Texte intégral
COMM.
MF
COUR DE CASSATION
______________________
Audience publique du 17 octobre 2018
Rejet non spécialement motivé
M. X..., conseiller doyen
faisant fonction de président
Décision n° 10503 F
Pourvoi n° Z 17-16.121
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante :
Vu le pourvoi formé par la Caisse de crédit mutuel de Béthune, société coopérative de crédit, dont le siège est [...] ,
contre l'arrêt rendu le 9 février 2017 par la cour d'appel de Douai (3e chambre), dans le litige l'opposant :
1°/ à M. Gilbert Y...,
2°/ à Mme Françoise Y...,
domiciliés [...] ,
3°/ à l'association UFC Que Choisir, dont le siège est [...] ,
défendeurs à la cassation ;
Vu la communication faite au procureur général ;
LA COUR, en l'audience publique du 4 septembre 2018, où étaient présents : M. X..., conseiller doyen faisant fonction de président, M. Z..., conseiller référendaire rapporteur, M. Guérin, conseiller, M. B... , premier avocat général, M. Graveline, greffier de chambre ;
Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la Caisse de crédit mutuel de Béthune, de la SCP Rousseau et Tapie, avocat de M. et Mme Y... et de l'association UFC Que Choisir ;
Sur le rapport de M. Z..., conseiller référendaire, l'avis de M. B... , premier avocat général, et après en avoir délibéré conformément à la loi ;
Vu l'article 1014 du code de procédure civile ;
Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ;
Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ;
REJETTE le pourvoi ;
Condamne la Caisse de crédit mutuel de Béthune aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. et Mme Y... et à l'association UFC Que Choisir la somme globale de 3 000 euros ;
Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-sept octobre deux mille dix-huit. MOYEN ANNEXE à la présente décision
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Béthune.
Il est fait grief à l'arrêt partiellement infirmatif attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de BETHUNE à verser à Monsieur et à Madame Y... la somme de 5.451,08 € avec intérêts au taux légal à compter du 13 mars 2014, et capitalisation des intérêts, et D'AVOIR condamné la Caisse de Crédit Mutuel de BETHUNE aux dépens de première instance et d'appel, ainsi qu'à payer les sommes de 2.000 € aux époux Y... et de 1.000 € à l'association UFC-Que Choisir de l'Artois au titre de l'article 700 du code de procédure civile,
AUX MOTIFS QUE « Sur la demande de remboursement Il résulte de l'article 1315 [lire : 1134] du code civil dans sa version antérieure à l'ordonnance du 10 février 2016 que les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites. L'article L. 133-18 du code monétaire et financier, qui s'applique aux cas particulier des instruments de paiement dotés d'un dispositif de sécurité personnalisé, dispose qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. L'article L. 133-19 du même code précise, en son paragraphe II que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui y sont liées. Le paragraphe IV du même article précise, en outre, que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par la négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17.L'article L. 133-23 du code monétaire et financier dispose que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. 1) Sur l'existence d'un détournement Il résulte des dispositions combinées des deux alinéas de l'article L. 133-23 du code monétaire et financier susvisé qu'il appartient au prestataire de service, lorsqu'un utilisateur conteste avoir autorisé une opération de paiement, d'établir que ladite opération a été, notamment, authentifiée, ladite authentification ne suffisant pas nécessairement, en tant que telle, à prouver qu'elle a été autorisée par le payeur. En l'espèce, il ressort du rapport de fraude établi par l'établissement bancaire que, pour chacune des vingt opérations litigieuses : - un accès au site CMNE a été réalisé ; - la validation de la commande de carte Payweb a été effectuée par l'introduction de la clé personnelle ; - un code de confirmation a été envoyé, une fois sur le numéro de téléphone portable des époux A... s'agit d'opérations sans utilisation du code confidentiel des titulaires du compte.Ce rapport de fraude énonce également que les vingt opérations litigieuses ont été effectuées par une adresse IP localisée au Royaume Uni. II est constant que M. et Mme Y... résident à [...] dans le Pas-de-Calais.Or, il ressort du relevé du compte [...] en date du 5 juin 2013, qu'aucune autre dépense au Royaume Uni ne peut être relevée durant la période couvrant l'ensemble des opérations litigieuses, ce qui exclut la possibilité d'un voyage effectué dans ce pays par les époux A... au regard de ces éléments, c'est à juste titre que les premiers juges ont énoncé que les opérations litigieuses ont nécessairement été effectuées par le biais d'un détournement par un tiers des instruments de paiement de M. et Mme Y... ou des données qui y sont attachées et que ces opérations doivent, en conséquence, être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions des articles L. 133-18 et suivants du code monétaire et financier.2) Sur les négligences graves L'article L. 133-17 du code monétaire et financier dispose, en son paragraphe I, que lorsqu'il a connaissance de la perte, du vol, du détournement où de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci.Il résulte de l'article 9 du code de procédure civile qu'il incombe à chaque partie de prouver conformément à la loi les faits nécessaires au succès de sa prétention.Il appartient dès lors à la Caisse de Crédit Mutuel de Béthune de rapporter la preuve de l'existence des négligences graves qu'elle invoque à l'encontre de M. et Mme Y..., à savoir le fait d'avoir pris attache tardivement avec elle afin de former opposition aux opérations de paiement ou d'avoir divulgué des données personnelles à des tiers.