L’intérêt du sujet n’est assurément pas à démontrer. S’agissant des services de paiement, c’est en effet un truisme que d’affirmer que la quasi-totalité des textes du Code monétaire et financier, en ce domaine, sont le résultat de la transposition de directives. Plus particulièrement, il s’agit de la directive « service de paiement 1 » (DSP 1)1, puis, quelques années plus tard, de la directive « service de paiement 2 » (DSP 2)2. Partant, dès lors que sont en cause des procédures concernant ces services, il existe la possibilité pour le juge national de surseoir à statuer et de poser une question préjudicielle à la Cour de justice de l’Union européenne (CJUE). Ce faisant, cette dernière pourra, dans ce domaine comme dans d’autres, participer à la construction du processus d’intégration européenne, répondant à « un besoin d’interprétation accru dans un ordre juridique nouveau, à la croisée de plusieurs autres »3. En d’autres termes, l’enjeu sera ici de voir que la CJUE nous apprend – et ce qu’elle veut nous dire – s’agissant du droit applicable aux services de paiement.
Il y a environ un an, avec certains des participants d’aujourd’hui, à Clermont-Ferrand, il nous avait été donné l’occasion d’évoquer plus largement le sujet de la CJUE et des opérations de banque4. La conclusion en était que la CJUE n’est pas nécessairement dans le rôle que l’on pourrait éventuellement, de prime abord, attendre d’elle, soit une simple interprète des textes d’inspiration européenne dont elle tenterait de faire valoir, jalousement, une application stricte. Pourtant, sur la thématique plus précise des services de paiement, la conclusion ne saurait, à notre sens, rester la même. Sans prétendre évoquer tous les arrêts rendus par la CJUE à propos de services de paiement, il nous semble que la CJUE semble tenir, plus fermement, à l’application du droit d’origine européenne et au processus d’intégration européenne correspondant. D’une certaine manière, le mot d’ordre serait le suivant : les textes issus des directives et rien que les textes issus des directives ! En effet, il semble que ces textes sont d’application large (I.) et, surtout, qu’ils sont mis en œuvre de manière exclusive (II.).
Avant d’envisager le régime applicable stricto sensu, il convient de débuter par une définition des acteurs en présence. De prime abord, l’on pourrait être tenté par une lapalissade : l’utilisateur d’un service de paiement est celui qui... utilise un service de paiement. Pourtant, les choses sont parfois plus complexes, comme en témoigne un arrêt rendu le 11 avril 20195. En l’espèce, une société titulaire d’un compte s’est aperçue que, depuis des mois, des virements étaient initiés au profit de tiers avec lesquels elle n’entretenait aucune relation. Partant, elle a dénoncé lesdits mouvements auprès de son banquier. Celui-ci, ayant reconnu sa faute – le défaut de mandat quant aux opérations concernées – et la malversation, a remboursé les sommes litigieuses s’agissant des 13 mois précédent la réaction de la société victime. Pour les sommes virées avant cette date, la prescription prévue par le droit européen était invoquée6. La société soutenait cependant que ce délai ne pouvait trouver à s’appliquer, dès lors qu’elle ne pouvait être qualifiée d’utilisateur de services de paiement... puisqu’elle n’avait, justement, utilisé aucun service de paiement, les utilisations en cause étant le fait frauduleux d’un tiers ! La banque, pour sa part, faisait valoir que les opérations, même frauduleuses, s’inscrivaient dans le cadre d’une convention-cadre de service de paiement. En d’autres termes, un service de paiement avait effectivement été mis en œuvre.
La Cour rend ici « une décision prévisible au regard du droit des services de paiement, même si elle est sévère pour le client floué »7. Elle considère que la notion de service de paiement se définit au regard de l’exécution d’opérations de paiement, lesquelles comprennent la mise en œuvre de prélèvements. Ce n’est qu’en l’absence d’une telle opération de paiement que le régime envisagé par les directives précitées peut être exclu8. Le banquier, qui exécute un prélèvement, accomplit un service de paiement, peu important l’absence de consentement du débiteur.
