Cour de cassation, 23 septembre 2020. 19-11.493

COMM. FGB COUR DE CASSATION ______________________ Audience publique du 23 septembre 2020 Rejet non spécialement motivé M. RÉMERY, conseiller doyen faisant fonction de président Décision n° 10219 F Pourvoi n° K 19-11.493 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ DÉCISION DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 23 SEPTEMBRE 2020 La société Caisse de crédit mutuel de Dunkerque-Malo, dont le siège est [...] , a formé le pourvoi n° K 19-11.493 contre l'arrêt rendu le 11 octobre 2018 par la cour d'appel de Douai (8e chambre, section 1), dans le litige l'opposant à M. J... U..., domicilié [...] , défendeur à la cassation. Le dossier a été communiqué au procureur général. Sur le rapport de M. Blanc, conseiller référendaire, les observations écrites de la SCP Célice, Texidor, Périer, avocat de la société Caisse de crédit mutuel de Dunkerque-Malo, de la SCP Boré, Salve de Bruneton et Mégret, avocat de M. U..., et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 16 juin 2020 où étaient présents M. Rémery, conseiller doyen faisant fonction de président, M. Blanc, conseiller référendaire rapporteur, Mme Vaissette, conseiller, Mme Guinamant, avocat général référendaire, et Mme Fornarelli, greffier de chambre, la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu la présente décision. 1. Le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation. 2. En application de l'article 1014, alinéa 1er, du code de procédure civile, il n'y a donc pas lieu de statuer par une décision spécialement motivée sur ce pourvoi. EN CONSÉQUENCE, la Cour : REJETTE le pourvoi ; Condamne la société Caisse de crédit mutuel de Dunkerque-Malo aux dépens ; En application de l'article 700 du code de procédure civile, rejette la demande formée par la société Caisse de crédit mutuel de Dunkerque-Malo et la condamne à payer à M. U... la somme de 3 000 euros ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-trois septembre deux mille vingt. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Texidor, Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Dunkerque-Malo. Il est fait grief à l'arrêt confirmatif attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de DUNKERQUE MALO à payer à M. J... U... la somme de 2.323,58 € en remboursement des sommes indûment prélevées sur son compte, AUX MOTIFS PROPRES QUE « sur la demande de remboursement du montant des opérations litigieuses, que l'article L. 133-19 du code monétaire et financier énonce que : « En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros. Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé. La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment du paiement non autorisé, le payeur était en possession de son instrument. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de paiement ne fournit pas le moyen approprié permettant l'information aux fins de blocage de l'instrument de paiement prévu à l'article L. 133-37. Le payeur supporte toutes les pertes occasionnées par les opérations de paiement non autorisées, si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier ; Qu'il résulte de ces dispositions qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur, une obligation de remboursement immédiat au payeur est imposée à la charge du prestataire de services de paiement ; Que si l'établissement bancaire refuse de procéder à ce remboursement, il lui incombe alors de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ; Que, toutefois, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur, ce qui signifie que la seule preuve de l'utilisation des identifiants du client et l'absence de déficience technique ou autre, notamment par le biais de la production d'un relevé de ses connexions, ne sauraient suffire pour que le professionnel soit déchargé de toute responsabilité ; Qu'en outre, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées ; Que, cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'agissements frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier ; Qu'il s'ensuit que, pour échapper au remboursement des opérations contestées, le prestataire de services de paiement doit démontrer, soit que l'ordre émanait bel et bien du client dûment identifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d'autres données) n'est que la conséquence d'une faute grave de sa part ; Attendu, en l'occurrence, qu'il est constant que le compte bancaire Eurocompte de Monsieur U... ouvert dans les livres de la caisse de Crédit Mutuel de Dunkerque Malo a été débité d'une somme totale de 2 323,58 euros au titre de trois des cinq opérations de paiement effectuées le 28 août 2014 au profit de la compagnie Royal Air Maroc et de l'opérateur de téléphonie mobile Free aux heures suivantes : 14 heures 31, 14 heures 33, 14 heures 34, 14 heures 37 et 14 heures 40 ; Que Monsieur U... en a été informé par la réception le 28 août 2014 sur son téléphone mobile de cinq codes de confirmation par SMS émanant de sa banque, ce qui l'a conduit à prendre immédiatement attache avec le Crédit Mutuel et à régulariser le jour-même à 18 heures 49 opposition à sa carte bancaire, ce qui n'empêchera en rien le paiement des opérations litigieuses entre les 29 août et 1er septembre 2014 ; Que s'il est acquis, au vu du tableau établi par le service monétique que le Crédit Mutuel verse aux débats sous sa pièce n°1, que chacune des opérations contestées a bien été authentifiée, enregistrée et comptabilisée, ce qui permet d'écarter toute déficience technique ou autre du système de paiement sécurisé dit « 3D SECURE », cette seule circonstance ne saurait suffire pour écarter toute obligation de remboursement de la banque ; Que Monsieur U... réfute les assertions du Crédit Mutuel selon lesquelles il ne démontre pas qu'il ne serait pas à l'origine des opérations qu'il décrit comme frauduleuses, ce qui s'analyserait assurément en une preuve négative qu'il lui est impossible d'administrer ; Qu'il faut sur cette question relever que les cinq opérations de paiement litigieuses ont été passées au profit de deux bénéficiaires différents et dans un temps particulièrement réduit (moins de dix minutes), ce qui suppose de la part d'un même utilisateur une célérité extrême pour recevoir de la banque le code confidentiel pour chaque opération et renseigner les diverses rubriques qui s'affichent à l'écran, une telle célérité étant manifestement incompatible avec le maniement d'un service d'achat sur internet ; Qu'il doit en cela être retenu, comme l'a fait du reste le premier juge, qu'aucun élément du dossier ne permet d'établir que Monsieur U... aurait lui-même effectué les opérations qu'il conteste ; Qu'il faut ajouter que si Monsieur U... a bien déclaré au cours de son dépôt de plainte le 30 août 2014 à la gendarmerie de [...] qu'il avait reçu un mail de SFR avec pour objet un problème de prélèvement automatique, qu'il avait suivi le lien et renseigné les informations demandées (son numéro de carte bancaire, le cryptogramme, son nom et son prénom), l'examen de l'email produit par la banque sous sa pièce n°2 ne permet aucunement d'en tirer la conclusion que l'utilisateur aurait commis une négligence grave en répondant à un message relevant manifestement de la technique frauduleuse du « hameçonnage » ou « phishing » (encore que le message comporte une adresse mail correcte et qu'il soit libellé sans aucune faute), la pièce en question étant datée du 29 août 2014 à 4 heures 40, soit du lendemain des opérations contestées ; Que si le Crédit Mutuel croit utile de développer en page 11 de ses écritures que Monsieur U... aurait sur ce point agi de mauvaise foi en reconnaissant qu'il avait tenté de tromper la banque, laquelle exige à ce jour la transmission de l'email auquel il a effectivement répondu, cc qui laisserait supposer qu'un autre message frauduleux aurait été adressé à Monsieur U... avant les opérations litigieuses, aucun élément du dossier ne permet de conforter cette thèse, aucun autre email n'ayant été transmis au Crédit Mutuel par son client, ce dernier n'ayant en outre aucunement fait l'aveu d'une quelconque modification de sa version des faits à ce sujet ; Qu'en l'état du dossier, et à l'instar du premier juge, la cour constate que rien n'établit que Monsieur U... aurait agi, en lien avec les opérations querellées, de manière frauduleuse et qu'il aurait omis intentionnellement ou par négligence grave de satisfaire à ses obligations pour préserver la sécurité du dispositif personnalisé, notamment en transmettant ses données bancaires confidentielles les opérations contestées ayant été réalisées à son insu et par détournement des données liées à sa carte bancaire ; Qu'il s'ensuit que l'obligation légale de la banque de rembourser à son client le montant des paiements litigieux est effective, ce qu'a à juste titre retenu le premier juge dont la décision sera sur cette question confirmée » ; ET AUX MOTIFS, A LES SUPPOSER ADOPTES, QUE « Sur le détournement : Il appartient au payeur de prouver en premier lieu le détournement de son instrument de paiement ou des données qui lui sont liées. Cette preuve se fait par tout moyen. En l'espèce, les transactions litigieuses ont été effectuées à partir d'une carte IVIASTERCARD ouverte au nom de Mr U.... La Caisse de CREDIT MUTUEL Dunkerque Malo a mis en place la procédure requise pour sécuriser les transactions, dénommée « 3D SECURE », ainsi qu'en atteste la pièce produite au débat sous forme de tableau récapitulatif, notamment l'envoi sur le serveur local de hi ligne fixe de Mr U... du code à 6 chiffres requis pour l'autorisation du paiement. Ainsi la Caisse de CREDIT MUTUEL a procédé à la délivrance le 28 août 2014, et ce, à 5 reprises, d'un code à 6 chiffres, entre 14h31 et 14h40. Toutefois, Mr U... dément avoir saisi les codes. Au contraire, alerté par l'envoi de ces codes sur son serveur vocal, il a cherché conseil auprès de sa banque et a formé opposition à 18h49, comme l'en atteste la pièce versée. De même, l'établissement de la matérialité de la saisie par Mr U... de ces 5 codes à 6 chiffres n'est pas démontré par la Caisse de CREDIT MUTUEL Dunkerque Malo. A supposer la bonne foi des parties se pose néanmoins l'existence d'une fraude réalisée à l'insu de Mr U..., payeur. Cette fraude semble pouvoir s'établir à partir de plusieurs éléments. En effet, le tableau « 3D SECURE » produit par la Caisse de CREDIT MUTUEL atteste que les prélèvements se sont faits à un rythme anormalement accéléré, en moyenne deux à trois minutes, parfois moins d'une minute entre deux prélèvements, ce qui semble pour le moins difficile à réaliser. De plus, il s'avère que s'il y a cinq demandes et autorisations de prélèvement, échelonnées comme suit : a)-525,58 euros pour Royal Air Maroc b)-899,00 euros pour Mobile free fr c)-899,00 euros pour Mobile free fr d)-612,27 euros pour réal air maroc e)-899,00 euros pour Mobile free fr soit un total de 3834,85 euros, Mr U... n'a été prélevé sur son compte que de 3 paiements, a) b) et c), pour un total de 2323,58 euros, ce qui ne manque pas de soulever des questionnements et étonnements. La Caisse de CREDIT MUTUEL Dunkerque Malo n'apporte aucun éclaircissement sur ces éléments. Il résulte de ce qui précède qu'il est établi que les prélèvements se sont faits à l'insu de Mr U... de façon frauduleuse. Sur la négligence de Mr U... La preuve de la négligence repose sur la banque. Les modalités exactes du détournement, c'est-à-dire le dispositif mis en place par le fraudeur pour obtenir les données confidentielles restent inconnues, ce qui démontre l'absence de négligence grave de Mr U... La bonne foi (le ce dernier peut, par ailleurs, se déduire du fait qu'alerté par l'envoi à 5 reprises des codes, il ait procédé le jour même, à 18h49, au blocage de son compte et de sa carte de paiement. Le 30 août 2014, il a porté plainte pour escroquerie. Toutefois, la Caisse de CREDIT MUTUEL Dunkerque Malo explique que Mr U... a commis une faute lourde qui l'exonère Mr U... aurait répondu à un mail suspect rie SFR, qui l'informait du •rejet d'un de ses prélèvements pour insuffisance de crédit et l'enjoignait à donner ses coordonnées bancaires, ce qu'il aurait fait. Toutefois, ce mail de SFR, produit au débat, date du 29 août 2014, soit le lendemain du blocage de son compte bancaire par NIL. U.... La négligence de Mr U... est de ce fait à écarter. La caisse de CREDIT MUTUEL échouant à démontrer la négligence de Mr U..., responsabilité de ce dernier n'est pas engagée. Les conséquences financières des prélèvements frauduleux auraient dû être supportées par la caisse de CREDIT MUTUEL. Ainsi, celle-ci se verra condamnée à rembourser à Mr U... la totalité des sommes prélevées sur son compte à son insu, soit la somme de 2.323,58 euros » ; 1°) ALORS QUE constitue un aveu la reconnaissance d'un fait tenu pour vrai par son auteur ; qu'en l'espèce, la Caisse de Crédit Mutuel de DUNKERQUE MALO faisait valoir (ses conclusions d'appel, p. 10 et 11) que lors de son dépôt de plainte pour escroquerie auprès des services de gendarmerie, Monsieur U... avait expliqué avoir été victime d'opérations de paiement non autorisées sur son compte bancaire et avait expressément reconnu à cette occasion avoir répondu à un courriel d'hameçonnage, en ces termes « Je n'ai pas fait d'achat dans les derniers jours sur internet. J'ai reçu un mail de SFR avec pour objet un problème de prélèvement automatique. J'ai suivi le lien et j'ai marqué les informations demandées : mon numéro de carte, le cryptogramme, nom, prénom » ; que pour juger que la banque ne rapportait pas la preuve de la négligence grave qu'aurait commise Monsieur U..., la cour d'appel a retenu que si Monsieur U... avait déclaré au cours de son dépôt de plainte le 30 août 2014 à la gendarmerie de [...] qu'il avait reçu un courriel de SFR avec pour objet un problème de prélèvement automatique, qu'il avait suivi le lien et renseigné les informations demandées (son numéro de carte bancaire, le cryptogramme, son nom et son prénom), « l'examen de l'email produit par la banque sous sa pièce n°2 ne permet aucunement d'en tirer la conclusion que l'utilisateur aurait commis une négligence grave en répondant à un message relevant manifestement de la technique frauduleuse du « hameçonnage » ou « phishing » (encore que le message comporte une adresse mail correcte et qu'il soit libellé sans aucune faute), la pièce en question étant datée du 29 août 2014 à 4 heures 40, soit du lendemain des opérations contestées » ; qu'en statuant par de tels motifs, impropres à écarter l'aveu fait par Monsieur U..., la cour d'appel a violé les articles 1315 et 1354 (devenus 1353 et 1383) du code civil, ensemble l'article L. 133-19 du code monétaire et financier (dans sa rédaction applicable en la cause) ; 2°) ALORS QUE le courriel frauduleux daté du 29 avril communiqué par Monsieur U... et produit aux débats par la Caisse de Crédit Mutuel de DUNKERQUE MALO, comportait de nombreuses fautes d'orthographe : « Objet : Probléme de prélèvement automatique » ; « Nous vous informons que le prélèvement automatique de votre facture SFR box et fixe n°975124047, à été refusé par votre établissement financier » ; « Cette facture est dés présent disponible ( ) » ; « Vous bénéficiez du service e-facture. Ce service vous permet d'accéder à tout moment et en toute securité à 12 mois de facturation ( ) » ; qu'en jugeant que « le message comporte une adresse mail correcte et [est] libellé sans aucune faute », la cour d'appel a dénaturé ce courriel, violant ainsi l'article 1134 (devenu 1192) du code civil, ensemble le principe selon lequel les juges du fond ne doivent pas dénaturer les documents de la cause.