COMM.
MF
COUR DE CASSATION
______________________
Audience publique du 11 décembre 2019
Rejet non spécialement motivé
Mme MOUILLARD, président
Décision n° 10495 F
Pourvoi n° Q 18-10.458
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante :
Vu le pourvoi formé par la société Caisse régionale de crédit agricole mutuel Charente Périgord, société coopérative de crédit, dont le siège est [...] ,
contre le jugement rendu le 18 octobre 2017 par le tribunal d'instance d'Angoulême, dans le litige l'opposant à Mme K... I..., épouse Y..., domiciliée [...] ,
défenderesse à la cassation ;
Vu la communication faite au procureur général ;
LA COUR, en l'audience publique du 22 octobre 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Henry, avocat général, Mme Labat, greffier de chambre ;
Vu les observations écrites de la SCP Yves et Blaise Capron, avocat de la société Caisse régionale de crédit agricole mutuel Charente Périgord, de Me Balat, avocat de Mme I... ;
Sur le rapport de M. Blanc, conseiller référendaire, l'avis de Mme Henry, avocat général, et après en avoir délibéré conformément à la loi ;
Vu l'article 1014 du code de procédure civile ;
Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ;
Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ;
REJETTE le pourvoi ;
Condamne la société Caisse régionale de crédit agricole mutuel Charente Périgord aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à Mme I..., épouse Y..., la somme de 3 000 euros ;
Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du onze décembre deux mille dix-neuf.
MOYEN ANNEXE à la présente décision
Moyen produit par la SCP Yves et Blaise Capron, avocat aux Conseils, pour la société Caisse régionale de rédit agricole mutuel Charente Périgord.
Il est fait grief au jugement attaqué D'AVOIR condamné la caisse régionale de crédit agricole mutuel Charente Périgord à rembourser à Mme K... I..., épouse Y..., la somme de 1 502, 99 euros, augmentée des intérêts au taux légal à compter du 21 juin 2016 et à replacer le compte n° [...] ouvert en ses livres au nom de Mme K... I..., épouse Y..., dans l'état où il se serait trouvé si l'opération de paiement d'un montant de euros survenue le 5 juin 2016 au profit de la société Azimo Ltd, à Milton Keynes, n'avait pas eu lieu ;
AUX MOTIFS QUE « Madame K... Y... est titulaire d'un compte de dépôt n° [...], assorti d'une carte bancaire auprès de la caisse régionale de crédit agricole mutuel de Charente et du Périgord. / Un retrait de 1 502, 99 euros est intervenu sur ce compte le 5 juin 2016 au profit de la société Azimo Ltd, à Milton Keynes. / Le 8 juin 2016, Madame K... Y... a déposé plainte pour des faits d'escroquerie du 4 au 8 juin 2016 auprès de la gendarmerie de La Rochefoucauld. / Par courrier du 21 juin 2016, Madame K... Y... a sollicité l'annulation de ce paiement auprès de sa banque, en exposant que ce paiement avait fait suite à un courriel crédible comportant les mentions légales et lui demandant de mettre à jour ses données bancaires et demandant son cryptogramme à 3 chiffres. Elle exposait dans ce courrier avoir découvert ce paiement sur son compte le 8 juin alors que son mari n'avait pu retirer de l'argent au distributeur. Cette demande a été rejetée le 21 juillet 2016 au motif que la carte à débit immédiat n'induit pas de contrôle du solde au moment de la délivrance de l'autorisation de paiement, quel qu'en soit le montant. Une tentative de médiation par le médiateur de l'établissement s'est traduite par un échec. / [
] L'article 12 du code de procédure civile énonce que le juge doit donner ou restituer leur exacte qualification aux faits et actes litigieux sans s'arrêter à la dénomination que les parties en auraient proposée. / L'article L. 133-16 du code monétaire et financier dispose que dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ; il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. / L'article L. 133-23 du même code prévoit que lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. / L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. / Selon l'article L. 133-24 du même code, l'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III. / L'article L. 133-18 du même code énonce qu'en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ; le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire. / L'article L. 133-19 II du code monétaire et financier précise que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ; le point IV énonce en outre que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. / En application de ces textes, si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Cour de cassation, civile, chambre commerciale, 18 janvier 2017, 15-18.102). / En l'espèce, les parties ont placé dans le débat l'application des dispositions des articles L. 133-16 et suivants du code monétaire et financier, rappelés tant dans les conclusions de la défenderesse, que dans le cadre du rapport du médiateur, et dans la décision de jurisprudence versée aux débats par la défenderesse. Dès lors, même si la demanderesse fonde sa demande sur l'article 1147 du code civil, le tribunal est fondé à restituer aux demandes leur véritable qualification juridique reposant sur l'application des textes ci-dessus, sur lesquels les parties ont été en mesure de s'exprimer dès lors qu'elles-mêmes les avaient placées dans le débat. / Or, dans la mesure où Madame K... Y... née I..., en sa qualité d'utilisatrice de services de paiement, a signalé sans tarder le 21 juin 2016, soit dans le délai de treize mois à compter de l'opération contestée, à son prestataire de services
de paiement une opération de paiement de 1 502, 99 euros survenue le 5 juin 2016 dans des conditions frauduleuses, et qu'elle expose n'avoir pas autorisée, le prestataire de services de paiement est tenu de rembourser immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablir le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, sauf à ce que ces pertes résultent soit d'un agissement frauduleux de sa part ou d'une négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. Il appartient donc à l'établissement bancaire, et non à la demanderesse utilisateur de services bancaires, de rapporter la preuve du fait que le paiement contesté résulterait d'une fraude du client ou d'une négligence grave. Il ne peut donc être reproché à la demanderesse de ne pas produire le courrier électronique frauduleux dont elle dit avoir été victime, et qu'elle déclare n'avoir pu conserver. / Madame Y... fait certes état, dans son courrier du 21 juin 2017, que son mari avait voulu retirer de l'argent, ce qui atteste qu'alors qu'elle est seule titulaire du compte et qu'il n'est pas allégué l'existence d'une autre carte délivrée personnellement à son époux, elle a nécessairement communiqué à celui-ci son code confidentiel. Cette communication apparaît certes en contravention de l'obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés telle que prévue par l'article L. 133-16 précité, repris à l'article 12.1 des conditions générales du contrat de porteur carte " CB " et rappelé dans la lettre d'envoi de la carte bancaire ; pour autant, l'établissement de crédit ne rapporte pas la preuve d'un lien de causalité entre ce manquement et le retrait litigieux, d'autant que ladite opération effectuée sur le territoire britannique, ne présente pas de lien avec la détention précaire par le mari de la demanderesse de la carte. / En outre, au regard des circonstances relatées par la demanderesse, le seul fait que ses coordonnées bancaires et les données personnelles attachées, y compris le cryptogramme visuel, aient été utilisées est insuffisant selon les termes de l'article L. 133-13 du code monétaire et financier, à caractériser une négligence grave. De même l'alerte mentionnée sur l'accueil de la banque en ligne, produit aux débats en pièce n° 3, ou le message envoyé dans le cadre de la messagerie banque en ligne, ne permettent pas d'établir une négligence grave alors qu'il n'est pas établi que Madame Y... en soit une utilisatrice effective, et que ces mises en garde concernent, d'une part, la communication de codes de connexion banque en ligne sur des sites dont le lien a été envoyé par courriel (et non l'utilisation de la carte bancaire), et la réception de faux emails, sans précision sur les possibilités d'identification de ces courriers électroniques, y compris leur éventuel caractère crédible et de leur communication malgré le filtre anti-spam et le contrôle du fournisseur de messagerie. / En l'absence de preuve, par l'établissement de crédit, d'une négligence grave de l'utilisatrice du service de paiement, il y a donc lieu de condamner la défenderesse à rembourser à Madame K... Y... née I... la somme de 1 502, 99 euros, avec intérêts au taux légal à compter du 21 juin 2016, date du courrier de mise en demeure dont la défenderesse reconnaît la réception dans un courrier du 21 juillet 2016. Il y a en outre lieu, conformément à l'article L. 133-18 du code monétaire et financier, de la condamner à replacer le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu, cette opération incluant nécessairement la restitution des frais bancaires subséquents au dépassement du découvert autorisé (lesquels ne sont pas chiffrés dans la demande) » (cf., arrêt attaqué, p. 2 ; p. 3 à 6) ;
ALORS QUE, de première part, manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courrier électronique qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ; qu'en énonçant, pour considérer que la caisse régionale de crédit agricole mutuel Charente Périgord n'avait pas apporté la preuve que Mme K... I..., épouse Y..., avait manqué par négligence grave à ses obligations et pour condamner, en conséquence, la caisse régionale de crédit agricole mutuel Charente Périgord, qu'au regard des circonstances relatées par Mme K... I..., épouse Y..., le seul fait que ses coordonnées bancaires et les données personnelles attachées, y compris le cryptogramme visuel, avaient été utilisées était insuffisant à caractériser une négligence grave, sans rechercher, ainsi qu'elle y avait été invitée par la caisse régionale de crédit agricole mutuel Charente Périgord, si Mme K... I..., épouse Y..., n'avait pas manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés en communiquant, par internet, les données personnelles de ce dispositif de sécurité en réponse à un courrier électronique qui contenait des indices permettant à un utilisateur normalement attentif de douter de sa provenance, le tribunal d'instance a privé sa décision de base légale au regard des dispositions des articles L. 133-16 et L. 133-19 du code monétaire et financier ;
ALORS QUE, de seconde part et à titre subsidiaire, dans l'hypothèse où il serait retenu que le tribunal d'instance a procédé à la recherche invoquée dans le premier élément du moyen de cassation, manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courrier électronique qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ; qu'en énonçant, pour considérer que la caisse régionale de crédit agricole mutuel Charente Périgord n'avait pas apporté la preuve que Mme K... I..., épouse Y..., avait manqué par négligence grave à ses obligations et pour condamner, en conséquence, la caisse régionale de crédit agricole mutuel Charente Périgord, qu'au regard des circonstances relatées par Mme K... I..., épouse Y..., le seul fait que ses coordonnées bancaires et les données personnelles attachées, y compris le cryptogramme visuel, avaient été utilisées était insuffisant à caractériser une négligence grave, quand, selon les circonstances relatées par Mme K... I..., épouse Y..., cette dernière avait communiqué, par internet, les données personnelles de son dispositif de sécurité personnalisé en réponse à un courrier électronique qui contenait des indices permettant à un utilisateur normalement attentif de douter de sa provenance et, donc, avait manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, le tribunal d'instance a violé les dispositions des articles L. 133-16 et L. 133-19 du code monétaire et financier.
