Cour de cassation, 14 novembre 2019. 18-17.325

COMM. MF COUR DE CASSATION ______________________ Audience publique du 14 novembre 2019 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10444 F Pourvoi n° D 18-17.325 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la Caisse de crédit mutuel de Calais, société coopérative de crédit, dont le siège est [...] , contre l'arrêt rendu le 29 mars 2018 par la cour d'appel de Douai (3e chambre ), dans le litige l'opposant à M. U... E..., domicilié [...] , défendeur à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 24 septembre 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, M. Richard de la Tour, premier avocat général, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la Caisse de crédit mutuel de Calais, de la SCP Boulloche, avocat de M. E... ; Sur le rapport de M. Blanc, conseiller référendaire, l'avis de M. Richard de la Tour, premier avocat général, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ; Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ; Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ; REJETTE le pourvoi ; Condamne la Caisse de crédit mutuel de Calais aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. E... la somme de 3 000 euros ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du quatorze novembre deux mille dix-neuf. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Calais. Il est fait grief à l'arrêt infirmatif attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de CALAIS à payer à M. E..., au titre des opérations non autorisées sur son compte bancaire, la somme de 7 745,99 € avec intérêts au taux légal à compter du 31 mai 2016, date de l'acte introductif d'instance, et D'AVOIR débouté la Caisse de Crédit Mutuel de CALAIS de toutes ses demandes ; AUX MOTIFS QUE « Sur la demande de M. E... en remboursement des sommes détournées sur son compte bancaire Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. La négligence grave de l'utilisateur de services de paiement confine au dol et dénote l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave est d'une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services ; il appartient au prestataire de service d'établir par d'autres éléments extrinsèques la preuve d'une négligence grave imputable à l'utilisateur de services. 2.1. Sur l'existence du détournement : M. E... produit une attestation manuscrite du 27 mai 2014, aux termes de laquelle il indique être "porteur de la carte [...] " et ne pas avoir effectué les opérations suivantes le 24 mai 2014 : - à 3h10 : e-retrait Strasbourg 500 euros, - à 3h11 : e-retrait - à 3h16 : Hipay.com Strasbourg France 500 euros, 517,90 euros, - à 3h21 : Hipay.com France 517,90 euros, - à 3h25 : Selfridges.com Royaume-Uni 679,77 euros, - à 3h25 : Aruba Spa Italie 244 euros, - à 3h27 : Hipay.Com France 517,90 euros, - à 3h28 : Hipay.Com France 517,90, euros, - à 3h34 : Hipay.Com France 517,90 euros, - à 3h41 : Hipay.Com France 517,90 euros, - à 4h08 : CIE Nationale France 219,11 euros, - à 4h09 : THY.com Turquie 2.103,52 euros, - à 4h22 : Bobbies Paris-France 373 euros, - à 4h25 : OVH Roubaix-France 19,19 euros, soit un total de 7 745,99 euros. M. E... corrobore cette attestation en produisant au débat un tableau sur 3 pages listant les autorisations et événements pour la carte GOLD n° [...] associée au compte n° [...], étant déjà remarqué, à la lecture de ce document, que cette carte a été mise en opposition le 24 mai 2014. La lecture de ce tableau montre : - en premier lieu, qu'outre les 14 opérations contestées et pour lesquelles l'autorisation a été accordée, 22 opérations ont été effectuées le 24 mai 2014 entre 3h10 et 21 secondes et 6h48 et 53 secondes, - en deuxième lieu, que les 14 opérations contestées ont été réalisées entre 3h10 et 21 secondes et 4h25 et 57 secondes, certaines de ces opérations étant de surcroît réalisées avec un laps de temps très court entre elles, notamment celles auprès de HIPAY.com à 3h27 et 23 secondes et 3h28 et 56 secondes ou encore auprès de CIE Nationale Royal à 4h08 et 57 secondes et auprès de THY.com à 4h09 et 24 secondes, - en troisième lieu, que parmi les 8 opérations dont l'autorisation a été refusée, certaines d'entre elles avaient le même point de vente que