L’arrêt rendu par la chambre commerciale de la Cour de cassation, le 27 mars 2024, porte une fois de plus sur le traitement judiciaire des opérations de paiement non autorisées, mais abordé cette fois en amont, sous l’angle fondamental de la coexistence entre demande de remboursement d’une opération de paiement non autorisée et action en responsabilité contractuelle de droit commun.
En cause d’appel, une société frauduleusement débitée de quatre virements qu’elle niait avoir autorisés se voyait allouer la somme de 199 834,54 euros1 de dommages et intérêts au titre du préjudice causé par ces virements et à raison d’un manquement de la banque à son devoir de vigilance, apprécié sur le fondement du droit commun. À quoi la banque opposait avec pertinence, dans son pourvoi, qu’une jurisprudence de la Cour de Justice de l’Union européenne (CJUE) fermait la voie du droit commun dès lors que le régime spécial de responsabilité des prestataires de services de paiement (PSP), en l’espèce celui issu de la Directive européenne sur les Services de Paiement (DSP) 1, trouvait à s’appliquer.
Les arrêts CRCAM et Beobank
De fait, sur saisine de la Cour de cassation française2, la CJUE a dit une première fois, dans son arrêt CRCAM3, que « le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale si bien que les États membres ne peuvent maintenir un régime de responsabilité parallèle au titre du même fait générateur » ; et d’ajouter que « le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi par la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu par le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive »4.
Dans cette affaire, la question était de savoir si un utilisateur de services de paiement forclos (délai de treize mois) pouvait encore agir sur le terrain de la responsabilité contractuelle de droit commun. Cela serait incompatible avec la directive, jugea la Cour.
Moins de deux ans plus tard fut rendu l’arrêt Beobank qui, aux termes d’observations liminaires, ajoutait ceci à la décision CRCAM lorsqu’elle caractérisait l’harmonisation totale entreprise par la DSP 1 : « Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs »5. La messe était dite : point de régime de responsabilité parallèle (même fait générateur), ni même de régime de responsabilité concurrent (faits générateurs différents) (dans l’affaire Beobank, il était question de l’obligation du PSP de fournir des informations sur le bénéficiaire), dès lors qu’est caractérisée une hypothèse d’opération de paiement non autorisée relevant de la DSP.
Un régime de responsabilité exclusif
La Cour de cassation n’avait dès lors plus qu’à faire sienne la jurisprudence européenne (au point qu’elle cite entre guillemets les points 37 et 38 de l’arrêt Beobank) pour en tirer cette règle que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national ». C’est que, observe la Haute Juridiction en forme de principe et au visa des articles 1231-1 du Code civil et L. 133-18 à 133-24 du Code monétaire et financier, « la responsabilité contractuelle de droit commun prévue résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif ».
A par conséquent violé les textes précités la cour d’appel qui, pour la condamner à verser à une société certaines sommes en réparation des préjudices résultant de l’exécution d’ordres de virement et de transfert litigieux, retient que la banque a manqué à son devoir contractuel de vigilance, « alors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, ce dont il se déduisait que la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l’article L. 133-18 du code monétaire et financier ».
Le dispositif de l’arrêt ayant conduit au renvoi à la CJUE dans l’affaire CRCAM avait conclu : « Le pourvoi porte sur l’articulation entre le régime de responsabilité instauré par les directives précitées [DSP 1 et 2], transposées par les articles L. 133-18 et L. 133-24 du code monétaire et financier, et celui de la responsabilité civile contractuelle de droit commun. En particulier, se pose la question du caractère exclusif du régime de responsabilité organisé par les directives, lesquelles n’apportent pas de précision à cet égard »6.
Nous voilà désormais fixés : il n’est plus question d’articulation mais bien d’exclusivité du « régime DSP » de remboursement du payeur en cas d’opération de paiement non autorisée (ou mal exécutée). L’effet utile du droit de l’Union est passé par-là...
