Cour de cassation, 26 février 2020. 18-20.632

COMM. LG COUR DE CASSATION ______________________ Audience publique du 26 février 2020 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10061 F Pourvoi n° Y 18-20.632 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ DÉCISION DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 26 FÉVRIER 2020 La Caisse de crédit mutuel de Charleville-Mézières, société coopérative de crédit, dont le siège est [...] , a formé le pourvoi n° Y 18-20.632 contre l'arrêt rendu le 8 juin 2018 par la cour d'appel de Reims (1re chambre civile, section instance), dans le litige l'opposant à M. I... W..., domicilié [...] , défendeur à la cassation. Le dossier a été communiqué au procureur général. Sur le rapport de M. Remeniéras, conseiller, les observations écrites de la SCP Célice, Texidor, Périer, avocat de la Caisse de crédit mutuel de Charleville-Mézières, et l'avis de M. Richard de la Tour, premier avocat général, après débats en l'audience publique du 7 janvier 2020 où étaient présents Mme Mouillard, président, M. Remeniéras, conseiller rapporteur, M. Rémery, conseiller doyen, M. Richard de la Tour, premier avocat général, et Mme Labat, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu la présente décision. 1. Le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation. 2. En application de l'article 1014, alinéa 1er, du code de procédure civile, il n'y a donc pas lieu de statuer par une décision spécialement motivée sur ce pourvoi. EN CONSÉQUENCE, la Cour : REJETTE le pourvoi ; Condamne la Caisse de crédit mutuel de Charleville-Mézières aux dépens ; En application de l'article 700 du code de procédure civile, rejette la demande formée par la Caisse de crédit mutuel de Charleville-Mézières ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-six février deux mille vingt. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Texidor, Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Charleville-Mézières Il est fait grief à l'arrêt attaqué D'AVOIR déclaré la Caisse de Crédit Mutuel de CHARLEVILLE MEZIERES responsable des dommages causés à M. I... W..., D'AVOIR condamné en conséquence la Caisse de Crédit Mutuel de CHARLEVILLE MEZIERES à payer à M. I... W... la somme de 5.074,09 €, avec intérêts au taux légal à compter du 16 septembre 2015, et D'AVOIR condamné la Caisse de Crédit Mutuel de CHARLEVILLE MEZIERES à payer à M. I... W... la somme de 500 € à titre de dommages et intérêts pour préjudice moral ; AUX MOTIFS PROPRES QU' « Il résulte des dispositions du code monétaire et financier relatives aux instruments de paiement dotés d'un dispositif de sécurité personnalisé et notamment de l'article L. 133-19 : - que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées, - que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. Les articles L. 133-16 et L. 133-17 imposent à l'utilisateur du service une obligation de prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » ainsi qu'une obligation d'information de la banque « lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées », et ceci « aux fins de blocage de l'instrument ». Par ailleurs l'article L. 133-23 du code monétaire et financier dispose : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement. » Les dispositions de l'alinéa deux de cet article n'instituent aucune présomption ni aucun renversement de la charge de la preuve en faveur du prestataire de services de paiement lorsque l'opération de paiement a été enregistrée comme en l'espèce sans défaillance technique. L'application des dispositions ci-dessus rappelées, qui met à la charge de la banque la preuve d'une négligence grave de son client, ne la mettent pas dans l'impossibilité de s'exonérer de sa responsabilité et ne sont pas contraires aux principes du procès équitable. La banque dans ses conclusions décrit avec précision le processus de création d'une Payweb Card qu'elle qualifie de hautement sécurisé, la création de la carte virtuelle nécessitant en premier lieu l'accès aux services de banque à distance par la saisie d'un identifiant et d'un mot de passe personnels puis l'obtention d'un numéro virtuel obtenu après la saisie d'une clé personnelle se trouvant sur une carte de code remise au client par la banque et dont il est le gardien et doit assurer la confidentialité, le processus se terminant