Cour de cassation, 11 décembre 2019. 18-18.576

COMM. MF COUR DE CASSATION ______________________ Audience publique du 11 décembre 2019 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10498 F Pourvoi n° P 18-18.576 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la société [...] , société coopérative de crédit, dont le siège est [...] , contre l'arrêt rendu le 19 avril 2018 par la cour d'appel de Douai (3e chambre civile), dans le litige l'opposant : 1°/ à M. B... F..., 2°/ à Mme V... F..., domiciliés tous deux 124 avenue Marcel Cachin, 59282 Douchy-les-Mines, défendeurs à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 22 octobre 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Henry, avocat général, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la société [...] ; Sur le rapport de M. Blanc, conseiller référendaire, l'avis de Mme Henry, avocat général, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ; Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ; Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ; REJETTE le pourvoi ; Condamne la société [...] aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du onze décembre deux mille dix-neuf. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société [...] . Il est fait grief à l'arrêt infirmatif attaqué D'AVOIR condamné la [...] à payer à Monsieur et Madame F.. la somme de 6.176,08 € en remboursement des sommes frauduleusement prélevées sur leur compte bancaire, et D'AVOIR débouté la [...] de ses demandes, AUX MOTIFS QUE « 1. Sur la demande des époux F... en remboursement des sommes détournées sur leur compte bancaire Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations mentionnées aux articles L. 133-16 et L. 133-17 précités ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées ; il s'ensuit qu'il appartient au prestataire de service de paiement d'établir par d'autres éléments extrinsèques la preuve d'une négligence grave ou d'un manquement intentionnel imputable à l'utilisateur de services de paiement. La négligence grave de l'utilisateur de services de paiement confine au dol et dénote l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave est d'une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services. 1.1 Sur l'existence du détournement La Caisse produit au débat un dossier Phishing au nom de Mme F... en date du 13 novembre 2014, dont il s'évince que : - fin avril, début mai 2014, MmeClément a été victime d'un « hameçonnage »,par le biais de sa messagerie, l'informant de la nécessité de compléter un formulaire en ligne avec des informations confidentielles, - le 6 mai 2014, le fraudeur ouvre une session sur le site de la banque, et avec les données confidentielles fournies, il a accès à l'ensemble des opérations via la banque à distance du client, notamment les services payweb et e-retrait. Ces éléments sont corroborés par les pièces suivantes, versées au débat par les époux F... : - d'une part, la déclaration de main courante du 9 mai 2014 de Mme F..., dans laquelle elle déclare "avoir été victime d'un vol sur son compte à la suite d'un message de sa banque falsifié lui demandant les codes de sécurité de sa carte d'accès au compte", avoir "transmis ses codes" et s'être aperçue par la suite qu'elle avait été victime d'une escroquerie d'un montant de 6 326,08 euros poux plusieurs achats divers et retrait automatique". - d'autre part, le courrier du conseil des époux F... du 4 juillet 2014, dans lequel il est indiqué que Mme F... "a reçu un courriel avec l'apparence la plus réaliste possible d'un document émanant de votre établissement, l'invitant à mettre à jour ses mots de passe et identifiants permettant l'accès à son compte par Internet", - enfin, le courrier de Mme F... adressé à la société SFR le 16 mai 2014, dans lequel Mme F... a indiqué : "suite à un courriel frauduleux reçu au nom du crédit mutuel, je me suis rendu sur le site de la banque ne sachant pas qu'il s'agissait d'un phishing. De ce fait, les fraudeurs ont eu l'accès à mes identifiants de connexion à mon compte. Ils n'avaient pas en possession ma carte bancaire ainsi que son code mais ont eu toutes les informations me concernant. Nom, prénom, date de naissance, adresse, téléphone portable ainsi que le fournisseur de téléphonie". Les époux F... produisent ensuite au débat une liste