Le paiement à distance ne cesse de se développer avec le commerce en ligne et il soulève progressivement des problèmes nouveaux. Si les nouvelles exigences posées par la deuxième directive Services de paiement (dite « DSP 2 »)[i] devraient d’ici peu limiter les cas de fraudes traditionnelles, les dispositifs mis en place dans les années 2000, qui reposent pour la plupart sur l’envoi de code de validation par SMS, ont alimenté de nombreux litiges.
Le Groupe Crédit mutuel, l’un des leaders dans l’ingénierie des paiements, a mis en place un système d’authentification spécifique, Payweb, qui repose sur un numéro de carte virtuel destiné à éviter la circulation du véritable numéro de carte bancaire du client. Il suppose, comme le système 3D Secure qui reste encore le plus répandu en France aujourd’hui, la confirmation de l’instruction de paiement par la composition d’un code de confirmation généralement transmis par SMS, mais n’a pas empêché de nombreuses contestations pour fraude. Le contentieux suscité par Payweb a permis d’éclaircir les règles en matière de responsabilités respectives du prestataire de services de paiement et du payeur[ii]. Il amène, dans l’espèce commentée, la Cour de cassation à trancher une nouvelle question impliquant, cette fois, les opérateurs de téléphonie mobile. Bien que soulevée à l’occasion d’un dispositif qui appartiendra bientôt au passé, la solution pourrait ouvrir des pistes d’analyse pour les contentieux à venir.
Suite à la fraude dont elle prétendait avoir été victime, la cliente d’une Caisse de crédit mutuel a assigné celle-ci en remboursement d’opérations de paiement du prix d’achat effectuées par Internet au moyen de Payweb et a obtenu gain de cause, faute pour la banque d’avoir prouvé sa négligence grave dans la réalisation des opérations non autorisées[iii]. Soutenant que la fraude alléguée n’avait été rendue possible que par la remise fautive au fraudeur d’une carte SIM ayant permis l’accès aux SMS de validation adressés à sa cliente, la banque a mis en cause la société SFR, afin qu’elle « garantisse » (c’est-à-dire qu’elle supporte) l’intégralité des sommes qu’elle serait tenue de payer à sa cliente.
Après avoir condamné la banque au remboursement du montant des opérations contestées et des frais de commissions et d’interventions perçus, la Cour d’appel de Douai a rejeté la demande de cette dernière en condamnation de la société SFR à « garantir » lesdites sommes. La juridiction énonce d’abord que « la garantie traduit le rapport d’obligation qui existe entre deux personnes, le garant intervenant pour garantir l’obligation, de source conventionnelle ou légale, liant le demandeur au défendeur appelant en garantie, puis retient que la demande de la banque est une demande de garantie, qui n’est ni conventionnelle ni légale, mais qu’elle est en réalité fondée sur la responsabilité délictuelle ». Elle en déduit devoir rejeter la demande de garantie. Mais la Cour de cassation casse l’arrêt pour violation de la loi, au visa de l’article 1382, devenu 1240, du Code civil. La haute cour estime en effet que rien ne s’opposait à ce que la banque invoque un fondement délictuel pour mettre en cause la société SFR : nonobstant la formulation de la demande tendant à obtenir la « garantie des sommes qu’elle serait tenue de payer », la banque cherchait à ce que cette société « la relève indemne des condamnations susceptibles d’être prononcées contre elle ». La solution ouvre ainsi des perspectives aux prestataires de services de paiement, en leur permettant d’envisager de faire assumer ceux qui contribuent à permettre l’authentification du payeur la responsabilité des éventuelles fraudes que la réglementation sur les services de paiements met à leur charge[iv].
