LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
COMM.
JT
COUR DE CASSATION
______________________
Audience publique du 22 janvier 2020
Cassation partielle
Mme MOUILLARD, président
Arrêt n° 63 F-D
Pourvoi n° G 18-18.640
Aide juridictionnelle totale en défense
au profit de Mme U....
Admission du bureau d'aide juridictionnelle
près la Cour de cassation
en date du 20 septembre 2018.
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 22 JANVIER 2020
La Caisse de crédit mutuel de [...], société coopérative de crédit, dont le siège est [...] , a formé le pourvoi n° G 18-18.640 contre l'arrêt rendu le 19 avril 2018 par la cour d'appel de Douai (3e chambre civile), dans le litige l'opposant :
1°/ à Mme X... U..., épouse F..., domiciliée [...] ,
2°/ à la société Française du radiotéléphone (SFR), société anonyme, dont le siège est [...] ,
défenderesses à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, les deux moyens de cassation annexés au présent arrêt.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Blanc, conseiller référendaire, les observations de la SCP Célice, Texidor, Périer, avocat de la Caisse de crédit mutuel de [...], de la SCP Fabiani, Luc-Thaler et Pinatel, avocat de Mme U..., de la SCP Nicolaÿ, de Lanouvelle et Hannotin, avocat de la société Française du radiotéléphone (SFR), et l'avis de Mme Guinamant, avocat général référendaire, après débats en l'audience publique du 26 novembre 2019 où étaient présents Mme Mouillard, président, M. Blanc, conseiller référendaire rapporteur, M. Rémery, conseiller doyen, et Mme Labat, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
Attendu, selon l'arrêt attaqué, que Mme U..., titulaire d'un compte dans les livres de la société Caisse de crédit mutuel de [...] (la banque), a assigné celle-ci en remboursement d'opérations de paiement du prix d'achat effectués par Internet au moyen des systèmes de paiement « Payweb » et « e-retrait », qu'elle contestait avoir autorisées ; qu'invoquant le fait que la fraude alléguée par Mme U... n'aurait été rendue possible que par la remise fautive au fraudeur, par la société SFR, d'une carte SIM ayant permis l'accès aux SMS de validation adressés à sa cliente, la banque a mis cette société en cause et demandé qu'elle la garantisse de l'intégralité des sommes qu'elle serait tenue de payer à Mme U... ;
Sur le premier moyen :
Attendu qu'il n'y a pas lieu de statuer par une décision spécialement motivée sur ce moyen, qui n'est manifestement pas de nature à entraîner la cassation ;
Mais sur le second moyen, pris en sa deuxième branche :
Vu l'article 1382, devenu 1240, du code civil ;
Attendu que pour rejeter la demande de la banque de condamnation de la société SFR à la garantir des sommes qu'elle serait tenue de payer à Mme U..., après avoir condamné la banque à rembourser à celle-ci le montant des opérations contestées et des frais de commissions et d'interventions, l'arrêt énonce que la garantie traduit le rapport d'obligation qui existe entre deux personnes, le garant intervenant pour garantir l'obligation, de source conventionnelle ou légale, liant le demandeur au défendeur appelant en garantie, puis retient que la demande figurant au dispositif des conclusions de la banque est une demande de garantie, qui n'est ni conventionnelle ni légale, à tel point que le fondement juridique figurant dans les motifs des conclusions est la responsabilité délictuelle, et en déduit que, face à une telle contradiction, la cour d'appel, qui n'est tenue que par le dispositif des conclusions de la banque, ne peut que rejeter la demande de garantie ;
Qu'en statuant ainsi, alors que rien ne s'opposait à ce que la banque invoque un fondement délictuel au soutien de la mise en cause de la société SFR, qui tendait, nonobstant la formulation d'une demande de condamnation de cette dernière à la « garantir des sommes qu'elle serait tenue de payer », à ce que cette société la relève indemne des condamnations susceptibles d'être prononcées contre elle, la cour d'appel a violé le texte susvisé ;
PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, mais seulement en ce qu'il déboute la société Caisse de crédit mutuel de [...] de sa demande de condamnation de la société SFR à la garantir de l'intégralité des sommes qu'elle pourrait devoir être tenue de payer à Mme U..., en ce qu'il statue sur les dépens d'appel exposés par les sociétés Caisse de crédit mutuel de [...] et SFR et en ce qu'il déboute les sociétés Caisse de crédit mutuel de [...] et SFR de leurs demandes réciproques formées sur le fondement de l'application de l'article 700 du code de procédure civile, l'arrêt rendu le 19 avril 2018, entre les parties, par la cour d'appel de Douai ;
Remet, sur ces points, l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel d'Amiens ;
Met hors de cause, sur sa demande, Mme U..., dont la présence devant la cour de renvoi n'est plus nécessaire à la solution du litige ;
Condamne la société Caisse de crédit mutuel de [...] aux dépens exposés par Mme U... et laisse à cette société et à la société SFR la charge de leurs dépens ;
Vu l'article 700 du code de procédure civile, rejette la demande de la société SFR, la condamne à payer à la société Caisse de crédit mutuel de [...] la somme de 3 000 euros et condamne la société Caisse de crédit mutuel de [...] à payer à la SCP Fabiani, Luc-Thaler et Pinatel la somme de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt partiellement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du vingt-deux janvier deux mille vingt.
MOYENS ANNEXES au présent arrêt :
Moyens produits par la SCP Célice, Texidor, Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de [...]
PREMIER MOYEN DE CASSATION :
Il est fait grief à l'arrêt partiellement infirmatif attaqué D'AVOIR condamné la Caisse de Crédit Mutuel de [...] à payer à Mme X... U... la somme de 1.913 €, D'AVOIR condamné la Caisse de Crédit Mutuel de [...] à payer à Mme U... la somme de 336,69 €, avec intérêts au taux légal à compter du 11 décembre 2014, au titre des frais de commissions et d'interventions, et D'AVOIR débouté la Caisse de Crédit Mutuel de [...] de ses demandes ;
AUX MOTIFS PROPRES QUE « 1. Sur l'action de Mme U... à l'encontre de la Caisse 1.1. Sur le remboursement des sommes prélevées au titre des opérations contestées. Si, aux termes des articles L.133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L.133-19, IV et L. 133-23 du code monétaire et financier, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à ses obligations mentionnées aux articles L.133-16 et L. 133-17 précités ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées ; il s'ensuit qu'il appartient au prestataire de service de paiement d'établir par d'autres éléments extrinsèques la preuve d'une négligence grave imputable à l'utilisateur de services de paiement. La négligence grave de l'utilisateur de services de paiement confine au dol et dénote l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave est d'une importance telle qu'elle rend impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services. 1.1.1 Sur l'existence du détournement Mme U... produit au débat un procès-verbal de dépôt de plainte du 24 mars 2014 dont il s'évince : - d'une part, qu'elle a été victime du piratage, le 3 janvier 2014, de la carte SIM de sa ligne de téléphonie portable n° 06 12 55 26 79, la nouvelle carte SIM ayant été retirée le 3 janvier 2014 à 14H10 à une adresse inconnue, - d'autre part, qu'elle a constaté le 4 janvier 2014, un retrait frauduleux de euros libellé e-retrait et qu'après avoir appelé sa banque, elle a été informée d'opérations frauduleuses effectuées le 3 janvier 2014, via le système payweb card, auprès de l'enseigne Boulanger à [...] pour un montant de 825 euros et auprès de l'enseigne Betamp;YOU Bouygues telecom pour un montant de 788 euros. Mme U... produit au débat une "notice d'information relative aux usages frauduleux de cartes bancaires et aux dispositions du code monétaire et financier en la matière" du 4 janvier 2014, laquelle montre qu'elle a déclaré l'utilisation frauduleuse de sa carte de paiement, d'une carte contrefaite ou des données liées à la carte (numéro, date d'expiration) n° [...]. Ces éléments sont corroborés par la production par la Caisse d'un "Dossier Phishing" au nom de Mme U..., lequel indique : - qu'une commande de e-retrait d'un montant de 300 euros a été exécutée le 3 janvier 2014 à 14h43 et 10 secondes, l'autorisation ayant été acceptée chez le commerçant "CM TOURS RIVES DU CH2017 AVENUE DE GRAMMO" à 15h04 et 50 secondes pour ce montant, - qu'une commande de payweb card d'un montant de 830 euros a été exécutée le 3 janvier 2014 à 14h44 et 54 secondes, l'autorisation ayant été acceptée chez le commerçant "[...] " à 14h45 et 23 secondes pour la somme de 825 euros, la cour relevant que le paiement a été reçu le 6 janvier 2014 à 8h56 et secondes, - qu'une commande de payweb card d'un montant de 1 000 euros a été exécutée le 3 janvier 2014 à 14h46 et 45 secondes, l'autorisation ayant :— en premier lieu été refusée chez le commerçant "[...] " à 15h26 et 27 secondes pour un montant de 898 euros, et en second lieu acceptée auprès du même commerçant à 15h28 et 53 secondes pour un montant de 788 euros. L'analyse de ce "Dossier Phishing" montre aussi que 2 commandes de e-retraits et 3 commandes de payweb card ont été réalisées par le fraudeur, "mais n'ont pas utilisés. Soit pas (sic) abandon soit par refus du site marchand (plafond CB dépassé)" : - une commande de e-retrait d'un montant de 500 euros le 3 janvier 2014 à 14h41 et 30 secondes, - une commande de e-retrait d'un montant de 400 euros le 3 janvier 2014 à 14h42 et 24 secondes, - une commande de payweb card d'un montant de 2 000 euros le 3 janvier 2014 à 14h48 et 00 secondes, - une commande de payweb card d'un montant de 2 000 euros le 3 janvier 2014 à 14h48 et secondes, - une commande de payweb card d'un montant de 2 000 euros le 3 janvier 2014 à 14h49 et 39 secondes, étant précisé que l'autorisation a été refusée chez le commerçant "QUATAR AIR IBE BEL INTERNET 056" à 15h09 et 54 secondes pour un montant de 975,96 euros. Il en résulte que les 3 commandes de e-retrait et les 5 commandes de payweb card ont été réalisées le 3 janvier 2014 entre 14h41 et 30 secondes et 14h49 et 39 secondes, de sorte qu'elles ont manifestement été réalisées avec un laps de temps très court entre elles. La lecture de ce "Dossier Phishing" met encore en évidence la circonstance que Mme U... a fait opposition à sa carte bancaire n° [...] le 4 janvier 2014 à 9h52 pour un vol sans code, et que le contrat de banque à distance a été bloqué le 4 janvier 2014 à 7h47 et 03 secondes. La cour observe encore que Mme U... et la Caisse produisent au débat un courrier de la société SFR du 6 septembre 2014 résumant ce qui s'est passé sur le contrat de Mme U..., soit un changement de carte SIM en date du 3 janvier 2014, une suspension du contrat en date du 4 janvier 2014 et une remise en service de la ligne en date du 15 janvier 2014 après activation de la nouvelle carte SIM. La lecture du document "Historique des cartes SIM d'un contrat" [...] ouvert au nom de Mme U..., que la société SFR verse au débat, confirme le changement de carte SIM le janvier 2014 à 14h14. En l'état de ces constatations, les circonstances entourant la création et l'utilisation des cartes Payweb et du système e-retrait générés à partir de la carte bancaire n° [...] démontrent suffisamment que les trois opérations litigieuses réalisées le 3 janvier 2014 à 14h43 et 10 secondes, 14h44 et 54 secondes et 14h46 et 45 secondes ont nécessairement été effectuées à l'insu de Mme U... par le biais d'un détournement frauduleux par un tiers de ses instruments de paiement ou des données qui y sont attachées, de sorte que ces opérations doivent être regardées comme n'ayant pas été autorisées par le payeur au sens des dispositions de l'article L. 133-18 du code monétaire et financier. La Caisse ne peut en conséquence utilement soutenir que "le consentement a été formalisé" et que "les opérations ont été dûment autorisées". 1.1.2. Sur la divulgation des données personnelles par Mme U... En application de l'article L. 133-23 du code monétaire et financier, dans ses dispositions applicables au litige : - lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre, - l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Il s'évince de l'alinéa 2 de l'article L. 133-23 précité que la seule démonstration par le prestataire de services de paiement qu'un tel service, doté d'un dispositif de sécurité, a été utilisé, par l'emploi d'un identifiant internet, d'un mot de passe de connexion, ainsi que des clefs personnelles permettant à l'utilisateur de services de paiement de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte réelle de paiement, ne permet pas, en soi et en l'absence d'autres éléments fournis par le prestataire de services de paiement de rapporter la preuve de la fraude, du manquement intentionnel ou par négligence grave de l'utilisateur de services de paiement à ses obligations prévues aux articles L. 133-16 et L. 133-17 du code monétaire et financier, de nature à empêcher le remboursement demandé, et ne saurait suffire à le décharger de toute responsabilité. En conséquence, et sans que soient méconnues les exigences du droit à un procès équitable et des principes de loyauté dans l'administration de la preuve et d'égalité des armes, il appartient à la Caisse de fournir des éléments afin de prouver l'action frauduleuse de Mme U..., ou qu'elle a manqué intentionnellement ou par négligence grave à ses obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier. Il s'ensuit que la Caisse ne peut utilement soutenir, sur le fondement de l'article L. 133¬23 du code précité, que c'est à Mme U... d'exposer le contexte dans lequel l'opération aurait pu être réalisée par un tiers sans son autorisation, ou que c'est à elle d'établir la réalité factuelle qui entoure la prétendue fraude. De surcroît, la Caisse, tenue de prouver l'implication à un titre ou à un autre de Mme U... dans les opérations litigieuses pour caractériser sa négligence grave ou son manquement intentionnel à ses obligations légales ou contractuelles, voire même son action frauduleuse, ne peut pas non plus se contenter d'exposer que Mme U... ne s'explique nullement sur les circonstances dans lesquelles un tiers aurait été en possession de ses données personnelles ou qu'il lui appartient d'établir les circonstances de fait