des opérations et événements, relative au compte [...] et à la carte bancaire Gold [...] mise en opposition le 7 mai 2014 ; cette liste, corroborée par un relevé et informations bancaires du compte [...] des époux F..., montre que les opérations suivantes ont été effectuées : - le 6 mai 2014, à 17h29 et 31 secondes, un retrait de 500 euros à la banque centrale, - le 6 mai 2014, à 17h31 et 42 secondes, un retrait de 500 euros à la banque centrale, - le 6 mai 2014, à 17h56 et 11 secondes, un achat de 809,87 euros auprès de "Reproduction d'enregistrements informatiques", - le 6 mai 2014, à 18h12 et 51 secondes, un achat de 1 063,15 euros auprès de "Reproduction d'enregistrements informatiques", - le 6 mai 2014, à 18h31 et 39 secondes, un achat de 683 euros auprès de "Fab. Objets divers en bois", - le 6 mai 2014, à 18h32 et 01 secondes, un achat de 50 euros auprès de "Vente par correspondance sur catalogue général", - le 6 mai 2014, à 18h39 et 04 secondes, un achat de 702 euros auprès de "Fabrication de composants électroniques actifs", - le 6 mai 2014, à 18h59 et 4lsecondes, un achat de 549,90 euros auprès de "Fab. Objets divers en bois", - le 6 mai 2014, à 19h21 et 23 secondes, un achat de 570 euros auprès de "Fab. Objets divers en bois", - le 7 mai 2014, à 3h44 et 19 secondes, un achat de 899,06 euros auprès de "Reproduction d'enregistrements informatiques". Selon le dossier Phishing du 13 novembre 2014, établi au nom de Mme F... et produit par la Caisse, il appert que : - les deux retraits de 500 euros constituent des e-retraits dont les numéros virtuels ont été générés à 17h29 et 31 secondes et à 17h31 et 42 secondes, les sommes ayant été retirées au "distributeur du CCM de Meaux [...] " à 20h15 et 39 secondes et 20h16 et secondes, étant précisé que l'adresse IP pour se connecter à la banque à distance est : 91.234.105.174, - les achats de 809,87 et 1 063,15 euros le 6 niai 2014, à 17h56 et 11 secondes et à 18h12 et 51 secondes, ainsi que celui de 899,06 euros le 7 mai 2014, à 3h44 et 19 secondes ont été réalisés auprès du site marchant WP DIRECTFERRIE, étant relevé que l'adresse IP pour se connecter à la banque à distance est : 91.234.105.174, - l'achat de 50 euros a été fait auprès de TOPENGO le 6 mai 2014, à 18h32 et 01 secondes, étant observé que l'adresse IP pour se connecter à la banque à distance est : 91.234.105.174, - l'achat de 683 euros a été fait auprès de GROSBILL SA le 6 mai 2014, à 18h31 et 39 secondes, étant à nouveau remarqué que l'adresse IP pour se connecter à la banque à distance est : 91.234.105.174, - l'achat de 702 euros a été fait auprès de VILLATECH à le 6 mai 2014 à 18h39 et 5 secondes, étant encore précisé que l'adresse IP pour se connecter à la banque à distance est : 91,234.105,174. Il s'évince ensuite de ce dossier Phishing que : - l'adresse IP 91.234.105.174 est localisée à Paris en Ile-de-France, étant précisé que les époux F... sont manifestement domiciliés, au vu des pièces produites au débat, à Douchy-les-Mines, dans le Nord, - une opposition sur la carte bancaire Gold [...] a été faite le 7 mai 2014 à 15h46 pour un vol sans code. La cour observe encore que, selon le dossier Phishing, le courrier de Mme F... adressé à la société SFR le 16 mai 2014, et la réponse de cette dernière à Mme F... le 23 mai 2014, un changement de carte SIM a eu lieu auprès de la société SFR après que le fraudeur a également usurpé l'identité de Mme F... auprès de l'opérateur téléphonique. En l'état de l'ensemble de ces constatations, les circonstances entourant la création et l'utilisation des cartes Payweb et du système e-retrait générés à partie de la carte bancaire Gold [...] démontrent suffisamment que les opérations litigieuses, réalisées le 6 mai 2014, entre 17h29 et 31 secondes et 19h21 et 23 secondes, et le 7 mai 2014 à 3h44 et 19 secondes sur le compte bancaire des époux F..., ont nécessairement été effectuées à leur insu, par le biais d'un détournement frauduleux par un tiers de leurs instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions de l'article L. 113-8 du code monétaire et financier. La Caisse ne peut en conséquence utilement soutenir dans ses écritures que "les époux F... doivent justifier qu'ils n'ont pu autoriser les opérations qu'ils contestent aujourd'hui", qu'il s'agit "de connaître les raisons pour lesquelles ces opérations n'auraient pu être autorisées par Madame F...", ou encore que "les demandeurs doivent donc expliquer à la cour, pour chacune des opérations contestées, les raisons pour lesquelles ils ne peuvent être à l'origine de ces paiements". 