Droit des paiements :
les faits majeurs en 2024

Adoption définitive du paquet CRR 3/CRD 6

Après un accord politique en décembre 2023, le nouveau paquet bancaire CRR 3/CRD 6 a été adopté définitivement par le Parlement européen le 24 avril 2024. Prévu pour entrer progressivement en application jusqu’en 2027, il finalise l’intégration des accords de Bâle III dans le droit de l’Union (risques de crédit, de marché, opérationnel, et plancher en capital), mais comporte également des « mesures européennes, visant à réguler les risques émergents tout en prenant en compte la place essentielle des banques dans le financement de l’économie en Europe »¹. Parmi ces mesures, figurent notamment l’intégration des risques liés aux crypto-actifs au cadre prudentiel et l’obligation des entités de pays tiers d’établir une succursale dans l’Union pour réceptionner des fonds remboursables du public et accorder des crédits, sauf dérogation, notamment en cas de sollicitation inversée (reverse solicitation). L’heure est maintenant à la mise en œuvre pour les acteurs, mais aussi pour l’autorité bancaire européenne (EBA) qui a reçu plus d’une centaine de mandats en vue d’élaborer des normes techniques.

Règlement (UE) 2024/1623 du Parlement européen et du Conseil du 31 mai 2024 modifiant le règlement (UE) n° 575/2013 en ce qui concerne les exigences pour risque de crédit, risque d’ajustement de l’évaluation de crédit, risque opérationnel et risque de marché et le plancher de fonds propres ; Directive (UE) 2024/1619 du Parlement européen et du Conseil du 31 mai 2024 modifiant la directive 2013/36/UE en ce qui concerne les pouvoirs de surveillance, les sanctions, les succursales de pays tiers et les risques environnementaux, sociaux et de gouvernance.

Nouveau paquet LCB-FT

Publié au Journal officiel de l’Union européenne du 19 juin 2024, le nouveau paquet LCB-FT instaure un système inédit de distribution des règles de LCB-FT entre règlement (règles applicables au secteur privé) et directive (organisation du système institutionnel de LCB-FT) et crée l’Autorité européenne de lutte contre le blanchiment de capitaux (»AMLA» pour «Anti-Money Laundering Authority»), l’ensemble devant constituer un système intégré de surveillance LCB-FT au sein de l’Union. On relèvera que figurent parmi la liste des assujettis aux obligations LCB-FT les plateformes de financement participatif et les prestataires de services sur crypto-actifs et que ces derniers ont désormais interdiction de tenir des portefeuilles anonymes de crypto-actifs. Si certaines obligations n’entreront en application qu’en 2029, l’AMLA devrait commencer à travailler mi-2025.

Entrée en application de DORA

DORA (Digital Operational Resilience Act) entrera en application le 17 janvier 2025 ! Les entités financières de l’Union (établissements de crédit, de paiement, de monnaie électronique, d’investissement, prestataires de services sur crypto-actifs..., entre autres), mais également les « prestataires tiers de services TIC » seront donc bientôt officiellement tenus de mettre en œuvre les exigences de ce règlement. À la clef, la gestion du risque lié aux TIC, le reporting des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC sans oublier les dispositifs de partage d’informations. Parmi les multiples chantiers mis en œuvre par les établissements ces derniers mois : la revue des conventions d’externalisation conclues avec des prestataires tiers de services TIC, afin d’y intégrer des clauses en ligne avec DORA. La directive accompagnant le règlement afin d’assurer la cohérence des textes existants avec DORA devrait être transposée d’ici le 17 janvier. Elle est portée par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité déposé au Sénat le 15 octobre 2024.

Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 ; Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

Jurisprudence

Il y eut l’affaire Paysera (CJUE, 16 janv. 2019, aff. C-389/17, Paysera LT UAB, concl. av. gén. M. Wathelet) ; voici désormais Projektai, le deuxième grand arrêt du droit de la monnaie électronique. Encore un établissement lituanien ! La question était celle-ci : les fonds reçus par un établissement de paiement, et qui demeurent en compte de paiement sans ordre précis de les faire repartir (pay out), transforment-ils l’activité de prestation de services de paiement en émission de monnaie électronique ? La Cour répond sans difficulté par la négative et en deux temps : la réception de fonds restants disponibles sur un compte de paiement constitue, toujours, un service de paiement ; l’inscription de ces fonds sur un compte de paiement ne vaut pas émission de monnaie électronique. Car cette dernière suppose d’avoir au préalable été « transformée en un actif monétaire distinct des fonds remis » (pt 47). L’enseignement est remarquable, d’autant que, dans la future DSP 3, la frontière entre services de paiement et monnaie électronique devrait s’estomper un peu plus encore puisqu’il y sera question d’« activité de prestation de services de paiement et de services de monnaie électronique ». Tel est le sens de la proposition de directive du Parlement européen et du Conseil concernant les services de paiement et les services de monnaie électronique dans le marché intérieur, modifiant la directive 98/26/CE et abrogeant les directives (UE) 2015/2366 et 2009/110/CE, COM(2023) 366 final, 28 juin 2023.

CJUE 22 févr. 2024, aff. C-661/22, ABC Projektai UAB c/ Lietuvos bankas, concl. av. gén. M. Campos Sánchez-Bordona.

Entrée en application de TFR

TFR (Transfer of Funds Regulation) entre en application le 30 décembre 2024. Il élargit le champ du règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds en y ajoutant les transferts de crypto-actifs par les prestataires de services sur crypto-actifs. L’objectif est d’intégrer les derniers travaux du Groupe d’action financière (GAFI) : « En raison des récentes évolutions intervenues au niveau international, en particulier dans le cadre du GAFI, il est à présent nécessaire de réglementer des catégories supplémentaires de prestataires de services sur actifs virtuels jusque-là non couvertes et d’élargir la définition actuelle des monnaies virtuelles » (considérant n° 9 de TFR).

Règlement (UE) 2023/1113 du Parlement européen et du Conseil du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive (UE) 2015/849.

Deux ordonnances relatives aux crypto-actifs ont été adoptées le 15 octobre 2024. La première vise à adapter le droit français à l’entrée en application, le 30 décembre 2024 également, du règlement MiCA. L’ordonnance n° 2024-937, quant à elle, porte sur le « renforcement des obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme en matière de transfert de crypto-actifs ». Il s’agit ici d’accompagner l’entrée en application de TFR. Elle prévoit notamment l’insertion d’un nouvel article L. 561-10-4 dans le CMF : « Les prestataires de services sur crypto-actifs (...) identifient et évaluent le risque de blanchiment de capitaux et le financement du terrorisme lié aux transferts de crypto-actifs effectués vers ou depuis une adresse auto-hébergée (...). Ils mettent en place, à cette fin, une organisation, des politiques, des procédures et des contrôles internes pour appliquer des mesures de vigilance complémentaires ».

Ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés de crypto-actifs et Ordonnance n° 2024-937 du 15 octobre 2024 relative au renforcement des obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme en matière de transfert de crypto-actifs.

Le virement instantané (un virement qui est exécuté immédiatement, 24 heures sur 24 et quel que soit le jour civil) a désormais son texte, qui est en réalité un règlement modificatif, principalement du « règlement source » des paiements SEPA, mais aussi de la directive « Finalité » et de la DSP 2, un peu. On retiendra que le virement instantané (ou SCT Inst) n’est pas un nouvel instrument de paiement, mais seulement une variété de virement... qui va plus vite. Plus vite, certes, mais nécessairement au rythme des contrôles nécessaires, celui de la vérification du bénéficiaire, d’abord, puis du contrôle des mesures restrictives financières ciblées, ensuite.

Règlement (UE) 2024/886 du Parlement européen et du Conseil du 13 mars 2024 modifiant les règlements (UE) n° 260/2012 et (UE) 2021/1230 et les directives 98/26/CE et (UE) 2015/2366 en ce qui concerne les virements instantanés en euros.

Tout juste adopté, le règlement concernant les virements instantanés a déjà fait l’objet de plus de 200 Q&As de la Commission, comme si la loi européenne ne se suffisait pas ; comme si le droit devait très vite s’effacer devant la technique, si ce n’est la « cuisine ». Cela n’est pas sans poser un sérieux « problème démocratique ».