celles dont l'autorisation a été accordée, notamment "BOBBIES" à Paris (4h13, 4h16 et 4h28 pour les sommes respectives de 110 euros, 143 euros et 338 euros) ou THY.com à Istanbul en Turquie (4h27 pour une somme de 3 265,13 euros), - en dernier lieu, que 2 e-retraits ont été effectués à Strasbourg à 3h10 et 21 secondes et 3h11 et 37 secondes. Il résulte ensuite des investigations menées par les services de la Gendarmerie nationale, suite au dépôt de plainte de M. E... pour escroquerie le 31 mai 2014, que - une tierce personne a contacté le service clientèle de l'opérateur de M. E... par téléphone pour demander une nouvelle carte SIM en prétextant une perte ; cette personne a demandé à se faire remettre une nouvelle carte SIM dans un point de vente de la région lyonnaise, plus précisément au magasin EXTENSO TELECOM, [...] ; la carte SIM a été utilisée pour confirmer des achats internet mais également pour passer des communications vers le MAROC (PV n° 31125/02061/2014 - 14 janvier 2015) - suite à plusieurs réquisitions émises auprès de Bouygues Telecom, les services de la gendarmerie nationale ont appris "qu'effectivement, une tiers (sic) personne a contacté le service clientèle part (sic) téléphone aux alentours du 23/05/2014, prétextant une perte de carte SIM (n° [...])" ; la personne a demandé une nouvelle carte SIM qu'elle s'est faite (sic) remettre au point de vente : EXTENSO TELECOM, [...] ; la carte SIM n° [...] a été utilisée pour notamment appeler des numéros basés au MAROC (PV n° 31125/02061/2014 - 13 septembre 2014). La cour observe enfin que M. E... verse au débat : - un document de son opérateur téléphonique intitulé "votre demande : identification client" relatif à M. E... dont le numéro d'appel est le "[...]" ; ce document comprend également des informations sur l'état de la ligne ; elles précisent notamment que, le 22 septembre 2012, la carte SIM n° [...] a été activée et que le 23 mai 2014, la carte SIM n° [...] a été activée, - la "liste d'appels d'un client" relative à la carte SIM n° [...] dont il s'évince que le 24 mai 2014 des SMS ont été reçus sur le numéro [...] à : 3h10 et 9 secondes, 3h10 et 27 secondes, 3h11 et 27 secondes, 3h11 et 43 secondes, 3h12 et 53 secondes, 3h13 et 57 secondes, 3h14 et 50 secondes, 3h17 et 55 secondes, 3h23 et 7 secondes, 3h26 et 53 secondes, 3h29 et 2 secondes, 3h32 et 26 secondes, 3h33 et 53 secondes, 3h36 et 49 secondes, 3h38 et 03 secondes, 3h42 et 47 secondes, 3h52 et 19 secondes, 3h55 et 59 secondes, 4h00 et 45 secondes, 4h00 et 51 secondes, 4h05 et 47 secondes, 4h11 et 19 secondes, 4h19 et 22 secondes, 4h23 et 24 secondes et 4h26 et 8 secondes. Or, il ressort du "Tableau du détail des opérations" produit par la Caisse que les codes de confirmation des e-retrait et des payweb card ont été envoyés par SMS à destination du numéro "[...]" le 24 mai 2014 à 3h10 et 4 secondes, 3h11 et 22 secondes, 3h12 et 48 secondes, 3h13 et 52 secondes, 3h14 et 44 secondes, 3h26 et 48 secondes, 3h28 et 56 secondes, 3h32 et 21 secondes, 3h55 et 54 secondes, 4h05 et 42 secondes, 4h11 et 14 secondes, et 4h19 et 17 secondes. En l'état de ces constatations, les circonstances entourant la création et l'utilisation des cartes Payweb et du système e-retrait générés à partir de la carte de crédit n° [...] démontrent suffisamment que les opérations litigieuses réalisées le 24 mai 2014 ont nécessairement été effectuées à l'insu de M. E... par le biais d'un détournement frauduleux par un tiers de ses instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions de l'article L. 133-18 du code monétaire et financier. La Caisse ne peut en conséquence utilement soutenir dans ses écritures que "les opérations contestées ont été nécessairement autorisées" ou encore que "M. E... a donné son consentement aux opérations contestées" ou qu'il "ne peut prétendre qu'il y a eu un détournement des instruments de paiement à son insu". Surabondamment, la cour observe que la circonstance alléguée par la Caisse selon laquelle M. E... n'a déposé plainte que le 31 mai 2014, soit 7 jours après les prélèvements litigieux sur son compte bancaire, n'est pas suffisante en soi pour démontrer l'absence de réalité de la fraude ou que les opérations litigieuses réalisées le 24 mai, entre 3h10 et 21 secondes et 4h25 et 57 secondes, n'ont pas été effectuées à son insu. A titre surabondant encore, la cour fait observer que la Caisse ne peut valablement se fonder sur l'article 15 de loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique pour affirmer que "le fournisseur d'accès internet « est responsable de plein droit à l'égard de l'acheteur de la bonne exécution des obligations résultant du contrat, que ces obligations soient à exécuter par elle-même ou par d'autres prestataires de services [...]