+
-

Droit des moyens et services de paiement

Utilisation frauduleuse d’un instrument de paiement : la « probatio diabolica » ?

C’est à coup sûr un bel arrêt qu’a rendu la chambre commerciale de la Cour de cassation le 18 janvier 2017 (n° 15-18.102), de fait destiné à une large publication (P+B+I – ne manque donc que la publication au Rapport annuel de la Cour de cassation pour que ce soit un grand arrêt).

Le 24/02/2017
Pierre Storrer

Donnons sans tarder la solution de l’arrêt sous commentaire, qui peut être découpée en trois temps :

  • un « si », d’abord : « si, aux termes des articles L. 133-16 et L. 133-17 du Code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées […] » ;
  • un « mais », ensuite : « […], c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations […] » ;
  • un « or », enfin : « […] ; cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Partant, la Cour de cassation confirme le juge de proximité que la banque devait bien procéder, en l’espèce, au remboursement des paiements frauduleux (838 euros), faute de rapporter la preuve que la victime avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés ; faute, en particulier, de faire la démonstration d’une manœuvre de « hameçonnage » [1] qui aurait conduit le payeur à répondre à un e-mail frauduleux qu’il pensait émaner de sa banque afin qu’il renseigne identifiants, mots de passe et codes de clefs permettant un paiement à distance. Balayé, en conséquence, l’argument avancé par la banque, selon lequel le système de paiement utilisé (carte virtuelle dynamique, ce n’est pas si commun) était tellement sécurisé que son utilisation par un tiers impliquait nécessairement, au moins, la négligence coupable du titulaire de l’instrument de paiement.

À défaut de réelle originalité sur le fond (on va le voir), notre arrêt présente l’intérêt majeur de statuer en application du droit nouveau des services de paiement, tel que créé par l’ordonnance n° 2009-866 du 15 juillet 2009 de transposition de la DSP [2] ; de statuer, ainsi, en application du régime général des instruments et des opérations de paiement, prévu aux articles L. 133-1 et suivants du Code monétaire et financier (CMF). En cela, il fait certainement date et se distingue des précédents, généralement rendus au regard de la carte de paiement, du virement parfois [3].

Précédents

À suivre la nomenclature des arrêts de la Cour de cassation, deux retiennent l’attention, rendus sous l’empire du droit ancien (pré-DSP donc) et concernant l’utilisation frauduleuse d’une carte bancaire.

On commencera par rapporter le dernier en date rapidement, car plus éloigné de notre sujet et, surtout, rendu en application d’un texte (l’article L. 132-4 ancien du CMF) qui a disparu. La Haute Juridiction confirmait ainsi le principe d’irresponsabilité posé par ce texte : « la responsabilité du titulaire d’une carte de paiement n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte », en y ajoutant ceci (qui est l’apport de la décision) : « la négligence du titulaire n’est pas de nature à décharger l’émetteur de son obligation de recréditer le montant d’une opération qui a été contestée dans le délai de soixante-dix jours, ou dans celui contractuellement prolongé dans la limite de cent vingt jours ».

Fameuse est ensuite la décision du 2 octobre 2007, qui avait dit, en premier lieu, qu' « en cas de perte ou vol d’une carte bancaire, il appartient à l’émetteur de la carte qui se prévaut d’une faute lourde de son titulaire, au sens de l’article L. 132-3 du Code monétaire et financier, d’en rapporter la preuve » ; et, en second lieu, que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute » [4]. On sait, car elle l’a écrit dans son rapport annuel 2007 (et repris dans son Bulletin d’information n° 675 du 1er février 2008, n° 110), que cet arrêt marquait la volonté de la Cour de cassation de combattre la présomption de faute du titulaire de la carte en cas de perte ou vol avec utilisation du code confidentiel, présomption assise sur le non-respect de l’obligation mise à sa charge, dans les modèles de contrats porteur, de conserver confidentiel ledit code (p. 411).

À l’impossible preuve le prestataire de services de paiement est-il tenu ?

Reprenons : pèse principalement sur le payeur les obligations de préserver la sécurité de ses dispositifs de sécurité personnalisés [5] (CMF, art. L. 133-16, al. 1er) et de faire opposition sans tarder après avoir eu connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées (CMF, art. L. 133-17, I). Le manquement « fautif » à ces deux obligations est sanctionné dans les termes de l’article L. 133-19, IV, qui déroge au principe de responsabilité partagée posé au I [6] : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L.133-17 » [7]. Et c’est alors qu’intervient cette « modalité pratique » (les termes apparaissent dans l’intitulé de la section dans laquelle se trouve la disposition) en forme d’inversion de la charge de la preuve : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre » (CMF, art. L. 133-23, al. 1er). Mais ce n’est pas tout, car cette inversion est doublée par l’irrecevabilité d’un moyen de preuve absolue : « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière » (CMF, art. L. 133-23, al. 2) [8].

Or voilà que la Cour de cassation, en 2007 (droit ancien spécial de la carte de paiement) comme en 2017 (droit nouveau général des opérations de paiement), ajoute au dispositif légal, pourtant déjà fort favorable au consommateur. Elle le fait même à deux égards :

  • car il n’est pas vrai, d’abord, que l’article L. 133-23, alinéa 2, ferait peser, positivement, sur le prestataire de services de paiement, la preuve de la turpitude de l’utilisateur, quand bien même l’on pourrait penser qu’« il ne fait pas de doute que là se trouve, en creux, le sens même de la disposition » [9] : seule la charge de la preuve d’une opération non autorisée ou mal exécutée pèse expressément – et cela est de bon sens – sur l’émetteur de l’instrument de paiement ;
  • car il est avéré, ensuite, comme l’écrit le législateur, que si la preuve de la faute caractérisée du payeur n’est pas « nécessairement » constituée « en tant que telle » par l’utilisation de l’instrument de paiement, c’est bien qu’elle peut l’être, en tant que telle. Dès lors, en 2017 comme en 2007, la Haute Juridiction va plus loin quand elle juge que la preuve ne peut se déduire du « seul fait » que l’instrument a été utilisé. Ce n’est pas la même chose.