- S'agissant du caractère tardif de l'opposition, l'établissement bancaire se fonde sur son rapport de fraude précité selon lequel la première opération non autorisée est intervenue le 7 mai 2013 et, dans le cadre de l'émission de la carte de paiement Payweb ayant conduit à ladite opération, un SMS a été envoyé sur le numéro de téléphone portable de M. et Mme Y... aux fins de délivrance d'un code de confirmation.Ce message indiquait : « demande Payweb sur CB xxxx xxxx 0445 618x pour 500,00 EUR. Code de Confirmation : 015526 utilisable jusqu'à 18h18 ».Cependant, la Caisse de Crédit Mutuel de Béthune ne pouvant se constituer une preuve à elle-même par le seul biais de ce rapport de fraude établi par ses services, il lui appartient de démontrer la réalité de cet envoi, et de sa réception par les époux Y..., du SMS précité dont elle se prévaut. Or, force est de constater que l'établissement bancaire se borne à énoncer qu'il appartient aux appelants de démontrer qu'ils n'ont pas reçu ce SMS, renversant ainsi la charge de la preuve.Dès lors, faute d'éléments rapportés sur ce point par la Caisse de Crédit Mutuel de Béthune, M. et Mme Y... ne peuvent être regardés comme ayant eu connaissance du détournement qu'ils invoquent dès le 7 mai 2013.Il est acquis que les époux Y... ont signalé à la Caisse de Crédit Mutuel de Béthune l'existence d'opérations non autorisées le 15 mai 2013 par téléphone suite à une consultation de leurs comptes bancaires, ce qui n'est pas contesté par la banque, puis par courriers du 21 mai 2013. Ils ont ainsi signalé l'existence de vingt prélèvements entre le 7 mai et le 15 mai 2013 via le service Payweb card, pour une somme totale de 5.451,08 euros.Les époux Y... ont également déposé plainte auprès des services de police du commissariat de Béthune le 15 mai 2013 pour des faits d'utilisation frauduleuse de leur compte bancaire.- S'agissant de la divulgation de leur données personnelles par les époux Y..., si la banque rapporte suffisamment la preuve que les opérations de paiement contestées ont été authentifiées, enregistrées et comptabilisées, il n'en demeure pas moins que les utilisations successives des données attachées à la carte des époux Y... telles qu'enregistrées par la banque, et non du code confidentiel de ces derniers, ne suffisent pas en tant que telles à prouver que les opérations ont été autorisées par les époux Y... ou que ceux-ci n'ont pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière.Il ressort de l'ensemble de ces éléments que la Caisse de Crédit Mutuel de Béthune ne rapporte aucunement la preuve d'une négligence grave des époux Y... relativement au caractère tardif de leur opposition suite à la découverte du détournement dont ils ont fait l'objet ou à divulgation de leurs données personnelles.Il s'ensuit que le jugement doit être infirmé en ce qu'il a rejeté la demande de remboursement des opérations non autorisées formulée par M. et Mme Y..., la Caisse de Crédit Mutuel de Béthune devant être condamnée à leur verser la somme de 5.451,08 euros avec intérêts au taux légal à compter du 13 mars 2014.
Il y a également lieu de faire droit à la demande des époux Y... et d'ordonner la capitalisation des intérêts dus pour une année entière en application de l'article 1154 du code civil (
)Sur les dépens et l'article 700 du code de procédure civile.Le sens du présent arrêt conduit à infirmer le jugement sur les dépens et l'article 700 du code de procédure civile.La Caisse de Crédit Mutuel de Béthune, partie perdante, sera condamnée à payer à M. et Mme Y... la somme de 2 000 euros, et à l'association UFC Que Choisir de l'Artois la somme de 1 000 euros, au titre de l'article 700 du code de procédure civile » ;
