COMM.
FB
COUR DE CASSATION
______________________
Audience publique du 11 décembre 2019
Rejet non spécialement motivé
Mme MOUILLARD, président
Décision n° 10496 F
Pourvoi n° U 18-13.567
Aide juridictionnelle totale de droit en défense
au profit de M. Q....
Admission du bureau d'aide juridictionnelle
près la Cour de cassation
en date du 8 octobre 2018.
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante :
Vu le pourvoi formé par la société Caisse de crédit mutuel de Charleville-Mézières, société coopérative de crédit, dont le siège est [...] ,
contre l'arrêt rendu le 19 janvier 2018 par la cour d'appel de Reims (1re chambre civile, section instance), dans le litige l'opposant à M. U... Q..., domicilié [...] ,
défendeur à la cassation ;
Vu la communication faite au procureur général ;
LA COUR, en l'audience publique du 22 octobre 2019, où étaient présents : Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme Henry, avocat général, Mme Labat, greffier de chambre ;
Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la société Caisse de crédit mutuel de Charleville-Mézières, de la SCP Didier et Pinet, avocat de M. Q... ;
Sur le rapport de M. Blanc, conseiller référendaire, l'avis de Mme Henry, avocat général, et après en avoir délibéré conformément à la loi ;
Vu l'article 1014 du code de procédure civile ;
Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ;
Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ;
REJETTE le pourvoi ;
Condamne la société Caisse de crédit mutuel de Charleville-Mézières aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande et la condamne à payer à la SCP Didier et Pinet la somme de 3 000 euros ;
Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du onze décembre deux mille dix-neuf.
MOYEN ANNEXE à la présente décision
Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la société Caisse de crédit mutuel de Charleville-Mézières.
Il est fait grief à l'arrêt attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de Charleville Mézières à payer à Monsieur I... Q... la somme de 1.698,95 €, assortie des intérêts au taux légal à compter du jugement ;
AUX MOTIFS QUE « Devant le premier juge, Monsieur Q... avait contesté avoir d'une quelconque façon souscrit aux services en ligne par le biais duquel ont été effectuées les opérations litigieuses. Devant la cour, il n'apparaît plus opposer une telle contestation. En toute hypothèse, la convention d'ouverture de compte signée par lui le 1er mars 2013 renvoie à des conditions générales qu'il reconnaît avoir précédemment reçues et ces conditions générales décrivent l'ensemble des services dits CMNE Direct parmi lesquels figure le service Payweb Card. II y est indiqué que ce service fait l'objet de conditions générales spécifiques dont le souscripteur reconnaît avoir pris connaissance. Ces conditions spécifiques sont produites. Il résulte des dispositions du code monétaire et financier relatives aux instruments de paiement dotés d'un dispositif de sécurité personnalisé et notamment de l'article L.133-19 : - que la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées, - que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L.133-17. Les articles L. 133-16 et L. 133-17 imposent à l'utilisateur du service une obligation de prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées » ainsi qu'une obligation d'information de la banque « lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées», et ceci «aux fins de blocage de l'instrument ». Par ailleurs l'article L. 133-23 du code monétaire et financier dispose : « Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l'utilisateur de services de paiement ». Contrairement à ce que soutient la banque dans ses conclusions, les dispositions de l'alinéa deux de cet article n'instituent aucune présomption ni aucun renversement de la charge de la preuve en faveur du prestataire de services de paiement lorsque l'opération de paiement a été enregistrée comme en l'espèce sans défaillance technique. Ainsi, la banque ne saurait être admise à solliciter de la cour qu'elle constate, comme elle le propose dans le dispositif de ses conclusions «que Monsieur U... Q... n'apporte pas la preuve du détournement de l'instrument de paiement dont il s'estime victime ». La banque dans ses conclusions décrit avec précision le processus de création d'une Payweb Card qu'elle qualifie de hautement sécurisé, la création de la carte virtuelle nécessitant en premier lieu l'accès aux services de banque à distance par la saisie d'un identifiant et d'un mot de passe personnels puis l'obtention d'un numéro virtuel obtenu après la saisie d'une clé personnelle se trouvant sur une carte de code remise au client par la banque et dont il est le gardien et doit assurer la confidentialité, le processus se terminant par l'envoi d'un code de confirmation par mail ou par SMS devant être renseigné dans un certain délai. Elle fait valoir à ce titre que pour aboutir à la création de cette carte, l'utilisateur doit connaître l'identifiant de connexion au site en ligne de la banque, le mot de passe correspondant et se trouver en possession de la carte de clé personnelle contenant 64 codes outre la possession du téléphone portable ou de l'adresse e-mail du titulaire du compte. S'il est exact que ce processus est particulièrement sécurisé, et s'il est exact également que, comme l'établit la banque, les paiements litigieux sont intervenus conformément au processus ainsi sécurisé (pièce numéro 25 produite par la banque), elle n'établit pas qu'un tel processus serait totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de code ci-dessus évoquée. Dans ces conditions, il ne saurait être retenu à défaut de tout autre élément que le titulaire du compte aurait manqué à l'obligation de conservation et d'utilisation prudente de l'instrument de paiement qui lui est imposée par l'article L.133-16 du code monétaire et financier. En l'espèce, il apparaît à la lecture même du rapport établi par le service « fraude et affaires spéciales » du Crédit mutuel produit en pièce numéro 34 que l'hypothèse d'une fraude au préjudice de Monsieur Q..., dans le cadre d'une opération de « phishing » dénoncée par lui-même y est décrite. Elle fait suite à la réception d'un courriel frauduleux l'invitant à compléter un formulaire en ligne avec des informations confidentielles. Le fait d'avoir été surpris par une telle manoeuvre frauduleuse ne constitue pas à lui seul la négligence grave requise par l'article L.133-23 du code monétaire et financier. Quant à la carte de code à quatre chiffres qui sécurise plus spécialement les opérations de type Payweb Card et e-retrait, elle peut s'être trouvée en possession d'un tiers, éventuellement dans l'entourage de Monsieur Q..., sans qu'une négligence grave puisse être mise à sa charge pas plus qu'un manquement à l'obligation de conservation et d'utilisation prudente des instruments de paiement imposée par l'article L.133-6 du code monétaire et financier. La cour relève encore que, avant la création des Payweb Cards le 12 février 2014 et les paiements frauduleux intervenus postérieurement, il n'apparaît pas et en tout cas il n'est pas allégué que Monsieur Q... avait utilisé ce système de paiement. Il est constant qu'il a fait opposition sur la carte physique constituant le support de la carte virtuelle dès le 13 février à 9 h 17 satisfaisant ainsi aux dispositions de l'article L.133-7 du code monétaire et financier. Enfin, la banque, au regard même de l'éventualité d'une opération de phishing dont elle n'a pu avoir connaissance que sur la foi des informations données par Monsieur Q... lui-même, ne saurait utilement soutenir que l'application des dispositions ci-dessus rappelées, qui met à sa charge la preuve d'une négligence grave de son client, serait excessive, la mettrait dans l'impossibilité de s'exonérer de sa responsabilité et serait ainsi contraire aux principes du procès équitable. Compte tenu de l'ensemble de ces éléments, la banque ne rapporte pas la preuve d'agissements frauduleux ou d'une négligence grave imputable à Monsieur Q.... Pour les motifs ci-dessus développés, le jugement déféré sera confirmé en toutes ses dispositions » ;
1°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; qu'en l'espèce, la cour d'appel a constaté (arrêt, p. 4, 3ème à 5ème §) que le service de paiement « payweb » utilisé pour réaliser les opérations litigieuses était « particulièrement sécurisé », la création d'une carte payweb nécessitant l'accès aux services de banque à distance par la saisie d'un identifiant et d'un mot de passe personnels, puis l'obtention d'un numéro virtuel obtenu après la saisie d'une clé personnelle se trouvant sur une carte de code remise au client par la banque, dont il est le gardien et doit assurer la confidentialité, le processus s'achevant par l'envoi d'un code de confirmation par mail ou par SMS devant être renseigné dans un certain délai, afin de pouvoir valider le paiement ; que la cour d'appel a également constaté que les paiements litigieux « [étaient] intervenus conformément au processus ainsi sécurisé » ; qu'en retenant néanmoins, pour condamner la banque à rembourser le montant des débits contestés par Monsieur Q..., que cette dernière « n'établi[ssait] pas qu'un tel processus serait totalement inviolable et qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de code ci-dessus évoquée », quand il lui appartenait de rechercher, ainsi qu'elle y était invitée, si l'utilisation du service de paiement sécurisé payweb ne permettait pas d'établir, ou à tout le moins de présumer, que Monsieur Q... avait été gravement négligent dans la conservation de ses données personnelles la cour d'appel a violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier ;
2°) ALORS QUE la preuve de la négligence grave commise par l'utilisateur d'un service de paiement peut être rapportée par tout moyen, au regard de l'ensemble des circonstances de l'espèce et en particulier des caractéristiques de l'instrument de paiement utilisé en matière de sécurité ; qu'en affirmant que la banque ne pouvait rapporter la preuve d'une négligence qu'aurait commise l'utilisateur du service de paiement qu'en démontrant que l'instrument de paiement mis en oeuvre était « totalement inviolable », la cour d'appel a encore violé les articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier ;
3°) ALORS QU' en exigeant de la Caisse de Crédit Mutuel qu'elle démontre que le service de paiement « payweb » utilisé pour réaliser les opérations litigieuses était « totalement inviolable » et « qu'il ne serait pas possible à un tiers, par une opération frauduleuse, de récupérer les données personnelles et confidentielles du titulaire du compte, en ce compris les données figurant sur la carte de code ci-dessus évoquée », la cour d'appel a imposé à l'exposante la démonstration d'une preuve impossible, violant ainsi l'article 1315 du code civil, ensemble l'article 9 du code de procédure civile et le principe d'égalité des armes résultant de l'article 6 § 1 de la Convention européenne des droits de l'Homme ;
4°) ALORS QUE manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ; qu'en jugeant que le fait de répondre à un courriel de phishing « ne constitu[ait] pas à lui seul la négligence grave requise par l'article L.133-23 du code monétaire et financier », la cour d'appel a violé cette disposition, ensemble les articles L. 133-16 et L. 133-19 du même code ;
5°) ALORS, EN OUTRE, QUE la Caisse de Crédit Mutuel faisait valoir (ses conclusions d'appel, not. p. 3 à 6 ; p. 11)) que les opérations de paiement litigieuses avaient été effectuées via le système de paiement sécurisé payweb card, lequel nécessitait pour fonctionner non seulement que l'utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse email ou le téléphone portable de ce dernier ; qu'en se bornant à retenir que la carte de code à quatre chiffres payweb avait pu se trouver en possession d'un tiers, sans rechercher, ainsi qu'elle y était invitée, la circonstance que les opérations de paiement litigieuses aient été effectuées par le biais d'un instrument de paiement nécessitant de disposer simultanément de plusieurs données confidentielles figurant sur des supports différents, dont le client avait légalement comme contractuellement la charge d'assurer la conservation, ne permettait pas de démontrer ou à tout le moins de présumer la négligence grave commise par ce dernier, la cour d'appel n'a pas donné de base légale à sa décision au regard des articles L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier.
