;e par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par n&eacute;gligence grave aux obligations lui incombant en la mati&egrave;re. Le prestataire de services de paiement, y compris, le cas &eacute;ch&eacute;ant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des &eacute;l&eacute;ments afin de prouver la fraude ou la n&eacute;gligence grave commise par l'utilisateur de services de paiement. &raquo;

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Droit des moyens et services de paiement

La preuve par deux de l’opération de paiement non autorisée

Le paysage jurisprudentiel post-DSP continue à se dessiner sur les opérations de paiement non autorisées. À propos de Cass. com. 12 nov. 2020, n° 19-12.112 (sur renvoi de Cass. com. 25 oct. 2017, n° 16-11.644).

À retrouver dans la revue

Blockchain/Cryptoactifs

Métiers

Banques étrangères : des résultats trimestriels contrastés

Blockchain/Cryptoactifs

Monnaie digitale, l’exploration continue

Banque de détail

Silvergate : une leçon pour les banques tentées par l’aventure crypto ?

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous