De l’articulation des délais pour signaler une opération de paiement non autorisée

Sur renvoi préjudiciel opéré par la chambre commerciale de la Cour de cassation, la Cour de justice de l’Union européenne a rendu un important arrêt Il c/ Veracash SAS interprétant la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur.

Le droit bancaire connaît des thématiques jurisprudentielles récurrentes. Parmi elles, celle des opérations de paiement non autorisées fait figure de modèle. Ces derniers mois, plusieurs décisions importantes ont été publiées au Bulletin à ce sujet (sur le délai pour agir contre la banque, Com. 2 juill. 2025, n° 24-16.590, Dalloz actualité, 10 juill. 2025, obs. C. Hélaine ; D. 2025. 1204  ; sur les escroqueries téléphoniques, Com. 12 juin 2025, n° 24-13.777, Dalloz actualité, 19 juin 2025, obs. C. Hélaine ; D. 2025. 1116  ; sur le manquement de l’utilisateur, Com. 30 avr. 2025, n° 24-10.149, Dalloz actualité, 13 mai 2025, obs. C. Hélaine ; D. 2025. 828  ; RTD com. 2025. 480, obs. D. Legeais ).

Un arrêt rendu le 1er août 2025 par la Cour de justice de l’Union européenne complète ce tableau déjà bien rempli. Il a été permis grâce à l’impulsion de la chambre commerciale de la Cour de cassation française qui a décidé de renvoyer plusieurs questions préjudicielles au sujet des opérations de paiement non autorisées (Com. 8 nov. 2023, n° 22-14.822 F-D). La question au cœur de la difficulté est liée à la superposition de deux types de délais de l’article 58 de la directive 2007/64/CE, disposition transposée au sein du droit français à l’article L. 133-24 du code monétaire et financier. Signe de son importance, la décision de la Cour de justice est d’ailleurs accompagnée d’un communiqué de presse publié sur le site de l’institution.

Intéressons-nous aux faits de l’affaire au principal afin de comprendre tout l’enjeu du problème en prêtant une attention particulière aux dates de l’espèce. Une personne physique ouvre un compte de dépôt en or dans les livres d’un établissement bancaire. Une nouvelle carte de retrait et de paiement est envoyée au client le 24 mars 2017. Toutefois, cet instrument de paiement n’a jamais été réceptionné par ledit client. D’ailleurs, celui-ci avance même n’avoir jamais commandé une nouvelle carte bancaire.

Du 30 mars 2017 au 17 mai suivant, celui-ci subit des retraits dont il n’est pas à l’origine. On comprend que l’instrument de paiement a été subtilisé par un tiers sans qu’il soit reçu par son utilisateur projeté. Le client sollicite deux mois plus tard, le 23 mai 2017, le remboursement des sommes détournées auprès de sa banque laquelle lui refuse ce bénéfice.

C’est dans ce contexte qu’une assignation est délivrée à l’établissement bancaire afin d’obtenir ledit remboursement. Le Tribunal judiciaire d’Évry déboute le demandeur, tout comme la Cour d’appel de Paris par arrêt du 3 janvier 2022 (Paris, 3 janv. 2022, n° 20/07303, disponible en libre accès sur Judilibre). Les juges du fond ont retenu que le client ne pouvait pas invoquer les dispositions de l’article L. 133-18 du code monétaire et financier dans la mesure où celui-ci n’avait pas signalé « sans tarder » les retraits en cause au sens de l’article L. 133-24 du même code.

Le payeur se pourvoit en cassation en exposant que l’article L. 133-24 du code monétaire et financier lui permettait d’opérer le signalement dans un délai de treize mois. L’établissement bancaire maintient, quant à lui, en défense sa position en estimant que son client aurait dû signaler sans tarder les opérations en cause.

La chambre commerciale de la Cour de cassation hésite, à juste titre, sur la solution à préférer en l’état d’une opposition entre une « lecture littérale de l’article 58 de la directive 2007/64/CE/CE » et celles des articles 56, 60 et 61 de ce même texte (comp. pts nos 21 et 25 de Com. 8 nov. 2023, n° 22-14.822, préc.).

Afin de pouvoir mettre fin à ce doute lancinant en droit positif, la Haute juridiction décide de renvoyer à titre préjudiciel les trois questions suivantes à la Cour de justice de l’Union européenne :

1) Les articles 56, 58, 60 et 61 de la directive [2007/64/CE] doivent-ils être interprétés en ce sens que le payeur est privé du droit au remboursement du montant d’une opération non autorisée lorsqu’il a tardé à signaler à son prestataire de services de paiement l’opération de paiement non autorisée, quand bien même il l’a fait dans les treize mois suivant la date de débit ?

2) En cas de réponse positive à la première question, la privation du droit du payeur au remboursement est-elle subordonnée au fait que la tardiveté du signalement est intentionnelle ou est la suite d’une négligence grave de la part du payeur ?

3) En cas de réponse positive à la première question, le payeur est-il privé du droit au remboursement de toutes les opérations non autorisées ou seulement de celles qui auraient pu être évitées si le signalement n’avait pas été tardif ?

Examinons les solutions dégagées par l’arrêt Il c. Veracash SAS rendu le 1er août 2025 par la Cour de justice en tentant d’en apprécier la portée pratique pour les services juridiques des banques comme pour les clients de celles-ci.

Une articulation plus ou moins clarifiée des délais

La première question consiste à savoir comment combiner le délai chiffré de treize mois avec celui, par nature, non chiffré, soit le signalement « sans tarder » au prestataire de l’opération de paiement non autorisée. La Cour de justice commence par rappeler sa jurisprudence habituelle l’invitant à ne pas s’arrêter à une interprétation littérale du texte de l’Union pour étudier les objectifs de la directive 2007/64/CE (pt n° 34). Cette orientation n’étonnera guère puisqu’elle permet de respecter le sens et la portée des dispositions interprétées. Ainsi, par exemple, la méthode a su faire ses preuves dans le droit des clauses abusives.

Il existe, sur l’articulation des délais de l’article 58 de la directive 2007/64/CE, une légère discordance dans les différentes traductions du texte, notamment sur la présence de la conjonction « et » qui n’est pas utilisée dans toutes les versions linguistiques de ladite directive (pt n° 38). La Cour de justice rappelle donc, à juste titre, que les points de départ des délais ne sont pas les mêmes : le signalement « sans délai » court à compter de la connaissance du client de l’opération de paiement non autorisée tandis que le délai de treize mois commence directement à partir du débit. On ne peut en déduire raisonnablement qu’une solution : ces délais couvrent « deux conditions temporelles différentes » (loc. cit.). Voici une nouvelle illustration de la difficulté pratique de la traduction des textes au sein de l’Union européenne. La problématique est, cette fois-ci, facilement déminée. 

Ces deux durées, différentes tant dans leur approche que dans leur point de départ, ne peuvent qu’être cumulatives (pt n° 40) et ce malgré la différence de traduction entre les versions linguistiques de la directive. Pour appuyer son raisonnement, la Cour de justice fait appel au considérant 31 de la directive 2007/64/CE qui explique que le but du signalement « sans délai » permet de limiter les conséquences de l’opération de paiement non autorisée. On peinera toutefois à apprécier de manière autonome cet argument puisque, par nature, cette vocation « préventive » pourrait être contrebalancée par l’objectif de protection de l’utilisateur qui est d’ailleurs utilisé dans cette même décision comme nous le verrons. 

La Cour de justice utilise, en revanche, un argument beaucoup plus intéressant tiré de la sécurité juridique commune tant de l’utilisateur que du prestataire venant associer l’idée précédente. Le délai de treize mois poursuit un tel objectif (pt n° 48) contrairement à l’obligation de notification « sans tarder » qui dispose d’une vocation préventive. L’arrêt parvient ainsi à une sorte de mise en balance des deux délais qui impose de respecter cumulativement ces deux trames temporelles distinctes :

  • d’une part, l’utilisateur de services de paiement doit signaler à sa banque toute opération de paiement non autorisée « sans tarder » dès qu’il en a connaissance ;
  • d’autre part, le même utilisateur dispose également d’un délai de treize mois à compter du débit pour procéder à ce signalement. Cette durée ne sera utilisée dans toute son ampleur que quand la connaissance de l’utilisateur est repoussée dans le temps par exemple. C’est ce que nous verrons dans les réponses données aux questions suivantes. 

Cette interprétation nous semble, en effet, la seule option viable pour respecter la formulation ambivalente de l’article 58 de la directive 2007/64/CE (v. J. Lasserre Capdeville, M. Storck, M. Mignot, J.-P. Kovar et N. Éréséo, Droit bancaire, 4e éd., Dalloz, coll. « Précis », 2024, p. 774, n° 1563). Il aurait été largement préférable de prévoir dans le corps du texte une précision supplémentaire pour éviter cette hésitation. Quoi qu’il en soit, rappelons que le délai de treize mois ne concerne que le signalement lui-même, l’action contre la banque étant ensuite régie par le délai de droit commun comme l’a précisé la chambre commerciale de la Cour de cassation à l’orée de l’été (Com. 2 juill. 2025, n° 24-16.590 F-B, préc.).

Le cumul des deux délais étant confirmé au sein de la directive, il reste maintenant à la Cour de justice d’en assouplir la portée dans le cadre précis de la perte, du vol, du détournement ou de l’utilisation sans autorisation de l’instrument de paiement. 

Du retard de signalement et de l’individualisation des opérations

On distinguera entre la deuxième et la troisième questions pour davantage de clarté.

De la distorsion du signalement « sans délai »

La deuxième question consiste à s’interroger sur les circonstances du retard de signalement quand l’opération de paiement non autorisée est liée à la perte, au vol, au détournement ou à l’utilisation non souhaitée de l’instrument. En d’autres termes, elle permet de déterminer si l’on doit faire grief au client dont la carte a été par exemple dérobée de ne pas avoir signalé l’opération sans délai mais tout de même dans celui de treize mois ou, au contraire, s’il faut réserver la sanction prévue par la directive 2007/64/CE au seul cas d’un signalement tardif de manière intentionnelle ou lié à une négligence grave.

La Cour de justice apporte, à juste titre, une certaine souplesse fort bienvenue en la matière. Elle rappelle que ce n’est que lorsque l’utilisateur « agit frauduleusement ou lorsqu’il a tardé, de manière intentionnelle ou à la suite d’une négligence grave, à informer son prestataire de services de paiement ou l’entité désignée par celui-ci de la perte, du vol, du détournement ou de toute utilisation non autorisée de cet instrument » qu’il doit supporter les pertes liées à l’opération de paiement non autorisée (pt n° 65). L’argumentation téléologique l’explique très bien en rappelant que le considérant 32 de la directive 2007/64/CE incite l’utilisateur à signaler sans tarder l’opération pour limiter le risque de démultiplication d’opérations de ce type. La banque ne peut pas simplement utiliser un manquement au signalement « sans tarder » quand l’instrument de paiement est volé ou perdu et que l’utilisateur notifie à son établissement bancaire le problème lorsqu’il prend connaissance dudit vol ou de ladite perte. On retrouve alors le problème habituel de charge de la preuve qui implique que la banque doit démontrer que l’opération a bien été authentifiée, enregistrée et comptabilisée (comp. Com. 30 avr. 2025, n° 24-10.149, préc.). Notons que dans l’affaire au principal devant la chambre commerciale de la Cour de cassation, la discussion pourrait être assez âpre entre les parties afin de s’engouffrer dans la voie ainsi tracée par la Cour de justice.

Résumons. Lorsque l’instrument de paiement a été perdu, volé ou détourné, l’obligation de signalement « sans délai » connaît une sorte de dilatation. Tant que le délai de forclusion de treize mois est respecté, la banque ne peut pas refuser le remboursement sauf à prouver que son client a intentionnellement retardé l’information ou que ce retard est lié à une négligence grave de sa part. Une telle ligne respecte parfaitement « l’intention du législateur de l’Union » (pt n° 70), à savoir assurer une protection de l’utilisateur renforcée quand celui-ci est victime d’un vol ou d’une perte d’un instrument de paiement. Une solution contraire aboutirait, en effet, à renverser complètement le but de la directive 2007/64/CE en créant une rigidité absurde dans un tel contexte.

Les services juridiques des établissements bancaires devront en prendre connaissance rapidement. Pour refuser un remboursement, il faut démontrer que le client a tardé de manière intentionnelle ou que celui-ci a commis une négligence grave l’ayant conduit à ne pas signaler sans délai l’opération litigieuse. La charge de la preuve est très délicate et nécessite un soin tout particulier des services concernés.

De l’individualisation des opérations successives

La troisième question est plus complexe d’apparence mais sa solution découle simplement des données précédentes. Là-encore, la Cour de justice de l’Union la reformule pour en tirer les éléments les plus utiles à l’interprétation de la directive 2007/64/CE.

Mobilisant une interprétation littérale, l’arrêt aboutit à considérer que l’utilisateur ne peut être privé de son droit au remboursement « que des seules opérations qu’il a intentionnellement ou de manière gravement négligente tardé à signaler à son prestataire de services de paiement » (pt n° 85). Cette limitation est surtout liée au caractère d’exception de l’article 61 de la directive qui impose une interprétation stricte. Les arguments de contexte donnés par la Cour de justice sont légèrement moins convaincants dans la mesure où le texte suffit, selon nous, à dessiner la solution d’individualisation de la sanction que doit supporter l’utilisateur ayant tardé de manière intentionnelle ou gravement négligente. On ne reporte alors la sanction que sur les seules opérations pour lesquelles il est démontré un tel comportement du client.  Cette dernière orientation est importante car elle permet d’opportunément de restaurer l’intérêt de la causalité entre le comportement du payeur et les pertes subies (pts nos 88 et 89). Surtout, elle invite à individualiser les opérations. Les services juridiques ne doivent pas considérer systématiquement l’ensemble mais plutôt individualiser les différentes opérations en fonction du comportement du client pour chacune.

Voici donc un arrêt fort important pour le droit bancaire français. Les solutions édictées ne sont pas étonnantes et respectent tant la lettre de la directive 2007/64/CE que son esprit. La dualité des délais « sans tarder » et de treize mois pouvait, à fort juste titre, faire hésiter les plaideurs. Cette dualité n’est pas alternative mais cumulative. Même en respectant le délai de forclusion de treize mois, un utilisateur peut être privé de son droit au remboursement s’il ne notifie pas sans délai l’opération.

Toutefois, des situations particulières existent notamment en matière d’instrument de paiement perdu, volé ou détourné. Quand l’utilisateur respecte le délai de treize mois, il faut alors que celui-ci ait tardé à signaler de manière intentionnelle ou à la suite d’une négligence grave pour le priver de son droit au remboursement. Les services juridiques des établissements bancaires devront en prendre bonne note pour éviter d’exposer des frais de justice inutiles en cas de refus de remboursement injustifié.

 

CJUE 1er août 2025, aff. C-665/23

par Cédric Hélaine, Docteur en droit, Chargé d'enseignement à l'Université d'Aix-Marseille

© Lefebvre Dalloz