LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :
COMM.
FM
COUR DE CASSATION
______________________
Audience publique du 5 mars 2025
Cassation
Mme SCHMIDT, conseiller doyen faisant fonction de président
Arrêt n° 116 F-D
Pourvoi n° K 23-22.687
R É P U B L I Q U E F R A N Ç A I S E
_________________________
AU NOM DU PEUPLE FRANÇAIS
_________________________
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 5 MARS 2025
Mme [B] [J] [S] [F], épouse [P], domiciliée [Adresse 2], a formé le pourvoi n° K 23-22.687 contre le jugement rendu le 4 septembre 2023 par le tribunal judiciaire de Paris (pôle civil de proximité), dans le litige l'opposant à la société BNP Paribas, société anonyme, dont le siège est [Adresse 1], défenderesse à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, un moyen de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de Mme Champ, conseiller référendaire, les observations de Me Bouthors, avocat de Mme [F], de la SCP Rocheteau, Uzan-Sarano et Goulet, avocat de la société BNP Paribas, et l'avis de M. de Monteynard, avocat général, après débats en l'audience publique du 14 janvier 2025 où étaient présents Mme Schmidt, conseiller doyen faisant fonction de président, Mme Champ, conseiller référendaire rapporteur, Mme Guillou, conseiller, et Mme Sezer, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.
Faits et procédure
1. Selon le jugement attaqué (tribunal judiciaire de Paris, 4 septembre 2023), rendu en dernier ressort, Mme [P] était titulaire d'un compte ouvert dans les livres de la société BNP Paribas (la banque), assorti d'une carte de paiement. Les 21 et 23 mars 2022, le compte a été débité en exécution de deux opérations de paiements réalisées à distance au moyen de cette carte. Le 25 mars 2022, Mme [P] a formé opposition à sa carte bancaire.
2. Contestant avoir autorisé ces paiements, Mme [P] a assigné la banque en annulation, sous astreinte, des sommes débitées.
Examen du moyen
Sur le moyen, pris en sa troisième branche
Enoncé du moyen
3. Mme [P] fait grief au jugement de rejeter ses demandes, alors « que l'alinéa 2 de l'article L. 133-23 du code monétaire et financier précise que l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement, en tant que telle, à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ; que cette preuve ne pouvant résulter du seul fait de l'utilisation effective de l'instrument de paiement ou des données personnelles qui lui sont liées le juge qui s'est borné à émettre l'hypothèse de l'utilisation d'un lien et la communication d'un code par l'exposante, n'a nullement caractérisé l'existence d'une négligence grave reprochable à la requérante et a derechef privé sa décision de toute base légale au regard de l'article susvisé. »
Réponse de la Cour
Vu les articles L. 133-16, L. 133-19, IV, et L. 133-23 du code monétaire et financier :
4. Il résulte de ces textes qu'il incombe au prestataire de services de paiement de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait intentionnellement ou par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des données de sécurité personnalisées, que cette preuve de la négligence grave ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
5. Pour rejeter les demandes de Mme [P], le jugement, après avoir relevé que la carte bancaire bénéficiait d'un système d'authentification dénommé "clé digitale" permettant de s'assurer que le client était à l'initiative des opérations de paiement ou des modifications de ses coordonnées, en renseignant un code confidentiel communiqué par sa banque sur son téléphone par SMS pour valider ces opérations, retient que les traces informatiques des opérations réalisées sur l'espace client de Mme [P] établissent que le 19 mars 2022, une adresse IP s'est connectée sur son espace client, qui n'est pas son adresse habituelle, que le 21 mars suivant, sa clé digitale a été enrôlée sur un nouvel appareil par l'intermédiaire de cette même adresse et qu'en validant l'enrôlement de cette clé sur ce nouvel appareil, Mme [P] était, par imprudence, à l'origine du préjudice subi.
6. En statuant ainsi, le tribunal, qui a déduit la négligence grave de Mme [P] de la seule utilisation de ses données de sécurité personnalisées, a violé les textes susvisés.
PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs, la Cour :
CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 4 septembre 2023, entre les parties, par le tribunal judiciaire de Paris ;
Remet l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant le tribunal judiciaire de Paris autrement composé ;
Condamne la société BNP Paribas aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par la société BNP Paribas et la condamne à payer à Mme [P] la somme de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite du jugement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du cinq mars deux mille vingt-cinq.
