Cour de cassation, 14 novembre 2019. 18-17.326

COMM. JL COUR DE CASSATION ______________________ Audience publique du 14 novembre 2019 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10445 F Pourvoi n° E 18-17.326 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la société Caisse de crédit mutuel de Beaurains, ayant un établissement [...] , société coopérative de crédit, dont le siège est [...] , contre l'arrêt rendu le 29 mars 2018 par la cour d'appel de Douai (chambre 8, section 1), dans le litige l'opposant à M. P... X..., domicilié [...] , défendeur à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 24 septembre 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, M. Richard de la Tour, premier avocat général, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la société Caisse de crédit mutuel de Beaurains, de la SCP Ohl et Vexliard, avocat de M. X... ; Sur le rapport de M. Blanc, conseiller référendaire, l'avis de M. Richard de la Tour, premier avocat général, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ; Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ; Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ; REJETTE le pourvoi ; Condamne la société Caisse de crédit mutuel de Beaurains aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. X... la somme de 3 000 euros ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du quatorze novembre deux mille dix-neuf. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Beaurains Il est fait grief à l'arrêt attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de BEAURAINS à payer à M. P... X... les sommes de 5.754 € et de 2.101,03 € qui seront créditées respectivement sur les comptes n°[...] et [...] ouverts dans les livres de la CAISSE DE CREDIT MUTUEL DE BEAURAINS, avec intérêts au taux légal à compter du 5 décembre 2014, date de délivrance de l'assignation valant mise en demeure, et D'AVOIR condamné la Caisse de crédit mutuel de BEAURAINS à payer à M. P... X... la somme de 1.756,66 € à titre de dommages et intérêts, AUX MOTIFS PROPRES QUE « selon le paragraphe II de l'article L. 133-19 du code monétaire et financier, dans sa rédaction antérieure à celle issue de l'ordonnance n°2017-1252 du 9 août 2017, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ; qu'elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument ; Que le paragraphe IV de ce même article prévoit toutefois que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17; Que l'article L.133-16 du code monétaire et financier, toujours dans sa rédaction antérieure à celle issue de l'ordonnance n° 2017-1252 du 9 août 2017, prévoit précisément que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; qu'il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation ; Que l'article L. 133-17 du même code dispose pour sa part que lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci ; Qu'en application de l'article L. 133-18, en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, le payeur et son prestataire de services de paiement pouvant décider contractuellement d'une indemnité complémentaire ; Que l'article L.133-20 prévoit enfin qu'après avoir informé son prestataire ou l'entité désignée par celui-ci, conformément à l'article L. 133-17 aux fins de blocage de l'instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l'utilisation de cet instrument de paiement ou de l'utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part ; Qu'il suit de ce qui précède que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction applicable au litige, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est bien à ce prestataire, contrairement à ce que prétend à tort la Caisse de crédit mutuel de Beaurains, qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'il n'est pas contesté en l'espèce que l'utilisation du service de banque à distance nécessite la saisie successive de l'identifiant CMNE du client, d'un mot de passe personnel à l'utilisateur attaché à cet identifiant, d'un code de validation à quatre chiffres présent sur une carte d'authentification renforcée comportant soixante-quatre combinaisons remise au client pour effectuer certains opérations comme la modification des coordonnées personnelles ou la création de cartes payweb et la validation de l'opération par un code de confirmation envoyé soit par mail soit par message écrit (SMS) au sociétaire après la saisie de son code de carte d'authentification ; qu'avisée de la contestation de Monsieur X... qui nie être l'auteur d'opérations de paiements et de retraits effectuées le 14 avril 2014 à partir de cartes virtuelles générées à partir de ses deux cartes de crédit, la Caisse de crédit mutuel de Beaurains justifie avoir, ainsi que les dispositions de l'article L. 133-23 du code monétaire et financier le lui imposaient, fait diligences pour effectuer des recherches et rassembler tous éléments suffisants de nature