1. Consolidation. Le « droit DSP1 » de l’exécution des opérations de paiement connaît une phase de consolidation remarquable, au gré d’importantes décisions rendues tant par la Cour de justice de l’Union européenne (CJUE) que par la Haute Juridiction française (Cour de cassation).
Parmi les thèmes en vue, le dernier n’est assurément pas celui de la détermination du régime de responsabilité des prestataires de services de paiement (PSP) applicable en cas d’opérations de paiement non autorisées (ou mal exécutées)2.
Il est alors de bonne méthode de déterminer, avant tout, si une opération a été, ou non, autorisée (I.). Si elle ne l’a pas été, la jurisprudence opte clairement pour l’application exclusive du régime de responsabilité spécial du droit des paiements (II.). Mais il demeure néanmoins des situations où la responsabilité contractuelle de droit commun (re)trouve à s’appliquer (III.).
2. L’arrêt Beobank. Voici un « grand arrêt »3, qui ne fait pas que reprendre le précédent CRCAM (cf. infra), mais y ajoute ce qui devrait tenir lieu de précepte pour les contentieux à venir : « une juridiction nationale ne saurait ignorer la distinction consacrée dans ladite directive [DSP 1] en ce qui concerne les opérations de paiement, selon qu’elles sont ou non autorisées, et, partant, ne saurait se prononcer sur une demande de remboursement de paiements tels que les paiements en cause au principal sans qualifier, au préalable, ces paiements d’opérations autorisées ou non » 4.
C’est que, même si cela n’a été expressément formulé que par la DSP 2, il existe une « règle générale de remboursement en cas d’opérations de paiement non autorisées ou mal exécutées »5. De sorte qu’il est recommandé par les pouvoirs publics français de traiter les contestations d’opérations de paiement en appliquant le « facteur déterminant » de leur autorisation ou non6. On pourrait appeler cela, à titre didactique, le « test du consentement », dans la mesure où « une opération de paiement est autorisée si le payeur a donné son consentement à son exécution »7. Notons au passage que cette étape de préqualification ne sera pas toujours aisée, notamment depuis que se sont développées de nouvelles pratiques de fraude par manipulation (ou ingénierie sociale)8, qui donnent naissance à ce que le futur règlement sur les services de paiement (RSP) nomme des « opérations de paiement autorisées de façon frauduleuse »9.
3. Illustration. Deux arrêts de la Cour de cassation, rendus le 2 mai 2024 dans des circonstances opposées, permettent d’illustrer cette sorte de règle première d’aiguillage, selon que les opérations de paiement ont été autorisées ou non. Aux termes du premier, après qu’il fut retenu que les opérations de paiement litigieuses avaient bien été autorisées (ordres de paiement donnés oralement), le débat pouvait légitimement porter sur la responsabilité de la banque fondée sur son devoir de vigilance au regard de la « théorie des anomalies apparentes » : « La responsabilité pour manquement au devoir de vigilance du prestataire de services de paiement, tenu à une obligation de non-ingérence, n’est engagée que si ces opérations présentent une anomalie apparente obligeant ce prestataire à procéder à des vérifications particulières »10.
À l’inverse, dans l’autre décision du 2 mai 2024, des retraits et paiements effectués par une épouse à l’aide du doublon d’une carte bancaire de son conjoint obtenu à son insu, ont pu être qualifiés d’opérations de paiement non autorisées par le payeur titulaire du compte. Si bien que seul le régime spécial de responsabilité des articles L. 133-18 à L. 133-20 du CMF devait s’appliquer, avec pour conséquence, ici, de rendre irrecevable l’action en responsabilité engagée contre le PSP au-delà du délai de forclusion de treize mois prévu par l’article L. 133-24 du CMF ; avec pour autre effet, directement tiré de la jurisprudence Beobank, que l’application de ce régime de responsabilité est « à l’exclusion de tout régime alternatif de responsabilité résultant du droit national »11.
4. L’arrêt CRCAM. Le premier, semble-t-il, l’arrêt Caisse régionale de Crédit Agricole (CRCAM) – Alpes-Provence dégagea la règle selon laquelle « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive »12. « Il en découle, poursuit l’arrêt, qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager, au-delà du délai de treize mois et sans avoir notifié l’opération non autorisée concernée, la responsabilité du prestataire de tels services pour cette opération, serait incompatible avec la directive 2007/64 »13.
Il importe de noter que le caractère exclusif du régime de responsabilité en présence d’opérations de paiement non autorisées tient à l’« harmonisation totale » poursuivie par la DSP 1 comme par la DSP 2. Aux articles 86 de la première et 107 de la seconde, il est en effet prévu que, sans préjudice de quelques dispositions énumérées, « dans la mesure où la présente directive contient des dispositions harmonisées, les États membres ne peuvent maintenir en vigueur ni introduire des dispositions différentes de celles contenues dans la présente directive »14.
5. Sa « transposition » par la Cour de cassation. Faisant sienne la jurisprudence européenne, qui est au demeurant citée15, la Cour de cassation décida, aux termes d’un important arrêt du 27 mars 2024, que « la responsabilité contractuelle de droit commun prévue résultant du premier de ces textes [article 1231-1 du Code civil] n’est pas applicable en présence d’un régime de responsabilité exclusif » ; si bien que, poursuivait-elle, « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national »16.
L’affaire paraît donc entendue17, d’autant que l’on peut lire dans le numéro de juillet 2024 de la Lettre de la chambre commerciale, financière et économique : « L’arrêt met fin à une certaine confusion dans les décisions des juridictions du fond appliquant indifféremment les règles du code monétaire et financier et celles de la responsabilité contractuelle de droit commun. » Dit autrement, « les choses sont donc aujourd’hui parfaitement claires. Jurisprudences européenne et française sont à l’unisson, ce dont il faut se réjouir »18.
6. La caution. Par une décision du 9 février 2022, faisant suite à l’arrêt préjudiciel CRCAM, la Cour de cassation a distingué entre les droits de l’utilisateur de services de paiement (USP) – il a droit, sur le fondement des articles L. 133-18 et L. 133-24 du CMF, au remboursement immédiat des opérations de paiement non autorisées signalées dans le délai de treize mois – et ceux de sa caution qui, au contraire, peut mettre en œuvre la responsabilité contractuelle de droit commun de la banque : « les articles L. 133-18 et L. 133-24 du code monétaire et financier, pris pour la transposition de la directive 2007/64/CE, prévoyant le remboursement immédiat des opérations de paiement non autorisées signalées par l’utilisateur à la banque, dans le délai de treize mois, ne font pas obstacle à la mise en œuvre, par la caution de cet utilisateur, de la responsabilité contractuelle de droit commun de la banque »19.
Pour reprendre les termes des conclusions de l’avocat général dans l’arrêt CRCAM, l’harmonisation totale poursuivie par la DSP 1 n’a pas pour autant « vocation à harmoniser de manière “exhaustive” le domaine de responsabilité couvert par la directive », si bien que, à son sens, « le régime de responsabilité couvert par la directive 20007/64 porte sur les relations entre l’utilisateur de services de paiement et le prestataire de ces services [mais] n’a pas vocation à gouverner la relation entre ce prestataire de services et un tiers, tel que la caution »20.
7. Une devise autre que l’euro. Un arrêt du 14 février 2024 illustre « en creux » le domaine de l’exclusivité du régime spécial de responsabilité des PSP en cas d’opérations de paiement non autorisées : « Il résulte des dispositions de l’article L. 133-1 du code monétaire et financier, dans sa rédaction issue de l’ordonnance n° 2014-158 du 20 février 2014, que des virements, réalisés en juillet 2016 dans une devise autre que l’euro ou une devise d’un Etat membre de l’Union européenne ou d’un autre Etat partie à l’accord sur l’Espace économique européen qui n’appartient pas à la zone euro, ne relèvent pas du régime de responsabilité des prestataires de services de paiement prévu au code monétaire et financier, de sorte que la responsabilité de la banque ne peut être engagée que sur le fondement du droit commun de la responsabilité contractuelle »21. A par conséquent justifié sa décision de ne pas retenir la responsabilité de la banque, malgré la découverte d’agissements frauduleux d’un tiers, la cour d’appel qui a considéré que les ordres de virement litigieux, libellés en USD, n’étaient affectés d’aucune anomalie apparente.
Il faut ici observer que la solution ne serait plus la même aujourd’hui, depuis qu’a été inséré un IV à l’article L. 133-1 du CMF, qui prévoit, sauf quelques exceptions, que le droit des opérations de paiement s’applique « si seul le prestataire de services de paiement du bénéficiaire ou celui du payeur sont situés sur le territoire de la France métropolitaine, en Guadeloupe, en Guyane, en Martinique, à La Réunion, à Mayotte, à Saint-Martin, quelle que soit la devise dans laquelle l’opération est réalisée, pour ce qui concerne les parties de l’opération de paiement qui sont effectuées dans l’Union »22.
8. Le problème de l’arrêt du 2 octobre 2024. Voici enfin une décision toute récente (2 octobre 2024) qui nous pose un (gros) problème d’interprétation. Dans sa version initiale, en effet, rien n’indiquait une quelconque « extraterritorialité » des paiements litigieux. Or la Cour de cassation juge qu’« en l’état de ces constatations et appréciations, faisant ressortir l’existence d’anomalies apparentes affectant les ordres de paiement, la cour d’appel a exactement retenu que la banque était tenue d’alerter la société afin d’obtenir la confirmation des ordres litigieux en exécution de son obligation de vigilance »23. Même si le « test du consentement » (cf. infra.) n’était pas fait et que l’on ne sait pas bien dès lors si les opérations de paiement en cause devaient être considérées comme autorisées ou non, les faits de l’espèce militent plutôt pour leur caractère non autorisé, de sorte que la mise en œuvre de la responsabilité contractuelle de droit commun aurait dû être fermée. D’un arrêt (27 mars 2024) à l’autre (2 octobre 2024), la Haute Juridiction se contredirait-elle ?
C’est alors que, retournant quelques jours après sur le site de la Cour de cassation, nous découvrons cette décision désormais assortie de ses titre et sommaire. On y lit : « À réception d’ordres de virement émis par une société au profit d’un compte situé hors zone Sepa, présentant des anomalies apparentes, une banque est tenue, en exécution de son obligation de vigilance, de vérifier leur régularité auprès du dirigeant, seule personne contractuellement habilitée à les valider, dès lors que les circonstances inhabituelles de passation des ordres laisse [sic] supposer une possible “fraude au président” »24. Est-ce bien ce « hors zone Sepa », que l’on ne trouve nulle part ailleurs dans la décision, qui ferait que cette affaire échapperait au droit spécial des paiements pour retomber dans le pot commun de la responsabilité civile contractuelle ? Et puis même, depuis quand la nationalité du compte du bénéficiaire (en l’espèce Hong Kong) permettrait-elle de disqualifier la compétence du droit des paiements (cf. supra), sachant que dans le fameux arrêt du 27 mars 2024, que l’on a déjà vu, les virements litigieux étaient également « au profit de comptes situés à l’étranger » ? Les questions demeurent. n
Achevé de rédiger le 13 novembre 2024