1.2. Sur la négligence grave des époux F... En application de l'article L, 133-23 du code monétaire et financier, dans ses dispositions applicables au litige : - lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dament enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre,- l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations qui lui incombent en la matière. Il s'évince de l'alinéa 2 de l'article L. 133-23 précité que la seule démonstration par le prestataire de services de paiement qu'un tel service, doté d'un dispositif de sécurité, a été utilisé, par l'emploi d'un identifiant internet, d'un mot de passe de connexion, ainsi que des clefs personnelles permettant à l'utilisateur de services de paiement de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte réelle de paiement, ne permet pas, en soi et en l'absence d'autres éléments fournis par le prestataire de services de paiement, de rapporter la preuve de la fraude, du manquement intentionnel ou par négligence grave de l'utilisateur de services de paiement à ses obligations prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier, de nature à empêcher le remboursement demandé, et ne saurait suffire à le décharger de toute responsabilité. Il s'ensuit qu'il appartient à la Caisse de fournir des éléments afin de prouver que les époux F... auraient pu avoir conscience que le courriel qu'ils ont reçu était frauduleux et si, en conséquence, le fait d'avoir communiqué leurs données personnelles et confidentielles, permettant à un tiers de prendre connaissance du code payweb card ou du code e-retrait, caractérise un manquement intentionnel ou par négligence grave à leurs obligations mentionnées à l'article L. 133-16 du code monétaire et financier. En conséquence, la Caisse ne peut utilement soutenir, sur le fondement de l'article L. 133-23 du code précité, qu'aucun dispositif légal ne lui impose de démontrer la négligence grave de l'utilisateur et qu'elle n'a uniquement à démontrer que sont respectées les obligations en matière d'authentification, d'enregistrement et de comptabilisation. Sur ce, la cour observe tout d'abord que Mme F... a fait opposition à sa carte bancaire Gold [...] le 7 mai 2014 à 15h46 pour un vol sans code, soit immédiatement après que les opérations frauduleuses ont été réalisées les 6 et 7 mai 2014. Au surplus, Mme F... a effectué une déclaration de main courante au commissariat de E... le 9 mai 2014 à 9h43. En conséquence, Mme F... a réagi rapidement au détournement de ses données, de sorte que la Caisse ne démontre manifestement pas que les époux ont manqué intentionnellement ou par négligence grave à leurs obligations prévues par l'article L. 133-17 du code monétaire et financier. Ensuite, la cour relève, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage. La cour observe aussi que les utilisations successives des données attachées à la carte bancaire de Mme F... ne suffisent pas nécessairement en tant que telles à prouver que les opérations litigieuses qui ont été réalisées le 6 mai 2014, entre 17h29 et 31 secondes et 19h21 et 23 secondes, et le 7 mai 2014, à 3h44 et 19 secondes, ont été autorisées par les époux F... ou qu'ils sont à l'origine desdites opérations litigieuses, ou encore qu'ils n'ont pas satisfait intentionnellement ou par négligence grave aux obligations légales leur incombant en la matière, ainsi qu'à celles contractuellement énoncées dans les conditions générales cmnedirect, les conditions générales de retrait ou les conditions générales payweb card que la Caisse verse au débat. Les époux F... ne contestent pas qu'ils ont répondu à un courriel qui s'est avéré frauduleux, cette circonstance ressortant clairement : - du courrier de Mme F... du mai 2014 adressé à la société SFR, dans lequel elle indique que "suite à un courriel frauduleux reçu au nom du Crédit Mutuel, je me suis rendu sur le site de la banque ne sachant pas qu'il s'agissait d'un phishing. De ce fait les fraudeurs ont eu l'accès à mes identifiants de connexion à mon compte. Ils n'avaient pas en possession ma carte bancaire ainsi que son code mais ont eu toutes les informations me concernant. Nom, prénom, date de naissance, adresse, téléphone portable ainsi que le fournisseur de téléphonie". - du courrier de leur conseil du 4 juillet 2014 adressé à la Caisse, dans lequel il est indiqué que sa "cliente a reçu un courriel avec l'apparence la plus réaliste possible émanant de votre établissement, l'invitant à mettre à jour ses mots de passe et identifiants permettant l'accès à son compte par Internet" et que "cette manipulation frauduleuse plus couramment nommée « fishing », n'était pas détectable par un profane comme Madame F..". Il en résulte que les époux F... admettent que Mme F... a fourni ses identifiants de connexion et son mot de passe permettant l'accès à son compte en ligne après avoir reçu un courrier frauduleux. Si la Caisse allègue dans ses écritures que Mme F... a "sciemment transmis les informations confidentielles" relatives à ses nom, prénom, date de naissance, adresse personnelle, numéro de téléphone mobile, fournisseur, carte SIM et carte de clés personnelles, force est pour autant de constater qu'elle ne fournit au débat aucun élément corroborant cette allégation et démontrant que Mme F... a fourni en pleine connaissance de cause ces éléments ni même qu'elle les ait communiqué, celle-ci n'admettant avoir fourni que son identifiant CME direct et son mot de passe. La Caisse soutient encore que les époux F... n'ont pas vérifié l'origine du courriel et ont transmis l'intégralité de leurs données personnelles en dépit des multiples alertes mises en place et de leurs obligations contractuelles. Cependant, la Caisse ne produit aucun élément objectif de nature à justifier cette allégation et à prouver que les époux F... n'ont pas vérifié l'origine de l'courriel litigieux ou qu'ils aient manqué à leurs obligations contractuelles, voire même légales, en la matière. La cour remarque également que les multiples alertes sur les risques du phishing dont se prévaut la Caisse consistent en : - un courriel du 28 octobre 2014 envoyé à 20h22 à un destinataire dont le nom est effacé, de sorte que, d'une part, il n'est pas permis de savoir si cette alerte était destinée aux époux F..., et que d'autre part, cette alerte est postérieure à la fraude dont ils ont été victimes, - des captures d'écran du site internet du Crédit Mutuel relatifs à la sécurité sur Internet faisant état d'une date au 26 octobre 2013, de sorte que si cette information est antérieure à la fraude dont ont été victimes les époux F..., il n'est pas démontré que ces derniers y avaient accès les 6 et 7 mai 2014, jours des opérations frauduleuses, - une capture d'écran du site internet du Crédit Mutuel comprenant des informations relatives à la sécurité sur Internet ; la lecture de cet élément montre qu'il s'agit d'une "actualité au 7 novembre 2012" accessible au 12 février 2013, de sorte que cette information est encore antérieure à la fraude dont ont été victimes les époux F..., il n'est pas démontré que ces derniers y avaient accès les 6 et 7 mai 2014, jours des opérations frauduleuses. Il en résulte que ces éléments versés par la Caisse sont manifestement insuffisants pour prouver, en premier lieu, que Mme F... aurait pu avoir conscience que le courriel qu'elle avait reçu était frauduleux, et en second lieu, que le fait d'avoir communiqué des données personnelles et confidentielles caractérise un manquement intentionnel ou par une négligence grave à ses obligations mentionnées à l'article L. 133-16 du code monétaire et financier, voire même qu'elle aurait agi frauduleusement. La Caisse n'est pas davantage fondée à soutenir, sur la base des différentes conditions générales qu'elle produit au débat, que l'utilisateur de services de paiement est "entièrement responsable d'une divulgation involontaire de ses codes personnels", étant rappelé qu'aux termes des articles L. 133-19, IV et L. 133-23 du code monétaire et financier, la Caisse doit apporter la preuve que les époux ont agi frauduleusement ou qu'ils n'ont pas satisfait intentionnellement ou par négligence grave à leurs obligations mentionnées à l'article L. 133-16 du code monétaire et financier. Enfin, la cour remarque que la Caisse ne produit au débat aucun élément objectif de nature à prouver que Mme F... aurait manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ou qu'elle aurait nécessairement communiqué ses informations personnelles et confidentielles à un tiers par négligence grave ou par manquement intentionnel à ses obligations lui incombant en la matière, voire même qu'elle aurait agi frauduleusement. En l'état de l'ensemble de ces constatations et énonciations, la Caisse ne fournit pas les éléments afin de prouver que les époux F... auraient pu avoir conscience que le courriel qu'ils ont reçu était frauduleux, et si en conséquence, le fait d'avoir communiqué leurs données personnelles et confidentielles, permettant à un tiers de prendre connaissance du code payweb card ou du code e-retrait, caractérise un manquement intentionnel ou par négligence grave à leurs obligations mentionnées à l'article L. 133-16 du code monétaire et financier, voire même leur action frauduleuse, En conséquence, la Caisse est défaillante dans l'établissement du manquement intentionnel ou de la négligence grave des époux. F... à leur obligation de préserver la sécurité de leurs données de sécurité personnalisées, ou encore de leur agissement frauduleux. 1.3. Sur le montant des sommes réclamées II résulte de la déclaration de main courante que Mme F... a déposée le 9 mai 2014 que celle-ci a déclaré avoir été victime d'une escroquerie d'un montant de 6 326,08 euros. La liste des opérations et événements, relatif au compte [...] et à la carte bancaire Gold [...] mise en opposition le 7 mai 2014, fournie au débat par les époux F..., montre que le montant des opérations contestées s'élève à la somme de 6 326,08 euros. Les époux F... limitant leur demande à la somme de 6 176,08 euros, la Caisse sera donc condamnée à leur payer cette somme en remboursement des sommes frauduleusement prélevées sur leur compte bancaire. Le jugement attaqué sera infirmé de ce chef. ( ) Sur la demande reconventionnelle de la Caisse à l'encontre des époux F... La Caisse demande à la cour de dire que l'appel des époux F... est abusif et sollicite en conséquence la somme de 500 euros au titre de son préjudice matériel et de 500 euros au titre de son préjudice moral. Cependant, la Caisse ne caractérise aucunement une faute des époux F... dans l'exercice de la voie de recours qui leur était ouverte ni que l'exercice de l'appel par ces derniers aurait dégénéré en abus, étant à titre surabondant fait observer à la Caisse que les motifs précédemment énoncés démontrent au contraire et à l'évidence que l'appel des époux F... n'est pas abusif. 4 . Sur les demandes annexes Le sens du présent arrêt conduit à infirmer le jugement attaqué sur ses dispositions relatives aux dépens et à l'article 700 du code de procédure civile, et à condamner la Caisse, outre aux entiers dépens de première instance et d'appel, dont distraction au profit de la SCP D... et N..., à payer aux époux F... la somme de 3 000 euros sur le fondement de l'article 700 du code de procédure civile au titre tant de la procédure de première instance que de celle en appel » 1°) ALORS QUE manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ; qu'en l'espèce, il résulte des constatations de l'arrêt attaqué que les époux F.. ont reçu fin avril/début mai 2014 un courriel qui s'est avéré frauduleux leur demandant de communiquer leurs données confidentielles auquel ils ont répondu en transmettant ces données (arrêt p. 6, p. 9), et que le 6 mai 2014, un fraudeur a ouvert une session sur l'espace internet des époux F.., et a pu, « avec les données confidentielles fournies » (arrêt p. 6, 3ème §) effectuer les opérations de paiement litigieuses ; que, pour condamner la banque au remboursement des sommes ainsi débitées, la cour d'appel a retenu que Madame F.. avait rapidement réagi au détournement de ses données, puisqu'elle avait fait opposition le 7 mai 2014, puis effectué une déclaration de main courante le 9 mai 2014 ; qu'elle a ensuite considéré que la banque ne produisait aucun « élément objectif » permettant de démontrer que les époux F.. avaient commis une négligence grave en répondant à ce courriel ; qu'en statuant de la sorte, quand il lui incombait de rechercher, au regard des circonstances de l'espèce, si le fait pour les époux F.. d'avoir répondu à un courriel d'hameçonnage en communiquant leurs identifiants de connexion à leur espace personnel et leur mot de passe ne constituait pas une négligence grave, la cour d'appel n'a pas donné de base légale au regard des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier (dans leur rédaction applicable en l'espèce), ensemble les articles 1134 et 1315 du code civil (nouveaux articles 1103 et 1353 du code civil) ; 2°) ALORS, DE MÊME, QUE si la preuve de la négligence grave de l'utilisateur d'un service de paiement incombe au prestataire de ce service, il appartient au juge, lorsque l'utilisateur a indiqué avoir communiqué tout ou partie de ses données confidentielles à un tiers en réponse à un courriel frauduleux, de rechercher si ce comportement ne caractérise pas une négligence grave de nature à exonérer la banque de son obligation de remboursement des sommes détournées ; qu'en se contentant de retenir que la [...] n'apportait pas d'« élément objectif » sur la teneur de la réponse donnée par les époux F.. au courriel d'hameçonnage qu'ils avaient reçu, ni sur les circonstances qui permettraient de caractériser une négligence grave, quand il lui incombait de rechercher elle-même, au regard des éléments du dossier et le cas échéant en ayant recours à ses pouvoirs d'instruction, si les époux F.. n'avaient pas commis une négligence grave en communiquant leurs données confidentielles en réponse à un courriel d'hameçonnage, la cour d'appel a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier (dans leur rédaction applicable en l'espèce), ensemble les articles 1134 et 1315 du code civil (nouveaux articles 1103 et 1353 du code civil) ; 3°) ALORS, EN OUTRE, QU' il incombe à l'utilisateur d'un service de paiement ayant communiqué tout ou partie des données confidentielles permettant d'user de ce service en réponse à un courriel d'hameçonnage de verser ce document aux débats afin de permettre au juge de vérifier si en répondant à ce courriel, l'utilisateur du service de paiement n'a pas commis une négligence grave exonérant la banque de son obligation de remboursement ; qu'en se bornant à retenir que la [...] ne fournissait pas d' « élément objectif » permettant d'établir la négligence grave des époux F.., dont elle a pourtant constaté qu'ils avaient répondu à un courriel d'hameçonnage en communiquant à son auteur, à tout le moins, leur identifiant de connexion au site cmne.fr et leur mot de passe, la cour d'appel a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier (dans leur rédaction applicable en l'espèce), ensemble les articles 1134 et 1315 du code civil (nouveaux articles 1103 et 1353 du code civil), ensemble l'article 6, § 1, de la Convention européenne des droits de l'Homme ; 4°) ALORS, EN TOUT ETAT DE CAUSE, QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la négligence grave s'entend de la carence de l'utilisateur du service de paiement à prendre toute mesure raisonnable pour assurer la confidentialité de ses données personnelles ; qu'en jugeant que la négligence grave de l'utilisateur de services de paiement « confin[ait] au dol et dénot[ait] l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave [était] d'une importance telle qu'elle [rendait] impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services », et en appréciant l'existence d'une négligence grave de la part des époux F.. au regard de cette définition, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ; 5°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la [...] à rembourser aux époux F.. le montant d'opérations réalisées au débit de leur compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 9, 5ème §), a néanmoins considéré que les utilisations successives des données attachées à la carte des époux F.. ne pouvaient suffire à prouver que les opérations litigieuses avaient été autorisées par ces derniers, ou qu'ils n'auraient pas satisfait, intentionnellement ou par négligence grave, aux obligations leur incombant en la matière, et a jugé que la banque était défaillante dans l'administration de la preuve de la négligence grave qu'auraient commise les époux F.. ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, dont l'exposante soulignait qu'ils nécessitaient pour fonctionner la communication de plusieurs données distinctes, figurant sur des supports différents, et dont le client avait légalement et contractuellement la charge d'assurer la conservation, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier.