Espace Banque & Droit

Un prestataire de services
de paiement peut-il engager
sa responsabilité sur le fondement
du droit commun en cas d’opération de paiement non autorisée ?

Créé le

04.06.2024

Cass. com. 27 mars 2024, arrêt n° 165 FS-B, pourvoi n° Y 22-21.200.

Thierry Bonneau
  • Agrégé des facultés de droit, professeur Université Paris-Panthéon-Assas

Quatre ordres de virement transmis par courrier électronique avaient été exécutés au profit de comptes situés à l’étranger. Leur exécution, qui avait conduit à la clôture d’un compte à terme, avait été initiée par un tiers ayant piraté la messagerie du dirigeant de la société titulaire des comptes. Aussi celle-ci avait-elle assigné la banque teneur de compte pour obtenir la restitution des sommes versées en exécution de ces ordres. Les juges du fond avaient fait droit à cette demande en soulignant que le dirigeant « n’était pas à l’origine des ordres qui ont été exécutés et qu’en les exécutant, tandis qu’ils présentaient des anomalies apparentes, la banque a manqué à son devoir contractuel de vigilance ». Leur décision est censurée par la Cour de cassation dans son arrêt du 27 mars 2024 aux motifs que le régime de responsabilité issu des textes de l’Union européenne exclut nécessairement la responsabilité contractuelle de droit commun prévu par le Code civil. Ce faisant, la Cour de cassation ne fait que suivre la jurisprudence de la Cour de justice de l’Union européenne.

1. En droit commun, il est classique de retenir la responsabilité du banquier qui ne détecte pas les anomalies apparentes affectant le fonctionnement des comptes bancaires de ses clients1. Il manque, en cette hypothèse, à son devoir de vigilance. On peut toutefois légitimement s’interroger si cette jurisprudence demeure applicable lorsque l’anomalie est liée l’usage d’un instrument de paiement couvert par la directive SEPA 1, en date du 13 novembre 20072, transposé en 20093, et de la directive SEPA 2, du 15 novembre 20154 qui l’a remplacée, transposée en 20175. En effet, ces textes ont établi un régime spécial de responsabilité6. En particulier, en cas d’opérations non autorisées, ce qui est le cas lorsque les ordres de virement sont donnés par une personne autre que le titulaire du compte, celui-ci a droit au remboursement des sommes indument transférées, peu important que lesdits ordres soient ou non apparemment anormaux. La protection des clients est ainsi renforcée mais ce n’est pas sans contrepartie. La demande de remboursement doit être formée dans le délai de 13 mois7 alors qu’en droit commun, la prescription est de 5 ans8. On comprend alors qu’il soit tentant, lorsque le délai de 13 mois9 est expiré, de recourir au droit commun et de s’évader du droit spécial, et donc d’invoquer un manquement au devoir de vigilance, lequel ne parait pas relever du champ d’application de la réglementation des services de paiement10.

2. C’est ce raisonnement qui avait été fait dans l’espèce à l’origine de l’arrêt de la CJUE en date du 2 septembre 202111 : il était soutenu « que le remboursement immédiat des opérations de paiement non autorisées signalées par l’utilisateur d’un service de paiement à une banque, prévu à l’article L. 133-18 du Code monétaire et financier, ne fait pas obstacle à ce que la responsabilité de droit commun de celle-ci soit retenue en cas de manquement à son devoir de vigilance »12. Mais celui-ci avait été condamné par la Cour dans l’arrêt précité :

« 42. Il s’ensuit que le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale si bien que les États membres ne peuvent maintenir un régime de responsabilité parallèle au titre du même fait générateur ; [...]

45. Or, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive.

46. Il en découle qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager, au-delà du délai de treize mois et sans avoir notifié l’opération non autorisée concernée, la responsabilité du prestataire de tels services pour cette opération, serait incompatible avec la directive 2007/64 ; [...]

50. Le législateur de l’Union a, dès lors, choisi d’insérer l’obligation de notification des opérations non autorisées ou mal exécutées dans une disposition distincte, en l’occurrence l’article 58 de la directive 2007/64 qui établit un délai maximal de treize mois, et de prévoir dans la disposition portant sur la responsabilité du prestataire de services de paiement, à savoir l’article 60 de cette directive, une référence expresse à ladite obligation.

51. De cette manière, le législateur de l’Union a établi, de la façon la plus claire possible, le lien entre la responsabilité du prestataire de services de paiement et le respect par l’utilisateur de ces services du délai maximal de treize mois pour notifier toute opération non autorisée afin de pouvoir engager la responsabilité, de ce fait, de ce prestataire. Ce faisant, il a également fait le choix univoque de ne pas permettre à cet utilisateur d’intenter une action en responsabilité dudit prestataire en cas d’opération non autorisée, à l’expiration de ce délai. »

La CJUE a confirmé sa position dans un arrêt du 16 mars 202313 :

« 37. À cet égard, il importe de rappeler que la Cour a jugé que le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C 337/20, CRCAM, EU:C:2021:671, points 42 et 46).

38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C 337/20, CRCAM, EU:C:2021:671, point 45). »

3. Dans son arrêt du 27 mars 2024, la Cour de cassation mentionne expressément les points 37 et 38 de l‘arrêt du 16 mars 2023. Elle indique, avant ce rappel, que « la responsabilité contractuelle de droit commun prévue résultant » de l’article 1231-1 du Code civil14, dans sa rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 201715 « n’est pas applicable en présence d’un régime de responsabilité exclusif », lequel est prévu par l’articles L. 133-18 à 133-24 du Code monétaire et financier. Et, après le rappel des points 37 et 38, elle indique qu’« il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national ».

Il est donc certain que la responsabilité de droit commun, notamment sur le fondement d’un manquement au devoir de vigilance, ne peut pas être invoquée. Seul le régime issu de la règlementation relative aux services de paiement est applicable en cas d’opération non autorisée ou mal exécutée.

On doit pourtant relever que la Cour de cassation a, dans un arrêt du 14 février 202416, approuvé des juges du fond d’avoir énoncé « à bon droit, qu’à réception d’un ordre de virement, le banquier, qui est tenu de s’assurer que celui-ci émane bien du titulaire du compte à débiter ou de son représentant et ne présente aucune anomalie apparente, formelle ou intellectuelle, doit vérifier que l’opération n’est pas manifestement irrégulière ou inhabituelle dans la pratique commerciale de son client ». Mais cet arrêt, qui applique le droit commun à l’exclusion du droit spécial, s’explique par le fait que la Cour de cassation a considéré que le régime issu de la règlementation européenne n’était pas applicable, les conditions posées par l’article L. 133-1 du CMF, dans sa rédaction issue de l’ordonnance n° 2014-158 du 20 février 201417, applicable ratione temporis18, n’étant pas remplies dans l’espèce à l’origine de cet arrêt du 14 février 2024.

Il n’y a donc aucune contradiction entre les deux arrêts. On pourrait, il est vrai, s’interroger sur la pertinence de la référence faite à l’ancien article L. 133-1 du Code monétaire et financier, d’autant que l’explication donnée par la Cour pour écarter le droit spécial ne nous parait pas d’une grande clarté. Il s’avère toutefois que le droit spécial est écarté parce que les paiements ont été effectués dans une devise autre que l’euro : cette solution devrait se maintenir sous l’empire de l’article L. 133-1 dans sa version actuellement en vigueur19. En revanche, si la devise est l’euro, seul le droit spécial est applicable dès lors que les opérations contestées sont couvertes par la réglementation des services de paiement : cette solution résulte très clairement de l’arrêt du 127 mars 2024 dont la solution a été reprise dans un arrêt du 2 mai 202420. Étant observé que les décisions de la CJUE se fondent sur la directive DSP 1. Mais les solutions sont les mêmes sous l’empire de la directive DSP2 puisque la DSP 2 reprend le dispositif de la DSP1.

4. La prévalence du droit spécial ne vaut toutefois que lorsque la responsabilité du prestataire de services de paiement est recherchée par le client, utilisateur d’un service de paiement. Elle ne vaut pas si la responsabilité est mise en cause par la caution. Dans l’espèce à l’origine de l’arrêt de la CJUE du 2 septembre 2023, la question était la suivante : la caution d’un utilisateur de services de paiement peut-elle invoquer, en raison d’un manquement du prestataire de services de paiement à ses obligations liées à une opération non autorisée, la responsabilité civile d’un tel prestataire, bénéficiaire du cautionnement, pour contester le montant de la dette garantie, conformément à un régime national de responsabilité contractuelle de droit commun ? La Cour a donné une réponse positive.

Pour motiver sa décision, elle a en particulier relevé qu’aucune disposition de la directive ne mentionne la caution d’un utilisateur de services de paiement21 et que la caution ne relève pas de la notion d’ « utilisateur de services de paiement ». Elle relève encore que :

– la « directive n’établit des droits et des obligations qu’à l’égard des prestataires de services de paiement et des utilisateurs de tels services et ne vise pas la situation de la caution de tels utilisateurs »22 ;

– « afin d’engager la responsabilité d’un prestataire de services de paiement en raison d’opérations non autorisées par l’utilisateur de tels services, la caution d’un utilisateur ne saurait bénéficier du régime de responsabilité prévu à l’article 60, paragraphe 1, de la directive 2007/64, mais doit recourir aux possibilités que lui ouvre le droit national. Dès lors, il ne saurait être exigé de la caution qu’elle se soumette à l’obligation de notification de telles opérations, fixée à l’article 58 de cette directive »23 ;

– « le contrat de cautionnement entre un prestataire de services de paiement et une caution n’est pas régi par les dispositions de la directive 2007/64 ni d’ailleurs par aucun autre instrument de droit de l’Union. Un tel contrat demeure donc soumis aux droits et aux obligations déterminées par le droit national applicable »24.

D’où sa décision : l’article 58 et l’article 60, paragraphe 1, de la directive 2007/64 (repris par les articles 58 et suivants de la DSP2) « doivent être interprétés en ce sens qu’ils ne s’opposent pas à ce que la caution d’un utilisateur de services de paiement invoque, en raison d’un manquement du prestataire de services de paiement à ses obligations liées à une opération non autorisée, la responsabilité civile d’un tel prestataire, bénéficiaire du cautionnement, pour contester le montant de la dette garantie, conformément à un régime de responsabilité contractuelle de droit commun ».

La Cour de cassation avait pris acte de cette position concernant la caution dans un arrêt du 9 février 202225. n

