Espace Banque & Droit

Un prestataire de services de paiement peut-il engager sa responsabilité
sur le fondement du droit commun
en cas d’opération de paiement
non autorisée ou mal exécutée ?

Créé le

04.04.2025

-

Mis à jour le

07.04.2025

La responsabilité contractuelle de droit commun résultant de l’article 1231-1 du Code civil n’est pas applicable en présence du régime de responsabilité exclusif prévu par les articles L. 133-18, L. 133-19, IV, et L. 133-21 du Code monétaire et financier.

Thierry Bonneau
  • Agrégé des facultés de droit, professeur Université Paris-Panthéon-Assas

L’utilisateur d’un service de paiement peut-il engager la responsabilité de son banquier, prestataire de services de paiement, sur un fondement autre que celui des textes transposant par les directives SEPA1, à savoir les articles L. 133-18 et suivants du Code monétaire et financier, et donc sur les règles de droit commun d’un État membre ? La CJUE, dans un arrêt du 2 septembre 20212, a donné une réponse négative ; elle a confirmé sa position dans un arrêt du 16 mars 20233. Celle-ci est fondée sur le fait que le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par le droit de l’Union européenne est d’harmonisation maximale et ne saurait être concurrencé par un régime alternatif prévu par le droit national.

C’est en se référant expressément à la décision de la CJUE en date du 16 mars 2023 que la Cour de cassation, dans son arrêt du 27 mars 20244, a indiqué au visa de plusieurs textes, l’article 1231-1 du Code civil5 étant le premier cité, que « la responsabilité contractuelle de droit commun prévue résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif » et souligne que dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité prévu par le Code monétaire et financier à l’exclusion de tout régime alternatif de responsabilité résultant du droit national. Cette solution a été reprise par un arrêt du 2 mai 20046 ainsi que par les arrêts du 15 janvier 20257 qui, après avoir rappelé certains motifs de la décision de la CJUE en date du 16 mars 2023, reprennent le motif essentiel de l’arrêt du 27 mars 2024 : « la responsabilité contractuelle de droit commun prévue résultant » de l’article 1231-1 du Code civil « n’est pas applicable en présence d’un régime de responsabilité exclusif »8.

Les décisions de la CJUE se fondent sur la directive DPS 1 du 13 novembre 20079. Mais la règle demeure sous l’empire de la directive DSP 2 du 15 novembre 201510 puisque celle-ci reprend le dispositif de la DSP 1. Ce que confirme la jurisprudence de la Cour de cassation : les arrêts des 27 mars et 2 mai 2024 ainsi que l’arrêt n° 4 du 15 janvier 2025 prennent en compte la DSP 1 ; l’arrêt n° 6 du 15 janvier 2025 fait référence à la DSP 2. En conséquence, quels que soient les textes nationaux, ceux transposant la DSP 1 en 200911 ou ceux transposant la DSP 2 en 201712, le droit spécial résultant de ces textes est seul applicable à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

Le régime issu des directives SEPA 1 et 213 se caractérise par le droit au remboursement du client en cas d’opération non autorisée : ce droit est prévu par l’article L. 133-18 du CMF. Le client est toutefois privé de ce remboursement, et il doit donc supporter toutes les pertes occasionnées par les opérations non autorisées, si ces pertes résultent de sa négligence : l’article L. 133-9, IV, parle de « négligence grave ». Par ailleurs, d’une part, le client doit agir, selon l’article L. 133-24, « au plus tard dans les treize mois suivant la date de débit sous peine de forclusion ». D’autre part, la banque est déchargée de toute responsabilité en cas d’opération de paiement mal exécutée en application de l’article L. 133-21 : selon son alinéa 1, « un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique » ; et son alinéa 2 décide que « si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement ».

Les arrêts de la Cour de cassation sont à la fois des arrêts de cassation et de rejet.

L’arrêt du 2 mai 2024 est un arrêt de rejet. Un client contestait l’application de l’article L. 133-24 du CMF qui enferme l’action en responsabilité contre le prestataire de services de paiement dans le délai de 13 mois. Son pourvoi est rejeté.

Les autres arrêts sont des arrêts de cassation.

Dans son arrêt du 27 mars 2024, la Cour de cassation censure les juges du fond pour avoir retenu la responsabilité du prestataire de services de paiement pour manquement à son devoir de vigilance alors que « la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du code monétaire et financier ».

