Bienvenue !

Oui, entrez, entrez, dans le « Blog » de « l’Incroyable Ignoble Infreequentable » ! Vous y découvrirez un univers parfaitement irréel, décrit par petites touches quotidiennes d’un nouvel art : le « pointillisme littéraire » sur Internet. Certes, pour être « I-Cube », il écrit dans un style vague, maîtrisant mal l’orthographe et les règles grammaticales. Son vocabulaire y est pauvre et ses pointes « d’esprit » parfaitement quelconques. Ses « convictions » y sont tout autant approximatives, changeantes… et sans intérêt : Il ne concoure à aucun prix littéraire, aucun éloge, aucune reconnaissance ! Soyez sûr que le monde qu’il évoque au fil des jours n’est que purement imaginaire. Les noms de lieu ou de bipède et autres « sobriquets éventuels » ne désignent absolument personne en particulier. Toute ressemblance avec des personnages, des lieux, des actions, des situations ayant existé ou existant par ailleurs dans la voie lactée (et autres galaxies) y est donc purement et totalement fortuite ! En guise d’avertissement à tous « les mauvais esprits » et autres grincheux, on peut affirmer, sans pouvoir se tromper aucunement, que tout rapprochement des personnages qui sont dépeints dans ce « blog », avec tel ou tel personnage réel ou ayant existé sur la planète « Terre », par exemple, ne peut qu’être hasardeux et ne saurait que dénoncer et démontrer la véritable intention de nuire de l’auteur de ce rapprochement ou mise en parallèle ! Ces « grincheux » là seront SEULS à en assumer l’éventuelle responsabilité devant leurs contemporains…

samedi 11 février 2017

Cour de Cass. Ch. Com. 18/01/2017, n° 15-18102

Un arrêt qui les met en transe…
 
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
 
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant : 
 
Sur le moyen unique : 
 
Attendu, selon le jugement attaqué (juridiction de proximité de Lille, 17 mars 2015), rendu en dernier ressort, que M. X..., titulaire d’un compte dans les livres de la caisse de Crédit mutuel de Wattignies (la Caisse), a contesté trois opérations de paiement, effectuées, selon lui, frauduleusement sur ce compte, et demandé à la Caisse de lui en rembourser le montant ; que, se heurtant au refus de celle-ci, qui lui reprochait d’avoir commis une faute en donnant à un tiers des informations confidentielles permettent d’effectuer les opérations contestées, M. X... l’a assignée en paiement ; 
 
Attendu que la Caisse fait grief au jugement de la condamner, à payer à M. X... la somme de 838 euros alors, selon le moyen : 
 
1°/ que l’utilisateur d’un service de paiement qui agit avec une négligence grave est tenu de supporter l’intégralité de la perte subie ; que la circonstance qu’un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d’une donnée confidentielle, ainsi que le numéro de téléphone ou l’adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle-seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L. 133-16, alinéa 1, du code monétaire et financier ; qu’en l’espèce, la Caisse faisait valoir que le système de paiement à distance « payweb » utilisé pour réaliser les trois débits contestés par M. X..., comportait un processus hautement sécurisé nécessitant le choix par le client d’un identifiant et d’un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d’une carte « payweb » par un dispositif de « clefs personnelles » permettant à l’utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de confirmation à validité temporaire permettant d’effectuer le paiement désiré ; qu’elle soulignait que l’utilisation de ce système de paiement impliquait nécessairement que M. X... avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse à rembourser le montant des trois débits contestés par ce dernier, le juge de proximité a considéré que la preuve de ce que M. X... avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant de la sorte, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., et dont ce dernier avait contractuellement la charge d’assurer la conservation et la confidentialité, n’impliquait pas que ce dernier avait commis une négligence grave dans la conservation des dites données, le juge de proximité a privé sa décision de base au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ; 
 
2°/ que la circonstance qu’un service de paiement doté d’un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d’un identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l’utilisateur de venir authentifier le paiement au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l’adresse électronique du client aux fins de réception du code de confirmation permettant l’achat, fait à tout le moins présumer le défaut de garde des données confidentielles d’instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu’il appartient dans ces circonstances à l’utilisateur du service de paiement de rapporter par tous moyens la preuve qu’il a respecté son obligation de conserver les données confidentielles permettant l’utilisation du service qui lui a été proposé ; qu’en se bornant à retenir, pour condamner la Caisse à rembourser à M. X... le montant de trois débits effectués sur son compte bancaire par le biais du système « payweb », que ce dernier contestait avoir autorisés, le juge de proximité a retenu que la preuve de ce M. X... avait dévoilé ses données personnelles n’était pas rapportée, et que la banque avait commis un manquement à ses obligations contractuelles « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d’un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles à M. X..., et dont ce dernier avait contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l’utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ; 
 
3°/ que les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu’en se contentant d’énoncer, pour entrer en voie de condamnation à l’encontre de la Caisse, qu’il ne résultait pas des pièces versées aux débats les éléments de preuve suffisants que M. X... aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d'identification strictement confidentiels ayant permis les paiements contestés, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE Direct déterminant les obligations respectives des parties, qui stipulait notamment que l’utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse dans ses conclusions, soulignant que l’utilisation de ce service de paiement impliquait qu’un tiers se soit trouvé en possession des données personnelles de M. X..., dont ce dernier devait assurer la conservation, le juge de proximité a violé l'article 455 du code de procédure civile ; 
 
4°/ qu’il résulte de l'article L. 133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé de ce service, ce dernier ayant la charge d’assurer la conservation et la confidentialité des données nécessaires à l’utilisation de l’instrument de paiement en cause ; qu’ainsi que le faisait valoir la Caisse dans ses conclusions, il résultait par ailleurs de l'article 1er des conditions générales du contrat CMNE Direct, permettant l’accès du client à ses comptes bancaires par internet, que le souscripteur devait dès sa première connexion modifier le mot de passe qui lui était initialement fourni, et qu’il était « entièrement responsable de l’usage et de la conservation de ses codes personnels, et, le cas échéant, des conséquences d’une divulgation involontaire à quiconque de leur transmission » ; que l’article 4 stipulait également que « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/ données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d’identification décrits à l’article « accès au service » nécessaires pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s’assurer que la conservation de la saisie desdits éléments soit effectuée dans des conditions parfaites de sécurité et de confidentialité » ; que la Caisse soulignait encore que le système de paiement « payweb » mis à la disposition de M. X... nécessitait pour fonctionner des données confidentielles que seul ce dernier avait en sa possession, de sorte que le fait que les débits litigieux aient été effectués par le biais de ce système impliquait qu’un tiers avait eu accès à ces données ; que, pour dire que la Caisse avait manqué à ses obligations contractuelles, le juge de proximité a considéré que cette dernière avait commis une faute « en fournissant à un tiers un code de confirmation pour valider les opérations contestées » ; qu’en statuant ainsi, quand il incombait à M. X... d’assurer la conservation des données confidentielles permettant l’utilisation du service de paiement « payweb » et que la banque n’avait fait que se conformer à ses obligations contractuelles en exécutant un ordre de paiement effectué conformément aux stipulations de la convention CMNE Direct, le juge de proximité a méconnu l’article 1134 du code civil, ensemble les articles L. 133-15 et L. 133-16 du code monétaire et financier ; 
 
Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas des pièces versées aux débats la preuve que M. X... avait divulgué à un tiers, de manière intentionnelle, par imprudence ou par négligence grave, des éléments d’identification strictement confidentiels ayant permis les paiements contestés et que la Caisse se bornait à évoquer l’hypothèse d'un « hameçonnage », en prétendant que M. X... avait certainement répondu à un courriel frauduleux qu’il pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points dont les identifiants, mots de passe et codes de clefs qui permettent de réaliser les opérations à distance, sans en apporter la démonstration, c’est exactement que la juridiction de proximité, qui n’était pas tenue de suivre les parties dans le détail de leur argumentation et a procédé à la recherche prétendument omise, a accueilli la demande de remboursement de M. X... ; que le moyen n’est pas fondé ; 
 
PAR CES MOTIFS :
REJETTE le pourvoi ;
Condamne la caisse de Crédit mutuel de Wattignies aux dépens ;
Vu l'article 700 du code de procédure civile, rejette sa demande ; 
 
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-huit janvier deux mille dix-sept.
 
Qu’on se le dise, en « Gauloisie-du-Web », c’est à la banque d’apporter la preuve que le client qui nie avoir effectué un paiement a agi frauduleusement ou a été gravement négligent.
Et là, ça les met en rogne…
 
Je te vous raconte : Un client demandait à sa banque le remboursement de trois prélèvements frauduleux sur son compte bancaire. Il faisait valoir que même en possession des données de connexion bancaires, un tiers ne devrait pas pouvoir débiter son compte. Selon lui, la banque avait commis une faute en répondant aux sollicitations « anonymes » et en envoyant sans s’en rendre compte un code secret, pour confirmation du paiement, à une adresse inhabituelle.
 
La banque de son côté évoquait l’hypothèse du « phishing » (hameçonnage du client d’une banque pour obtenir des données confidentielles).
Pour elle, le client avait certainement répondu à un mail frauduleux qu’il pensait émaner de sa banque pour qu’il renseigne certains points (identifiants, mots de passe et codes de clefs) permettant de réaliser les opérations à distance.
Perso, je ne réponds jamais à ce genre de tentative : Je dénonce !
 
Pour la Cour de cassation, si l’utilisateur de services de paiement doit prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, c’est à la banque qu’il appartient de rapporter la preuve que l’utilisateur, qui conteste avoir autorisé une opération de paiement, a agi frauduleusement ou a été particulièrement négligent. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
 
Logique puisque l’hypothèse que l’erreur vienne du banquier lui-même qui aurait envoyé des données à une mauvaise adresse est soulevée par son client…
Au minimum, il y a un doute.
Or, la loi impose à la banque de s’assurer que les dispositifs de sécurité personnalisés d’un instrument de paiement ne sont pas accessibles à d’autres personnes qu’à l’utilisateur autorisé à utiliser cet instrument.
Ce qui est retenu par les juges, puisque le banquier ne démontre rien de tel…
Et parfois, il te vous nous invente des procédures telles qu’on s’y perd, rendant le dispositif si complexe qu’il est préférable d’émettre un chèque ou de se déplacer au guichet…
 
Ceci dit, pour « 800 boules », voyez donc le niveau d’expertise juridique qu’il faut avoir et qu’il faut mobiliser pour perdre un client.
Qui est en plus un fournisseur de liquidité…
Et comme l’argent va redevenir plus cher, y’en a qui ont perdu plus que leur temps.
Enfin passons : C’était l’occasion de vous divertir durant ce week-end-là.
 
Bien à vous toutes et tous !
 
I3

2 commentaires:

  1. Marrant. Ça commence comme une charge contre le client, et finit contre la banque. Le système du Crédit Mutuel n'est pas mal. Mais moi je reçois les codes par sms. Et tous les sites ne les réclament pas. Il y a des investigations à pousser donc. Maintenant, c'est un débat sur la charge de la preuve.

    RépondreSupprimer
    Réponses
    1. En fait il n'y a plus débat puisque la loi est dite (par la Cour de Cass.) avec cet arrêt.

      Va falloir qu'ils s'adaptent et c'est justement ce qui les met "en transe".

      De mon côté, mes "banquiers" me demandent des codes à chaque fois et ils changent tout le temps : Je mets la date du jour et note mes visites sur mon éphéméride.
      Quand j'oublie, je suis dans la crotte.
      Même une fois, avec une de mes cartes visa/master, je me suis planté : Il a fallu que je passe par le guichet et encore, ils sont incapables d'y répondre : C'est le siège qui t'envoie ton code à 4 chiffres par la poste.
      Je ne te dis pas les délais...
      Heureusement, j'ai plusieurs cartes pour me dépanner (et plusieurs comptes à raison d'un plafond de 100 K€ chacun : la garantie contre le "bail-in"...)

      Bien à toi !

      I-Cube

      Supprimer

Commentaires désormais "modérés" :

http://flibustier20260.blogspot.fr/2016/10/ce-pays-est-foutu.html

Le vôtre n'apparaîtra qu'une fois "validé".
Merci pour votre compréhension !

I-Cube