du détournement dont elle s'estime victime. Sur ce, il est tout d'abord établi à lecture du "Dossier Phishing", fait au nom de Mme U..., que celle-ci a fait opposition à sa carte bancaire n° [...] le 4 janvier 2014 à 9h52 pour un vol sans code, et que le contrat de banque à distance a été bloqué le 4 janvier 2014 à 7h47 et 03 secondes. Il s'ensuit que Mme U... a réagi rapidement au détournement de ses données en faisant opposition à sa carte de crédit dès le lendemain matin des opérations litigieuses, étant rappelé que celles-ci sont datées du 3 janvier 2014. Au surplus, Mme U... s'est présentée le 4 janvier 2014 au commissariat de police de Lille pour déclarer l'utilisation frauduleuse de sa carte de paiement, d'une carte contrefaite ou des données liées à la carte (numéro, date d'expiration) ri° [...], tel que cela résulte de la "notice d'information relative aux usages frauduleux de cartes bancaires et aux dispositions du code monétaire et financier en la matière" qu'elle produit au débat. La cour note encore que suivant le courrier du 6 septembre 2014 de la société SFR, versé tant par la Caisse que par Mme U..., son contrat d'abonnement téléphonique a été suspendu le 4 janvier 2014. En conséquence, Mme U... a réagi rapidement au détournement de ses données de sorte que la Caisse ne démontre manifestement pas qu'elle a manqué intentionnellement ou par négligence grave à ses obligations prévues par l'article L. 133-17 du code monétaire et financier. Ensuite, la cour observe, au vu des pièces versées au débat, que les opérations de paiement contestées ont été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'ont pas été affectées par une défaillance technique ou autre, tel un piratage. La cour remarque aussi que les utilisations successives des données attachées à la carte bancaire de Mme U... ne suffisent pas nécessairement en tant que telles à prouver que les opérations litigieuses, qui ont été réalisées le 3 janvier 2014 à 14h43 et 10 9 secondes, 14h44 et 54 secondes et 14h46 et 45 secondes, ont été autorisées par Mme U... ou qu'elle est à l'origine desdites opérations litigieuses, ou encore qu'elle n'a pas satisfait intentionnellement ou par négligence grave aux obligations légales lui incombant en la matière, ainsi qu'à celles contractuellement prévues dans les conditions générales cmnedirect, les conditions générales e-retrait ou les conditions générales payweb card que la Caisse verse au débat. Si la Caisse soutient que les données personnelles et confidentielles de Mme U... ont été nécessairement communiquées aux motifs qu'il n'y a pas d'autres explications et que sa sociétaire n'en fournit aucune, force est à l'évidence de constater que la Caisse procède par voie d'affirmation et n'apporte au débat aucun élément objectif de nature à justifier de la réalité de cette communication intentionnelle ou par négligence grave, voire même par fraude, de Mme U.... La Caisse ne verse également au débat aucun élément de nature à démontrer que Mme U... a manqué à ses obligations contractuelles telles qu'elles ressortent des conditions particulières et générales qu'elle verse au débat. Enfin, la Caisse ne fait dans ses écritures qu'évoquer au conditionnel la thèse du phishing dont Mme U... aurait été la victime, malgré l'information qu'elle fait de cette pratique auprès de ses clients, et ne fournit au débat aucun élément afin de corroborer cette allégation et de prouver le manquement intentionnel ou la négligence grave, voire même l'action frauduleuse, de Mme U.... En l'état de l'ensemble de ces constatations et énonciations, la Caisse ne fournit pas les éléments afin de prouver que Mme U... a communiqué ses données personnelles et confidentielles, permettant à un tiers de prendre connaissance du code payweb card ou du code e-retrait, de sorte qu'elle n'établit pas que Mme U... a commis un manquement intentionnel ou par négligence grave à ses obligations mentionnées à l'article L. 133-16 du code monétaire et financier, voire même une action frauduleuse de sa part. En conséquence, la Caisse est défaillante dans l'établissement du manquement intentionnel ou de la négligence grave de Mme U... à son obligation de préserver la sécurité de ses données de sécurité personnalisées, ou encore de son action frauduleuse. 