Dans l’arrêt n° 4 du 15 janvier 2025, les juges du fond avaient opéré un partage de responsabilité en retenant une faute de la banque au titre de ses obligations de vigilance et de surveillance de ses systèmes alors même qu’ils avaient écarté sa responsabilité au titre de l’article L. 133-18 du CMF, les clients ayant commis une négligence grave : leur décision est censurée, au visa de l’article 1147, devenu 1231-1 du Code civil, et des articles L. 133-18 et L. 133-19, IV, du CMF dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, par la Cour de cassation.

Dans l’arrêt n° 6 du 15 janvier 2025, des virements avaient été effectués en communiquant par voie électronique un identifiant inexact mais les juges du fond avaient considéré que l’article L. 133-21 du CMF « ne dispense cependant pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations qui sont soumises en contrôlant l’absence d’anomalie apparente ». Leur décision est censurée par la Cour de cassation qui vise, outre l’article 1231-1 du Code civil, l’article L. 133-21 du CMF.

L’application du régime issu des directives SEPPA n’est pas sans limite. Il s’applique si la responsabilité du prestataire de services de paiement est recherchée par le client, utilisateur d’un service de paiement : il ne s’applique pas si cette responsabilité est mise en cause par la caution14. Par ailleurs, le droit commun issu du droit national demeure applicable aux opérations qui ne sont pas couvertes par les directives SEPA15. n

À retrouver dans la revue
Banque et Droit Nº220
Notes :
1 Sur les textes européens, v. Th. Bonneau, Régulation bancaire et financière européenne et internationale, 7e éd. 2024, Bruylant, n° 469.1 et s.
2 CJUE 2 septembre 2021, aff. C-337/20, DM, LR c/ CRCAM Alpes-Provence, Revue Banque n° 860, octobre 2021, 68, note P. Storrer ; BRDA, 20/21, p. 11 ; Banque et Droit n° 199, septembre-octobre 2021, p. 21, obs. M. Roussille ; Gaz. Pal. n° 36, 19 octobre 2021, p. 75, note M. Roussille ; Europe n° 11, 2021, com. n° 383, note V. Bassani-Winckler ; Rev. dr. bancaire et financier, novembre-décembre 2021, com. n° 149, note Th. Samin et S. Torck. Adde, Th. Bonneau, « Responsabilité de droit commun et directive SEAP », in Régulation bancaire et financière européenne et internationale, op. cit. , p. 1017.
3 CJUE 16 mars 2023, aff. C-351/21, ZG c/ Beobank SA.
4 Cass. com. 27 mars 2024, n° 22-21200, Banque et Droit n° 215, mai-juin 2024.
26, obs. Th. Bonneau, et n° 218, nov-déc. 2024, obs. P. Storrer ; JCP 2024, éd. E, 1170, n° 22, obs. N. Mathey et éd. E, 1212, note J. Lasserre Capdeville ; Rev. trim. dr. com. 2024. 411, obs. D. Legeais.
5 Art. 1231-1, Code civil : « Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure. »
6 Cass. com. 2 mai 2024, n° 22-18074, Banque et Droit n° 218 nov-déc. 2024,
obs. P. Storrer.
7 Sur ces arrêts, v. également P. Storrer, « Le droit des opérations de paiement
non autorisées mérite mieux que des communiqués de presse », D. 2025, p. 196.
8 V. également, B. Michalet, A. Moisson et M. Tardieu Confavreux, « Contentieux des opérations de paiement : l’exclusivité du régime des articles L. 133-18 et suivants du CMF, applications et perspectives », Rev. dr. bancaire et financier, mai-juin 2024, Étude 5.
9 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE.
10 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE.
11 Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.
12 Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
13 V. Th. Bonneau, Droit bancaire, 15e éd. 2023, LGDJ, n° 684 et s.
14 CJUE 2 septembre 2023, préc. ; Cass. com. 9 févr. 2022, n° 17-19441, Banque
& Droit n° 202, mars-avr.2022. 29, obs. N. Rontchevsky.
15 V. Cass. com. 14 février 2024, arrêt n° 89 F-B, pourvoi n° X 22-11.654, Revue Banque n° 891, avril 2024, obs. P. Storrer, et n° 218 nov-déc. 2024, obs. P. Storrer ; D. 2024 p 903, note J. Lasserre Capdeville ; Cass. com. 2 octobre 2024, n° 23-13282, arrêt n° 526 F-B, D. 2025 p 33, note J. Lasserre Capdeville ; Gaz. Pal. 7 janvier 2025, p. 39, note A. Pitras.