à établir le caractère non autorisé par le porteur, des opérations effectuées à l'aide des données des cartes de paiement virtuelles ; Attendu ainsi que le rapport du service des fraudes et affaires spéciales de la banque a permis d'établir que six commandes de cartes virtuelles « Payweb » d'une durée de validité de quinze minutes et d'un montant respectif de 2 000, 300, 150, 2 650, 2 000 et 500 euros ont été enregistrées, trois sur la carte Mastercard n° [...] appartenant à Monsieur X... le 14 avril 2014, à 17 heures, 17 heures 08 et 19 heures 42 et, trois sur la carte Mastercard n° [...] appartenant également à Monsieur X... le même jour à 18 heures 01, 18 heures 31 et 19 heures 51 ; Que deux demandes d'e-retraits sur la carte bancaire n° [...] appartenant à Monsieur X..., d'un montant de 500 euros chacune, ont en outre été enregistrées le même jour à 16 heures 53 et 16 heures 55 ; Qu'alors que l'adresse IP de Monsieur X... porte le numéro 78.116.6.81, celle utilisée pour se connecter à la banque à distance et afficher en clair les numéros de cartes bancaires virtuelles portait le numéro [...] permettant ainsi de la localiser au Maroc, tandis que celle utilisée pour procéder aux opérations de paiement portait le numéro [...] correspondant à une adresse à Nancy, en Meurthe-et-Moselle ; Que les cartes virtuelles ainsi générées ont permis d'effectuer des achats auprès des enseignes Shop Agriconeg à Limoges pour un montant total de 6 500 euros, Becharge ESP Becharge pour un total de 51,03 euros et Buyster à Paris pour un total de 300 euros, soit des opérations de paiement d'un montant global de 6 851,03 euros, ainsi que deux retraits d'espèces d'un montant de 500 euros chacun auprès d'une agence de la Banque CIC Limoges Carmes située au [...] ; Qu'il ressort en outre de ce rapport que la création des cartes virtuelles emportant attribution d'un numéro virtuel à seize chiffres, a été validée, pour chacune, par la saisie de l'identifiant de Monsieur X..., de son mot de passe associé et du code renforcé indiqué sur sa carte de clés personnelles ; Que le code de confirmation à six chiffres, associé à une date de validité et un cryptogramme visuel à trois chiffres pour les opérations de paiement, permettant de générer le numéro virtuel attaché à chacune de ces cartes de paiement virtuelles et d'e-retrait, a été, à chaque reprise, transmis par SMS sur le numéro de téléphone portable de Monsieur X... ; Que pour réaliser les paiements sur le site marchand ont été successivement saisis le numéro de la carte à seize chiffres, la date de fin de validité et un cryptogramme visuel à trois chiffres ; que Monsieur X..., qui soutient que son téléphone portable faisait, à l'époque des opérations litigieuses, l'objet d'un piratage, justifie, de son côté, par la production de la facture détaillée émanée de son opérateur de téléphonie mobile couvrant la période du 24 mars au 23 avril 2014, que plusieurs messages écrits ont été émis, à partir de sa ligne téléphonique, depuis le Maghreb le 14 avril 2014 à 15 heures 50, 16 heures 12, 18 heures 47 et 19 heures 03, de même que plusieurs appels ont été émis, à partir de cette même ligne téléphonique, depuis le Maghreb toujours le 14 avril 2014 à 15 heures 48, 19 heures 30 et 20 heures 16, ainsi que les 15 avril et 16 avril suivants, soit les jours mêmes où, pour le premier, Monsieur X... indique, sans être contredit, avoir été avisé par un appel téléphonique de la banque à son domicile à Arras de mouvements suspects sur ses comptes et où, pour le second, il s'est présenté à l'agence bancaire du crédit mutuel d'Arras pour procéder à une opposition sur ses deux cartes bancaires et à une déclaration de sinistre ; Qu'alors en outre que chacune des demandes de création de cartes virtuelles a été, précisément, formée depuis le Maroc, pays du Maghreb, les opérations d'achat sur les sites marchands de l'Internet ont toutes été effectuées, dans les quinze minutes au maximum qui ont suivi la création desdites cartes, depuis Nancy, en Meurthe-et-Moselle, tandis que les retraits litigieux l'ont été en un troisième lieu, à Limoges, dans le département de la Haute-Vienne ; qu'il suit de ce qui précède que le détournement, à l'insu de Monsieur X..., de ses données bancaires personnelles et des cartes virtuelles générées à partir de ses cartes de crédit Mastercard, s'il est contesté par la Caisse de crédit mutuel de Beaurains, est suffisamment établi par les circonstances entourant la création et l'utilisation des cartes bancaires virtuelles litigieuses ; Que Monsieur X... est par conséquent bien fondé à demander le bénéfice des dispositions précitées du code monétaire et financier, sauf à se voir opposer la négligence grave dont il se serait rendu coupable en divulguant ses données bancaires personnelles ; qu'à cet égard que si conformément à l'article L. 133-23 précité du code monétaire et financier, la Caisse de crédit mutuel de Beaurains rapporte la preuve que les opérations de paiements et de retraits contestées ont été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'ont pas été affectées par une déficience technique ou autre, il n'en demeure pas moins que les utilisations successives des services de paiement « payweb cards » et de retraits «e-retraits », telles qu'enregistrées par la banque, ne suffisent pas nécessairement en tant que telles à prouver que les opérations ont été autorisées par Monsieur X... ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ; Qu'il suit que la Caisse de crédit mutuel de Beaurains, prestataire du service de paiement incriminé, ne peut, du seul fait de la création et de l'utilisation par un tiers des cartes de paiement et de retraits virtuelles litigieuses avec tabulation des données bancaires personnelles de Monsieur X..., éléments nécessaires pour créer lesdites cartes puis valider les paiements et retraits, prétendre démontrer une négligence grave de son client au sens de l'article L. 311-19 précité ; Que c'est en conséquence à elle, contrairement à ce qu'elle soutient, de démontrer que Monsieur X... a révélé volontairement à un tiers ses données bancaires et notamment son identifiant CMNE Direct, le mot de passe associé et les codes de validation présents sur sa carte d'authentification renforcée, ou démontrer que par négligence, ce dernier a permis à un tiers d'en prendre aisément connaissance ; Que si la Caisse de crédit mutuel de Beaurains affirme à cet égard que Monsieur X... a pu être victime de faits d'hameçonnage, elle n'en rapporte nullement la preuve, se contentant à cet égard de procéder par simple voie de supputations impropres à caractériser une imprudence de son client à l'origine des paiements et retraits litigieux alors d'une part que l'association française des usagers des banques soupçonne une brèche dans le dispositif de sécurité de la banque, le portail « payweb » et les cartes bancaires sans contact utilisant la technologie NFC (near field communication) étant suspectés d'être facilement mis en échec par les pirates informatiques, que la carte d'authentification renforcée peut être commandée par internet après la simple saisie de l'identifiant et du mot de passe associé et que l'actualité récente fait état de plusieurs cas dans lesquels des malfaiteurs sont parvenus à s'approprier des données bancaires confidentielles d'accès aux services de consultation et de gestion de compte à distance par internet sans pour autant bénéficier de la négligence voire de la complicité du titulaire de ladite carte ; Qu'à défaut de rapporter la preuve que Monsieur X... aurait, même involontairement, divulgué ses codes personnels et plus généralement ses données personnelles et confidentielles à un tiers, la Caisse de crédit mutuel de Beaurains ne saurait prétendre que Monsieur X... aurait contrevenu aux stipulations destinées à le mettre en garde sur les mesures de sécurité élémentaires qu'il devait prendre concernant ses données bancaires pour en assurer la confidentialité et en prévenir la divulgation telles que rappelées dans les conditions générales du produit CMNE Direct ; Qu'elle ne peut donc, sans preuve de la mauvaise foi de Monsieur X..., s'opposer au remboursement des sommes qu'elle a indûment débitées des comptes de celui-ci au titre des opérations de paiement et de retraits effectuées à l'aide des cartes virtuelles litigieuses ; qu'aucune négligence grave de la part de Monsieur X... au regard des dispositions précitées de l'article L. 133-16 du code monétaire et financier n'étant en ces conditions établie, le jugement doit être confirmé en ce qu'il a condamné la Caisse de crédit mutuel de Beaurains à rembourser à Monsieur X... les sommes débitées à tort de ses comptes bancaires ; qu'à cet égard c'est à bon droit que le premier juge a chiffré le montant total de ces sommes au total des paiements et retraits effectués au moyen de ces cartes, soit une somme de 7.851,03 euros, à laquelle il a, à juste titre, ajouté la somme de 4 euros correspondant aux frais prélevés sur le compte bancaire de Monsieur X... au titre des deux « e-retraits » litigieux ; par ailleurs qu'il ressort de l'examen des relevés d'opérations sur les deux comptes bancaires de Monsieur X... dans les livres de la Caisse de Crédit Mutuel de Beaurains que c'est à la suite des opérations frauduleuses, dont celui-là a été victime le 14 avril 2014, que ses comptes sont devenus débiteurs et qu'ils n'ont pu être régularisés, suite au refus, sans motif légitime, de la banque de prendre en charge le montant du sinistre, que par la souscription en mai et juin 2014, par Monsieur X... auprès de cette même banque, de deux crédits d'un montant respectif de 6 000 et 3 000 euros et d'une durée, chacun, de trente-six mois ; Que Monsieur X... justifie que le montant total des intérêts, cotisations