Responsabilité des prestataires de services de paiement : la chambre commerciale confirme sa jurisprudence
Dès lors que les règles des articles L. 133-18 à L. 133-24 du code monétaire et financier relatives à la responsabilité d’un prestataire de services de paiement sont applicables, le droit commun se trouve paralysé.
Il est assez rare que la chambre commerciale de la Cour de cassation accompagne ses décisions d’un communiqué. L’entrecroisement entre de tels documents explicatifs et le choix d’une motivation enrichie permet de signer l’importance donnée à certaines solutions. Ainsi, les deux arrêts rendus le 15 janvier 2025 doivent nécessairement attirer l’attention en ce qu’ils sont, d’une part, pourvus d’un communiqué commun concernant les escroqueries bancaires et, d’autre part, en ce qu’ils présentent une motivation enrichie.
Au premier regard, on pourrait toutefois penser à une simple confirmation jurisprudentielle d’une position commentée dans ces colonnes au printemps 2024 (Com. 27 mars 2024, n° 22-21.200 FS-B, Dalloz actualité, 3 avr. 2024, obs. C. Hélaine ; D. 2024. 636 
; ibid. 1154, chron. C. Bellino, T. Boutié et C. Lefeuvre ; RCJPP 2024, n° 03, p. 61, chron. S. Piédelièvre et O. Salati ; RTD com. 2024. 411, obs. D. Legeais ; 2 mai 2024, n° 22-18.074 F-B, Dalloz actualité, 22 mai 2024, obs. C. Hélaine ; D. 2024. 868 ; ibid. 1877, obs. D. R. Martin et H. Synvet ; RTD com. 2024. 728, obs. D. Legeais ). Les arrêts étudiés aujourd’hui vont, probablement, plus loin en éradiquant les derniers doutes possibles concernant une éventuelle application d’un régime alternatif de responsabilité en concours avec le droit spécial du code monétaire et financier. On regrettera, peut-être, à ce titre de ne pas disposer en libre accès des documents préparatoires – tels que le rapport du conseiller rapporteur et l’avis de l’avocat général – afin de compléter les précisions apportées par le communiqué.
Reprenons les faits en distinguant les pourvois pour plus de clarté, les situations n’étant pas identiques.
Dans l’affaire n° 23-13.579, deux sociétés du même groupe sont titulaires chacune d’un compte ouvert dans les livres d’un établissement bancaire. Elles souscrivent un service particulier qui permet la transmission d’ordres d’opération de paiement lesquels doivent être « authentifiés par un certificat numérique » (pt n° 1). Le 23 juin 2015, six ordres de virement sont exécutés par la banque à partir des deux comptes des sociétés concernées, le tout pour un montant de 498 266,50 €. Après avoir pris connaissance de ces opérations, les sociétés clientes les contestent. Le communiqué nous apprend qu’une expertise a révélé qu’un courriel contenant un virus de type « Cheval de Troie » a infecté l’ordinateur du comptable des clientes, ce qui a conduit à ce que l’escroc puisse opérer les virements. La banque refuse toutefois le remboursement sollicité. Ses clientes l’assignent, par conséquent, en paiement sur le fondement des dispositions du code monétaire et financier. En cause d’appel, les juges du fond caractérisent une négligence grave des sociétés payeuses. Cependant, la cour d’appel considère que la banque a manqué à son obligation de vigilance et de surveillance de ses systèmes en présence d’une campagne massive de spam et des nombreuses tentatives infructueuses de connexion au système d’authentification à partir des postes des sociétés concernées. La banque est ainsi condamnée à rembourser à ses clientes la moitié des pertes subies liées aux opérations non autorisées.
Dans l’affaire n° 23-15.437, on retrouve des époux titulaires d’un compte joint ouvert dans les livres d’un établissement bancaire. Deux virements sont réalisés le 14 août 2019 depuis ce compte pour financer l’achat d’un véhicule automobile. Afin de procéder à ces opérations, l’épouse a communiqué par voie électronique l’IBAN fourni par le vendeur. Mais le 21 août 2019, les fonds ne sont toujours pas parvenus sur le compte dudit vendeur. Les époux acquéreurs se rendent compte qu’un tiers s’est immiscé sur leur messagerie pour substituer à l’IBAN de leur cocontractant son propre identifiant unique. La banque refuse de restituer les fonds de sorte que ses clients saisissent le tribunal sur le fondement des dispositions du code monétaire et financier. En cause d’appel, les juges du fond condamnent la banque en précisant que l’article L. 133-21 du code monétaire et financier ne dispense pas le banquier de son obligation de vigilance. Selon la cour d’appel, la banque aurait dû vérifier la régularité de l’opération en contrôlant l’absence d’anomalie apparente.
Dans les deux affaires, c’est l’établissement bancaire condamné à restituer tout ou partie des fonds qui se pourvoit en cassation. Les décisions rendues le 15 janvier 2025 aboutissent à des cassations pour violation de la loi signant un maintien opportun de la jurisprudence rendue au printemps dernier. Examinons pourquoi ces solutions sont importantes.
De l’inapplication du droit commun
On retrouve en parfait miroir, dans les deux décisions étudiées, l’idée selon laquelle la responsabilité contractuelle de droit commun de l’article 1231-1 nouveau du code civil, comme de l’ancien article 1147 du même code, « n’est pas applicable en présence d’un régime de responsabilité exclusif » (pt n° 5 dans l’aff. n° 23-13.579, pt n° 8 dans le pourvoi n° 23-15.437). La solution ainsi dessinée est la continuité de la jurisprudence récente comme nous l’avons mentionné dès l’introduction (Com. 2 mai 2024, n° 22-18.074 F-B, préc. ; 27 mars 2024, n° 22-21.200 FS-B, préc.). On retrouve, d’ailleurs, la même référence à l’arrêt de la Cour de justice de l’Union européenne dit Beobank qui a posé cette impossibilité d’application conjointe afin de ne pas vider de toute sa substance l’harmonisation prévue par les directives 2007/64/CE et (UE) 2015/2366 (CJUE 16 mars 2023, aff. C-351/21).
Par conséquent, la responsabilité du prestataire de services de paiements en cas d’opération non autorisée ou mal exécutée ne peut être examinée que sous le prisme des articles L. 133-18 à L. 133-24 du code monétaire et financier (v. pt n° 7 de l’aff. n° 23-13.579 et pt n° 10 du pourvoi n° 23-15.437, préc.). Si la jurisprudence commence à être plutôt bien établie, pourquoi ces deux arrêts bénéficient-ils d’un communiqué de presse ? La question appelle des pistes de réponses différentes.
La première concerne peut-être la possibilité qu’a pu envisager la chambre commerciale de revirer sa jurisprudence. La décision Beobank de la Cour de justice ne condamne, en effet, pas complètement les concours de responsabilité tant que, d’une part, il n’est pas porté atteinte au régime harmonisé de la directive et, d’autre part, qu’il n’existe pas de coup porté « aux objectifs et à l’effet utile » de celle-ci (CJUE 16 mars 2023, Beobank, aff. C-351/21, préc., pt n° 38). La jurisprudence citée précédemment rendue durant l’année 2024 n’était peut-être pas encore suffisamment mûre pour devenir constante. Il existait, en outre, des interstices où la responsabilité contractuelle de droit commun pouvait peut-être se justifier, notamment quand l’obligation de vigilance était invoquée par les plaideurs en parallèle des articles L. 133-18 à L. 133-24 du code monétaire et financier. Une application distributive pouvait, dès lors, se concevoir selon certaines juridictions comme celles qui ont rendu les décisions frappées des pourvois respectifs.
La seconde réponse possible doit être trouvée du côté de la volonté de la Cour de cassation de préciser de manière plus claire la position retenue, et ce, afin d’éviter des pratiques discordantes des juges du fond face à la technicité du droit spécial. Cette piste est corroborée par le sous-titre du communiqué qui parle de « précisions quant aux conditions du remboursement du client par sa banque » (nous soulignons).
Sans documents préparatoires disponibles en libre accès comme pour d’autres décisions rendues par la Cour de cassation, nous n’en saurons pas plus sur les raisons qui ont conduit à proposer un tel communiqué pour ces deux arrêts du 15 janvier 2025. Il s’agit, sans doute, d’une certaine conjugaison entre les arguments précédemment cités. La solution ainsi rappelée aura le mérite certain de mettre un terme à l’hésitation si celle-ci subsistait.
Des conséquences de l’absence d’application distributive des règles
Le mise en mouvement de l’application exclusive des textes du code monétaire et financier, s’agissant des opérations non autorisées ou mal exécutés, entraîne inévitablement une cassation au sein de chacune des deux décisions examinées.
Dans l’affaire n° 23-13.579, la cour d’appel avait constaté que la responsabilité de la banque ne pouvait pas être retenue en raison d’une « négligence grave » des deux sociétés ayant fait l’objet d’une fraude en raison de l’infection de l’ordinateur du comptable par un virus de type « Cheval de Troie ». Le communiqué rappelle que le courriel à l’origine du virus était « manifestement trompeur » (p. 1). Les juges du fond auraient dû s’en arrêter ici et refuser le remboursement aux sociétés clientes demanderesses par le jeu de l’article L. 133-19, IV, du code monétaire et financier par ailleurs cité dans le moyen de la banque, pris en sa deuxième branche (pt n° 4).
La cour d’appel a toutefois caractérisé un défaut à l’obligation de vigilance pour condamner la banque à la moitié des sommes perdues et ce sur le fondement de la responsabilité contractuelle de droit commun. Si les magistrats décident de caractériser l’une des portes de sortie du régime spécial du code monétaire et financier permettant au prestataire de services de paiement de refuser un remboursement, ils ne peuvent pas mettre en mouvement le régime de droit commun pour sanctionner le comportement de l’établissement bancaire. La négligence grave caractérisée sur le fondement de l’article L. 133-19, IV, du code monétaire et financier ne peut pas, en somme, être neutralisée, voire contournée, par le retour au droit commun. Il y aurait, en retenant l’inverse, un certain paradoxe mettant le droit français en contrariété avec la jurisprudence du droit de l’Union européenne.
Dans l’affaire n° 23-15.437, c’est l’article L. 133-21 du code monétaire et financier qui était en jeu. Par application de cette disposition, le prestataire de services de paiement ne répond pas d’une inexactitude de l’IBAN ou du RIB fourni par l’utilisateur dudit service. La cour d’appel avait caractérisé que la banque ne pouvait pas être tenue responsable sur le fondement de l’article L. 133-21 puisque l’IBAN utilisé par les clients était inexact en raison du piratage informatique. On retrouve toutefois le même contournement des textes du code monétaire et financier pour revenir au droit commun sous le prisme du manquement à l’obligation de vigilance. La cassation permet d’asseoir l’exclusivité de l’article ainsi utilisé (comp. sur la modification de l’IBAN à l’insu du donneur d’ordre, Com. 1er juin 2023, n° 21-19.289 F-B, Dalloz actualité, 6 juin 2023, obs. C. Hélaine ; D. 2023. 1116 ; RCJPP 2024, n° 01, p. 49, chron. S. Piédelièvre et O. Salati ).
En tout état de cause, les deux arrêts étudiés refusent une interprétation bicéphale qui permettrait, d’une part, de caractériser la possibilité pour la banque de s’exonérer de la responsabilité de droit spécial du code monétaire et financier – par exemple pour négligence grave ou pour un identifiant unique inexact fourni par le client – mais, d’autre part, de revenir au droit commun pour sanctionner l’établissement du côté de l’obligation de vigilance. Cette orientation paraît heureuse puisqu’elle invite à considérer les règles du code monétaire et financier équilibrées et suffisantes entre principe de remboursement et exceptions égrenées par lesdits textes.
Les directives relatives aux services de paiement 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, dites respectivement « DSP1 » et « DSP2 » impliquent un certain nombre des questions transversales d’interprétation. L’interrogation sur le concours des règles applicables entre droit commun et droit spécial semble réglée, du moins en l’état avec ces deux arrêts du 15 janvier 2025. Il faut probablement s’en réjouir, même si le choix arrêté ne viendra probablement pas satisfaire tous les spécialistes de la matière. L’orientation a le mérite, au moins, de la simplicité.
Com. 15 janv. 2025, FS-B, n° 23-13.579
Com. 15 janv. 2025, FS-B, n° 23-15.437
© Lefebvre Dalloz