Il est vrai que d’ici 2022, l’authentification forte prévue par la DSP2 va s’imposer[v]. Reposant sur la combinaison de deux moyens indépendants d’authentification du donneur d’ordre, elle est supposée permettre de déjouer les fraudes qui, comme dans l’affaire de l’espèce tranchée par la Cour de cassation le 22 janvier, révèlent les limites des dispositifs d’authentification actuels (tels que le 3D Secure). Pour autant, ces nouveaux dispositifs font intervenir de nombreux acteurs : en plus des prestataires techniques classiques, on songe aux services du type Applepay, Googlepay, Samsungpay… La solution retenue en l’espèce révèle que des partages, voire des transferts, de responsabilité pourront être envisagés, dans de nouvelles hypothèses, comme celle prévisible des failles de sécurité et de fuites des données bancaires. Même si l’on peut penser que ce n’est pas la responsabilité délictuelle évoquée ici qui sera en première ligne, le droit commun de la responsabilité pourra être mobilisé dans le nouveau contentieux des paiements. n
Opérations de paiement – Paiement en ligne – Paiement non autorisé – Fraude aux paiements – Authentification – SMS – Responsabilité
de la société de téléphonie (oui).
[i] Dir. n° 2015/2366, 25 nov. 2015, concernant les services de paiement dans le marché intérieur.
[ii] Le système Payweb a déjà alimenté quelques contentieux : Cass. com. 18 janv. 2017, n° 15-18102, D : Gaz. Pal . 7 mars 2017, n° 287r3, p. 22, note Prieur S. - Cass. com. 25 oc. 2017, Gaz. Pal . 7 nov. 2017, n° 306p2, p. 18, Avis par Guinamant M.-L. (avocat général) - Cass. com. 3 avr. 2019, n° 18-11293, D, et Cass. com. 29 mai 2019, n° 17-28271, n° 18-10147, D (2 arrêts) et Cass. com. 26 juin 2019, n° 18-12581 : Gaz. Pal. 22 oct. 2019, n° 361q5, p. 53, note Houin-Bressand C.
Voir aussi Cass. com. 13 févr. 2019, n° 17-23139 : LEDBavril 2019, n° 112b7, p. 7, obs. Lasserre Capdeville J. - Cass. com. 21 nov. 2018, n° 17-18888 : Gaz. Pal. 19 févr. 2019, n° 342h8, p. 54, note Roussille M. ; Cass. com. 3 oct. 2018, n° 17-21395 : LPA 27 déc. 2018, n° 140p6, p. 10, note Lasserre Capdeville J. ; Cass. com. 18 janv. 2017, n° 15-18102, n° 15-18224, n° 15-18466, n° 15-26058 et n° 15-22783 (5 arrêts) : Gaz. Pal. 13 juin 2017, n° 297k3, p. 55 , obs. Roussille M. ; LEDB mars 2017, n° 110j2, p. 1 , obs. Piédelièvre S ; RDC 2017, n° 114d7, p. 270 , obs. Danis-Fâtome A ; Cass. com. 18 janv. 2017, n ° 15-18224 ; Cass. com. 18 janv. 2017, n° 15-18466 ; Cass. com. 18 janv. 2017, n° 15-26058 et Cass. com. 18 janv. 2017, n° 15-22783 – Plus près de nous, CA Paris, ch. 5-6, 12 janv. 2018, n° 16/12983 : Gaz. Pal . 27 févr. 2018, n° 315c0, p. 22 , note Lasserre Capdeville J .
[iii] Voir la solution rendue dans ce qui semble être la même affaire : Cass. com. 3 avr. 2019, n° 18-11293, D, Sté Caisse de crédit mutuel de Cysoing c/ M . et Mme U., D.
[iv] Précisons qu’ils ne sont responsables que s’ils ne sont pas en mesure d’établir que leur client a agi avec une négligence grave, comme dans l’hypothèse de l’hameçonnage (phishing).
[v] Ces exigences ont été précisés par le règlement délégué de la Commission n° 2018/389, 27 nov. 2017 (JOUE L 69, 13 mars 2018, p. 23) qui vient compléter la deuxième directive de l’UE sur les services de paiement du 25 novembre 2015 (DSP2) : « Paiements : report du délai de mise en conformité avec l’exigence d’authentification forte » : Gaz. Pal. 22 oct. 2019, n° 361p6, p. 45.
Sur le sujet : Bernadin J. et Lasserre Capdeville J. « Une évolution notable des services de paiement : l’exigence d’authentification forte », Banque et Droit n° 184, mars-avril ; 2019, p. 13 ; Lasserre Capdeville J., « Les exceptions à la future obligation d’authentification forte », JCP E 2019, 1410.
