En droit, comme en philosophie, c’est de la contradiction que naît la réalité, ainsi que l’observait déjà Héraclite pour qui « le combat est le père de toutes choses »1.
Et ainsi le régime prétorien des opérations de paiement est né de l’opposition entre les ordres faux et ceux qui émanent du titulaire du compte. En exécutant un ordre faux, qui n’émane pas de son client, le banquier est tenu envers ce dernier à restitution, et sa seule façon d’échapper à son sort est de prouver l’apparence, c’est-à-dire l’absence d’anomalies apparentes dans l’opération, là où tout ce débat est sans objet lorsque l’ordre est authentique, puisque l’obligation de prompte exécution et de non-immixtion dans les affaires de son client oblige le banquier à l’exécution2.
Les directives sur les services de paiement (dites DSP1 et DSP2) codifiées aux articles L. 133-1 à 133-45 du Code monétaire et financier s’articulent de la même manière autour de la polarité entre opérations autorisées et non autorisées. C’est peut-être la raison pour laquelle les Tribunaux, raisonnant par analogie, ne se sont pas interrogés sur l’originalité ou l’autonomie du nouveau dispositif qui a été perçu comme une sorte de codification à droit constant.
Par un arrêt du 27 mars 2024, la Haute juridiction portant une salve contre cette facilité retient que : « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précitée, qui transposent [...] la directive 2007/64/CE à l’exclusion de tout régime alternatif résultant du droit national »3. La Cour d’appel avait condamné la banque au visa de l’article 1231-1 du Code civil en retenant que le client n’était pas à l’origine des ordres et qu’en les exécutant tandis qu’ils présentaient des anomalies apparentes, elle avait « manqué à son devoir contractuel de vigilance ». L’arrêt est censuré pour double violation de la loi, la Cour ayant appliqué à tort les règles de responsabilité civile de droit commun et, par extension, méconnu la réglementation issue de la DSP1 d’application exclusive par refus d’application.
Parmi les significations du mot « Exclusif, ive », le célèbre glossaire du doyen Cornu donne : « se dit : [...] b) De ce qui ne tolère ni partage, ni adjonction ni mélange. [...] ». Aussi, un droit exclusif se distingue-t-il à la fois du jus commune qui est « normalement applicable en l’absence de dispositions légales dérogatoires »4 et du jus singulare défini comme l’« exception par rapport à la règle »5 en ce qu’il se suffit à lui-même. Pour rester dans le registre philosophique, tel que Parménide concevait l’être en tant que totalité, le droit exclusif est « un et parfaitement plein »6, sans vide ni altérité.
Un phénomène ne se comprend correctement que replacé dans son contexte7 ici rappelé par les motifs de l’arrêt de la Cour de Justice de l’Union européenne du 2 septembre 2021 visé par la décision examinée, au sujet de la possibilité pour le payeur d’engager la responsabilité du PSP sur le fondement du droit commun lorsque celui-ci a omis de signaler les opérations non autorisées dans le délai de treize mois imparti par la directive. La juridiction européenne avait, déjà, indiqué que la DSP1 opère « une harmonisation totale » interdisant aux États membres d’introduire dans leurs droits nationaux « un régime de responsabilité parallèle au titre du même fait générateur »8. L’harmonisation totale, qui désigne l’exclusivité dans un contexte international, impose aux États membres d’appliquer dans des termes identiques les règles de droit européen sans pouvoir ni retirer, ni ajouter des conditions ou des effets9, leur faisant ainsi perdre leur autonomie normative dans le domaine régi par la directive – en l’occurrence les services de paiement en euros fournis au sein de l’Union dans les rapports PSP/client. Les objectifs de cette harmonisation totale, détaillés dans la DSP 2, sont multidimensionnels avec des aspects économiques, politiques, sociaux et même psychologiques dont on comprend qu’ils sont indissociables. Il s’agit « de développer un marché intérieur intégré des paiements électroniques sûrs » (§ 5) en « veillant à une concurrence équitable » (§ 33) et en instaurant « une plus grande confiance des consommateurs » (§ 6 et § 84).