d'assurance et frais supportés par lui à l'occasion de ces deux prêts s'est élevé à la somme de 1 175,06 euros pour le premier et de 584,60 euros pour le second, soit une somme totale de 1 756,66 euros ; Que la preuve se trouve par conséquent suffisamment rapportée que le refus injustifié de la banque de supporter les conséquences de la fraude comme elle le devait a occasionné à Monsieur X... un dommage financier distinct qui justifie l'allocation, à son profit, d'un montant de dommages et intérêts égal au coût des crédits qu'il s'est vu contraint de souscrire, le jugement étant en cela réformé ; en revanche que Monsieur X... ne démontre pas que la Caisse de crédit mutuel de Beaurains, quand même elle succombe en ses prétentions, aient, en résistant à la demande adverse, abusé de son droit de se défendre en justice ; enfin qu'il apparaît inéquitable de laisser à la charge de Monsieur X... les frais exposés par lui en cause d'appel et non compris dans les dépens ; qu'il lui sera en conséquence alloué la somme de 2 000 euros au titre de l'article 700 du code de procédure civile, l'indemnité allouée en première instance étant confirmée » ET AUX MOTIFS, A LES SUPPOSER ADOPTES, QUE « Sur les demandes de paiement sous forme de crédit sur les comptes En application de l'article L. 133-18 du code monétaire et financier qui s'applique au cas particulier des instruments de paiement dotés d'un dispositif de sécurité personnalisé, en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L.133-24, le prestataire de service de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le ,cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire. L'article 133-19 du Code monétaire et financier prévoit que la responsabilité du payeur n'est pas engagée si l'instrument de paiement ou les données qui lui sont liées ont été détournées à son insu, sauf négligence grave ou agissement frauduleux de sa part. L'article L 133-23, alinéa 1, du Code monétaire et financier prévoit que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver• que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. En l'espèce, il ressort des explications de la banque que l'instrument de paiement en question est doté d'un dispositif de sécurité personnalisé et d'identification renforcée. Pour autant, la banque, sur qui repose la charge de la preuve, ne démontre pas la négligence grave ou l'agissement frauduleux de Monsieur P... X... s'agissant des paiements litigieux au sens des articles susvisés. Au contraire, le fait à la fois que tous les ordres d'achat ont été passés depuis une adresse IP différente de celle de Monsieur P... X..., de surcroît située en Lorraine, et que son téléphone a été bloqué à cette période pour une raison inexpliquée, la facture faisant apparaître des appels émis et reçus de l'étranger mais également passés à l'étranger (au Maroc alors que Monsieur P... X... était en France à cette époque) alors que les codes de confirmation ont été adressés par la banque sur ledit téléphone, constitue le faisceau d'indices laissant présumer de l'existence d'un acte frauduleux au préjudice de Monsieur P... X.... En conséquence, la CAISSE DE CREDIT MUTUEL DE BEAURAINS sera condamnée au paiement des sommes .de 5.754 € et de 2.101,03 € qui seront créditées respectivement sur les comptes n°[...] et [...] ouverts dans les livres de la CAISSE DE CREDIT MUTUEL DE BEAURAINS, avec intérêts au taux légal à compter du 5 décembre 2014, date de délivrance de l'assignation valant mise en demeure» 1°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de BEAURAINS à rembourser à M. P... X... le montant d'opérations effectuées sur son compte bancaire dont il contestait être l'auteur, la cour d'appel a retenu que la preuve de la négligence grave du client « ne [pouvait] se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés » ; qu'en statuant ainsi, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité du service de paiement employé, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L.133-23 du code monétaire et financier ; 2°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, mais sur des supports distincts, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destinés à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, permet de démontrer la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L.133-16, alinéa 1er, du code monétaire et financier ; qu'en condamnant la Caisse de Crédit Mutuel de BEAURAINS à rembourser à M. P... X... le montant d'opérations de débit sur ses comptes bancaires dont il contestait être l'auteur, ainsi que les frais financiers afférents, la cour d'appel, après avoir pourtant constaté que l'utilisation du service de banque à distance du Crédit Mutuel nécessitait « la saisie successive de l'identifiant CMNE du client, d'un mot de passe personnel à l'utilisateur attaché à cet identifiant, d'un code de validation à quatre chiffres