La preuve par deux de l’opération de paiement non autorisée

1. Fraude au paiement ou opération de paiement non autorisée : le paysage jurisprudentiel post-DSP continue à se dessiner, au fil d’arrêts réguliers rendus par la chambre commerciale de la Cour de cassation. Hier, il était par exemple jugé, en substance, que la négligence grave du payeur, appréciée objectivement, ne peut souffrir aucun partage [1] . Et voici qu’aujourd’hui se détache un intéressant arrêt sélectionné par la toute nouvelle Lettre de la chambre commerciale, financière et économique de la Cour de cassation, dans son numéro 2, paru en janvier 2021.

La décision retient d’autant plus l’attention qu’elle a été rendue sur renvoi après cassation d’un arrêt de la chambre commerciale du 25 octobre 2017. Or ce dernier avait fait date en retenant – nous citons le résumé qu’en a fait le Bulletin civil : « Prive sa décision de base légale, au regard des articles L. 133‑16 et L. 133‑19 du code monétaire et financier, la juridiction de proximité qui, pour condamner une banque à rembourser une somme prélevée sur le compte de son client au titre d’un paiement effectué par internet sans son autorisation, retient que ce dernier a communiqué, certes volontairement mais à la suite d’un hameçonnage, à une personne se présentant sous une fausse identité, les informations relatives à sa carte de paiement, qui ont ainsi été détournées à son insu, sans toutefois divulguer le code confidentiel de la carte, ni le code 3D Secure, de sorte qu’il ne peut lui être reproché de ne pas avoir respecté les dispositions de l’article L. 133‑16 du code monétaire et financier, sans rechercher, au regard des circonstances de l’espèce, si ce client n’aurait pas pu avoir conscience que le courriel, auquel il avait ainsi répondu, était frauduleux et si, en conséquence, le fait d’avoir communiqué son nom, le numéro de sa carte de paiement, la date d’expiration de celle-ci et le cryptogramme figurant à son verso, ainsi que des informations relatives à son compte auprès de son opérateur téléphonique permettant à un tiers de prendre connaissance du code 3D Secure, ne caractérisait pas un manquement, par négligence grave, à ses obligations mentionnées à l’article précité » [2] .

Nous avions vu, à chaud, dans cette jurisprudence, « la possibilité d’une négligence grave du porteur » [3] dans les affaires de fraude au paiement ; possibilité qui, ce faisant, contrebalançait le sentiment d’une preuve contraire impossible que nous avait laissé une précédente décision, ayant jugé : « Si, aux termes des articles L. 133‑16 et L. 133‑17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133‑19, IV, et L. 133‑23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » [4] .

Mais voici que la question de la charge de la preuve viendrait à se dédoubler. Et dire que ce n’était déjà pas simple auparavant…

2. Aux termes d’un attendu rédigé en forme de principe, l’arrêt (de rejet) du 22 novembre 2020 (destiné à être publié au Bulletin) juge ceci [5] : « Il résulte des articles L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009, que s'il entend faire supporter à l'utilisateur d'un instrument de paiement doté d'un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit aussi prouver que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ».

Tout est dans ce « doit aussi » que formule la Cour de cassation : le prestataire de services de paiement ne peut plus se contenter de rapporter la preuve des turpitudes de son client ; encore doit-il (doit-il aussi) justifier que, de son côté, tout s’est bien passé. C’est bien ce que laisse entendre le commentaire que l’on trouve dans la Lettre de la chambre commerciale, financière et économique de la Cour de cassation : « Par le présent arrêt, la chambre précise qu’outre cette preuve du manquement commis par l’utilisateur, le prestataire doit encore rapporter celle du lien de causalité entre ce manquement et les pertes occasionnées par l’opération non autorisée. Pour ce faire, le prestataire doit démontrer, d’une part, que l’émission de l’ordre de paiement litigieux a été rendue possible par ce manquement et, d’autre part, qu’il a correctement exécuté cet ordre, c’est-à-dire, comme le prévoit l’article L. 133-23, que l’opération a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre » [6] .

Si bien que serait dit pour la première fois, semble-t-il, que le prestataire de services de paiement qui entend « ne pas porter le chapeau » d’une opération de paiement non autorisée ne peut plus se contenter de rapporter la preuve que le payeur a mal agi ; faut-il en outre qu’il se dédouane sur le terrain de sa propre prestation d’exécution de l’opération [7] . C’est ainsi que se dessine une jurisprudence, touche après touche, quitte à repasser sur les couleurs d’origine ou à reprendre les contours initialement tracés. La première cassation, dans notre affaire, aurait pu hâtivement laisser croire que le ciel se dégageait, un peu, pour les prestataires de services de paiement, puisque la juridiction de proximité avait privé sa décision de base légale en ne recherchant pas si le comportement du client, en l’espèce, ne caractérisait pas un manquement, par négligence grave, à ses obligations d’utilisateur d’un instrument de paiement. Or, sur renvoi, les juges du fond, suivis par la Haute Juridiction, ont considéré que la banque teneur de comptes ne démontrait pas que l’opération en cause n’avait pas été affectée par une déficience technique ou autre, ce pour quoi elle devait être condamnée à rembourser la somme indûment débitée. L’effet de balancier joue à nouveau.

Achevé de rédiger le 13 février 2021.