FISMA, Q&As on IPR implementation, 23 juill. 2024.

Le grand arrêt Beobank enseigne qu’« une juridiction nationale ne saurait ignorer la distinction consacrée dans ladite directive [DSP 1, mais cela vaut autant pour la DSP 2] en ce qui concerne les opérations de paiement, selon qu’elles sont ou non autorisées, et, partant, ne saurait se prononcer sur une demande de remboursement de paiements tels que les paiements en cause au principal sans qualifier, au préalable, ces paiements d’opérations autorisées ou non » (CJUE, 16 mars 2023, aff. C-351/21, Beobank, concl. M. Szpunar, pt 39).

Deux arrêts du 2 mai 2024 illustrent parfaitement le « facteur déterminant » de l’autorisation, donc du consentement donné par le payeur, puisque « une opération de paiement est autorisée si le payeur a donné son consentement à son exécution » (CMF, art. L. 133-6, I, al. 1er). Aux termes du premier, ayant retenu que des ordres de paiement donnés oralement valaient autorisation des opérations, la Cour de cassation a pu en déduire que « la responsabilité pour manquement au devoir de vigilance du prestataire de services de paiement, tenu à une obligation de non-ingérence, n’est engagée que si ces opérations présentent une anomalie apparente obligeant ce prestataire à procéder à des vérifications particulières ».

Cass. com. 2 mai 2024, n° 22-17.233, Bull. civ. IV, p. 86.

À l’inverse, dans la seconde espèce, des retraits et paiements effectués par une épouse à l’aide du doublon d’une carte bancaire de son conjoint obtenu à son insu, ont pu être qualifiés d’opérations de paiement non autorisées par le payeur titulaire du compte. Si bien que seul le régime spécial de responsabilité des articles L. 133-18 à L. 133-20 du Code monétaire et financier (CMF) devait s’appliquer, rendant notamment irrecevable l’action en responsabilité engagée contre le PSP au-delà du délai de forclusion de treize mois prévu par l’article L. 133-24 du CMF ; avec pour autre effet, directement tiré de la jurisprudence Beobank précitée, que l’application de ce régime de responsabilité est « à l’exclusion de tout régime alternatif de responsabilité résultant du droit national ».

Cass. com. 2 mai 2024, n° 22-18.074, Bull. civ. IV, p. 90.

Cela devrait être le premier réflexe du juge dans le contentieux des opérations de paiement non autorisées : celui de vérifier si le payeur a bien fait l’objet d’une authentification forte de la part de son prestataire de services de paiement (PSP). Car s’il n’y a pas procédé, la présomption de responsabilité s’inverse.... Tel est l’enseignement d’un arrêt du 30 août 2023 de la chambre commerciale de la Cour de cassation : « Il ressort de l’article L. 133-19, V, du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017, que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue par le second de ces textes ».

Cass. com. 30 août 2023, n° 22-11.707, Bull. civ. IV, p. 7.

On se souvient que l’arrêt Caisse régionale de Crédit Agricole (CRCAM) – Alpes-Provence dégagea la règle selon laquelle « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive » (CJUE, 2 sept. 2021, aff. C-337/20, CRCAM, concl. H. Saugmandsgaard Øe, pt 45).

Faisant sienne la jurisprudence européenne, qui est au demeurant citée, la Cour de cassation a jugé, aux termes d’un arrêt significatif du 27 mars 2024, que « la responsabilité contractuelle de droit commun prévue résultant du premier de ces textes [article 1231-1 du Code civil] n’est pas applicable en présence d’un régime de responsabilité exclusif » ; si bien que, poursuivait-elle, « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national ».

Cass. com. 27 mars 2024, n° 22-21.200, Bull. civ. IV, p. 67.

