C’est à coup sûr un bel arrêt qu’a rendu la chambre commerciale de la Cour de cassation le 18 janvier 2017 (n° 15-18.102), de fait destiné à une large publication (P+B+I – ne manque donc que la publication au Rapport annuel de la Cour de cassation pour que ce soit un grand arrêt).
Donnons sans tarder la solution de l’arrêt sous commentaire, qui peut être découpée en trois temps :
Partant, la Cour de cassation confirme le juge de proximité que la banque devait bien procéder, en l’espèce, au remboursement des paiements frauduleux (838 euros), faute de rapporter la preuve que la victime avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés ; faute, en particulier, de faire la démonstration d’une manœuvre de « hameçonnage » [1] qui aurait conduit le payeur à répondre à un e-mail frauduleux qu’il pensait émaner de sa banque afin qu’il renseigne identifiants, mots de passe et codes de clefs permettant un paiement à distance. Balayé, en conséquence, l’argument avancé par la banque, selon lequel le système de paiement utilisé (carte virtuelle dynamique, ce n’est pas si commun) était tellement sécurisé que son utilisation par un tiers impliquait nécessairement, au moins, la négligence coupable du titulaire de l’instrument de paiement.
À défaut de réelle originalité sur le fond (on va le voir), notre arrêt présente l’intérêt majeur de statuer en application du droit nouveau des services de paiement, tel que créé par l’ordonnance n° 2009-866 du 15 juillet 2009 de transposition de la DSP [2] ; de statuer, ainsi, en application du régime général des instruments et des opérations de paiement, prévu aux articles L. 133-1 et suivants du Code monétaire et financier (CMF). En cela, il fait certainement date et se distingue des précédents, généralement rendus au regard de la carte de paiement, du virement parfois [3].
Précédents
À suivre la nomenclature des arrêts de la Cour de cassation, deux retiennent l’attention, rendus sous l’empire du droit ancien (pré-DSP donc) et concernant l’utilisation frauduleuse d’une carte bancaire.
On commencera par rapporter le dernier en date rapidement, car plus éloigné de notre sujet et, surtout, rendu en application d’un texte (l’article L. 132-4 ancien du CMF) qui a disparu. La Haute Juridiction confirmait ainsi le principe d’irresponsabilité posé par ce texte : « la responsabilité du titulaire d’une carte de paiement n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte », en y ajoutant ceci (qui est l’apport de la décision) : « la négligence du titulaire n’est pas de nature à décharger l’émetteur de son obligation de recréditer le montant d’une opération qui a été contestée dans le délai de soixante-dix jours, ou dans celui contractuellement prolongé dans la limite de cent vingt jours ».
Fameuse est ensuite la décision du 2 octobre 2007, qui avait dit, en premier lieu, qu' « en cas de perte ou vol d’une carte bancaire, il appartient à l’émetteur de la carte qui se prévaut d’une faute lourde de son titulaire, au sens de l’article L. 132-3 du Code monétaire et financier, d’en rapporter la preuve » ; et, en second lieu, que « la circonstance que la carte ait été utilisée par un tiers avec composition du code confidentiel est, à elle seule, insusceptible de constituer la preuve d’une telle faute » [4]. On sait, car elle l’a écrit dans son rapport annuel 2007 (et repris dans son Bulletin d’information n° 675 du 1er février 2008, n° 110), que cet arrêt marquait la volonté de la Cour de cassation de combattre la présomption de faute du titulaire de la carte en cas de perte ou vol avec utilisation du code confidentiel, présomption assise sur le non-respect de l’obligation mise à sa charge, dans les modèles de contrats porteur, de conserver confidentiel ledit code (p. 411).
À l’impossible preuve le prestataire de services de paiement est-il tenu ?
Reprenons : pèse principalement sur le payeur les obligations de préserver la sécurité de ses dispositifs de sécurité personnalisés [5] (CMF, art. L. 133-16, al. 1er) et de faire opposition sans tarder après avoir eu connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées (CMF, art. L. 133-17, I). Le manquement « fautif » à ces deux obligations est sanctionné dans les termes de l’article L. 133-19, IV, qui déroge au principe de responsabilité partagée posé au I [6] : « Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L.133-17 » [7]. Et c’est alors qu’intervient cette « modalité pratique » (les termes apparaissent dans l’intitulé de la section dans laquelle se trouve la disposition) en forme d’inversion de la charge de la preuve : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre » (CMF, art. L. 133-23, al. 1er). Mais ce n’est pas tout, car cette inversion est doublée par l’irrecevabilité d’un moyen de preuve absolue : « L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière » (CMF, art. L. 133-23, al. 2) [8].
Or voilà que la Cour de cassation, en 2007 (droit ancien spécial de la carte de paiement) comme en 2017 (droit nouveau général des opérations de paiement), ajoute au dispositif légal, pourtant déjà fort favorable au consommateur. Elle le fait même à deux égards :
« Certes, la preuve de la faute lourde sera délicate pour la banque. Mais elle ne sera pas impossible », lit-on dans le rapport annuel 2007 de la Cour de cassation, à propos de l’arrêt « fondateur » du 2 octobre 2007 (p. 412). Peut-être pas impossible, mais manifestement diabolique. Car il ne fait plus guère de doute que le refus, légitime, de présumer la faute du payeur en cas d’utilisation effective de son instrument de paiement emporte sa déresponsabilisation.
Achevé de rédiger le 17 février 2017.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]