Le raisonnement mérite d’être approuvé pour (au moins) deux raisons. D’une part, les directives ne distinguent pas lorsqu’elles cherchent à mettre en œuvre un régime de responsabilité propre aux « opérations de paiement non autorisées ou mal exécutées ». Elles englobent, et la distinction faite entre opérations non autorisées et mal exécutées en témoigne, toutes les opérations de paiement, peu important l’existence, ou non, d’un consentement à leur origine. À défaut, la pertinence du régime serait fragilisée, car une opération mal exécutée est également faite en violation du consentement exprimé, donc en l’absence d’un consentement (pour l’opération en cause). D’autre part, et surtout, l’objectif de la DSP 1, puis de la DSP 2, était, sur ce point, de limiter le « temps du contentieux ». Il fallait sécuriser ces opérations en retenant une prescription (relativement) courte. Le client ayant à sa disposition des extraits bancaires et autres accès à ces comptes, il lui faut, dans un délai raisonnable, vérifier sa comptabilité et remarquer les opérations mal exécutées, mais aussi celles qui n’ont pas été autorisées.
Cette appréhension large des textes se retrouve également en matière d’application de la loi dans le temps et concerne l’interdiction faite par la DSP 2 de réclamer certains frais du fait de l’utilisation d’un service de paiement9. En l’espèce, la question s’était posée de savoir quel sort faire aux opérations de paiement réalisées après la date d’entrée en vigueur de la directive, mais qui correspondaient à l’exécution d’un contrat-cadre conclu avant cette entrée en vigueur. De manière large, il a été jugé que l’interdiction visée s’applique à toutes les opérations de paiement réalisées après la date d’entrée en vigueur de la directive, même à celles qui le sont en exécution de contrats conclus antérieurement 10.
À nouveau, la logique se comprend si l’on accepte de raisonner principalement à partir de l’opération de paiement et de considérer alors que le contrat-cadre n’est qu’un support à cette relation entre le client et son prestataire de services de paiement (PSP). Partant, en matière d’application de la loi dans le temps, c’est le principe d’autonomie de l’opération de paiement qui doit l’emporter, car celle-ci est considérée « indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire ». En d’autres termes, « la date pertinente pour l’application des règles de la DSP 2 est celle où l’opération de paiement est initiée, peu important la date du contrat qui la fonde »11.
Les normes européennes s’appliquent dès lors de manière large. Elles s’appliquent également de manière exclusive.
Une fois les acteurs définis, une autre difficulté peut surgir, à savoir l’articulation des normes issues des directives avec le droit commun. En effet, si certaines matières, notamment le droit bancaire, et en particulier la réglementation des opérations de paiement, sont largement imprégnées de textes émanant du législateur européen, il n’en demeure pas moins que chaque droit national conserve certaines spécificités et dispositions qui lui sont propres. L’articulation entre les normes en présence devient dès lors névralgique ! Celle-ci répond à un double enjeu. D’une part, c’est naturellement la protection de l’utilisateur qui est en cause : la DSP 2 – mais la DSP 1 poursuivait, déjà, le même objectif – affirme vouloir « offrir aux consommateurs un niveau élevé de protection dans l’utilisation des services de paiement dans l’ensemble de l’Union », afin de favoriser « une plus grande confiance des consommateurs à l’égard d’un marché des paiements harmonisé »12. Or, lorsque le droit national est plus protecteur que le droit issu de la directive, il est certain que cette visée ne peut être totalement ignorée. À défaut, le droit européen apparaîtrait, à l’inverse, comme une source de fragilisation de la protection offerte à l’utilisateur. D’autre part, et toutefois, le droit issu de la directive n’a de sens qu’au regard de la volonté du législateur européen de favoriser un marché unique des services de paiement, lequel implique une intégration uniforme du droit européen.
Au regard des solutions retenues par la CJUE, c’est le second enjeu qui semble, assez largement l’emporter. En effet, dans le domaine qui retient notre attention, la position suivie par la jurisprudence semble relativement simple, puisqu’elle énonce le caractère exclusif du régime mis en œuvre par les DSP 1 et DSP 2.
