Cour de cassation, 25 septembre 2019. 18-14.645

COMM. LM COUR DE CASSATION ______________________ Audience publique du 25 septembre 2019 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10352 F Pourvoi n° R 18-14.645 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la société Caisse de crédit mutuel de Saint-Omer, société coopérative à capital variable, dont le siège est [...] , contre le jugement rendu le 8 février 2018 par le tribunal d'instance de Saint-Omer, dans le litige l'opposant à Mme S... P..., domiciliée [...] , défenderesse à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 12 juin 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la société Caisse de crédit mutuel de Saint-Omer, de Me Le Prado, avocat de Mme P... ; Sur le rapport de M. Blanc, conseiller référendaire, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ; Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ; Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ; REJETTE le pourvoi ; Condamne la société Caisse de crédit mutuel de Saint-Omer aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à Mme P... la somme de 3 000 euros ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-cinq septembre deux mille dix-neuf. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Saint-Omer Il est fait grief au jugement attaqué D'AVOIR condamné la « Caisse de Crédit Mutuel Nord Europe » à payer à Mme S... P... la somme de 1.839,03 € à titre de remboursement des opérations non-autorisées débitées sur son compte courant en mai 2014, avec intérêts au taux égal à compter du 15 septembre 2014, ainsi que la somme de 350 € à titre de réparation de son préjudice moral, avec intérêts au taux légal à compter du 23 mai 2017, AUX MOTIFS QUE « Sur le fondement juridique des demandes L'article L. 133-24 du Code monétaire et financier fixe les conditions de contestation d'une opération de paiement de la manière suivante : "L'utilisateur de services de paiement signale, sans tarder; à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre ter du livre 117. Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d'un délai distinct de celui prévu au présent article". Dès lors, l'article L. 133-18 du même code dispose que : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'Opération de paiement non autorisée n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire" ; L'article L. 133-19 apportant alors les précisions suivantes : « I. En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros. Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé. II. La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument. III. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévue à l'article L. 133-17. IV. « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 ». Enfin, l'article L. 133-23 du Code monétaire et, financier, fixant les règles de preuve en la matière, dispose que : "Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière". Il résulte ainsi des dispositions susvisées qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans le délai imparti, une obligation de remboursement immédiat au "payeur" est imposée à la charge du prestataire de services de paiement. La responsabilité du payeur ne sera pas engagée si l'opération de paiement a été effectuée sans utilisation du dispositif de sécurité personnalisé ou par détournement du moyen de paiement à son insu. Dès lors, si l'établissement bancaire refuse de procéder au remboursement, il lui incombe de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. Toutefois, la seule preuve de l'utilisation des identifiants du client et de l'absence de déficience technique, notamment par le biais de la production d'un relevé de ses connexions, ne saurait suffire en tant que telle à prouver que l'opération a été autorisée par le payeur et ainsi, à décharger le professionnel de toute responsabilité. En effet, pour échapper au remboursement du virement litigieux, le prestataire de services de paiement doit, en outre, démontrer, soit que l'ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le détournement de l'instrument de paiement ou des données qui lui sont liées n'est que la conséquence d'une faute de sa part (qu'elle soit intentionnelle ou résulte d'une négligence grave), cette faute ne pouvant se déduire du seul fait que l'instrument de paiement ou les données personnelles y étant liées aient effectivement été utilisées malgré un système de sécurité particulièrement renforcé. Ces preuves peuvent être apportées par tous