« Certes, la preuve de la faute lourde sera délicate pour la banque. Mais elle ne sera pas impossible », lit-on dans le rapport annuel 2007 de la Cour de cassation, à propos de l’arrêt « fondateur » du 2 octobre 2007 (p. 412). Peut-être pas impossible, mais manifestement diabolique. Car il ne fait plus guère de doute que le refus, légitime, de présumer la faute du payeur en cas d’utilisation effective de son instrument de paiement emporte sa déresponsabilisation.

Achevé de rédiger le 17 février 2017.

 

 

[1] Cf. Rapport annuel 2015 de l’Observatoire de la sécurité des cartes de paiement, Annexe 6 : « hameçonnage ou phishing : technique utilisée par les fraudeurs visant à obtenir des données personnelles, principalement par le biais de courriels non sollicités renvoyant les utilisateurs vers des sites frauduleux ayant l’apparence de sites de confiance ».

[2] Voir déjà, mais peu significatif à notre sens, quoique signalé par D. R. Martin (in Rec. Dalloz 17 nov. 2016, n° 39, p. 2311, Panorama de droit bancaire), Cass. com. 31 mai 2016, n° 14-29.906, inédit : « Mais attendu que, par motifs propres et adoptés, l'arrêt retient que les opérations litigieuses ont toutes été effectuées, sur une brève période de quinze jours et à de multiples reprises, au moyen de la carte, que le code confidentiel a été composé à chaque fois et qu'à la suite du dépôt de plainte, aucune infraction pénale n'a été mise en évidence, Mme X... ne précisant d'ailleurs pas, à propos des opérations de retrait d'espèces à des distributeurs automatiques de billets équipés de caméras de surveillance, si une exploitation des données filmées avait eu lieu ; qu'il ajoute qu'aucune “anomalie du fonctionnement bancaire” n'a été établie ; qu'en déduisant de ces constatations et appréciations souveraines que Mme X... avait commis une négligence grave au sens de l'article L. 133-19, IV, du Code monétaire et financier, la cour d'appel a légalement justifié sa décision ».

[3] Par ex., Cass. com. 9 févr. 2010, n° 09-12.853, inédit.

[4] Cass. com. 2 oct. 2007, n° 05-19.899, Bull. civ. IV, n° 208. On peut y ajouter Cass. 1 civ., 28 mars 2008, n° 07-10.186, Bull. civ. I, n° 91 : « En application de l’article L. 132-3 du Code monétaire et financier, en cas de perte ou de vol, le titulaire d’une carte de paiement qui a effectué la mise en opposition dans les meilleurs délais compte tenu de ses habitudes d’utilisation de cette carte, ne supporte intégralement la perte subie que s’il a agi avec négligence constituant une faute lourde. Il appartient à l’émetteur de rapporter cette preuve et la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel n’est, à elle seule, pas susceptible de constituer la preuve d’une telle faute » ; Cass. com. 21 sept. 2010, n° 09-16.534, inédit : « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d'une telle faute [lourde] » ; qu'après avoir rappelé que l'utilisation de la carte et du code confidentiel ne suffisait pas à caractériser l'existence d'une négligence fautive, la cour d'appel a exactement retenu que la caisse devait établir par d'autres éléments extrinsèques la preuve d'une faute lourde imputable au titulaire de la carte ; et, plus récemment, toujours au visa de l’article L. 132-3 ancien du CMF, Cass. com. 1 mars 2016, n° 14-22.946, inédit.

[5] C’est-à-dire « tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l'utilisation d'un instrument de paiement. Ce dispositif, propre à l'utilisateur de services de paiement et placé sous sa garde, vise à l'authentifier » (CMF, art. L. 133-4, a).

[6] « En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros », à quoi est ajouté que « toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé ».

[7] Comp. CMF, art. L. 133-20 : « Après avoir informé son prestataire ou l'entité désignée par celui-ci, conformément à l'article L. 133-17 aux fins de blocage de l'instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l'utilisation de cet instrument de paiement ou de l'utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part. »

[8] Notons que cette disposition a pu être perçue comme « une source fondamentale de déresponsabilisation des utilisateurs de services de paiement en faisant, à bon compte, prendre en charge par les prestataires de services de paiement les conséquences liées à un ordre de paiement prétendument non autorisé », étant ajouté qu’ « il convient de bien prendre conscience que, peu ou prou, la preuve que le client a commis une faute sera matériellement difficile à apporter » (S. Torck, L’exécution et la contestation des opérations de paiement, JCP E 2010, 1033, n° 40).

[9] S. Torck, op. cit., n° 39.

L'auteur

  • Pierre Storrer
    Pierre Storrer
    • Avocat au Barreau de Paris
    • Kramer Levin Naftalis & Frankel LLP
* L’auteur invite les lecteurs à lui faire parvenir leurs réactions ou éléments d’actualité inédits : pstorrer@kramerlevin.com** Les propos de l’auteur n’engagent que celui-ci

Articles du(des) même(s) auteur(s)

Sur le même sujet