Pour que la responsabilité spéciale des PSP joue, encore faut-il que le droit des paiements (le « droit DSP ») s’applique. Or tel n’est pas le cas, a-t-il été jugé, de virements libellés en USD : « Il résulte des dispositions de l’article L. 133-1 du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2014-158 du 20 février 2014, que des virements, réalisés en juillet 2016 dans une devise autre que l’euro ou une devise d’un Etat membre de l’Union européenne ou d’un autre Etat partie à l’accord sur l’Espace économique européen qui n’appartient pas à la zone euro, ne relèvent pas du régime de responsabilité des prestataires de services de paiement prévu au code monétaire et financier, de sorte que la responsabilité de la banque ne peut être engagée que sur le fondement du droit commun de la responsabilité contractuelle ». La solution demeure intéressante même si, depuis, un § 4 a été ajouté à l’article L. 133-1 du CMF, qui rend ce dernier applicable « quelle que soit la devise dans laquelle l’opération est réalisée, pour ce qui concerne les parties de l’opération de paiement qui sont effectuées dans l’Union ».

Cass. com. 14 févr. 2024, n° 22-11.654, Bull. civ. IV, p. 68.

Une autre exception tiendrait au caractère extra-européen du compte bénéficiaire du paiement litigieux : « A réception d’ordres de virement émis par une société au profit d’un compte situé hors zone Sepa, présentant des anomalies apparentes, une banque est tenue, en exécution de son obligation de vigilance, de vérifier leur régularité auprès du dirigeant, seule personne contractuellement habilitée à les valider, dès lors que les circonstances inhabituelles de passation des ordres laissent supposer une possible “fraude au président” ». La portée de cet arrêt paraît néanmoins douteuse ; le doute n’est pas levé par le commentaire que l’on peut lire dans la Lettre de la chambre commerciale référencée ci-après.

Cass. com. 2 oct. 2024, n° 23-13.282, Lettre de la chambre commerciale, financière et économique n° 14, nov. 2024, p. 9, Bull. civ. IV, p. 62.

L’arrêt était très attendu, dans le milieu bancaire comme du côté des associations de défense des consommateurs. Il est toutefois décevant, faute d’avoir voulu, ou pu, se dégager un tant soit peu des faits de l’espèce. C’est un cas de fraude au conseiller bancaire par spoofing, c’est-à-dire par usurpation du numéro de téléphone. On retiendra dès lors qu’au cas d’espèce, et seulement celui-ci, « aucune négligence grave au sens de l’article L. 133-19 du code monétaire et financier ne peut être imputée au titulaire d’un compte qui, contacté téléphoniquement par une personne se faisant passer pour un préposé de sa banque dont le numéro s’affichait, utilise à sa demande le dispositif de sécurité personnalisé pour supprimer puis réinscrire des bénéficiaires de virements dans le but d’éviter des opérations malveillantes ». L’intérêt est que, « dans cet arrêt, la chambre commerciale donne, pour la première fois, des indications sur l’appréciation de l’existence de négligences graves pouvant être imputées à un payeur dans ce contexte particulier de la fraude “au faux conseiller bancaire” ».

Cass. com. 23 oct. 2024, n° 23-16.267, Lettre de la chambre commerciale, financière et économique n° 14, nov. 2024, p. 10, Bull. civ. IV, p. 60.

Une cour d’appel condamne un particulier à payer le solde débiteur de son compte, alors que celui-ci avait déposé plainte pour le vol de sa carte bancaire et de ses « instruments de paiement » (sic). Les juges retiennent en effet que le titulaire du compte, qui avait remis son relevé d’identité bancaire, puis sa carte bancaire et ses codes « cyber » à un inconnu rencontré sur Instagram, a commis des négligences graves ayant permis les virements, retraits et paiements frauduleux. L’arrêt est cassé en ces termes : « En se déterminant ainsi, sans rechercher, comme il lui incombait, si les opérations litigieuses avaient été authentifiées, dûment enregistrées et comptabilisées et qu’elles n’avaient pas été affectées par une déficience technique ou autre, la cour d’appel a privé sa décision de base légale ». Car « il résulte de ces textes [articles L. 133-19, IV, et L. 133-23, alinéa 1er du CMF] que s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ».

Cass. com. 20 nov. 2024, n° 23-15.099, publié au Bulletin. n