Responsabilité du prestataire de services de paiement : le triomphe du droit spécial

Dans un arrêt rendu le 27 mars 2024, la chambre commerciale de la Cour de cassation précise que dès lors que la responsabilité du code monétaire et financier d’un prestataire de services de paiement est recherchée pour une opération non autorisée ou mal exécutée, tout régime alternatif de responsabilité doit être écarté.

Les directives concernant les services de paiement 2007/64/CE du 13 novembre 2007 et (UE) 2015/2366 du 25 novembre 2015, dites respectivement « DSP1 » et « DSP2 », continuent d’alimenter un contentieux important. Les arrêts rendus et publiés au Bulletin à propos de ces deux textes sont, en ce sens, scrutés par les professionnels du secteur bancaire. La Cour de cassation parvient ainsi à dessiner les contours de l’interprétation nécessaire en la matière année après année (v. à ce titre, Com. 30 août 2023, n° 22-11.707 F-B, Dalloz actualité, 28 sept. 2023, obs. C. Hélaine ; D. 2023. 2124 , note J. Lasserre Capdeville  ; RTD com. 2023. 925, obs. D. Legeais  ; 9 févr. 2022, n° 17-19.441 FS-B, Dalloz actualité, 14 févr. 2022, obs. C. Hélaine ; Revue pratique du recouvrement - EJT 2022. 19, chron. S. Piédelièvre  ; D. 2022. 276  ; 30 nov. 2022, n° 21-17.614 F-B, Dalloz actualité, 6 déc. 2022, obs. C. Hélaine ; D. 2022. 2156  ; RTD com. 2023. 201, obs. D. Legeais  ; 1^er juin 2023, n° 21-19.289 F-B, Dalloz actualité, 6 juin 2023, obs. C. Hélaine ; D. 2023. 1116 ).

Certaines décisions permettent également de prendre acte de solutions dégagées par la Cour de justice de l’Union européenne en fonction des renvois préjudiciels dont cette dernière est saisie. L’arrêt rendu le 27 mars 2024 par la chambre commerciale de la Cour de cassation en est une brillante illustration en ce qu’il utilise l’orientation interprétative de l’arrêt Beobank rendu le 16 mars 2023 (CJUE 16 mars 2023, aff. C-351/21).

Commençons par rappeler brièvement les faits ayant donné lieu au pourvoi. Une société ouvre, à une période non précisée, des comptes dans les livres d’un établissement bancaire. Entre novembre et décembre 2016, la banque reçoit des courriels de sa cliente pour procéder à quatre ordres de virements au profit de comptes situés à l’étranger. La société cliente conteste en août 2017 les virements en exposant à son établissement bancaire que sa messagerie électronique a été piratée. Elle assigne, dans ce contexte, la banque faute d’avoir gain de cause à l’amiable. La société sollicite la restitution des sommes versées en exécution des ordres de virement et le paiement de dommages et intérêts. En cause d’appel, la banque est condamnée à verser à sa cliente la somme de 199 834,54 € de dommages et intérêts au titre des préjudices causés par les différents ordres de virement sur le fondement de l’article 1147 ancien, devenu l’article 1231-1 du code civil après l’ordonnance n° 2016-131 du 10 février 2016.

L’établissement bancaire se pourvoit en cassation en arguant qu’une telle solution est contraire à la directive 2007/64/CE, celle-ci étant d’application exclusive par rapport au droit commun. Ainsi, selon elle, seuls les articles L. 133-1 et suivants du code monétaire et financier devaient être applicables en l’espèce.

Son pourvoi lui permettra d’obtenir gain de cause puisque l’arrêt rendu par la chambre commerciale le 27 mars 2024 aboutit à une cassation de la décision rendue par la Cour d’appel de Metz pour violation de la loi. La solution mérite que l’on s’y attarde à divers égards.

Le rappel de l’interprétation de la Cour de justice de l’Union européenne

L’arrêt étudié donne une large place à la décision de la Cour de justice de l’Union européenne du 16 mars 2023 évoqué dans l’introduction du présent commentaire. Cette dernière avait en effet rappelé que « sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs » (nous soulignons). La position du problème est donc simple. Doit-on, en droit français, faire systématiquement triompher le régime issu de la directive DSP 1 et donc des articles L. 133-18 à L. 133-24 du code monétaire et financier par rapport, par exemple, à la responsabilité contractuelle de droit commun ? Plusieurs raisons devraient conduire à répondre par la positive, notamment en raison des justifications apportées dans la décision de la Cour de justice, à savoir « ne pas porter atteinte aux objectifs et à l’effet utile de cette directive » (v. pt n° 10 de l’arrêt étudié).

Mais l’articulation reste plus délicate à acter dans la vie des affaires. Il n’y a, en effet, pas nécessairement une évidence absolue d’exclusion des règles issues du droit commun quand les objectifs de la réparation poursuivie ne sont pas exactement les mêmes. C’est d’ailleurs l’un des enseignements de l’arrêt de 2023 de la Cour de justice que la chambre commerciale rappelle. On pourrait toutefois se demander si la question a un réel intérêt tant le dispositif du droit bancaire est avantageux en permettant au client d’obtenir une restitution immédiate des sommes en question (M. Mignot, J. Lasserre Capdeville, M. Storck, N. Éréséo et J.-P. Kovar, Droit bancaire, 3^e éd., Dalloz, coll. « Précis », 2021, p. 739, n° 1540). Il n’en reste pas moins qu’il existe bien un interstice d’utilité du recours éventuel au droit commun, notamment quand la banque oppose une négligence grave de son client mais que celui-ci prouve un manquement au devoir de vigilance du prestataire de services de paiement.

Faut-il donc voir un cas de non-option ou, en tout cas, d’exclusivité du régime spécial ? La difficulté se révèle avec d’autant plus d’acuité que nous avions pu commenter dans ces colonnes il y a deux ans maintenant un arrêt ayant jugé que « alors que les articles L. 133-18 et L. 133-24 du code monétaire et financier, pris pour la transposition de la directive 2007/64/CE du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, prévoyant le remboursement immédiat des opérations de paiement non autorisées signalées par l’utilisateur à la banque, dans le délai de treize mois, pris pour la transposition de la directive 2007/64/CE du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, ne font pas obstacle à la mise en œuvre, par la caution de cet utilisateur, de la responsabilité contractuelle de droit commun de la banque » (nous soulignons, Com. 9 févr. 2022, n° 17-19.441 FS-B, préc.). Mais cet arrêt reste insuffisant pour répondre à l’interrogation puisqu’il ne porte que sur les rapports caution/prestataire de services de paiement et non sur le rapport nous intéressant aujourd’hui, à savoir client/prestataire de services de paiement.

L’application de la méthodologie dégagée par la Cour de justice

Il convient de remarquer que la chambre commerciale de la Cour de cassation ne s’adonne pas à une motivation très longue dans l’arrêt étudié. On lit, au point n° 9, un principe général toutefois fort intéressant selon lequel « la responsabilité contractuelle de droit commun prévue résultant du premier de ces textes (ndlr, l’art. 1231-1 c. civ.) n’est pas applicable en présence d’un régime de responsabilité exclusif » (nous soulignons). En d’autres termes, les articles L. 133-18 à L. 133-24 du code de monétaire et financier représentent l’un de ces régimes de responsabilité exclusifs. Ceci vient étayer une ligne directrice sur la répartition droit commun/droit spécial qui commence à prendre forme depuis ces dernières années à propos de la réforme du droit des obligations de 2016 et de 2018 (v. pour l’art. 1171 c. civ., Com. 26 janv. 2022, n° 20-16.782 F-B, Dalloz actualité, 1^er févr. 2022, obs. C. Hélaine ; D. 2022. 539 , note S. Tisseyre  ; ibid. 725, obs. N. Ferrier  ; ibid. 1419, chron. S. Barbot, C. Bellino, C. de Cabarrus et S. Kass-Danno  ; ibid. 2255, obs. Centre de droit économique et du développement Yves Serra (EA n° 4216)  ; ibid. 2023. 254, obs. R. Boffa et M. Mekki  ; RTD civ. 2022. 124, obs. H. Barbier  ; pour l’art. 1165 c. civ., Com. 20 sept. 2023, n° 21-25.386 FS-B, Dalloz actualité, 27 sept. 2023, obs. C. Hélaine ; D. 2023. 1783 , note T. Gérard  ; ibid. 2024. 275, obs. R. Boffa et M. Mekki  ; RTD civ. 2023. 862, obs. H. Barbier  ; ibid. 919, obs. P.-Y. Gautier ).

Si l’arrêt est bien rédigé en forme développée, l’essentiel du texte déployé réside dans le rappel de la position de la Cour de justice. L’application au droit français est plus rapide et moins évidente. On peut ainsi lire assez sobrement que « dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 précités, qui transposent les articles 58, 59 et 60, § 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national » (nous soulignons). N’aurait-il pas fallu davantage lier l’arrêt de mars 2023 avec cette solution pour exclure le droit commun ? La question se discute. On trouve, par ailleurs, une petite scorie dans le visa citant un article 1231-1 « dans sa rédaction antérieure à celle issue de l’ordonnance n° 2017-1252 du 9 août 2017 », cette ordonnance traitant de modifications des articles L. 133-18 à L. 133-24 du code monétaire et financier cités dans la suite dudit visa mais pas de la responsabilité de droit commun dont le numéro est issu de l’ordonnance n° 2016-131 du 10 février 2016. Un tel flottement n’est toutefois pas très important.

Le choix opéré, sur le fond, est donc sans nuance notamment par l’exclusion du droit commun par le régime de responsabilité exclusif issu du code monétaire et financier. Il s’explique, en très grande partie, par l’exigence de la Cour de justice de l’Union européenne sur l’application des textes du droit de l’Union. Une autre solution viendrait probablement aboutir à vider le dispositif des articles de la directive DSP1 de leur utilité car le but était, en l’espèce, très certainement d’en contourner la substance. Il est ainsi dommage que les faits du pourvoi ne livrent pas plus de détails sur les raisons ayant conduit à ce choix et, surtout, sur les justifications du refus de la banque qui devaient, très certainement être liées aux exclusions citées par le code monétaire et financier. La cassation pour violation de la loi opérée dans l’arrêt du 27 mars 2024 ne donne que peu de visibilité sur la solution finale qui pourrait être rendue par la Cour d’appel de renvoi de Nancy. 

Voici donc un bel arrêt au croisement du droit commun et du droit spécial. Les professionnels du secteur bancaire apprécieront une telle confirmation. Quand la responsabilité du prestataire de services de paiement est recherchée pour une opération non autorisée ou mal exécutée, seuls les articles L. 133-18 et suivants du code monétaire et financier peuvent s’appliquer. La responsabilité de droit commun, notamment pour un défaut au devoir de vigilance, n’a pas droit de cité.

Com. 27 mars 2024, FS-B, n° 22-21.200

© Lefebvre Dalloz