par l'envoi d'un code de confirmation par mail ou par SMS devant être renseigné dans un certain délai. Elle fait valoir à ce titre que pour aboutir à la création de cette carte, l'utilisateur doit connaître l'identifiant de connexion au site en ligne de la banque, le mot de passe correspondant et se trouver en possession de la carte de clé personnelle contenant 64 codes outre la possession du téléphone portable ou de l'adresse e-mail du titulaire du compte. S'il est exact que ce processus est particulièrement sécurisé, et s'il est exact également que, comme l'établit la banque, les paiements litigieux sont intervenus conformément au processus ainsi sécurisé, elle n'établit pas qu'un tel processus serait totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de codes ci-dessus évoquée ainsi que le code de confirmation envoyé par SMS. La cour constate en outre que, en l'espèce, Monsieur W... a déposé plainte auprès des services de gendarmerie dès qu'il a eu connaissance des opérations qu'il conteste. Il a été entendu par les services de gendarmerie le 5 juin 2014 soit deux jours après la date des opérations litigieuses. Il a expliqué aux gendarmes s'être aperçu la veille de deux virements bancaires opérés pour des somme de 2 000 € et 1 000 qu'il contestait avoir autorisés au profit d'un tiers dont il a donné le nom et qu'il a indiqué ne pas connaître. Il leur a fait part également des opérations effectuées par le biais du système Payweb Card qui sont l'objet de la présente instance. Il a été interrogé à ce titre par les gendarmes quant à la communication possible de ses coordonnées bancaires et a contesté toute communication en expliquant « je suis très vigilant à ce niveau. Je ne fais d'ailleurs aucun achat sur Internet. ». La cour note en premier lieu qu'il n'est donné aucune explication particulière ni par la banque ni d'ailleurs par Monsieur W... quant aux deux virements bancaires dénoncés par lui au cours de son audition, virements qui ont été effectués peu de temps après les paiements litigieux. La cour note en second lieu que la banque ne conteste pas les explications de Monsieur W... quant au fait qu'il n'a jamais effectué d'achats en ligne et que, en toute hypothèse, elle ne produit aucun élément de nature à établir l'existence de telles opérations. Il apparaît en réalité que la banque, pour refuser de procéder au remboursement des opérations litigieuses a opposé le fait que Monsieur W... aurait été victime d'une opération de « phishing » qui n'aurait été rendue possible que par sa propre négligence. Toutefois, d'une part, le fait d'avoir été surpris par une telle manoeuvre frauduleuse ne constitue pas à lui seul la négligence grave requise par l'article L. 133-23 du code monétaire et financier et, d'autre part, en toute hypothèse, la réalité d'une telle opération de phishing n'est pas démontrée en l'espèce. Dans ces conditions, il ne saurait être retenu à défaut de tout autre élément que le titulaire du compte aurait manqué à l'obligation de conservation et d'utilisation prudente de l'instrument de paiement qui lui est imposée par l'article L. 133-16 du code monétaire et financier. Il résulte de l'ensemble de ces observations que c'est à juste titre que le premier juge a estimé que la banque ne rapportait pas la preuve d'une négligence grave commise par Monsieur W... et que sa responsabilité étant de ce fait engagée, les opérations litigieuses devaient être mises à sa charge. Il a en conséquence condamné à juste titre la banque à payer à Monsieur W... la somme de 5 074,09 €. L'intérêt au taux légal sur cette somme sera dû à compter du 16 septembre 2015, date de la mise en demeure, et ceci par application de l'article 1153 alinéa trois du Code civil dans sa rédaction applicable aux faits de l'espèce. Le jugement sera réformé de ce chef. Pour le surplus, le premier juge a fait une juste appréciation du préjudice subi par Monsieur W... du fait du refus de remboursement opposé par la banque en condamnant celle-ci à lui payer la somme de 500 € à titre de dommages-intérêts. Monsieur W... devant la cour ne produit aucun élément de nature à justifier que lui soit allouée une somme supplémentaire. Le jugement sera confirmé de ce chef. Il serait inéquitable que Monsieur W... conserve à sa charge le montant des frais irrépétibles engagés pour les besoins de la présente instance. La banque sera condamnée à lui payer la somme de 2 000 € en application de l'article 700 du code de procédure civile » ; ET AUX MOTIFS, A LES SUPPOSER ADOPTES, QUE « Aux termes de l'article L. 133-16 du Code monétaire et financier, l'utilisateur de services de paiement, dès qu'il reçoit un instrument de paiement, prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; qu'il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. En application de l'article L. 133-17 du même code, lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci. En application de l'article L. 133-18 du même code, en cas d'opération de paiement non autorisée signalée par l'utilisateur, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état ou il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. En vertu de l'article L. 133-19 du même code, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Toutefois, le payeur supporte-toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. En vertu de l'article L. 133-23 du même code, lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas, nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Il est constant que s'il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. En l'espèce, il ressort des éléments non contestés de la cause que Monsieur I... W... a été victime d'opérations frauduleuses effectuées à l'aide du système de paiement « payweb » qui permet de réaliser des achats à distance. Il n'est pas non plus contesté par les parties que l'utilisation de ce service de paiement à distance nécessite, comme le démontre le constat d'huissier en date du 8 décembre 2014 versé aux débats, la saisie successive de l'identifiant du client, du mot de passe personnel attaché à cet identifiant, d'une code de validation à quatre chiffres figurant sur une carte dite de « clés personnelles » remise au client et comprenant soixante-quatre combinaisons différentes, et la validation de l'opération de paiement par un code de confirmation de six chiffres envoyés par SMS ou email. Il ressort également des pièces versées aux débats que Monsieur I... W... a constaté que des paiements ont été effectués le 3 juin 2014 pour un montant total de 5.074,09 euros, alors qu'il conteste en être l'auteur, et que celui-ci a formé opposition et déposé un dossier de réclamation le 4 juin 2014. Afin de s'exonérer de sa responsabilité et de son obligation de remboursement, la CAISSE DE CRÉDIT MUTUEL DE CHARLEVILLE-MÉZIÈRES affirme que seule une négligence de Monsieur I... W... a permis la réalisation de ces opérations frauduleuses puisque le dispositif de sécurité mis à disposition de ses clients est parfaitement efficient. Cependant, celle-ci ne démontre pas que Monsieur I... W... a révélé volontairement à un tiers les données bancaires nécessaires à la réalisation d'un paiement à distance, pas plus qu'elle ne démontre que celui-ci aurait, par son imprudence, permis à un tiers d'en prendre connaissance. La seule affirmation selon laquelle le demandeur aurait été vraisemblablement victime d'un « fishing » [sic], dont elle ne justifie aucunement l'existence, est insuffisante à rapporter la preuve d'une telle imprudence. De même, l'affirmation selon laquelle le système de paiement à distance mis à la disposition des clients de la banque serait doté d'un dispositif de sécurité personnalisé et renforcé qu'elle estime infaillible, ne permet pas, en tant que tel, de démontrer qu'une négligence grave aurait été commise par Monsieur I... W... justifiant qu'il soit tenu pour responsable des opérations frauduleuses, et ce d'autant qu'il ressort d'un article du magazine « Que Choisir » versé aux débats que le dispositif de sécurité en question ne serait pas totalement sûr. Par conséquent, la preuve d'une négligence grave commise par Monsieur I... W... n'étant pas rapportée, la responsabilité de la CAISSE DE CRÉDIT MUTUEL DE CHARLEVILLE-MÉZIÈRES doit être retenue et les opérations litigieuses doivent être mises à sa charge. Sur les préjudices subis par Monsieur I... W... Aux termes de l'article 1149 du code civil dans sa rédaction antérieure à l'ordonnance du 10 février 2016, les dommages et intérêts dus au créancier sont, en général, de la perte qu'il a faite et du gain dont il a été privé. Sur le remboursement des opérations de paiement litigieuses En l'espèce, il résulte de l'historique des autorisation cartes de Monsieur I... W..., ainsi que du tableau versé aux débats par établissement bancaire recensant les demandes de « payweb card » litigieuses, que le 3 juin 2014 cinq opérations de paiement "payweb" ont été accordées entre 16h27 et 17h06 puis inscrites au débit du compte de dépôt n° [...] pour la somme totale de 5.074,09 euros. Il convient, en conséquence, de condamner la CAISSE DE CRÉDIT MUTUEL DE CHARLEVILLEMÉZIÈRES à verser à Monsieur I... W... la somme de 5.074,09 euros, à titre de dommages et intérêts en remboursement des opérations de paiement et de retrait indûment restées à sa charge, outre intérêts à compter du 11 mars 2016, date de l'assignation conformément à l'article 1153 du Code civil (dans sa rédaction antérieure à l'ordonnance du 10 février 2016). Sur le préjudice moral En l'espèce, il ne peut être contesté que Monsieur I... W... a subi un préjudice moral. En effet, l'inscription des opérations litigieuses au débit de son compte de dépôt en a nécessairement affecté l'équilibre. En outre, l'absence de remboursement immédiat par la CAISSE DE CRÉDIT MUTUEL DE CHARLEVILLE-MÉZIÈRES, malgré les différentes mises en demeure qu'il justifie avoir envoyé, l'a privé de pouvoir disposer du montant des sommes frauduleusement détournées. Il convient, en conséquence, de condamner la CAISSE DE CRÉDIT MUTUEL DE CHARLEVILLE-MÉZIÈRES à verser à Monsieur I... W... la somme de 500 euros à titre de dommages et intérêts en réparation du préjudice moral subi » ; 1°) ALORS QUE si, selon l'article L. 133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en elle-même à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; qu'il résulte des constatations de l'arrêt attaqué que les opérations de paiement contestées par M. W... ont été effectuées par le biais des systèmes de paiement payweb et e-retrait, permettant des paiements à distance et nécessitant pour fonctionner l'identifiant internet et le mot de passe de connexion sur le site cmne.fr, un code à quatre chiffres figurant sur une carte de clefs personnelles, document sur support papier envoyé au client par voie postale, ainsi qu'un code de confirmation envoyé au client par courriel ou par SMS ; que pour condamner la Caisse de Crédit Mutuel de CHARLEVILLE MEZIERES à rembourser à M. W... le montant des opérations litigieuses, la cour d'appel, après avoir pourtant constaté que le processus de paiement mis en place par le Crédit Mutuel était « particulièrement sécurisé » et que les opérations en cause avaient été effectuées conformément à ce protocole sécurisé, a considéré que la banque ne démontrait pas « qu'un tel processus était totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de codes ci-dessus évoquée ainsi que le code de confirmation envoyé par SMS », ce dont elle a déduit qu'en l'absence d'élément permettant de prouver que M. W... avait répondu à un courriel d'hameçonnage, la banque n'établissait pas la négligence grave qu'aurait commise son client ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité du service de paiement employé, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ; 2°) ALORS QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en exigeant de la banque qu'elle démontre que le système de paiement sécurisé qu'elle avait mis en place était « totalement inviolable » et en refusant de considérer que l'utilisation d'un service de paiement, même hautement sécurisé et sans défaillance technique, ne pouvait par principe permettre d'établir ou à tout le moins de présumer la négligence grave du client de la banque, la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne des Droits de l'Homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, ensemble l'article 1315 du code civil (nouvel article 1353 du code civil) ; 3°) ALORS, EN OUTRE, QUE manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ces dispositifs de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance ; qu'en affirmant que la banque invoquait le fait que M. W... avait répondu à un courriel de phishing mais que « le fait d'avoir été surpris par une telle manoeuvre frauduleuse ne constitu[ait] pas à lui seul la négligence grave requise par l'article L. 133-23 du code monétaire et financier », la cour d'appel a violé les articles L. 133-19 IV et L. 133-23 du code monétaire et financier.