LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
Sur le moyen unique :
Vu les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction antérieure à celle issue de l'ordonnance du 9 août 2017 ;
Attendu que, si, aux termes des deux premiers de ces textes, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des deux autres textes, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ;
Attendu, selon le jugement attaqué, rendu en dernier ressort, que M. Y..., titulaire d'un compte de dépôt ouvert dans les livres de la société Caisse de crédit mutuel de Chauny (la banque), a contesté avoir réalisé les opérations de paiement et de retrait de numéraire prélevées sur ce compte, entre le 21 et le 22 novembre 2013, pour une somme de 2 979,61 euros, et en a demandé le remboursement à la banque ; que celle-ci s'y est opposée ;
Attendu que pour rejeter la demande de M. Y..., le jugement, après avoir relevé que ces opérations ont été effectuées à partir du site « banque à distance » de l'établissement de crédit, que les coordonnées personnelles de M. Y... figurant sur ce site (numéro de téléphone et adresse électronique) ont été modifiées, permettant ainsi de recevoir sur un autre numéro ou adresse électronique les codes de confirmation nécessaires à la validation desdites opérations, que les opérations litigieuses n'ont pu être réalisées qu'en ayant connaissance d'éléments d'identification confidentiels (identifiant et mot de passe de connexion sur le site « banque à distance », numéro de la carte bancaire avec cryptogramme et date de validité pour les opérations 3D Sécure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait), que le fait que le téléphone portable de M. Y... ait pu être piraté ne peut suffire à expliquer que le « fraudeur » se soit retrouvé en possession des identifiants personnels de M. Y... et que ce dernier n'explique pas comment le « fraudeur » a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations e-retrait et payweb, le jugement en déduit que M. Y... a nécessairement communiqué à un tiers ses données personnelles, qu'il était de sa responsabilité, conformément aux dispositions de l'article 4 des conditions générales CMNE Direct, de veiller à ce qu'elles demeurent secrètes et ne soient divulguées à quiconque, et a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées ;
Qu'en statuant ainsi, la juridiction de proximité, qui ne déduit l'existence d'une négligence grave de M. Y... que de l'utilisation effective de l'instrument de paiement ou des données personnelles qui lui sont liées, a violé les textes susvisés ;
PAR CES MOTIFS :
CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 6 mars 2017, entre les parties, par la juridiction de proximité de Laon ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit jugement et, pour être fait droit, les renvoie devant le tribunal d'instance de Soissons ;
Condamne la société Caisse de crédit mutuel de Chauny aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. Y... la somme de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite du jugement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt et un novembre deux mille dix-huit.
MOYEN ANNEXE au présent arrêt :
.Moyen produit par la SCP de Chaisemartin et Doumic-Seiller, avocat aux Conseils, pour M. Y....
Il est fait grief au jugement attaqué d'avoir débouté M. Benoît Y... de sa demande tendant à la condamnation de la Caisse de Crédit Mutuel de Chauny à lui rembourser la somme de 2.979,61 € ;
AUX MOTIFS QU'en l'espèce, M. Benoît Y... a régularisé le 14 juin 1997 une convention d'ouverture de compte courant. Il n'est pas contesté qu'il a adhéré au service de la banque à distance CMNE direct. Aux termes de l'article 4 des conditions générales CMNE direct, « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d'identification décrits à l'article « accès au service » nécessaire pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que les éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s'assurer que la conservation et la saisie desdits éléments soient effectuées dans des conditions parfaites de sécurité et de confidentialité. Le souscripteur est seul responsable de la conservation, de l'utilisation et de la sécurité relative auxdits éléments communiqués par la banque et, le cas échéant, des conséquences de leur divulgation ou de leur utilisation par des tiers. Il s'engage à signaler à la banque toute perte ou usage abusif desdits éléments dans les plus brefs délais et par tous moyens et de confirmer sans délai à la banque cette perte ou cet usage abusif par lettre recommandée
». Il résulte du rapport établi le 24 novembre 2014 par le service des fraudes et affaires spéciales du Crédit Mutuel qu'entre le 21 et le 22 novembre 2013, des opérations de paiement en ligne et retraits de numéraire ont été effectuées à partir du site banque à distance de M. Benoît Y... et que les coordonnées personnelles de ce dernier (numéro de téléphone et adresse mail) ont été modifiées permettant ainsi de recevoir sur un autre téléphone ou adresse mail les codes de confirmation nécessaires à la validation desdites opérations. Il est constant que les opérations litigieuses n'ont pu être réalisées qu'en ayant connaissance d'éléments d'identification confidentiels : identifiant et mot de passe de connexion sur le site banque à distance, numéro de carte bancaire avec cryptogramme et date de validité (pour les opérations 3DSécure), code de la carte de clés personnelles et code de confirmation adressé, en l'espèce, par sms (payweb et e-retrait). Le fait que le téléphone portable de M. Y..., au regard de la plainte déposée par son épouse à la gendarmerie de Saint Quentin le 23 novembre 2013, ait pu être, le cas échéant, piraté ne peut suffire à expliquer que le « fraudeur » se soit retrouvé en possession des identifiants personnels de M. Y.... Si M. Y... soutient que c'est la banque et non lui qui a fait l'objet d'une opération de piratage (pishing) ayant permis de pénétrer dans son système et les fichiers de ses clients, il n'explique pas non plus comment le fraudeur a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations de e-retrait et payweb dont il reconnaît l'utilisation. Il en résulte que M. Y... a nécessairement communiqué à un tiers ses données personnelles, qu'il était de sa responsabilité, conformément aux dispositions de l'article 4 des conditions générales CMNE Direct, de veiller à ce qu'elles demeurent secrètes et ne soient divulguées à quiconque, et qu'il a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées. La demande de remboursement de M. Y... sera rejetée ;
1) ALORS QUE, si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'il s'ensuit qu'en l'espèce, en se fondant sur le seul fait que les opérations litigieuses n'avaient pu être réalisées qu'en ayant connaissance d'éléments confidentiels, pour en déduire que M. Benoît Y... avait nécessairement communiqué à un tiers ses données personnelles, qu'il était de sa responsabilité, conformément aux dispositions de l'article 4 des conditions générales CMNE Direct, de veiller à ce qu'elles demeurent secrètes et ne soient divulguées à quiconque, et qu'il avait ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées, le juge de proximité a violé les articles L. 133-19, IV et L. 133-23 du code monétaire et financier ;
2) ALORS QU'en tout état de cause, en retenant que M. Benoît Y... n'expliquait pas comment le fraudeur avait pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui avait été remis par la banque et indispensable à la réalisation des opérations de e-retrait et payweb dont il reconnaissait l'utilisation, pour en déduire qu'il avait nécessairement communiqué à un tiers ses données personnelles, qu'il était de sa responsabilité, conformément aux dispositions de l'article 4 des conditions générales CMNE Direct, de veiller à ce qu'elles demeurent secrètes et ne soient divulguées à quiconque, et qu'il a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées, le juge de proximité, qui a fait peser la charge de la preuve sur M. Benoît Y..., a violé l'article 1315 du code civil, dans sa rédaction antérieure à l'ordonnance n° 2016-131 du 10 février 2016, ensemble les articles L. 133-19, IV et L. 133-23 du code monétaire et financier.