| France, Cour de cassation, Chambre commerciale financière et économique - formation restreinte rnsm/na, 18 janvier 2017, 15-18.589

COMM.

CF



COUR DE CASSATION
______________________


Audience publique du 18 janvier 2017




Rejet non spécialement motivé


Mme MOUILLARD, président



Décision n° 10009 F

Pourvoi n° R 15-18.589








R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS
_________________________


LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante :

Vu le pourvoi formé par la société Caisse de crédit mutuel de Bailleul, dont le siège est [Adresse 1],

contre le jugement rendu le 7 mai 2015 par la juridiction de proximité d'Hazebrouck, dans le litige l'opposant à Mme [P] [J], domiciliée [Adresse 2],

défenderesse à la cassation ;

Vu la communication faite au procureur général ;

LA COUR, en l'audience publique du 22 novembre 2016, où étaient présents : Mme Mouillard, président, M. Marcus, conseiller rapporteur, M. Rémery, conseiller doyen, Mme Henry, avocat général, M. Graveline, greffier de chambre ;

Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la société Caisse de crédit mutuel de Bailleul, de Me Blondel, avocat de Mme [J] ;

Sur le rapport de M. Marcus, conseiller, l'avis de Mme Henry, avocat général, et après en avoir délibéré conformément à la loi ;

Vu l'article 1014 du code de procédure civile ;

Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ;

Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ;

REJETTE le pourvoi ;

Condamne la société Caisse de crédit mutuel de Bailleul aux dépens ;

Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à Mme [J] la somme de 3 000 euros ;

Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-huit janvier deux mille dix-sept.MOYEN ANNEXE à la présente décision

Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Bailleul.

Il est fait grief au jugement attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de Bailleul à payer à Madame [P] [J] la somme de 3.073,52 € à titre de dommages et intérêts et à prendre en charge les dépens de l'instance,

AUX MOTIFS QUE « L'article 9 du code de procédure civile impose à chaque partie de prouver les faits nécessaires au succès de sa prétention, la charge de la preuve incombe au demandeur. – L'article L.133-16 du code monétaire et financier impose au client d'un service de paiement à distance de prendre toutes mesures raisonnables pour préserver la sécurité de ces dispositifs de sécurité personnalisés : parmi ces mesures, se trouve à l'évidence le changement des codes attribués. – Lors de la souscription du produit « cmnedirect », la banque a mis à la disposition de la cliente un identifiant personnel et un mot de passe, lequel mot de passe pouvait, voire devait, être modifié par la cliente pour plus de confidentialité ainsi qu'une carte de clés personnelle. – L'article L.133-19 du code monétaire et financier exonère de responsabilité le payeur (= la cliente) dont la carte de paiement ou les données lui ont été détournées à son insu. Par contre, le payeur supporte toutes les pertes occasionnées par les opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations des articles L. 133-16 et L. 133-17. Il s'agit donc pour la demanderesse de prouver, non pas seulement la ou les opérations de débit, faits établis, mais aussi : - le détournement à son insu des données confidentielles, - l'absence de négligence grave de sa part. La plainte par elle déposée a permis d'établir ces points (détournement à son insu des données confidentielles ; absence de négligence grave de sa part) ainsi qu'il résulte de l'attestation du 4 mars 2015. Sa plainte ne peut sans excès de langage être qualifiée de tardive (en considérant que même malgré l'allégation que la plainte aurait été déclarée inutile par un employé de la banque, rien n'interdisait un dépôt de plainte rapide) : une plainte n'est tardive que si les faits dénoncés sont prescrits, ce qui à l'évidence n'est pas le cas. Cette plainte n'a pas été infructueuse puisqu'il résulte de l'attestation du 4 mars 2015 délivrée par les services de police qu'une enquête a été diligentée et qu'un auteur ou complice des faits a (et non pas « aurait », condition hypothétique) été identifié. Cette attestation établit avec suffisamment de véracité que la demanderesse a été victime de manoeuvres frauduleuses (obtention des données par suite de manoeuvres frauduleuses), alors que rien n'établit que la demanderesse aurait commis des négligences ayant permis ou facilité ces fraudes voire qu'elle s'en serait rendu complice par quelque moyen que ce soit. En vertu de l'article L.133-19 précité, l'établissement bancaire sera donc condamné à restituer ou recréditer les sommes ainsi dissipées soit 3.073,52 € » ;

1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L.133-16, alinéa 1er, du code monétaire et financier ; qu'en l'espèce, la Caisse de Crédit Mutuel de Bailleul faisait valoir (ses conclusions, p. 2 ; p. 3 à 5) que le système de paiement à distance « payweb » utilisé pour réaliser les cinq débits contestés par Madame [J], comportait un processus hautement sécurisé nécessitant le choix par le client d'un identifiant et d'un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d'une carte « payweb » par un dispositif de « clefs personnelles » permettant à l'utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la banque n'envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d'effectuer le paiement désiré ; qu'elle soulignait qu'il en allait de même pour le système « e-retrait » (ses conclusions, p. 5), et en déduisait que l'utilisation de ces systèmes de paiement impliquait nécessairement que Madame [J] avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse de Crédit Mutuel de Bailleul à rembourser le montant des cinq débits contestés par Madame [J], le juge de proximité a considéré que cette dernière établissait qu'à la suite de la plainte qu'elle avait déposée auprès des services de police, l'auteur ou le complice des faits avait été identifié, ce qui démontrait qu'elle avait été victime de manoeuvres frauduleuses ; que le juge de proximité a en outre estimé que la preuve de ce que Madame [J] avait dévoilé ses données personnelles à un tiers n'était pas rapportée ; qu'en statuant de la sorte, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Madame [J], et dont cette dernière avait contractuellement la charge d'assurer la conservation et la confidentialité, n'impliquait pas que cette dernière avait commis une négligence grave dans la conservation desdites données, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

2°) ALORS, SUBSIDIAIREMENT, QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un l'identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner la Caisse de Crédit Mutuel de Bailleul à rembourser à Madame [J] le montant de cinq débits effectués sur son compte bancaire par le biais des systèmes sécurisés « payweb » et « e-retrait », que cette dernière contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce Madame [J] avait commis des négligences ayant permis ou facilité ces fraudes voire qu'elle s'en serait rendu complice par quelque moyen que ce soit ; qu'en statuant ainsi, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à Madame [J], et dont celle-ci avait contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

3°) ALORS EN TOUT ETAT DE CAUSE QUE les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu'en se contentant d'énoncer, pour entrer en voie de condamnation à l'encontre de la Caisse de Crédit Mutuel de Bailleul, que « rien n'établi[ssait] » que Madame [J] aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE DIRECT déterminant les obligations respectives des parties, qui stipulait notamment que l'utilisateur des services de paiement « payweb » et « e-retrait » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse de Crédit Mutuel de Bailleul dans ses conclusions soulignant que l'utilisation de ce service de paiement impliquait qu'un tiers se soit trouvé en possession des données personnelles de Madame [J], dont cette dernière devait assurer la conservation, le juge de proximité a violé l'article 455 du code de procédure civile.