À retrouver dans la revue
Banque et Droit Nº215
Notes :
1 V. Th. Bonneau, Droit bancaire, LGDJ, 15e éd. 2023, n° 616.
2 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE.
3 Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.
4 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE.
5 Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur. V. Bonneau, Droit bancaire, op. cit., n° 684 et s.
6 V. Th. Bonneau, Régulation bancaire et financière européenne et internationale, 6e éd. 2022, Bruylant, n° 472 et s.
7 Art. L. 133-24, CMF : v. Bonneau, Droit bancaire, op. cit., n° 688.
8 Art. L. 110-4, Code de commerce ; art. 2224, Code civil.
9 Le banquier est-il dispensé de rembourser les opérations de paiement
non autorisées lorsque le client a indûment tardé à lui signaler ces opérations,
à l’intérieur du délai de contestation de 13 mois ? V. S. Torck, note sous
Cass. com. 8 novembre 2023, n° 22-14.822, Rev. dr. bancaire et financier,
mars-avril 2024, com. n° 28.
10 Roussille, note sous CJUE, 2 septembre 2021, note préc.
11 CJUE, 2 septembre 2021, aff. C-337/20, DM, LR c/ CRCAM Alpes-Provence, Rev. Banque, octobre 2021, n° 860, 68, note P. Storrer ; BRDA, 20/21, p. 11 ; Banque et droit, septembre-octobre 2021, n° 199, p. 21, obs. M. Roussille ; Gaz. Pal., 19 octobre 2021, n° 36, p. 75, note M. Roussille ; Europe, 2021, n° 11, com. n° 383, note V. Bassani-Winckler ; Rev. dr. bancaire et financier, novembre-décembre 2021, com. n° 149, note Th. Samin et S. Torck. Adde, Bonneau, « Responsabilité de droit commun et directive SEAP », in Régulation bancaire et financière européenne et internationale, op. cit., p 949.
12 CJUE 2 septembre 2021, préc. point 26.
13 CJUE, 16 mars 2023, aff. C-351/21, ZG c/ Beobank SA.
14 Art. 1231-1, Code civil : « Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure. »
15 Cette ordonnance ne concerne pas l’article 1231-31 du Code civil mais transpose la directive DSP 2 dans le Code monétaire et financier.
16 Cass. com. 14 février 2024, arrêt n° 89 F-B, pourvoi n° X 22-11.654, Revue Banque n° 891, avril 2024, obs. P. Storrer ; D. 2024 p 903, note J. Lasserre Capdeville ; J.C.P. 2024, éd. E, 1140, note K. Rodriguez :
« 5. Les virements litigieux ayant été réalisés en juillet 2016 dans une devise autre que l’euro ou une devise d’un État membre de l’Union européenne ou d’un autre État partie à l’accord sur l’Espace économique européen qui n’appartient pas à la zone euro, il résulte des dispositions de l’article L. 133-1 du Code monétaire et financier, que le régime de responsabilité des prestataires de services de paiement prévu au Code monétaire et financier n’est pas applicable, de sorte que la responsabilité de la banque ne peut être engagée que sur le fondement du droit commun de la responsabilité contractuelle.
6. L’arrêt énonce, à bon droit, qu’à réception d’un ordre de virement, le banquier, qui est tenu de s’assurer que celui-ci émane bien du titulaire du compte à débiter ou de son représentant et ne présente aucune anomalie apparente, formelle ou intellectuelle, doit vérifier que l’opération n’est pas manifestement irrégulière ou inhabituelle dans la pratique commerciale de son client.
7. Après avoir relevé que les ordres de virements litigieux libellés en USD émanaient de la société Jirlec, qui les avait signés et avait fourni à la banque les éléments d’identification des comptes bancaires sur lesquels les fonds devait être virés, l’arrêt retient, par motifs propres et adoptés, que les instructions ainsi données s’inscrivaient dans la logique des relations d’affaires entretenues avec des fournisseurs basés en Asie, que les montants des virements n’étaient en rien exceptionnels, que la société Jirlec était en possession des factures en règlement et qu’elle n’ignorait pas la dénomination sociale de ses fournisseurs.
8. En l’état de ces constatations et appréciations souveraines, dont il se déduit que les ordres de virement litigieux n’étaient affectés d’aucune anomalie apparente, la cour d’appel, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation, a légalement justifié sa décision ».
17 Art. L. 133-1 (version 2014), Code monétaire et financier :
« I. – Si le prestataire de services de paiement du payeur est situé à Saint-Pierre-et-Miquelon et que le prestataire de services de paiement du bénéficiaire est situé hors de France, quelle que soit la devise utilisée pour l’opération de paiement, les dispositions suivantes s’appliquent :
a) Les dispositions de la section 5 du présent chapitre ;
b) Les dispositions de la section 6 du présent chapitre pour les opérations de paiement par carte non autorisées. Dans ce cas, par dérogation au deuxième alinéa du I de l’article L. 133-19, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de l’instrument perdu ou volé dans la limite d’un plafond de 150 € en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé ;
c) Les dispositions du premier alinéa de l’article L. 133-23 et de l’article L. 133-24 pour les opérations de paiement par carte non autorisées. Dans ce cas, par dérogation à l’article L. 133-24, le délai de treize mois est ramené à soixante-dix jours. Il peut être prolongé contractuellement sans pouvoir dépasser cent vingt jours ;
d) Les dispositions du II de l’article L. 133-26.
II. – Les dispositions du I s’appliquent également si le prestataire de services de paiement du payeur est situé sur le territoire de la France métropolitaine, dans les départements d’outre-mer, dans le Département de Mayotte, à Saint-Martin ou à Saint-Barthélemy et que le prestataire de services de paiement du bénéficiaire est situé dans un État qui n’est pas membre de l’Union européenne ni partie à l’accord sur l’Espace économique européen, quelle que soit la devise utilisée pour l’opération de paiement ».
18 G. Cornu, Dictionnaire juridique, Association Henri Capitant, PUF 1987, v° « Ratione temporis : expression latine signifiant litt. “à raison du temps”, utilisée dans le sens ”en fonction du temps” dans le sens “en fonction du temps passé”(v. Prorata temporis), parfois, en fonction de la date ».
19 J. Lasserre Capdeville, note préc., spéc. n° 15.
20 Cass. com. 2 mai 2024, pourvoi n° 22-18.074, arrêt n° 220 F-B.
21 CJUE 2 septembre 2023, préc., spéc. point 56.
22 CJUE 2 septembre 2023, préc., spéc. point 60.
23 CJUE 2 septembre 2023, préc., spéc. point 64.
24 CJUE 2 septembre 2023, préc., spéc. point 66.
25 Cass. com. 9 février 2022, Banque et Droit n° 202, mars-avril 2022 p 29, obs. N. Rontchevsky.