Le caractère exclusif de la réglementation européenne dont la Cour de cassation se borne ainsi à prendre acte dans son arrêt du 27 mars 2024, amène, pour en comprendre la portée (2.) à s’interroger d’abord sur le périmètre résiduel du devoir « général » de vigilance (1.).
Nulle part le régime de responsabilité harmonisé ne fait mention d’un devoir de vigilance obligeant la banque à être attentive aux anomalies apparentes. En cas d’opérations non autorisées – en cause dans l’arrêt du 27 mars 2024 – où il s’agit d’assurer la confiance du payeur, nul besoin de caractériser la faute du PSP : la restitution est de principe excepté le cas de fraudes et de négligences graves du payeur (art. L. 133-18 et -19 du Code monétaire et financier) tandis que dans les opérations autorisées, où ressort au contraire l’impératif d’efficacité économique, le PSP « n’est responsable que de l’exécution de l’opération de paiement conformément à l’identifiant unique fourni par l’utilisateur de services de paiement » (art. 133-21, alinéa 3) avec cette précision qu’il n’a pas à tenir compte des éléments fournis en sus ce qui exclut toute obligation de curiosité.
Dans ces conditions, non seulement le recours au devoir de vigilance en droit interne français préjudicie au régime harmonisé en ce qu’il ajoute une condition qui ne figure pas dans la directive – on parle de fausse application de la loi en matière de technique de cassation10 – mais il porte également atteinte à ses objectifs d’efficacité économique et de protection des consommateurs. Aussi, et pour paraphraser un célèbre titre des années 8011, devrait-on assister à une éclipse totale du devoir de vigilance du régime de responsabilité des opérations de paiement.
Cela ne signifie pas que les banques ne devront plus réagir à une illicéité apparente car celles-ci, dans le cadre de leurs obligations réglementaires sont déjà tenues, entre autres, de déclarer à Tracfin « les opérations portant sur des sommes dont elles soupçonnent [...] qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an » (art. L. 561-15 du CMF) ce qui, en pratique, est susceptible de couvrir l’ensemble des cas de fraudes touchant les opérations de paiement. Comme le juge classiquement la Cour de cassation, l’application de la réglementation LCB-FT ne pourra pas être source de responsabilité civile12. La Haute juridiction s’est fondée sur la finalité de cette réglementation qui vise la protection de l’intérêt général et non la satisfaction d’intérêts privés mais le principe d’exclusivité aurait été suffisant. À cet égard, on peut se demander si dans la jurisprudence sur le devoir de vigilance, l’intérêt particulier d’un client n’a pas occulté l’intérêt général de tous les autres à ce que leurs opérations soient exécutées.
Une harmonisation totale suppose que les textes soient clairs, c’est-à-dire susceptibles d’un seul sens car, à chaque fois que la loi est obscure, le juge doit l’interpréter avec les risques de solutions divergentes que cela implique. Elle suppose également que lesdits textes s’organisent en un système unitaire. Le régime européen des services de paiement basé sur une approche objective du consentement, la maîtrise de son expression et un principe régulateur constitué par le rôle causal du payeur, semble réunir ces caractéristiques.
Pour saisir le consentement, qui est une fonction mentale, il faudrait tenir compte des typologies de caractères comme le fait le psychiatre Carl Jung. Ce serait relativement simple pour les natures extraverties du type aristotéliciennes ancrées dans la réalité, organisatrices, dont l’intention est dirigée de façon prédominante vers l’objet mais plus délicat pour les personnes introverties, de types platoniciennes, passionnées, mystiques, davantage axées sur des facteurs subjectifs s’appuyant sur la perception sensorielle du monde extérieur13.