. [Il] peut s'exonérer de tout ou partie de sa responsabilité en apportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable, soit à l'acheteur, soit au fait, imprévisible et insurmontable, d'un tiers étranger à la fourniture des prestations prévues au contrat, soit à un cas de force majeure »" et que "commet une faute l'utilisateur qui met en cause la banque sans rechercher si l'inexécution ou la mauvaise exécution alléguée n'est pas imputable au fournisseur d'accès internet". En effet, l'article 15 de la loi n° 2004-575 énonce : "Toute personne physique ou morale exerçant l'activité définie au premier alinéa de l'article 14 est responsable de plein droit à l'égard de l'acheteur de la bonne exécution des obligations résultant du contrat, que ces obligations soient à exécuter par elle-même ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci. Toutefois, elle peut s'exonérer de tout ou partie de sa responsabilité en apportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable, soit à l'acheteur, soit au fait, imprévisible et insurmontable, d'un tiers étranger à la fourniture des prestations prévues au contrat, soit à un cas de force majeure". Il s'ensuit que ce texte vise toute personne physique ou morale exerçant l'activité de "commerce électronique", soit "l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services" selon l'article 14 de la loi n° 2004-575. 2.2. Sur la négligence grave de M E... : En application de l'article L. 133-23 du code monétaire et financier dans sa version applicable au litige. - lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, - l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Il s'évince de l'alinéa 2 de l'article L. 133-23 précité que la seule démonstration par le prestataire de services de paiement qu'un tel service doté d'un dispositif de sécurité a été utilisé avec usage d'un identifiant internet, d'un mot de passe de connexion ainsi que de clefs personnelles permettant à l'utilisateur de services de paiement de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement, ne permet pas en soi, en l'absence d'autres éléments, de rapporter la preuve de la négligence grave de l'utilisateur de services de nature à empêcher le remboursement demandé et ne saurait suffire à décharger le prestataire de services de paiement de toute responsabilité. En conséquence, la Caisse ne peut utilement soutenir, sur le fondement de l'article 133-23 du code précité, qu'aucun dispositif légal ne lui impose de démontrer la négligence de l'utilisateur et qu'elle n'a uniquement à démontrer que sont respectées les obligations en matière d'authentification, d'enregistrement et de comptabilisation. Il lui appartient donc de rapporter la preuve de la négligence grave de M. E.... Sur ce, il ressort du document "Liste des autorisations et événements", versé par M. E... au débat, que celui-ci a formé opposition à sa carte bancaire n° [...] le 24 mai 2014, étant précisé que ce point n'est pas contesté par la Caisse. La cour constate ensuite à la lecture d'un courrier avec recommandé et accusé de réception du conseil de M. E..., en date du 18 décembre 2014 et adressé à la Caisse de Crédit Mutuel Nord Europe, que M. E... a fait une déclaration en Gendarmerie le 26 mai 2014, cette circonstance n'étant pas davantage contestée par la Caisse. La cour observe enfin que M. E... a déposé plainte le 31 mai 2014 pour escroquerie suite au piratage de sa carte SIIVI et au détournement des sommes sur son compte bancaire (PV n° 31125/02061/2014). Ces éléments démontrent que M. E... a réagi rapidement au détournement de ses données personnelles et confidentielles de sorte que la Caisse ne saurait utilement prétendre que M. E... a tardé à réagir, étant rappelé qu'il a fait opposition