moyens. Sur la demande en remboursement En l'espèce, Madame S... P... conteste avoir autorisé cinq opérations débitées sur son compte courant les 10, 14 et 20 mai 2014 consistant en deux retraits de sommes (e-retraits) et paiements en ligne (payweb-tard) réalisés au moyen d'une connexion au site internet sécurisé de l'établissement bancaire. Elle justifie avoir alerté la CAISSE DE CREDIT MUTUEL dans les treize mois ayant suivi ces débits et ce, par courrier reçu le 15 septembre 2014 auquel le médiateur dudit établissement bancaire a opposé un refus de remboursement par courrier en date du 04 octobre 2014. La demanderesse invoquant un détournement, à. son insu, des données liées à ses instruments de paiement, il incombe à la CAISSE DE CREDIT MUTUEL, conformément aux règles du Code monétaire et financier précitées, de démontrer non seulement que les opérations litigieuses ont bien été authentifiées, enregistrées et comptabilisées sans déficience technique aucune, mais également que Madame P... est bien l'auteur de ces ordres de retraits et de paiement ou que ces opérations ont pour origine une faute grave de cette dernière. Qu'il s'agisse des opérations de e-retrait ou des opérations de paiement par carte payweb, un même process sécurisé est utilisé, tel que décrit aux conditions générales d'utilisation (pièces n° 5 et n° 6 de la société défenderesse) et exposé par procès-verbal de constat dressé par Maître V... K..., Huissier de Justice à LILLE, le 08 décembre 2014, à savoir que, dans les deux cas, le sociétaire doit, pour que l'opération aboutisse, notamment : - se connecter au site internet de banque à distance du Crédit mutuel et accéder à son espace personnel en indiquant son identifiant et son mot de passe personnels, - solliciter auprès de la rubrique payweb card ou de la rubrique e-retrait un numéro virtuel et pour ce faire : - renseigner un des 64 codes figurant sur une carte de clés lui ayant été remise par l'établissement bancaire uniquement en format papier, et sollicité au hasard par le système de sécurité du site, - renseigner un dernier code à six chiffres qui lui est alors adressé en temps réel par SMS ou par courriel, ayant un usage unique et une durée de validité limitée à quelques minutes seulement. Il ressort des éléments versés à la procédure par la CAISSE DE CREDIT MUTUEL et notamment de l'enregistrement écran du tableau des opérations contestées (pièce n° 4 du défendeur), que : - le e-retrait d'un montant de 300 euros sollicité le 10 mai 2014 à partir du compte courant n° [...] de Madame P... a bien fait l'objet d'un envoi par SMS à 14h48 d'un code à six chiffres valable pour une durée de 15 minutes, - les demandes de payweb pour des montants de 30 euros et 100 euros au profit du commerçant RECHARGE ORANGE à partir du compte courant n° [...] de Madame P... ont fait l'objet d'un envoi unique, par SMS, à 14h52 d'un code à six chiffres valable pour une durée de 15 minutes, - la demande de payweb pour un montant de 1.600 euros au profit du commerçant ACT SERVICE à partir du compte courant n° [...] de Madame P... a bien fait l'objet d'un envoi par SMS à 14h53 d'un code à six chiffres valable pour une durée de 15 minutes, - les demandes ont toutes été effectuées à partir d'un ordinateur identifié sous l'adresse I.P. [...] dont la localisation n'est toutefois pas rapportée, - les SMS ont tous été adressés au numéro de téléphone portable [...] reconnu comme étant celui de Madame S... P..., ce qui n'est pas contesté. Néanmoins, le montant de 2 euros retiré via le mécanisme du e-retrait le 10 mai 2014 apparent sur le relevé de compte de Madame P... et également contesté par elle ne fait l'objet d'aucune justification par la CAISSE DE CREDIT MUTUEL du respect de la procédure d'authentification et d'enregistrement. En outre, s'agissant du surplus des opérations litigieuses, il convient de constater qu'il n'est pas justifié par la société défenderesse d'éléments importants du process de sécurité à savoir : - l'identification effective sur le site internet de la Banque par communication de l'identifiant et du mot de passe confidentiel de Madame P..., ni l'heure de cette connexion, - la lettre et le numéro de la case de la carte de clés personnelle sollicité auprès de l'opérateur pour chacune des opérations litigieuses, - la communication par l'opérateur et la validation du code correspondant à ladite case, - la communication par l'opérateur et la validation du code confidentiel à six chiffre adressé par SMS sur le téléphone portable de Madame P.... Il n'est pas davantage justifié d'une copie de la carte de 64 clés effectivement remise à Madame S... P... permettant de vérifier l'exactitude des codes le cas échéant communiqués dans le cadre des demandes de e-retraits et de payweb litigieux. Enfin, il est curieux de constater que les quatre opérations litigieuses ont été accomplies dans un laps de temps extrêmement limité (14h48 14h52 14h53) alors qu'elles nécessitent différentes manipulations sur le site internet de la Banque, la vérification et l'enregistrement de chaque code sollicité sur la carte à codes ainsi que la réception, la vérification et l'enregistrement de chaque code confidentiel adressé par SMS. Il se déduit de l'ensemble de ces éléments que la CAISSE DE CREDIT MUTUEL DE SAINT-OMER est défaillante à rapporter la preuve que les opérations en question ont été réalisées en application du dispositif complet de sécurité personnalisé et que ce dernier n'a pas été affecté par une déficience technique, tel qu'exigé par les articles L. 133-19 et L. 133-23 du Code monétaire et financier. Dès lors, sans qu'il y ait lieu à statuer sur l'existence d'une fraude ou d'une quelconque escroquerie ni à surseoir à statuer dans l'attente des résultats de l'enquête, pénale diligentée suite à la plainte de Madame P..., il convient de constater que les opérations contestées ne peuvent être considérées comme ayant fait l'objet d'une autorisation de sa part, conformément aux conditions générales d'utilisation et au sens des articles précités. Dans ces conditions, il y a lieu de faire application des dispositions de l'article L. 133-18 du Code monétaire et financier et de condamner la CAISSE DE CREDIT MUTUEL NORD EUROPE au remboursement des sommes prélevées sur le compte de Madame R... P... sans autorisation de cette dernière, soit la somme totale de 1.839,03 euros et ce, avec intérêts au taux légal à compter du 15 septembre 2014, date de réception par la société défenderesse de la mise en demeure d'avoir à rembourser. Sur la demande indemnitaire L'article 1231-6 du Code civil dispose que « Les dommages et intérêts dus à raison du retard dans le paiement d'une obligation de somme d'argent consistent dans l'intérêt au taux légal, à compter de la mise en demeure. [...] Le créancier auquel son débiteur en retard a causé, par sa mauvaise foi, un préjudice indépendant de ce retard, peut obtenir des dommages et intérêts distincts de l'intérêt moratoire ». Il résulte des éléments produits au débat que malgré plusieurs courriers adressés par Madame P... à sa Banque et l'appel fait au médiateur du CREDIT MUTUEL, la demanderesse a dû recourir à l'assistance d'un Avocat ainsi qu'à Justice aux fins d'obtenir la restitution des sommes prélevées frauduleusement sur son compte plus de trois années auparavant. Il s'ensuit que le refus de la CAISSE DE CREDIT MUTUEL NORD EUROPE de supporter les conséquences légales de la non-autorisation des opérations litigieuses comme elle le devait a causé à Madame R... P... un préjudice moral, lequel résulte des nombreuses contrariétés engendrées par le refus de la banque d'assumer ses responsabilités. En l'état de ces constatations, il importe d'accorder à Madame R... P... la somme de 300 euros en réparation de son préjudice moral. Cette somme produira intérêts à compter de l'assignation » ; 1°) ALORS QUE lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ; que la preuve que l'opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, peut être rapportée par tous moyens, en particulier par le biais d'un rapport technique des services de la banque, mentionnant la date et l'heure de l'opération, et démontrant qu'elle a été réalisée conformément aux stipulations de la convention de compte, peu important que la preuve de l'insertion des données confidentielles de l'utilisateur, connues de lui seul, ne soit pas rapportée ; que le jugement attaqué a constaté que la Caisse de Crédit Mutuel de SAINT OMER versait aux débats l'enregistrement écran du tableau des opérations contestées par Mme P..., duquel il ressortait que le e-retrait de 300 € sollicité le 10 mai 2014, ainsi que les demandes de payweb pour des montants de 30, 100 et 1.600 € effectuées respectivement les 11 et 12 mai 2014, avaient fait l'objet d'un envoi de SMS sur le numéro de téléphone portable de Mme P..., après connexion sur le site cmne.fr (jugement, p. 5-6) ; qu'en jugeant néanmoins que ces éléments ne permettaient pas d'établir que les opérations en cause avaient été dûment enregistrées et authentifiées, sans défaillance technique, dans la mesure où la banque ne justifiait pas de l'utilisation effective sur son site internet de l'identifiant et du mot de passe de Mme P..., de la lettre et du numéro de la case de la carte de clefs personnelle sollicitée, de la communication et de la validation dudit code, de la communication par l'opérateur et la validation du code confidentiel à six chiffres adressé par SMS à Mme P..., ainsi que d'une copie de la carte de 64 clés remise à Mme P..., et au motif inopérant que les paiements avaient été effectués dans un laps de temps rapproché, le tribunal d'instance a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier (dans leur version applicable en l'espèce) ; 2°) ALORS QUE la Caisse de Crédit Mutuel de SAINT OMER faisait valoir dans ses écritures (p. 4 ; p. 5 ; p. 6 ; p. 8 ; p. 12) que les données nécessaires pour utiliser les services de paiement payweb et e-retrait, en particulier le mot de passe et l'identifiant de connexion à l'espace personnel du site cmne.fr, la carte de clefs remise par voie postale au client, ainsi que le code adressé par SMS (ou par courriel) étaient toutes strictement confidentielles et n'étaient connues que de l'utilisateur du service de paiement ; qu'en retenant, pour dire que la banque ne démontrait pas que les opérations litigieuses avaient été réalisées « en application du dispositif complet de sécurité personnalisé et que ce dernier n'a pas été affecté par une déficience technique », que cette dernière ne justifiait pas de l'utilisation effective sur son site internet de l'identifiant et du mot de passe de Mme P..., de la lettre et du numéro de la case de la carte de clefs personnelle sollicitée, de la communication et de la validation dudit code, de la communication par l'opérateur et la validation du code confidentiel à six chiffres adressé par SMS à Mme P..., ainsi que d'une copie de la carte de 64 clés remise à Mme P..., sans rechercher si ces éléments n'étaient pas strictement personnels à l'utilisateur du service de paiement, le tribunal d'instance a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier (dans leur version applicable en l'espèce) ; 3°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant, pour dire que la Caisse de Crédit Mutuel de SAINT OMER était défaillante dans l'administration de la preuve de ce que les opérations contestées avaient été réalisées « en application du dispositif complet de sécurité personnalisé et que ce dernier n'a pas été affecté par une déficience technique », que la banque ne justifiait pas de l'utilisation effective sur son site internet de l'identifiant et du mot de passe de Mme P..., de la lettre et du numéro de la case de la carte de clefs personnelle sollicitée, de la communication et de la validation dudit code, de la communication par l'opérateur et la validation du code confidentiel à six chiffres adressé par SMS à Mme P..., ainsi que d'une copie de la carte de 64 clés remise à Mme P..., le tribunal d'instance, qui a mis à la charge de la banque une preuve impossible pour elle à rapporter, a violé l'article 1315 du code civil, ensemble les articles L. 133-19 et L. 133-23 du code monétaire et financier (dans leur version applicable en l'espèce), et le principe d'égalité des armes résultant de l'article 6 § 1 de la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales ; 4°) ALORS QUE le tableau des opérations contestées produit aux débats par la Caisse de Crédit Mutuel de SAINT OMER indique pour chacun des paiements en cause l'heure précise à laquelle son auteur s'est connecté au site cmne.fr ; qu'en jugeant que la banque ne justifiait pas par la production de ce tableau de l'heure de cette connexion, le tribunal d'instance a dénaturé ce document, en violation de l'article 1134 du code civil (nouvel article 1192 du code civil) ; 5°) ALORS, ENFIN, QUE si, selon l'article L. 133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de SAINT OMER à rembourser à Mme P... le montant d'opérations réalisées au débit de son compte bancaire, le tribunal d'instance a retenu que la preuve de la négligence grave de l'utilisateur du service de paiement « ne pouva[it] se déduire du seul fait que l'instrument de paiement ou les données personnelles y étant liées aient effectivement été utilisées malgré un système de sécurité particulièrement renforcé » ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, le tribunal d'instance a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier.