Un
arrêt qui les met en transe…
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt
suivant :
Sur le moyen unique :
Attendu, selon le jugement attaqué (juridiction de proximité
de Lille, 17 mars 2015), rendu en dernier ressort, que M. X..., titulaire d’un
compte dans les livres de la caisse de Crédit mutuel de Wattignies (la Caisse),
a contesté trois opérations de paiement, effectuées, selon lui, frauduleusement
sur ce compte, et demandé à la Caisse de lui en rembourser le montant ; que, se
heurtant au refus de celle-ci, qui lui reprochait d’avoir commis une faute en
donnant à un tiers des informations confidentielles permettent d’effectuer les opérations
contestées, M. X... l’a assignée en paiement ;
Attendu que la Caisse fait grief au jugement de la
condamner, à payer à M. X... la somme de 838 euros alors, selon le moyen :
1°/ que l’utilisateur d’un service de paiement qui agit avec
une négligence grave est tenu de supporter l’intégralité de la perte subie ;
que la circonstance qu’un instrument de paiement ait été utilisé pour des
achats sur le réseau internet par utilisation de données ne se trouvant pas sur
la carte de paiement proprement dite, tels des clefs personnelles permettant au
titulaire du compte de venir authentifier le paiement au moyen d’une donnée
confidentielle, ainsi que le numéro de téléphone ou l’adresse électronique du
client, destiné à recevoir de la banque un code de confirmation permettant de
réaliser le paiement souhaité, démontre à elle-seule la négligence grave du
titulaire dans la conservation des données sécurisées de paiement que lui
imposent les dispositions de l'article L. 133-16, alinéa 1, du code monétaire
et financier ; qu’en l’espèce, la Caisse faisait valoir que le système de
paiement à distance « payweb » utilisé pour réaliser les trois débits contestés
par M. X..., comportait un processus hautement sécurisé nécessitant le choix
par le client d’un identifiant et d’un mot de passe lors de la première
connexion, puis, pour la réalisation de chaque opération de paiement, la
création d’une carte « payweb » par un dispositif de « clefs personnelles »
permettant à l’utilisateur de choisir une combinaison de chiffres au sein d'une
carte de 64 codes, avant que la banque n’envoie, par mail ou un sms, un code de
confirmation à validité temporaire permettant d’effectuer le paiement désiré ;
qu’elle soulignait que l’utilisation de ce système de paiement impliquait
nécessairement que M. X... avait, sinon divulgué ses données personnelles à un
tiers, à tout le moins laissé celles-ci à disposition du tiers ayant
frauduleusement effectué les débits litigieux ; que, pour condamner la Caisse à
rembourser le montant des trois débits contestés par ce dernier, le juge de
proximité a considéré que la preuve de ce que M. X... avait dévoilé ses données
personnelles n’était pas rapportée, et que la banque avait commis un manquement
à ses obligations contractuelles « en fournissant à un tiers un code de
confirmation pour valider les opérations contestées » ; qu’en statuant de la
sorte, sans rechercher, ainsi qu’il y était invité, si la circonstance que les
débits litigieux aient été effectués par le biais d’un service de paiement
sécurisé nécessitant la fourniture de données strictement personnelles à M.
X..., et dont ce dernier avait contractuellement la charge d’assurer la
conservation et la confidentialité, n’impliquait pas que ce dernier avait
commis une négligence grave dans la conservation des dites données, le juge de
proximité a privé sa décision de base au regard des articles L. 133-15, L.
133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du
code civil ;
2°/ que la circonstance qu’un service de paiement doté d’un
dispositif de sécurité ait été utilisé pour des achats sur le réseau internet
par utilisation d’un identifiant internet et du mot de passe de connexion, des
clefs personnelles permettant à l’utilisateur de venir authentifier le paiement
au moyen d’une donnée confidentielle ne se trouvant pas sur la carte de
paiement proprement dite, ainsi que de l’adresse électronique du client aux
fins de réception du code de confirmation permettant l’achat, fait à tout le
moins présumer le défaut de garde des données confidentielles d’instrument de
paiement et la négligence grave de son utilisateur dans la préservation de la
confidentialité de ses données personnelles ; qu’il appartient dans ces
circonstances à l’utilisateur du service de paiement de rapporter par tous
moyens la preuve qu’il a respecté son obligation de conserver les données
confidentielles permettant l’utilisation du service qui lui a été proposé ;
qu’en se bornant à retenir, pour condamner la Caisse à rembourser à M. X... le
montant de trois débits effectués sur son compte bancaire par le biais du
système « payweb », que ce dernier contestait avoir autorisés, le juge de
proximité a retenu que la preuve de ce M. X... avait dévoilé ses données
personnelles n’était pas rapportée, et que la banque avait commis un manquement
à ses obligations contractuelles « en fournissant à un tiers un code de
confirmation pour valider les opérations contestées » ; qu’en statuant ainsi,
sans rechercher, ainsi qu’il y était invité, si la circonstance que les débits
litigieux aient été effectués par le biais d’un service de paiement sécurisé
nécessitant la fourniture de données strictement personnelles à M. X..., et
dont ce dernier avait contractuellement la charge d'assurer la conservation et
la confidentialité, ne faisait pas présumer la négligence grave de
l’utilisateur dans la conservation de ses données personnelles, le juge de
proximité a privé sa décision de base légale au regard des articles L. 133-15,
L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134
du code civil ;
3°/ que les juges du fond doivent analyser, fût-ce de
manière sommaire, les éléments de preuve soumis à leur examen et répondre aux
moyens opérants soulevés par les parties ; qu’en se contentant d’énoncer, pour
entrer en voie de condamnation à l’encontre de la Caisse, qu’il ne résultait
pas des pièces versées aux débats les éléments de preuve suffisants que M. X...
aurait divulgué à un tiers, de manière intentionnelle, par imprudence ou par
négligence grave, des éléments d'identification strictement confidentiels ayant
permis les paiements contestés, sans procéder à la moindre analyse des pièces
versées aux débats par la banque, en particulier le contrat CMNE Direct
déterminant les obligations respectives des parties, qui stipulait notamment
que l’utilisateur du service de paiement « payweb » était responsable de la
garde de ses données personnelles, ni répondre au moyen développé par la Caisse
dans ses conclusions, soulignant que l’utilisation de ce service de paiement
impliquait qu’un tiers se soit trouvé en possession des données personnelles de
M. X..., dont ce dernier devait assurer la conservation, le juge de proximité a
violé l'article 455 du code de procédure civile ;
4°/ qu’il résulte de l'article L. 133-15 du code monétaire
et financier que le prestataire de services de paiement qui délivre un
instrument de paiement doit s’assurer que les dispositifs de sécurité
personnalisés de cet instrument ne sont pas accessibles à d’autres personnes
que l’utilisateur autorisé de ce service, ce dernier ayant la charge d’assurer
la conservation et la confidentialité des données nécessaires à l’utilisation
de l’instrument de paiement en cause ; qu’ainsi que le faisait valoir la Caisse
dans ses conclusions, il résultait par ailleurs de l'article 1er des conditions
générales du contrat CMNE Direct, permettant l’accès du client à ses comptes
bancaires par internet, que le souscripteur devait dès sa première connexion
modifier le mot de passe qui lui était initialement fourni, et qu’il était «
entièrement responsable de l’usage et de la conservation de ses codes
personnels, et, le cas échéant, des conséquences d’une divulgation involontaire
à quiconque de leur transmission » ; que l’article 4 stipulait également que «
le souscripteur est seul responsable de la garde, de la conservation et de la
confidentialité des informations/ données qui lui seront communiquées pour se
connecter au serveur de la banque. Les éléments d’identification décrits à l’article
« accès au service » nécessaires pour accéder au service sont strictement
confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que
lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à
quiconque. Il lui appartient également de s’assurer que la conservation de la
saisie desdits éléments soit effectuée dans des conditions parfaites de
sécurité et de confidentialité » ; que la Caisse soulignait encore que le
système de paiement « payweb » mis à la disposition de M. X... nécessitait pour
fonctionner des données confidentielles que seul ce dernier avait en sa
possession, de sorte que le fait que les débits litigieux aient été effectués
par le biais de ce système impliquait qu’un tiers avait eu accès à ces données
; que, pour dire que la Caisse avait manqué à ses obligations contractuelles,
le juge de proximité a considéré que cette dernière avait commis une faute « en
fournissant à un tiers un code de confirmation pour valider les opérations
contestées » ; qu’en statuant ainsi, quand il incombait à M. X... d’assurer la
conservation des données confidentielles permettant l’utilisation du service de
paiement « payweb » et que la banque n’avait fait que se conformer à ses
obligations contractuelles en exécutant un ordre de paiement effectué
conformément aux stipulations de la convention CMNE Direct, le juge de
proximité a méconnu l’article 1134 du code civil, ensemble les articles L.
133-15 et L. 133-16 du code monétaire et financier ;
Mais attendu que
si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et
financier, il appartient à l’utilisateur de services de paiement de prendre
toute mesure raisonnable pour préserver la sécurité de ses dispositifs de
sécurité personnalisés et d’informer sans tarder son prestataire de tels
services de toute utilisation non autorisée de l’instrument de paiement ou des
données qui lui sont liées, c’est à ce prestataire qu’il incombe, par
application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter
la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement,
a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence
grave à ses obligations ; que cette preuve ne peut se déduire du seul fait que
l’instrument de paiement ou les données personnelles qui lui sont liées ont été
effectivement utilisés ; qu’ayant souverainement retenu qu’il ne résultait pas
des pièces versées aux débats la preuve que M. X... avait divulgué à un tiers,
de manière intentionnelle, par imprudence ou par négligence grave, des éléments
d’identification strictement confidentiels ayant permis les paiements contestés
et que la Caisse se bornait à évoquer l’hypothèse d'un « hameçonnage », en
prétendant que M. X... avait certainement répondu à un courriel frauduleux qu’il
pensait émaner de la Caisse pour qu’il renseigne un certain nombre de points
dont les identifiants, mots de passe et codes de clefs qui permettent de
réaliser les opérations à distance, sans en apporter la démonstration, c’est
exactement que la juridiction de proximité, qui n’était pas tenue de suivre les
parties dans le détail de leur argumentation et a procédé à la recherche
prétendument omise, a accueilli la demande de remboursement de M. X... ; que le
moyen n’est pas fondé ;
PAR CES MOTIFS :
REJETTE le pourvoi ;
Condamne la caisse de Crédit mutuel de Wattignies aux dépens
;
Vu l'article 700 du code de procédure civile, rejette sa
demande ;
Ainsi fait et jugé par la Cour de cassation, chambre
commerciale, financière et économique, et prononcé par le président en son
audience publique du dix-huit janvier deux mille dix-sept.
Qu’on se le dise, en « Gauloisie-du-Web », c’est à
la banque d’apporter la preuve que le client qui nie avoir effectué un paiement
a agi frauduleusement ou a été gravement négligent.
Et là, ça les met en rogne…
Je te vous raconte : Un client demandait à sa banque le
remboursement de trois prélèvements frauduleux sur son compte bancaire. Il
faisait valoir que même en possession des données de connexion bancaires, un
tiers ne devrait pas pouvoir débiter son compte. Selon lui, la banque avait
commis une faute en répondant aux sollicitations « anonymes » et en
envoyant sans s’en rendre compte un code secret, pour confirmation du paiement,
à une adresse inhabituelle.
La banque de son côté évoquait l’hypothèse du « phishing »
(hameçonnage du client d’une banque pour obtenir des données confidentielles).
Pour elle, le client avait certainement répondu à un mail
frauduleux qu’il pensait émaner de sa banque pour qu’il renseigne certains
points (identifiants, mots de passe et codes de clefs) permettant de réaliser
les opérations à distance.
Perso, je ne réponds jamais à ce genre de tentative :
Je dénonce !
Pour la Cour de cassation, si l’utilisateur de services de
paiement doit prendre toute mesure raisonnable pour préserver la sécurité de
ses dispositifs de sécurité personnalisés, c’est à la banque qu’il appartient
de rapporter la preuve que l’utilisateur, qui conteste avoir autorisé une
opération de paiement, a agi frauduleusement ou a été particulièrement
négligent. Cette preuve ne peut se déduire du seul fait que l’instrument de
paiement ou les données personnelles qui lui sont liées ont été effectivement
utilisés.
Logique puisque l’hypothèse que l’erreur vienne du banquier
lui-même qui aurait envoyé des données à une mauvaise adresse est soulevée par
son client…
Au minimum, il y a un doute.
Or, la loi impose à la banque de s’assurer que les dispositifs
de sécurité personnalisés d’un instrument de paiement ne sont pas accessibles à
d’autres personnes qu’à l’utilisateur autorisé à utiliser cet instrument.
Ce qui est retenu par les juges, puisque le banquier ne
démontre rien de tel…
Et parfois, il te vous nous invente des procédures telles
qu’on s’y perd, rendant le dispositif si complexe qu’il est préférable
d’émettre un chèque ou de se déplacer au guichet…
Ceci dit, pour « 800 boules », voyez donc le
niveau d’expertise juridique qu’il faut avoir et qu’il faut mobiliser pour
perdre un client.
Qui est en plus un fournisseur de liquidité…
Et comme l’argent va redevenir plus cher, y’en a qui ont
perdu plus que leur temps.
Enfin passons : C’était l’occasion de vous divertir
durant ce week-end-là.
Bien à vous toutes et tous !
I3
Marrant. Ça commence comme une charge contre le client, et finit contre la banque. Le système du Crédit Mutuel n'est pas mal. Mais moi je reçois les codes par sms. Et tous les sites ne les réclament pas. Il y a des investigations à pousser donc. Maintenant, c'est un débat sur la charge de la preuve.
RépondreSupprimerEn fait il n'y a plus débat puisque la loi est dite (par la Cour de Cass.) avec cet arrêt.
SupprimerVa falloir qu'ils s'adaptent et c'est justement ce qui les met "en transe".
De mon côté, mes "banquiers" me demandent des codes à chaque fois et ils changent tout le temps : Je mets la date du jour et note mes visites sur mon éphéméride.
Quand j'oublie, je suis dans la crotte.
Même une fois, avec une de mes cartes visa/master, je me suis planté : Il a fallu que je passe par le guichet et encore, ils sont incapables d'y répondre : C'est le siège qui t'envoie ton code à 4 chiffres par la poste.
Je ne te dis pas les délais...
Heureusement, j'ai plusieurs cartes pour me dépanner (et plusieurs comptes à raison d'un plafond de 100 K€ chacun : la garantie contre le "bail-in"...)
Bien à toi !
I-Cube