à sa carte bancaire n° [...] le 24 mai 2014, soit le jour-même où ont été constatées les opérations litigieuses. En second lieu, la cour relève, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage. La cour note aussi que les utilisations successives des données attachées à la carte de M. E... ne suffisent pas nécessairement en tant que telles à prouver que les opérations litigieuses, décrites dans l'attestation manuscrite du 27 mai 2014 de M. E..., du document "Liste des autorisations et événements" et du "Tableau du détail des opérations", et qui ont été réalisées le 24 mai 2014, entre 3h10 et 21 secondes et 4h25 et 57 secondes, ont été autorisées par M. E... ou qu'il est à l'origine desdites opérations litigieuses, ou encore qu'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations légales lui incombant en la matière, ainsi qu'à celles contractuellement énoncées dans les conditions générales cmnedirect, les conditions générales e-retrait ou les conditions générales payweb card. Si la Caisse allègue dans ses écritures que M. E... "n'a pas respecté son obligation de garde des instruments de paiement consacrée par le code monétaire et financier et agréée par l'utilisateur dans les conditions générales Caisse de Crédit Mutuel cmne direct" ou que les identifiants et coordonnées personnels "ont obligatoirement été transmis, volontairement ou non par M. E... à un tiers", pour autant, force est à l'évidence de constater que la Caisse ne communique au débat aucune pièce de nature à démontrer que M. E... aurait manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ou qu'il aurait nécessairement et volontairement ou non communiqué ses informations personnelles et confidentielles à un tiers par négligence grave ou par manquement intentionnel à ses obligations lui incombant en la matière, voire même qu'il aurait agi frauduleusement. Si la Caisse soutient encore, sur la base d'un courrier de son conseil du 18 décembre 2014, que M. E... "a prétendu être victime d'un phishing" et qu'il ne pouvait "en apporter la preuve", la cour constate que le courrier en question ne fait qu'évoquer au conditionnel la thèse du phishing, ce qui s'analyse en «une subtilisation de données, ce dont mon client a dû être victime". Ce point est d'autant plus acquis que, dans un courrier du 17 février 2015 adressé au conseil de M. E..., le cabinet de Berny "en ma qualité de conseil de la Caisse de Crédit mutuel qui m'a fait suivre votre lettre du 12.12.2014 concernant la demande de remboursement effectuée par M. E..." précise : "Vous indiquez que M. E... aurait été victime d'un phishing". En conséquence, en l'absence d'autres pièces versées au débat, il n'est nullement démontré d'une part que M. E... a été victime d'un phishing, et d'autre part, qu'il a transmis par ce moyen à un tiers ses données personnelles et confidentielles. En dernier lieu, la cour rappelle que la Caisse est tenue de prouver l'implication à un titre ou à un autre de M. E... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire même son action frauduleuse. Or, il n'est nullement établi par la Caisse, en l'absence d'éléments objectifs permettant d'établir la réalité de la négligence grave de M. E..., de son manquement intentionnel aux obligations lui incombant ou de sa fraude, que celui-ci a transmis à un tiers ses identifiants, son code confidentiel personnel, ses clés confidentielles ou ses coordonnées personnelles. Surabondamment, la Caisse ne saurait démontrer la négligence grave ou le manquement intentionnel de M. E... à ses obligations, voire son action frauduleuse, en se bornant à les déduire du piratage de la carte SIM de son téléphone portable. En l'état de l'ensemble de ces énonciations et constatations, la Caisse est défaillante dans l'établissement du manquement intentionnel ou de la négligence grave alléguée à l'encontre de M. E.... Le jugement attaqué sera donc infirmé en ce qu'il a débouté M. E... de sa demande en paiement, la Caisse devant être condamnée, au vu des pièces produites au débat, à lui payer la somme de 7 745,99 euros avec intérêts au taux légal à compter du 31 mai 2016, date de l'acte introductif d'instance, au titre des opérations non autorisées sur son compte bancaire ( ) Sur les demandes annexes Le sens du présent