Un concept est clair lorsqu’il est nettement délimité par rapport à d’autres concepts. En cela, le législateur européen a fait un effort de clarification certain. D’emblée, il écarte toute confusion avec ce pour quoi le paiement est opéré en précisant qu’une « opération de paiement est autorisée si le payeur a donné son consentement à son exécution » (art. L. 133-6 du CMF). C’est du consentement au paiement et non du consentement à l’opération sous-jacente dont il est question. La précision est fondamentale. Il suffit que le paiement ait été voulu ce qui empêche d’invoquer l’erreur ou le dol du cocontractant. L’abondante jurisprudence sur les « faux investissements » consacre cette logique.
S’agissant de son expression « le consentement est donné selon la forme convenue » (art. L. 133-7 du CMF). C’est donc le contrat et les conditions générales qui définissent comment se matérialise le consentement à l’opération de paiement. Si la forme est respectée, l’ordre est regardé comme autorisé. Cela dit, la forme n’est pas tout. Le législateur, à l’instar de Descartes, conscient qu’il y a une prise pour le doute ne tient pas la forme pour vérité absolue et, en cas de contestation par le client, pose que : « L’utilisation de l’instrument de paiement [...] ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant »14.
La question de la portée probatoire de l’utilisation du dispositif de paiement n’est pas pour autant abandonnée à la casuistique. L’authentification forte rendue obligatoire par la DSP2 (art. L. 133-44 du CMF) par son degré de fiabilité permet de faire le saut entre l’usage du dispositif et le fait que l’ordre émane de son auteur, car il implique la divulgation par le payeur de données personnelles sécurisées, sorte de clefs virtuelles du coffre, dont ce dernier est le seul détenteur. On ne saurait contester que l’on a consenti à l’ouverture d’un coffre dont on a remis les clefs. La jurisprudence récente évolue en ce sens15.
L’authentification forte permet également de déduire la négligence grave. Le texte précise que cette négligence se rapporte « aux obligations lui incombant ». Il semble donc que l’existence de la négligence grave soit justifiée non pas tant par une appréciation portée sur le caractère répréhensible de la conduite du payeur que par l’importance de l’obligation méconnue et les conséquences de cette inexécution. Ces obligations sont en effet au nombre de celles auxquelles les banques attachent une importance particulière puisqu’elles consistent à prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » et utiliser « l’instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation » (art. L. 133-16 du CMF).
Les conséquences d’un manquement sont désastreuses car elles permettent d’anéantir les effets du dispositif de sécurité mis en place aussi performant soit-il. Un jugement constate à ce sujet que le client a été « le seul à avoir pu mettre à néant l’ensemble des dispositifs de sécurité en communiquant au fraudeur, les identifiants et mots de passe de son espace sécurisé, validant l’ajout d’un nouveau bénéficiaire qu’il ne connaissait pas, validant l’enrôlement de sa clé digitale sur un nouvel appareil [...] »16. La négligence grave du payeur est envisagée comme une « cause étrangère exclusive » c’est-à-dire comme l’événement ayant eu un rôle déterminant dans la réalisation du dommage faisant que le payeur « supporte toutes les pertes occasionnées » (art. L. 133-19 IV du CMF). La condition d’imprévisibilité n’est pas requise car, bien qu’ayant pu prévoir l’événement invoqué, le défendeur n’avait aucune possibilité d’y parer17. Pour la banque, l’opération de paiement avait en effet été dûment authentifiée selon la forme convenue entre les parties et sans déficience technique. Elle avait diffusé en ligne des messages de prévention contre la fraude et alerté par sms ses clients sur l’ajout d’un bénéficiaire ou le changement de l’appareil de confiance.
Si elles jouent un rôle positif sur la connaissance des fraudes, ces actions ne permettent pas de renseigner les clients sur leurs sources multiples et permanentes. Comme dans les sociétés primitives où l’on apprend à confectionner des outils, à distinguer les plantes, les animaux, les territoires, à maîtriser les techniques de chasse, il faudrait éduquer les enfants aux risques d’erreurs et à la puissance des illusions autrement que par la simple lecture des contes de Grimm, même si « Le loup et les sept chevreaux » est une bonne initiation à l’usurpation d’identité. n