Elle avait eu l’occasion de le faire dans un arrêt déjà (quelque peu) ancien, à propos du virement fait sur le base d’un IBAN erroné13. Rappelons que la DSP (1 et 2) met l’IBAN au cœur des réflexions quand il s’agit de vérifier si le PSP a correctement exécuté l’ordre de virement14. En droit national, et notamment au regard de l’obligation de vigilance du banquier, la question avait pu se poser du sort à réserver aux autres informations qui, le plus souvent, accompagnent l’ordre de virement (identité du bénéficiaire, banque à destination de laquelle les fonds doivent être envoyés, etc.)15. Pourtant, le droit issu de la directive l’emporte seul. La CJUE a de la sorte affirmé que la limitation de responsabilité profite au prestataire de services de paiement du bénéficiaire : il en résulte qu’en matière de virement, seul l’IBAN fait foi. Le banquier du bénéficiaire ne peut se voir reprocher de ne pas avoir contrôlé la cohérence entre l’IBAN et la personne désignée comme bénéficiaire. En d’autres termes, le texte et rien que le texte...
Plus récemment, c’est la problématique de la forclusion, en matière de responsabilité des prestataires de services de paiement, dont a eu à traiter la CJUE. À l’occasion d’une question préjudicielle, il était question d’une opération non autorisée, laquelle n’avait pas été contestée dans le délai de 13 mois déjà cité. Une particularité devait toutefois être soulignée ici : outre le payeur, la caution de ce dernier entendait également faire valoir la responsabilité du banquier. L’interrogation à laquelle devaient répondre les magistrats était donc la suivante : le régime visé par le Code monétaire et financier, en l’espèce et au regard de la date des faits, issu de la transposition de la DSP 1 (mais la forclusion au terme de 13 mois est également présente dans la DSP 2), doit-il être entendu de manière exclusive par rapport au droit commun de la responsabilité, pour lequel s’applique naturellement une prescription de droit commun (le plus souvent de cinq ans) ? Pour la Cour16, l’exclusivité est de mise, car les dispositions de la directive doivent être interprétées en ce sens qu’elles s’opposent à la possibilité, pour un utilisateur d’un service de paiement, d’engager la responsabilité du PSP sur le fondement d’un régime de responsabilité de droit commun. Seul le régime mis en œuvre par la DSP s’applique donc. Deux enseignements peuvent être retenus de l’arrêt.
S’agissant de l’utilisateur d’un service de paiement, c’est le texte issu de la DSP 1 ou 2 (suivant la date des faits) qui s’applique, et lui seul ! La logique est compréhensible et correspond à la volonté précitée d’une parfaite intégration du droit d’inspiration européenne. Comme l’exprime un auteur, « [admettre] un contournement des dispositions harmonisées par le recours au droit commun remettrait en cause l’harmonisation totale voulue par le législateur européen. En outre, le régime spécial tente d’établir un équilibre fragile entre les intérêts des parties qu’une interprétation différente de celle retenue par la CJUE remettrait en cause au détriment de la sécurité juridique »17.
À l’égard de la caution, la situation est néanmoins (fortement) différente. Pour la CJUE, « l’article 58 et l’article 60, paragraphe 1, de la directive [n° 2007/64/CE] doivent être interprétés en ce sens qu’ils ne s’opposent pas à ce que la caution d’un utilisateur de services de paiement invoque, en raison d’un manquement du [PSP] à ses obligations liées à une opération non autorisée, la responsabilité civile d’un tel prestataire, bénéficiaire du cautionnement, pour contester le montant de la dette garantie, conformément à un régime de responsabilité contractuelle de droit commun ». La solution était prévisible, se justifie, même si elle soulève quelques interrogations.
D’abord, la caution ne saurait être assimilée à un utilisateur de services de paiement. Comme le relevait le professeur Mathey, la solution est logique, car « la caution reste un tiers à l’opération de paiement et ne peut être traitée de la même façon que l’utilisateur de services de paiement, qui est seul visé, avec le PSP, par les dispositions de la directive. Cette question relève uniquement du droit national non harmonisé »18. La caution n’est pas partie au contrat de services de paiement19 ; elle n’utilise à un aucun moment un service de paiement. Lui imposer la réglementation applicable auxdits utilisateurs ne serait pas une application exclusive du droit d’origine européenne. Il s’agirait d’une application extensive, trop extensive !
Ensuite, et surtout, l’« équilibre fragile entre les intérêts des parties », déjà cité, serait ici largement malmené. En effet, rappelons que le délai de 13 mois a des contreparties liées justement à la relation bancaire : l’utilisateur reçoit régulièrement des extraits de compte et, en tout état de cause, a accès à toutes les informations nécessaires s’agissant des mouvements concernant son compte bancaire. Tel n’est pas le cas de la caution : elle ne dispose d’aucune information s’agissant du compte dont elle garantit le découvert (sinon l’information annuelle qui, on le voit, n’est guère pertinente s’agissant d’un délai de forclusion de 13 mois !). Comme le rappelle avec raison un auteur : « [Elle] n’est pas destinataire des relevés de compte et, voudrait-elle se renseigner, que le secret bancaire lui est opposable. Ce n’est que si le débiteur principal est défaillant et qu’elle se trouve poursuivie en paiement qu’elle est amenée à pouvoir connaître les opérations qui ont contribué au découvert et ainsi, le cas échéant, à les contester »20. Ne pouvant suivre l’évolution du compte de manière régulière, lui imposer un court délai n’aurait pas de sens.
Enfin, il est certain que cette analyse emporte la création d’un risque de « contournement » du droit issu de la directive21. Dans bien des cas, lorsque le débiteur principal est une personne morale, il n’est pas rare que la caution en soit le dirigeant, pris en sa qualité de personne physique. Dans cette hypothèse, la caution, par ailleurs dirigeante, dispose que toutes les informations relatives au fonctionnement du compte bancaire litigieux ! La non-application, pour la caution, des dispositions du Code monétaire et financier, et notamment le délai précité de 13 mois, lui offre une sorte de « rattrapage » : si la société, via son dirigeant, ne dénonce pas l’opération dans le délai imparti, le même dirigeant, mais cette fois en sa qualité de caution, peut le faire sur le fondement du droit commun (et de son délai de prescription plus long). Le masque de la personnalité morale, et le fait que celui-ci permet à une même personne de recouvrir plusieurs qualités, justifie la solution. La volonté d’une meilleure intégration du droit issu de l’Union européenne ne saurait, à notre sens, justifier d’une application extensive du droit concerné, au mépris de l’autonomie de la personne morale !
À noter que cette solution a été depuis reprise par la Cour de cassation22.
En guise de conclusion, et afin de ne pas paraître trop manichéen, il faut remarquer que la rigueur ne signifie pas, pour autant, un manque de réalisme. S’agissant du développement des services de paiement « sans contact », s’était posée la question de la possible adaptation des conventions-cadres via une tacite acceptation. En effet, la DSP 2 admet la validité de clauses d’acceptation tacite sous réserve que le PSP propose à son client la modification au moins deux mois avant la date envisagée pour son entrée en vigueur. Naturellement, durant ce délai, il ne faut pas que l’utilisateur notifie un refus des nouvelles stipulations23. Pourtant, cette acceptation tacite ne saurait permettre des modifications trop importantes : à défaut, ce n’est plus une modification tacite de la convention dont il serait question, mais la conclusion d’une nouvelle convention-cadre, celle-ci ne pouvant être opérée de manière tacite ! Dans la présente affaire, la CJUE24 adopte ainsi une position « à la fois souple et pragmatique »25, puisqu’elle admet les clauses d’acceptation tacite en ce domaine, sous réserve – mais le propos dépasserait notre sujet – que ces stipulations ne créent pas de déséquilibre significatif au détriment de l’utilisateur.