arrêt conduit à infirmer le jugement attaqué sur ces dispositions relatives aux dépens et à l'article 700 du code de procédure civile. La Caisse qui succombe sera condamnée, outre aux entiers dépens de première instance et d'appel, à payer à M. E... la somme de 1 500 euros sur le fondement de l'article 700 du code de procédure civile » 1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la négligence grave s'entend de la carence de l'utilisateur du service de paiement à prendre toute mesure raisonnable pour assurer la confidentialité de ses données personnelles ; qu'en jugeant que la négligence grave de l'utilisateur de services de paiement « confin[ait] au dol et dénot[ait] l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave [était] d'une importance telle qu'elle [rendait] impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services », et en appréciant l'existence d'une négligence grave de la part de M. E... au regard de cette définition, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ; 2°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de CALAIS à rembourser à M. E... le montant d'opérations réalisées au débit de son compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 9, 8ème §), a néanmoins considéré que les utilisations successives des données attachées à la carte de M. E... ne pouvaient suffire à prouver que les opérations litigieuses avaient été autorisées par ce dernier, ou qu'il n'aurait pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant en la matière, et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'aurait commise M. E... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ; 3°) ALORS SUBSIDIAIREMENT QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que du numéro de téléphone du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en l'espèce, pour condamner la Caisse de Crédit Mutuel de CALAIS à rembourser à M. U... E... le montant d'opérations de débit sur ses comptes bancaires dont il contestait être l'auteur, la cour d'appel a retenu que, bien que la banque ait rapporté la preuve que les opérations de paiement et de retraits contestées avaient été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'avaient pas été affectées par une déficience technique ou autre, les utilisations successives des services de paiement « payweb card » et de retraits « e-retraits », telles qu'enregistrées par la banque, ne suffisaient pas nécessairement en tant que telles à prouver que les opérations avaient été autorisées par M. E... ou que celui-ci n'avait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ; qu'en statuant de la sorte, quand la circonstance que les débits litigieux avaient été effectués par le biais de services de paiement sécurisés nécessitant la fourniture de données strictement personnelles à M. E..., figurant sur des supports distincts, et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, n'était pas de nature à faire présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ; 4°) ALORS, EN OUTRE, QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée (conclusions d'appel de la banque, not. p. 5 à 9) si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés payweb card et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l'utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse de messagerie électronique ou le téléphone portable de ce dernier, ne permettait pas de démontrer que M. E... avait été gravement négligent dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ; 5°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant qu'il incombait à la Caisse de Crédit Mutuel de CALAIS de prouver « l'implication à un titre ou à un autre de M. E... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire son action frauduleuse », et qu'il n'était « nullement établi par la Caisse en l'absence d'éléments objectifs permettant d'établir la réalité de la négligence grave de M. E..., de son manquement intentionnel aux obligations lui incombant ou de sa fraude, que celui-ci a transmis à un tiers ses identifiants, son code confidentiel personnel, ses clés confidentielles ou ses coordonnées personnelles », la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales, ensemble les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil).