Opérations de paiement non autorisées : confirmation de jurisprudence

La chambre commerciale confirme sa jurisprudence de 2020 concernant les conditions selon lesquelles un prestataire de services de paiement souhaite faire supporter par l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur.

Ces derniers mois, la chambre commerciale de la Cour de cassation a opéré plusieurs précisions utiles s’agissant des dispositions du code monétaire et financier applicables aux instruments de paiement. Que ce soit en matière d’arnaque téléphonique au faux conseiller (Com. 23 oct. 2024, n° 23-16.267 FS-B, Dalloz actualité, 5 nov. 2024, obs. C. Hélaine ; D. 2024. 1860 ; AJ pénal 2024. 578 et les obs. ), de doublon de carte bancaire (Com. 2 mai 2024, n° 22-18.074 F-B, Dalloz actualité, 23 mai 2024, obs. C. Hélaine ; D. 2024. 868 ; ibid. 1877, obs. D. R. Martin et H. Synvet ; RTD com. 2024. 728, obs. D. Legeais ) ou encore de devoir de vigilance (Com. 2 mai 2024, n° 22-17.233 FS-B, Dalloz actualité, 16 mai 2024, obs. C. Hélaine ; D. 2024. 868 ; ibid. 1405 , note J. Lasserre Capdeville ; RCJPP 2024. 43, chron. S. Piédelièvre et O. Salati ; ibid. 61, chron. S. Piédelièvre et O. Salati ; RTD com. 2024. 409, obs. D. Legeais ), l’actualité à ce titre reste dense. Ceci témoigne d’un contentieux important qui nécessite une interprétation uniforme des règles en présence. L’arrêt rendu le 20 novembre 2024, que nous étudions aujourd’hui, s’inscrit très clairement dans ce contexte. Il vient asseoir la portée d’une décision rendue en 2020 dont on pouvait questionner le maintien.

Les faits à l’origine du pourvoi puisent leur source dans une situation, de prime abord, d’apparence banale. Un compte est ouvert par une personne physique auprès d’un établissement bancaire. Ledit compte prévoit la mise à disposition d’une carte de paiement. Voici que le 23 mars 2018 et le 27 mars suivant, ce compte est débité de plusieurs sommes pour différentes opérations (à savoir des virements, des paiements et des retraits). Le 30 mars 2018, le client dépose plainte pour le vol de sa carte bancaire et de ses instruments de paiement. Entre temps, le compte s’est ainsi retrouvé en solde débiteur sans être accompagné d’une autorisation de découvert. C’est dans ce contexte que l’établissement bancaire assigne son client en paiement dudit solde. La victime refuse de régler sa banque en estimant que les opérations ayant entraîné la position débitrice du compte sont dues au vol, objet du dépôt de plainte.

En cause d’appel, les juges du fond condamnent le client à régler à son établissement bancaire la somme de 50 097,78 € en précisant que celui-ci a commis des négligences graves qui ont permis les virements, les retraits et les paiements litigieux. La cour d’appel a, en effet, relevé que les opérations ont été réalisées après avoir rencontré un individu sur le réseau social Instagram auquel a été remis par le client lui-même un relevé d’identité bancaire, sa carte bancaire ainsi que ses codes d’authentification « cyber » (pt n° 5). Le client se pourvoit en cassation en reprochant à ce raisonnement de ne pas avoir recherché si les opérations en cause avaient été authentifiées, enregistrées et comptabilisées mais également qu’elles n’avaient pas été affectées par une déficience technique au sens de la jurisprudence récente en la matière.

L’arrêt rendu le 20 novembre 2024 couronne de succès son pourvoi. La décision permet de confirmer une lignée prétorienne qui commence désormais à se dessiner de manière certaine.

Réitération d’une jurisprudence connue

Toute l’économie de la solution repose dans l’affirmation suivante : « s’il entend faire supporter à l’utilisateur d’un instrument de paiement doté d’un dispositif de sécurité personnalisé les pertes occasionnées par une opération de paiement non autorisée rendue possible par un manquement de cet utilisateur, intentionnel ou par négligence grave, aux obligations mentionnées aux articles L. 133-16 et L. 133-17 de ce code, le prestataire de services de paiement doit au préalable prouver que l’opération en cause a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre » (pt n° 4, nous soulignons). Nul revirement de jurisprudence à la lecture de cet énoncé. Au contraire, l’arrêt invite à reposer des jalons connus depuis une décision du 12 novembre 2020 (Com. 12 nov. 2020, n° 19-12.112, D. 2020. 2284, et les obs. ; Dalloz IP/IT 2021. 297, obs. N. Kilgus ; RTD com. 2021. 173, obs. D. Legeais ). Celle-ci est, par ailleurs, citée dans le « chaînage » (ou le « rapprochement de jurisprudence ») disponible sur le site internet de la cour de cassation. Un tel procédé est utile même s’il aurait, peut-être, gagné à être directement utilisé au sein de la motivation employée afin de l’enrichir.

Certains auteurs se demandaient si cette jurisprudence de 2020 allait être réitérée en notant son caractère « peu favorable aux banques » (J. Lasserre Capdeville, M. Storck, M. Mignot, J.-P. Kovar et N. Éréséo, Droit bancaire, 4^e éd., Dalloz, coll. « Précis », 2024, p. 773, n° 1560 ; v. égal., p. 783, n° 1587). L’hésitation de la doctrine spécialisée en droit bancaire sur le maintien d’une telle ligne prétorienne pouvait, en effet, tout à fait se comprendre eu égard à la sévérité de son orientation. En résultait donc une pratique des juges du fond qui n’était pas encore tout à fait unifiée comme en témoigne parfaitement la décision étudiée qui n’appliquait pas les critères dégagés par l’arrêt de 2020. Il n’était fait application, en d’autres termes, que de l’article L. 133-19 du code monétaire et financier afin d’identifier une négligence grave du client (ici par la remise des instruments de paiements et des différents codes de sécurité à un inconnu rencontré sur Instagram).

Ceci montre, par ailleurs, à quel point une décision de la Cour de cassation doit parfois être réitérée pour qu’elle puisse déployer tous ses effets en droit positif. On peut se demander, par ailleurs, si eu égard à l’hésitation qui régnait en la matière, il n’aurait pas été pertinent de publier la décision aux Lettres de chambre. Avec un second arrêt publié au Bulletin, les juges du fond devront, quoi qu’il en soit, désormais estimer que cette position a vocation à devenir une jurisprudence constante. L’ombre d’un revirement de jurisprudence s’éloigne donc drastiquement et, avec elle, l’espoir des établissements bancaires.

La cassation ne pouvait, ainsi, qu’être prononcée contre l’arrêt frappé du pourvoi.

Une solution dans la droite lignée des textes

Le fond de la solution est peu évident à remettre en question en ce que cette dernière semble s’inférer, de manière plus ou moins explicite, de l’article L. 133-23, alinéa 1^er, du code monétaire et financier. C’est cet article qui est, sans surprise, combiné à l’article L. 133-19, IV, du même code pour justifier la cassation. Comme le notait M^me la professeure Caroline Houin-Bressand « cette interprétation de l’article exclut donc toute possibilité de partage de responsabilité entre le prestataire de service et son client, la défaillance du premier dans l’exécution de sa mission libérant d’office le second de sa responsabilité, quand bien même il aurait contribué au dommage en divulguant fautivement ses données bancaires » (C. Houin-Bressand, Opération de paiement non autorisée : la négligence grave du client ne dispense pas la banque de ses propres obligations, Gaz. Pal. 2021. 52, nous soulignons). Désormais, l’avenir d’une telle orientation semble assuré avec ce second arrêt de 2024. Si la solution ne signe pas un blanc-seing pour les clients qui commettraient des négligences graves, elle vient indubitablement corser le travail de l’établissement bancaire qui entend faire supporter à l’utilisateur sa négligence grave.

Il faut toutefois ne pas s’y tromper en l’espèce. La cassation prononcée n’intervient que pour défaut de base légale rendant la solution définitive de l’affaire devant la cour d’appel de renvoi fort incertaine. Il est tout à fait possible que la banque parvienne à prouver que les opérations ont été authentifiées, enregistrées et comptabilisées sans être affectées par une quelconque déficience technique. Ceci est d’autant plus exact que, selon l’arrêt cassé, la personne rencontrée sur Instagram avait reçu de la part du client sa carte bancaire, son code confidentiel ainsi que son code d’authentification à double facteur. Bien souvent, cependant, ceci restera bien délicat à démontrer pour la banque qui n’aura alors d’autre choix que de supporter les conséquences de la négligence grave de son client.

Voici, en somme, une décision importante en ce qu’elle vient réitérer une seconde fois la position de la chambre commerciale de la Cour de cassation initiée en 2020. Conforme à la géométrie subtile des textes du code monétaire et financier et, ce faisant, des différentes directives européennes DSP1 et DSP2 à leur origine, l’orientation choisie n’en est pas moins sévère pour les banques. Les services juridiques concernés devront en prendre acte.

Com. 20 nov. 2024, F-B, n° 23-15.099

© Lefebvre Dalloz