L’autorisation de l’opération de paiement devant la Cour de cassation. On se souvient qu’il y a peu, la chambre commerciale de la Cour de cassation jugeait qu’« il résulte des articles L. 133-3 et L. 133-6 du code monétaire et financier qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement, est réputée autorisée uniquement si le payeur a également consenti au montant de l’opération »1. Ainsi, à la règle qu’« une opération de paiement est autorisée si le payeur a donné son consentement à son exécution »2, la jurisprudence ajoutait le consentement au « montant »3.
Or, voici qu’un nouvel arrêt, en date du 1er juin 2023, revient sur le sujet du consentement au paiement, en s’intéressant cette fois à la personne du « bénéficiaire ». En une formule exactement calquée sur la précédente, sinon que « bénéficiaire » remplace « montant », il a été jugé : « Il résulte des articles L. 133-3 et L. 133-6 du code monétaire et financier dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009, qu’une opération de paiement initiée par le payeur, qui donne un ordre de paiement à son prestataire de service de paiement, est réputée autorisée uniquement si le payeur a également consenti à son bénéficiaire4. » Si bien que « ne constitue pas une opération autorisée un ordre de virement régulier lors de sa rédaction mais dont le numéro IBAN du compte destinataire a été ultérieurement modifié par un tiers à l’insu du donneur d’ordre ».
En somme, le consentement à l’exécution d’une opération de paiement se dédouble au moins, à ce jour, non seulement en consentement à son montant, mais encore à celui de son bénéficiaire.
Les recommandations de l’OSMP sur le remboursement des opérations de paiement frauduleuses. Avant même qu’elles ne soient incorporées à son rapport annuel 2022 (publié le 11 juillet 2023)5, l’Observatoire de la sécurité des moyens de paiement (OSMP) rendait publiques dès le 16 mai, conjointement avec Bercy, ses recommandations sur les modalités de remboursement des opérations de paiement frauduleuses6. On en compte treize7, qui visent à améliorer les démarches de remboursement des victimes de fraude, sous forme de « pratiques de référence pour les acteurs du marché »8.
En amont de ces recommandations, figure un rappel de la réglementation applicable aux contestations d’opérations de paiement, illustrée par cette sorte d’« arbre de décision » digne d’intérêt (reproduit ci-après), d’autant que les textes en la matière n’ont jamais brillé par leur clarté.
Où il est mis en exergue que, hors cas particuliers – ceux des articles L. 133-25 et L. 133-25-1 –, « selon le code monétaire et financier (CMF), le remboursement d’une opération contestée est conditionné par le fait qu’elle ait été autorisée ou non par le payeur », étant précisé que « l’autorisation de paiement par le payeur signifie que celuici a explicitement donné son consentement à son exécution dans les conditions prévues par sa convention de compte, notamment par l’utilisation du moyen d’authentification forte mis à sa disposition »9.
Un arrêt tout récent sur l’authentification forte du payeur. À propos d’authentification forte, précisément, on fera état de ce qui pourrait être le premier arrêt de la Cour de cassation faisant application du texte relatif à celle-ci : l’article L. 133-44 du CMF, dans sa rédaction issue de l’ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la DSP 2.
Au cas d’espèce, un payeur (en puissance, du moins) contestait une opération réalisée par un tiers auquel il avait communiqué son code « 3D Secure », en réponse à un appel téléphonique et à un message de ce dernier qu’il avait cru être un employé de sa banque. Pour rejeter sa demande, le premier juge retint une négligence grave du payeur, qui avait fait confiance à une personne qu’il ne connaissait pas et qui lui racontait une histoire assez peu crédible (sic).
Le jugement est sèchement cassé au visa des articles L. 133-19, V, et L. 133-44 du CMF : « Il ressort du premier de ces textes que, sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si l’opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement du payeur n’exige une authentification forte du payeur prévue par le second de ces textes » ; partant, le tribunal judiciaire de Clermont-Ferrand aurait dû rechercher « si l’opération de paiement litigieuse avait été exécutée sans que la banque exige l’authentification forte du payeur ». La solution rejoint manifestement la recommandation n° 4 de l’OSMP : « Lorsqu’un utilisateur du service de paiement conteste une ou plusieurs opérations qu’il nie avoir autorisées et que ces opérations n’ont pas été authentifiées de manière forte, le prestataire de services de paiement du payeur rembourse sans délai le montant de ces opérations, sauf lorsqu’il a de bonnes raisons de soupçonner une fraude de l’utilisateur lui-même. Ce soupçon de fraude ne peut résulter de la seule utilisation de l’instrument de paiement »10.
À suivre...