1°) ALORS QUE le principe selon lequel nul ne peut se constituer de preuve à lui-même ne s'applique qu'à la preuve d'un titre, non d'un simple fait juridique qui peut être rapportée par tous moyens ; qu'en l'espèce, la Caisse de Crédit Mutuel de BETHUNE faisait valoir (ses conclusions d'appel, p. 6 ; p. 21-22) que les époux Y... avaient commis une négligence grave à l'origine des détournements dont ils indiquaient avoir été victimes entre le 7 et le 15 mai 2013, dans la mesure où ils n'avaient pas pris attache auprès de leur banque ni formé opposition avant le 15 mai 2013 alors qu'un sms leur avait été adressé le 7 mai 2013 à 18h03, leur communiquant un code confidentiel temporaire au titre d'une opération de paiement en cours (« Demande de PAYWEB sur CB xxxx xxxx *** ***x pour 500,00 EUR. Code de confirmation : [...] utilisable jusqu'à 18h18 ») ; que, pour dire que les époux Y... ne « pouvaient être regardés comme ayant eu connaissance du détournement qu'ils invoquaient dès le 7 mai 2013 », la cour d'appel a retenu que la Caisse de Crédit Mutuel de Béthune ne pouvant se constituer une preuve à elle-même par le seul biais de ce rapport de fraude établi par ses services, il lui appartenait de démontrer la réalité de l'envoi de ce sms, et de sa réception par les époux Y... ; qu'en statuant de la sorte, quand le principe selon lequel nul ne peut se constituer de preuve à lui-même n'est pas applicable à la preuve des faits qui est libre, de sorte qu'il lui incombait d'examiner la valeur probante du rapport du service des fraudes du Crédit Mutuel, la cour d'appel a violé l'article 1315 du code civil dans sa rédaction applicable au litige, ensemble l'article L. 133-19 du code monétaire et financier ;
2°) ALORS QUE la cour d'appel s'est expressément fondée sur le rapport du service des fraudes du Crédit Mutuel pour considérer qu'il était établi que les vingt opérations de paiement litigieuses avaient été réalisées depuis une adresse IP localisée au Royaume-Uni et en déduire que les époux Y... avaient été victimes de détournement et n'avaient ainsi pas autorisé les opérations de paiement litigieuses (arrêt, p. 6, 2ème à 7ème §) ; qu'en écartant néanmoins ce même rapport pour apprécier la preuve de la négligence grave que la banque reprochait à ses clients, motif pris qu'il émanait d'un service du Crédit Mutuel, la cour d'appel a privé sa décision de base légale au regard de l'article 1315 du code civil dans sa rédaction applicable au litige, ensemble l'article L. 133-19 IV du code monétaire et financier, et l'article 6 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales ;
3°) ALORS EN TOUT ETAT DE CAUSE QU'il incombe à la personne qui prétend ne pas avoir reçu un message qui lui a été adressé sur son téléphone portable d'en rapporter la preuve ; qu'en jugeant que faute pour la Caisse de Crédit Mutuel de BETHUNE de fournir des éléments permettant de démontrer que les époux Y... avaient reçu le sms litigieux, ces derniers ne pouvaient être regardés comme ayant eu connaissance du détournement qu'ils invoquent dès le 7 mai 2013, la cour d'appel, qui a fait peser sur la banque la charge d'une preuve impossible, a violé l'article 1315 du code civil dans sa rédaction applicable au litige, ensemble l'article 9 du code de procédure civile ;
4°) ALORS QUE l'exposante faisait valoir dans ses conclusions d'appel (p. 21 et 22) qu'elle avait le 3 juin 2016 fait délivrer aux époux Y... une sommation de produire le listing établi par leur opérateur téléphonique contenant l'ensemble des appels et sms reçus au titre de la période litigieuse, ainsi que la liste de leur fournisseur d'accès à internet comportant les e-mails reçus au cours de cette même période ; qu'en s'abstenant de rechercher, ainsi qu'elle y était invitée, si le refus des époux Y..., qui n'avaient jamais contesté la réalité du sms en cause avant l'instance d'appel, de déférer à cette sommation n'établissait pas leur mauvaise foi et ne permettait pas de considérer comme établie la preuve de la réception du sms litigieux, la cour d'appel a privé sa décision de base légale au regard de l'article 1315 du code civil dans sa rédaction applicable au litige, ensemble les articles 9 et 11 du code de procédure civile ;
5°) ALORS, ENFIN, QUE la preuve de la négligence grave de l'utilisateur d'un service de paiement sécurisé peut résulter de l'utilisation de données confidentielles ne figurant pas sur sa carte bancaire et uniquement connues de ce dernier ; qu'en l'espèce, la Caisse de Crédit Mutuel de BETHUNE faisait valoir (ses conclusions d'appel, spéc. p. 4-5 ; p. 6-7 ; p. 11) que l'utilisation du service de paiement « payweb » employé pour la réalisation des opérations litigieuses nécessitait l'emploi, pour chacun des actes d'achat, d'un code confidentiel figurant sur un support papier reçu par le client, distinct des données mentionnées sur la carte bancaire ; que la cour d'appel, qui a pourtant constaté que la banque « rapport[ait] suffisamment la preuve que les opérations de paiement contestées ont été authentifiées, enregistrées et comptabilisées », a néanmoins considéré que les utilisations successives des données attachées à la carte des époux Y... telle qu'enregistrée par la banque, « et non du code confidentiel de ces derniers », ne suffisaient pas en tant que telles à prouver que les opérations avaient été autorisées par les époux Y... ou que ceux-ci n'avaient pas satisfait intentionnellement ou par négligence grave aux obligations leur incombant en la matière ; qu'en statuant de la sorte, sans rechercher, comme elle y était invitée, si la négligence grave reprochée aux époux Y... ne résultait pas de l'emploi, pour chacune des opérations en litige, d'un code personnel distinct des données attachées à la carte bancaire, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-18, L. 133-19 et L. 133-23 du code monétaire et financier, ensemble l'article 1134 du code civil.