1.1.3. Sur le montant des sommes prélevées au titre des opérations contestées Au vu des pièces produites au débat, notamment le "Dossier Phishing" établi au nom de Mme U..., sa déclaration de plainte du 24 mars 2014 et ses relevés et informations bancaires, le jugement attaqué sera confirmé en ce qu'il a condamné la Caisse à payer à Mme U... la somme de 1 913 euros, avec intérêt au taux légal à compter du 11 décembre 2014, en remboursement des sommes prélevées au titre des opérations contestées. 1.2. Sur le remboursement des sommes prélevées ou facturées au titre des divers tais bancaires sur le compte litigieux et relatifs au découvert relevant de la fraude Les relevés et informations bancaires de janvier 2014 à mars 2015, que Mme U... produit au débat, montrent que des frais de commission d'intervention, des frais de courrier compte débiteur et des "F INT/FRAIS TX DEBIT" ont été prélevés sur son compte bancaire. La lecture de ces relevés montre également que des rétrocessions de frais de commission d'intervention et de frais de courrier ont eu lieu au bénéfice de Mme U..., étant précisé que celle-ci s'est aussi acquittée de frais de cotisations "Eucpt Duo Confort" correspondant à l'abonnement "Eurocompte Duo's confort", tel que cela ressort des conditions particulières de la convention de compte courant conclue entre Mme U... et la Caisse, que cette dernière verse au débat. Il en résulte que les sommes prélevées ou facturées à Mme U... au titre des divers frais bancaires relatifs au découvert relevant de la fraude s'élèvent à la somme de 369,46 euros. Mme U... limitant sa demande à la somme de 336,69 euros, la Caisse sera condamnée à lui payer cette somme avec intérêts au taux légal à compte du 11 décembre 2014 » ;
ET AUX MOTIFS, A LES SUPPOSER ADOPTES, QUE « Sur le fond (
) il est constant que Madame X... U... a fait opposition à sa carte bancaire, le 4 janvier 2014, en indiquant qu'elle n'était pas à l'origine de différents paiements pote• un montant de 1913 euros. Le justificatif de l'opposition n'est pas produit au débat mais n'est pas contesté et ce fait est acquis au débat. Pour s'opposer à sa demande de remboursement du montant des opérations réalisées avec cette carte avant l'opposition, la CAISSE DE CRÉDIT MUTUEL DE [...] évoque la faute de sa cliente en application des dispositions de l'article L133-19 du Code Monétaire et Financier aux termes duquel le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L133-16 et L133-17 de prendre toute mesure pour préserver la sécurité de ses dispositifs de sécurité personnalisés et de faire opposition sans tarder en cas de vol. Il n'est pas contesté qu'en l'espèce, les opérations litigieuses d'achat n'ont pu être réalisées par leur auteur qu'en ayant connaissance des éléments d'identification confidentiels du client de la banque : identifiant et mot de passe pour l'accès au site de la banque en ligne, code confidentiel parmi les 64 codes délivrés sur une carte de clefs personnelles donnée par la banque à son client, ainsi que le numéro de téléphone portable de celui-ci afin de recevoir les codes de confirmation par SMS. Il est certain que Madame X... U... n'apporte aucune explication sur ces contraintes techniques, et n'est pas en mesure d'expliquer comment son identifiant, code d'accès au site de banque en ligne, codes confidentiels figurant sur la carte de clés personnelles ont pu parvenir entre les mains de tierces personnes. La demanderesse justifie cependant que sa carte SIM a été changée la veille de la fraude supposée à la suite d'une usurpation d'identité. Madame X... U... conteste par ailleurs avoir répondu à un mail de phishing, ce dont la banque ne peut apporter la preuve du contraire. De son côté, la banque ne rapporte pas la preuve de ce que son système de paiement en ligne est absolument sécurisé et de cc que les données confidentielles de ses clients n'ont pu être rendues accessibles à des personnes mal intentionnées via une faille de sécurité de son système informatique. En outre, les codes transmis par voie postale sont également potentiellement interceptables. Il est démontré au surplus que l'envoi a été fait sur le numéro de portable au nom de la demanderesse mais obtenu à la suite d'une usurpation d'identité. Enfin, la Caisse de CREDIT MUTUEL de [...] se garde bien de justifier du traçage de l'adresse IP de l'ordinateur ou appareil à partir duquel les ordres auraient été passés. La Banque comme tout établissement bancaire a pourtant à sa disposition un service des fraudes et affaires spéciales qui aurait pu rendre un rapport précis. La Banque ne peut donc, sans un renversement de la charge de la preuve, se contenter d'apporter des explications techniques générales, et reprocher à demanderesse de ne pas fournir de justifications sur la fraude dont ils s'affirment victimes. La défenderesse ne peut donc, sans preuve de la mauvaise foi de Madame U..., s'opposer au remboursement des sommes qu'elle a indûment débitées des comptes de celle-ci au titre des opérations de paiement effectuées litigieuses ; Aucune négligence grave de la part de Madame X... U... au regard des dispositions précitées de l'article L. 133-16 du code monétaire et financier n'étant en ces conditions établie, la CAISSE DE CRÉDIT MUTUEL de [...] doit être condamnée à lui rembourser les sommes débitées à tort de son compte bancaire ; En conséquence, il convient de condamner la CAISSE de CREDIT MUTUEL DE [...] à rembourser à Madame X... U... les sommes indûment prélevées sur leur compte bancaire, à savoir la somme de 1913 euros, outre l'intégralité des frais de commission d'intervention » ;
1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la négligence grave s'entend de la carence de l'utilisateur du service de paiement à prendre toute mesure raisonnable pour assurer la confidentialité de ses données personnelles ; qu'en jugeant que la négligence grave de l'utilisateur de services de paiement « confin[ait] au dol et dénot[ait] l'inaptitude de celui-ci dans l'accomplissement de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés, de sorte que cette négligence grave [était] d'une importance telle qu'elle [rendait] impossible le remboursement des sommes débitées à la suite d'opérations de paiement non autorisées par l'utilisateur de services », et en appréciant l'existence d'une négligence grave de la part de Mme U... au regard de cette définition, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
2°) ALORS QUE si, selon l'article L.133-23 du code monétaire et financier, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu'il incombe aux juges du fond d'examiner ; que pour condamner la Caisse de Crédit Mutuel de [...] à rembourser à Mme U... le montant d'opérations réalisées au débit de son compte bancaire, la cour d'appel, après avoir constaté que la banque rapportait la preuve que les opérations de paiement contestées avaient « été authentifiées, dûment enregistrées et comptabilisées, et qu'elles n'[avaient] pas été affectées par une défaillance technique ou autre, tel un piratage » (p. 12, 8ème §), a néanmoins considéré que les utilisations successives des données attachées à la carte de Mme U... ne pouvaient suffire à prouver que les opérations litigieuses avaient été autorisées par cette dernière, ou qu'elle n'aurait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, et a jugé que la banque, qui se bornait à faire état de l'hypothèse d'un « phishing », était défaillante dans l'administration de la preuve de la négligence grave qu'aurait commise Mme U... ; qu'en statuant de la sorte, quand l'utilisation d'un service de paiement sans défaillance technique est susceptible de démontrer la commission par l'utilisateur de ce service d'une négligence grave dans la conservation de ses données, ce qu'il lui incombait de rechercher au regard des caractéristiques en matière de sécurité des services de paiement employés, la cour d'appel a violé les articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
3°) ALORS SUBSIDIAIREMENT QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un l'identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner la Caisse de Crédit Mutuel de [...] à rembourser à Mme X... U... le montant d'opérations de débit sur ses comptes bancaires dont il contestait être l'auteur, ainsi que les frais financiers afférents, que bien que la banque ait rapporté la preuve que les opérations de paiement et de retraits contestées avaient été authentifiées, dûment enregistrées et comptabilisées et qu'elles n'avaient pas été affectées par une déficience technique ou autre, que les utilisations successives des services de paiement « payweb card » et de retraits « e-retraits », telles qu'enregistrées par la banque, ne suffisaient pas nécessairement en tant que telles à prouver que les opérations avaient été autorisées par Mme U... ou que celle-ci n'avait pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, sans rechercher si la circonstance que les débits litigieux avaient été effectués par le biais de services de paiement sécurisés nécessitant la fourniture de données strictement personnelles à Mme U..., figurant sur des supports distincts, et dont cette dernière avait contractuellement la charge d'assurer la conservation et la confidentialité, n'était pas de nature à faire présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;
4°) ALORS, EN OUTRE, QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que l'existence d'une négligence grave doit être appréciée au regard de l'ensemble des circonstances de la cause, et peut être prouvée par tous moyens, en particulier eu égard aux caractéristiques de l'instrument de paiement en termes de fiabilité et de sécurité ; qu'en s'abstenant de rechercher, comme elle y était invitée (conclusions d'appel de la banque, not. p. 4 à 9 ; p. 14-16) si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés payweb card et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l'utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu'un code de confirmation adressé sur l'adresse électronique ou le téléphone portable de ce dernier, ne permettait pas de démontrer que Mme U... avait été gravement négligente dans la conservation de ses données personnelles, la cour d'appel a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;
5°) ALORS, EN OUTRE, QUE le principe de l'égalité des armes implique que chaque partie ait la possibilité de faire valoir ses prétentions et moyens dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son contradicteur ; qu'en jugeant qu'il incombait à la Caisse de Crédit Mutuel de [...] de prouver « l'implication à un titre ou à un autre de Mme U... dans les opérations litigieuses pour caractériser sa négligence fautive ou son manquement intentionnel, voire son action frauduleuse », et qu'il n'était « nullement établi par la Caisse en l'absence d'éléments objectifs permettant d'établir la réalité de la négligence grave de Mme U..., de son manquement intentionnel aux obligations lui incombant ou de sa fraude, que celui-ci a transmis à un tiers ses identifiants, son code confidentiel personnel, ses clés confidentielles ou ses coordonnées personnelles », la cour d'appel a méconnu les exigences de l'article 6 § 1er de la Convention Européenne des Droits de l'Homme, ensemble les articles L. 133-15, L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier, et l'article 1315 du code civil (nouvel article 1353 du code civil).
SECOND MOYEN DE CASSATION :
Il est fait grief à l'arrêt infirmatif attaqué D'AVOIR débouté la Caisse de Crédit Mutuel de [...] de sa demande de condamnation de la Société Française de Radiotéléphone (SFR) à la garantir de l'intégralité des sommes qu'elle pourrait devoir être tenue de payer à Mme U...,
AUX MOTIFS QUE « 2. Sur la demande de la Caisse tendant à la condamnation de la société SFR à la garantir de l'intégralité des sommes qu'elle pourrait devoir payer à Mme U... La garantie traduit le rapport d'obligation qui existe entre deux personnes, le garant intervenant pour garantir l'obligation, de source conventionnelle ou légale, liant le demandeur au défendeur appelant en garantie. Les dispositions d'ordre public des articles L. 133-16, L. 133-17, L. 133-19,1V et L.133¬23 du code monétaire et financier concernent uniquement les obligations et les responsabilités respectives de l'utilisateur de services de paiement et du prestataire de services de paiement à l'occasion d'opérations de paiement non autorisées, réalisées au moyen d'un instrument de paiement doté de données de sécurité personnalisées, et notamment lorsqu'elles ont lieu à distance. Une opération à distance est une opération de paiement initiée par l'intermédiaire de l'internet ou au moyen d'un dispositif pouvant être utilisé pour la communication à distance. Lorsque la responsabilité d'un prestataire de service de paiement est engagée au titre de l'article L. 133-19 du code monétaire et financier et afin que le prestataire de service de paiement et l'intermédiaire de l'internet ou de la communication à distance, participant à une opération de paiement à distance, assument leurs responsabilités, la sécurité juridique doit être garantie pour que le prestataire de services de paiement qui estime que sa responsabilité est imputable à un intermédiaire de l'internet ou de la communication à distance, obtienne une indemnité pour toute perte subie ou toute somme payée au titre de l'article L. 133-19 du code précité. En application de l'article 954 alinéa 2 du code de procédure civile, dans sa version antérieure à l'entrée en vigueur du décret du 6 mai 2017, la cour ne statue que sur les prétentions énoncées au dispositif des conclusions. En l'espèce, la nature de la demande figurant au dispositif des conclusions de la Caisse est une demande de garantie, qui n'est ni conventionnelle ni légale, à tel point que le fondement juridique figurant dans les motifs des conclusions de la Caisse est la responsabilité délictuelle. Face à une telle contradiction, la cour, n'étant tenue que par le dispositif des conclusions de la Caisse, laquelle ne chiffre pas sa demande, puisqu'elle se limite à demander à être relevée indemne de l'intégralité de toutes condamnations qui pourraient être mises à son encontre, ne peut que débouter la Caisse de sa demande tendant à la condamnation de la société SFR "à la garantir de l'intégralité des sommes qu'elle pourrait devoir être tenue de payer à Mme U...".Le jugement attaqué sera en conséquence infirmé en ce qu'il a condamné la société SFR à garantir la Caisse de Crédit Mutuel de [...] de la somme de 956,50 euros » ;
1°) ALORS QUE la cour d'appel ne statue que sur les prétentions énoncées au dispositif et n'examine les moyens au soutien de ces prétentions que s'ils sont invoqués dans la discussion ; que pour débouter la Caisse de Crédit Mutuel de sa demande tendant à être garantie par la société SFR des condamnations qui seraient prononcées contre elle au profit de Mme U..., la cour d'appel a retenu que la nature de la demande figurant au dispositif des conclusions de la banque était « une demande de garantie, qui n'est ni conventionnelle ni légale, à tel point que le fondement juridique figurant dans les motifs des conclusions de la Caisse est la responsabilité délictuelle », et que « face à une telle contradiction, la cour, n'étant tenue que par le dispositif des conclusions de la Caisse, laquelle ne chiffre pas sa demande, puisqu'elle se limite à demander à être relevée indemne de l'intégralité de toutes condamnations qui pourraient être mises à son encontre, ne peut que débouter la Caisse de sa demande » ; qu'en statuant par ces motifs, impropres à justifier le rejet de la demande de garantie formée par la Caisse de Crédit de Mutuel, dont le fondement juridique pouvait n'être indiqué que dans la discussion de ses écritures et non dans le dispositif de celles-ci, la cour d'appel a méconnu l'article 954 du code de procédure civile, ensemble l'article 1382 du code civil (nouvel article 1240 du code civil) ;
2°) ALORS QUE le fondement juridique d'une demande en garantie dépend de la nature des liens existant entre le demandeur et le défendeur à l'action en garantie ; que la demande de garantie de la Caisse de Crédit Mutuel était fondée sur la faute imputée à la société SFR ne pas avoir mis en place de procédure suffisamment sécurisée en cas de changement de carte SIM d'un de ses clients, en particulier en ne s'assurant pas de l'identité de la personne ayant procédé à la modification de carte SIM de Mme U... (ses conclusions d'appel, p. 23 à 35) ; qu'en retenant que la demande figurant au dispositif des conclusions de la banque était « une demande de garantie, qui n'est ni conventionnelle ni légale, à tel point que le fondement juridique figurant dans les motifs des conclusions de la Caisse est la responsabilité délictuelle » et en en déduisant que « face à une telle contradiction, la cour, n'étant tenue que par le dispositif des conclusions de la Caisse, laquelle ne chiffre pas sa demande, puisqu'elle se limite à demander à être relevée indemne de l'intégralité de toutes condamnations qui pourraient être mises à son encontre, ne peut que débouter la Caisse de sa demande », la cour d'appel a derechef violé l'article 1382 du code civil (nouvel article 1240 du code civil) ;
3°) ALORS QU' une partie peut demander à être garantie par une autre des éventuelles condamnations susceptibles d'être prononcées contre elle au profit du demandeur à l'action ; qu'une telle demande n'a pas à être chiffrée, l'étendue de la garantie dépendant du montant de la condamnation principale et le cas échéant de la part de responsabilité pouvant être imputée au défendeur à la demande de garantie ; qu'en déboutant la Caisse de Crédit Mutuel de [...] de sa demande tendant à être garantie par la société SFR des condamnations qui pourraient être prononcées contre elle au profit de Mme U..., au motif que la Caisse de Crédit Mutuel ne chiffrait pas sa demande de garantie, la cour d'appel a violé l'article 1382 du code civil (nouvel article 1240 du code civil), ensemble l'article 954 du code de procédure civile.
