Ce n’est pas la première fois que la CJUE est amenée à se prononcer sur l’interprétation des règles spéciales de la réglementation des services de paiement, en matière d’opérations non autorisées[1]. La DSP[2], dont les principes ont été repris par la DSP 2[3], a en effet institué un régime spécifique de « responsabilité »[4] des prestataires de services de paiement (ci-après PSP) lorsque ceux-ci ont exécuté une opération non autorisée. Conditions d’ouverture de ce droit, régime de la preuve, délai de contestation[5], nombreuses sont les règles qui dérogent à celle du droit commun.
Pour ceux contestent l’opération de paiement exécutée par un PSP, la plus importante est sans nul doute le délai de contestation car il faut courir vite : 13 mois pour faire valoir son droit au remboursement. Si le caractère dérogatoire de ce délai se comprend bien dans les rapports entre les PSP et leurs clients (utilisateurs de services de paiement, généralement payeurs), compte tenu notamment des obligations d’information que supportent les professionnels et l’accès à l’information organisée pour leurs clients, elle ne saurait affecter le droit des personnes extérieures à ces services, telle la caution. C’est, en termes pragmatiques, la solution qui résulte de la position prise par la CJUE dans cette affaire, à la suite d’une saisine de la Cour de cassation[6].
Un régime de responsabilité exclusif de tout à l’égard des utilisateurs de services de paiement. Le gérant d’une société contestait des opérations de paiement qui avaient été passées en compte et aggravé le découvert dont la banque demandait règlement à la société. N’ayant pas respecté le délai de treize mois prévu par les textes[7], il admettait être forclos (en tant que représentant de la société). En revanche, il soutenait que le régime spécial permettant à l’utilisateur d’être remboursé immédiatement par son prestataire[8] ne fait pas obstacle à ce que la responsabilité de droit commun de celui-ci soit retenue en cas de manquement à son devoir de vigilance.
Mais la CJUE n’est pas du tout de cet avis. Elle souligne, d’abord, le lien existant (l’équilibre ?) entre l’obligation de « notification » (contestation) dans les 13 mois pesant sur l’utilisateur et l’obligation de remboursement immédiat pesant sur le prestataire : elle en déduit que « l’engagement de la responsabilité du prestataire de services de paiement en cas d’opération non autorisée ne peut avoir lieu en dehors du délai ». Elle note ensuite, d’un point contextuel, que la DSP prévoit un mécanisme de charge de la preuve favorable à l’utilisateur de services de paiement[9] puisque la preuve incombe au PSP, qui doit prouver que l’opération a été authentifiée, dûment enregistrée et comptabilisée. Or cette règle conduirait en pratique à soumettre le PSP à une obligation de remboursement immédiate (on permettra à la soussignée de relever le caractère abstrait, voire déconnecté, de l’appréciation ici formulée par la CJUE, la pratique attestant malheureusement du contraire – la soussignée en a fait les frais !). Et la Cour d’insister, enfin, sur l’objectif d’harmonisation totale de la directive[10]. Exit donc tout régime de responsabilité parallèle au titre du même fait générateur ! Le régime de responsabilité du PSP pour opération non autorisée est exclusif de toute autre.
Toutefois, on notera que dans la pratique contentieuse, il arrive que les avocats aient l’ingéniosité de se situer sur d’autres fondements. Le devoir de vigilance, dont l’utilisateur de services de paiement arguait ici qu’il n’avait pas été respecté par sa banque, s’applique aussi – et plus largement – à la tenue de compte, laquelle ne semble pas entrer (un peu curieusement d’ailleurs puisque la gestion de compte de paiement figure dans les services 3 et 4) dans le champ de la réglementation des services de paiements. En tous les cas, la Cour de cassation juge que « la négligence grave retenue contre le titulaire de la carte bancaire pour n’avoir pas préservé la sécurité de celle-ci et de son code confidentiel ne le privait pas du droit d’invoquer le manquement du banquier à ses propres obligations en application des règles du droit commun de la responsabilité contractuelle »[11]. En somme, l’irresponsabilité du banquier en tant que PSP n’exclut pas sa responsabilité en tant que gestionnaire de compte.
Pour autant, la CJUE enterre, par la position qu’elle adopte ici, a priori définitivement toute la jurisprudence de la Cour de cassation retenant la responsabilité contractuelle du banquier sur le fondement des articles 1937[12] et 1147[13] du Code civil, à tout le moins lorsque le demandeur est son client.
La caution n’est pas un utilisateur de service de paiement. La caution peut-elle se voir opposer le régime spécial de responsabilité institué par la réglementation des services de paiements lorsqu’elle conteste une opération de paiement accomplie par un PSP ? La réponse est assurément négative, ainsi que vient le confirmer la CJUE. Formellement, cette dernière décide que « l’article 58 et l’article 60, paragraphe 1, de la directive 2007/64 doivent être interprétés en ce sens qu’ils ne s’opposent pas à ce que la caution d’un utilisateur de services de paiement invoque, en raison d’un manquement du prestataire de services de paiement à ses obligations liées à une opération non autorisée, la responsabilité civile d’un tel prestataire, bénéficiaire du cautionnement, pour contester le montant de la dette garantie, conformément à un régime de responsabilité contractuelle de droit commun ».
Plusieurs arguments peuvent être mobilisés au soutien de cette solution.
La personne qui s’engage personnellement, comme caution ou garante à première demande, des engagements bancaires d’une autre personne ne saurait être assimilée à un utilisateur de services de paiement. Elle n’est pas contractuellement liée par un contrat de services de paiement, n’utilise pas de tels services[14] et n’a donc aucune raison de se voir opposer cette réglementation[15]. Pourtant, ce n’est pas faute pour la CJUE d’avoir une conception large de la notion d’utilisateur de service de paiement. Dans un arrêt rendu en avril 2019[16], elle a en effet décidé que la qualification s’applique à tout payeur même s’il n’a pas donné son consentement à l’opération, comme c’est le cas en présence d’un prélèvement non autorisé ; le délai de 13 mois lui est alors opposable.
Sur le plan opérationnel, la solution s’explique aussi par le fait que l’intéressé n’a pas accès aux informations relatives au client de celui dont elle garantit les engagements. Elle n’en est pas destinataire et, voudrait-elle se renseigner, que le secret bancaire lui est opposable. Il n’y a que lorsqu’elle est poursuivie en paiement, suite à la défaillance du débiteur principal, que la caution est donc à même d’identifier les opérations qui peuvent s’avérer problématiques.
Sur le plan plus juridique des règles tirées du cautionnement, la justification implique de composer davantage. D’un côté, le caractère accessoire du cautionnement et l’opposabilité des exceptions qui en découle pourraient conduire à cantonner la caution aux exceptions qui appartiennent au débiteur[17]. Dans cette optique, elle pourrait se voir opposer le délai de 13 mois qui s’imposait au débiteur principal en tant qu’utilisateur de services de paiement. Mais, dans le même temps, seules lui sont opposables les exceptions inhérentes à la dette. Or la caution se porte généralement garante des engagements nés d’un crédit et est donc légitime à se prévaloir de la responsabilité du banquier en sa qualité de prêteur. Et, lorsque ce crédit est issu d’une autorisation de découvert, c’est en qualité de teneur de compte, sur le fondement de l’article 1937 du Code civil (fondement a priori fermé à l’utilisateur de services de paiement, cf supra), que le banquier peut être poursuivi. La solution est normale sur le fond. On ne saurait imputer à la caution le manquement du débiteur à son obligation de notification dans les 13 mois. La caution dispose bien d’un droit autonome à faire valoir la faute (éventuelle) du banquier.
Évidemment, on pourra rétorquer comme l’avait fait le gouvernement français d’ailleurs qu’il existe un risque de contournement car il est fréquent que la caution soit aussi le dirigeant de la société débitrice de l’engagement bancaire et bénéficiaire de la garantie. Dans ce cas, alors même qu’elle aurait dû en sa qualité de dirigeante, notifier l’opération non autorisée, elle pourrait faire valoir sa qualité de caution pour échapper à sa négligence et pour remettre en cause une opération au-delà du délai de 13 mois. Mais, compte tenu du nombre de contentieux impliquant des dirigeants caution, les juridictions françaises ou européennes auront peut-être un jour à réserver cette hypothèse. L’histoire le dira. n
Services de paiement – Opération non autorisée – Responsabilité du PSP – Contestation – Délai de treize mois – Droit commun – Utilisateur de services de paiement – Payeur – Caution.
[1] . CJUE, 10e ch., 11 avr. 2019, C-295/18, Agentes de Navegação SA c/ Banco Commercial Português SA and Caixa Geral de Depósitos SA : Banque et Droit n° 185, mai-juin 2019, p. 57 ; Gaz. Pal. 11 juin 2019, n° 353v6, p. 85, note M. Roussille. Et voir aussi plus largement : P. Storrer, « Variations sur les services de paiement », Revue Banque n° 834.
[2] . Dir. 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, dite « DSP ».
[3] . Dir. (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite DSP 2.
[4] . Les guillemets ne sont pas une coquetterie : ils se justifient par la reprise du texte des directives, alors même que plutôt d’avoir réparer un préjudice, ce régime tend à permettre au payeur d’obtenir le remboursement pure et simple de la somme qui a été débitée sans son autorisation.
[5] . Prescription de 5 ans, responsabilité fondée sur l’article 1937 ou 1240 du Code civil.
[6] . Cass. com. 16 juill. 2020, n° 17-19441, D : Gaz. Pal. 20 oct. 2020, n° 389e7, p. 61, note M. Roussille.
[7] . C. monét. fin., art. L. 133-24 et Dir. 2007/64/CE, art. 58 (repris dans Dir. (UE) 2015/2366, art. 71).
[8] . C. monét. fin., art. L. 133-18 et Dir. 2007/64/CE, art. 60 (repris dans Dir. (UE) 2015/2366, art. 73).
[9] . Dir. 2007/64/CE, art. 59 (repris dans Dir. (UE) 2015/2366, art. 72).
[10] . Dir. 2007/64/CE, art. 86 (repris dans Dir. (UE) 2015/2366, art. 107).
[11] . Cass. com. 17 mai 2017, n° 15-28209, D : Gaz. Pal. 14 nov. 2017, n° 306y3, p. 60, note C. Houin-Bressand.
[12] . Pour des exemples de condamnations de la banque sur le fondement de l’article 1937 du Code civil : Cass. com. 24 févr. 1987, n° 85-17360 ; Cass. com. 9 févr. 1993, n° 90-21792 ; Cass. com. 2 oct. 2007, n° 05-21421.
[13] . Cass. com. 1er mars 2016, n° 14-22946 : Gaz. Pal. 7 juin 2016, n° 266w0, p. 58, note C. Houin-Bressand.
[14] . Ce critère est celui qui résulte de l’art. 4.10 de la DSP qui définit « l’utilisateur de services de paiement » comme étant « une personne physique ou morale qui utilise un service de paiement en qualité de payeur ou de bénéficiaire, ou des deux ».
[15] . Le considérant 47 de la DSP précise bien que celle-ci ne concerne que « les obligations contractuelles et les responsabilités respectives de l’utilisateur de services de paiement et de son prestataire de services de paiement ».
[16] . CJUE, 10e ch., 11 avr. 2019, n° C-295/18 précit.
[17] . L’article 2313 du code civil dispose que « la caution peut opposer au créancier toutes les exceptions qui appartiennent au débiteur principal, et qui sont inhérentes à la dette ».