présent sur une carte d'authentification renforcée comportant soixante-quatre combinaisons remise au client pour effectuer certains opérations comme la modification des coordonnées personnelles ou la création de cartes payweb et la validation de l'opération par un code de confirmation envoyé soit par mail soit par message écrit (SMS) au sociétaire après la saisie de son code de carte d'authentification » (arrêt, p. 5, 2ème §) et qu'en l'occurrence, les opérations de paiement litigieuses avaient été réalisées sans défaillance technique, après validation par la saisie de l'identifiant de M. X..., de son mot de passe associé, et du code renforcé indiqué sur la carte de clefs personnelles qui lui avait été adressée par voie postale, et qu'à chaque reprise, avait été renseigné le code de confirmation envoyé sur le numéro de téléphone portable de M. X... (p. 6, deux premiers §), a toutefois estimé que ces éléments n'étaient pas de nature à établir la négligence grave du client du Crédit Mutuel ; qu'en statuant de la sorte, quand la circonstance que les débits litigieux avaient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., communiquées sur différents supports, et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, impliquait que celui-ci avait commis une négligence grave dans la conservation desdites données, la cour d'appel a violé les articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble les articles 1134 et 1315 du code civil ; 3°) ALORS, SUBSIDIAIREMENT, QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation de l'identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que du numéro de téléphone du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; que pour condamner la Caisse de Crédit Mutuel de BEAURAINS à rembourser à M. P... X... le montant d'opérations de débit sur ses comptes bancaires dont il contestait être l'auteur, la cour d'appel a retenu que bien que la banque ait rapporté la preuve que les opérations de paiement et de retraits contestées avaient été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'avaient pas été affectées par une déficience technique, « les utilisations successives des services de paiement « payweb cards » et de retraits «e-retraits », telles qu'enregistrées par la banque, ne suffis[ai]ent pas nécessairement en tant que telles à prouver que les opérations [avaient] été autorisées par Monsieur X... ou que celui-ci n'a[vait] pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière » ; qu'en statuant de la sorte, quand la circonstance que les débits litigieux avaient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., figurant sur des supports distincts, et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, faisait présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, la cour d'appel a violé les articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ; 4°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant que l'utilisation des instruments de paiement sécurisés ayant permis la réalisation des opérations litigieuses, sans défaillance technique et avec utilisation de l'ensemble des données sécurisées de M. X... ne suffisait pas à établir la négligence grave de ce dernier dans la conservation de ces données personnelles, et que la banque ne démontrait pas que son système de sécurisation des paiements à distance n'était pas absolument inviolable, la cour d'appel a imposé à l'exposante la démonstration d'une preuve impossible, violant ainsi l'article 1315 du code civil, ensemble l'article 9 du code de procédure civile et le principe d'égalité des armes résultant de l'article 6 § 1 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales ; 5°) ALORS QUE le juge ne peut statuer par des motifs d'ordre général dépourvus d'assise dans les faits de la cause ; qu'en retenant, pour juger qu'il n'était pas démontré que M. X... avait commis une négligence grave dans la conservation de ses données personnelles, que l'association française des usagers de banque « soupçonne une brèche dans le dispositif de sécurité de la banque, le portail « payweb » et les cartes bancaires sans contact utilisant la technologie NFC (near field communication) étant suspectés d'être facilement mis en échec par les pirates informatiques, que la carte d'authentification renforcée peut être commandée par internet après la simple saisie de l'identifiant et du mot de passe associé », et que « l'actualité récente fait état de plusieurs cas dans lesquels des malfaiteurs sont parvenus à s'approprier des données bancaires confidentielles d'accès aux services de consultation et de gestion de compte à distance par internet sans pour autant bénéficier de la négligence voire de la complicité du titulaire de ladite carte » (arrêt, p. 7, 3ème §), la cour d'appel, qui a statué par des motifs pour partie hypothétiques, et d'ordre général, a violé l'article 455 du code de procédure civile ;