Une banque n’est pas tenue de la négligence du client.
C’est l’histoire de deux sociétés qui ont subi une
attaque informatique par hameçonnage ayant conduit au versement de 6 virements
vers des comptes étrangers.
Elles ont demandé, sans succès, à leur banque le remboursement de ces opérations de paiement non autorisées.
Furieuses, elles saisissent alors les juges de mon pays (celui que j’aime temps et qui commence à me restituer…) et assignent la banque en remboursement.
Première instance devant le tribunal de commerce (qui
ne s’appelle plus comme ça maintenant : Les « d’jeunes », c’est
comme ça, quand ils ne comprennent pas, ils se croient obligés de réinventer l’eau
claire) puis pourvoi en appel devant la Cour compétente.
Or, justement, la Cour d’appel condamne la banque à rembourser les sociétés à hauteur de 50 % des pertes subies : Pour elle, la banque a manqué à ses obligations de vigilance et de surveillance de ses systèmes.
Pas contente du tout, la banque se pourvoit en cassation, parce que si en plus de confirmer l’origine des fonds il faut en plus vérifier la légalité d’un virement, ça va devenir un métier infernal.
La Cour de cassation, dans son immense sagesse, casse
et annule l’arrêt rendu en appel :
Cour de cassation, civile, Chambre commerciale, 15
janvier 2025.
N° de pourvoi : 23-13.579
Décision attaquée : Cour d'appel de Paris, du 18 janvier 2023
Président : M. Soulard (premier président)
Avocat(s) : SAS Boucard-Capron-Maman, SCP Fabiani – Pinatel
LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu
l'arrêt suivant :
Audience publique du 15 janvier 2025
Cassation partielle
M. SOULARD, premier président
Arrêt n° 4 FS-B. Pourvoi n° K 23-13.579
ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE,
FINANCIÈRE ET ÉCONOMIQUE, DU 15 JANVIER 2025
La société Bred banque populaire, société coopérative
de banque populaire à forme anonyme, dont le siège est [Adresse 1], a formé le
pourvoi n° K 23-13.579 contre l'arrêt rendu le 18 janvier 2023 par la cour
d'appel de Paris (pôle 5, chambre 6), dans le litige l'opposant :
1°/ à la société Artemis group, société par actions simplifiée,
2°/ à la société Artemis security, société par actions simplifiée,
ayant toutes deux leur siège [Adresse 2],
défenderesses à la cassation.
La demanderesse invoque, à l'appui de son pourvoi, un
moyen de cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Calloch, conseiller, les observations de la SAS Boucard-Capron-Maman, avocat de la société Bred banque populaire, de la SCP Françoise Fabiani – François Pinatel, avocat des sociétés Artemis group et Artemis security, et l'avis de M. de Monteynard, avocat général, à la suite duquel le premier président a demandé aux avocats s'ils souhaitaient présenter des observations complémentaires, après débats en l'audience publique du 19 novembre 2024 où étaient présents M. Soulard, premier président, M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Schmidt, conseiller doyen, Mme Guillou, MM. Bedouet, Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, M. de Monteynard, avocat général, et Mme Sezer, greffier de chambre,
la chambre commerciale, financière et économique de la
Cour de cassation, composée, en application de l'article R. 431-5 du code de
l'organisation judiciaire, des président et conseillers précités, après en
avoir délibéré conformément à la loi, a rendu le présent arrêt ;
Faits et procédure
1. Selon l'arrêt attaqué (Paris, 18 janvier 2023), la société Artemis group et la société Artemis security (les sociétés Artemis), chacune titulaire d'un compte ouvert dans les livres de la société Bred banque populaire (la banque), ont souscrit un contrat de service « Transbred.com » permettant la transmission, par internet, d'ordres d'opérations de paiement authentifiés par un certificat numérique.
2. Le 23 juin 2015 six ordres de virement d'un montant cumulé de 498.266,50 euros ont été exécutés à partir des comptes des sociétés Artemis par la banque.
3. Contestant avoir autorisé ces paiements, les sociétés Artemis ont assigné la banque en remboursement des fonds virés et non récupérés.
Examen du moyen
Sur le moyen, pris en sa deuxième branche
Énoncé du moyen
4. La banque fait grief à l'arrêt de la condamner à payer à la société Artemis Group la somme de 1.421,70 euros avec intérêt au taux légal à compter de l'arrêt et à la société Artemis Security la somme de 123.783,25 euros avec intérêts au taux légal à compter de l'arrêt, alors « que le régime de responsabilité du prestataire de service de paiement tel qu'il résulte de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, transposée au code monétaire et financier est exclusif de tout régime de responsabilité concurrent qui permettrait à l'utilisateur qui ne satisfait pas à ses obligations et aux conditions de mise en œuvre de la responsabilité d'un prestataire de service de paiement de contourner les règles et conditions posées par la directive ; que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés sans pouvoir invoquer un prétendu manquement du prestataire à son obligation de vigilance de droit commun ; qu'en considérant que la banque, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d'un virement avait été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer soit que l'opération était en réalité dûment autorisée soit que son caractère non autorisé résulte de ce que l'utilisateur n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l'obligation de remboursement, un manquement du prestataire de services de paiement à ses propres obligations distinctes, pour condamner l'exposante à rembourser les sociétés Artemis de 50 % des sommes frauduleusement virées et non récupérées parce qu'elle aurait manqué à son obligation de vigilance et de surveillance de ses systèmes, la cour d'appel a violé, par refus d'application, les articles L. 133-19 IV et L. 133-16 du code monétaire et financier, ensemble les articles 61 et 56 de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, et par fausse application l'article 1147 du code civil dans sa version antérieure à l'ordonnance du 16 février 2016. »
Réponse de la Cour
Vu l'article 1147, devenu 1231-1, du code civil et les articles L. 133-18 et L. 133-19 IV du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 :
5. La responsabilité contractuelle de droit commun résultant du premier de ces textes n'est pas applicable en présence d'un régime de responsabilité exclusif.
6. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE :
« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45). »
7. Il s'ensuit que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.
8. Pour condamner la banque à rembourser aux sociétés Artemis 50 % des pertes subies à la suite de l'exécution des ordres de paiement non autorisés, l'arrêt retient que si les sociétés payeuses ont commis une négligence grave, la banque a commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d'alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés Artemis caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.
9. En statuant ainsi, alors qu'elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l'article L. 133-18 du code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés Artemis devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d'appel a violé les textes susvisés.
PAR CES MOTIFS, et sans qu'il y ait lieu de statuer
sur les autres griefs, la Cour :
CASSE ET ANNULE, sauf en ce qu'il a rejeté la demande
d'annulation du jugement déféré des sociétés Artemis group et Artemis security,
l'arrêt rendu le 18 janvier 2023, entre les parties, par la cour d'appel de
Paris ;
Remet, sauf sur ce point, l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Paris autrement composée ;
Condamne les sociétés Artemis group et Artemis security aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par les sociétés Artemis group et Artemis security et les condamne in solidum à payer à la société Bred banque populaire la somme de 3.000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt partiellement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le premier président en son audience publique du quinze janvier deux mille vingt-cinq.
La Cour de cassation, avec une analyse « technique »
du droit applicable très complète, soutient que la responsabilité de la banque
n’a pas été retenue par la Cour d’appel en raison de la négligence des sociétés
clientes.
Ainsi, seules celles-ci doivent supporter les pertes subies.
La banque n’a pas à rembourser son client victime d’une escroquerie bancaire lorsque celui-ci a commis une négligence grave alors que toute le monde était mis au courant d’une attaque cybernétique par spam et tentatives de fishing.
Il faut dire qu’on ne comprend pas bien non plus la
mauvaise idée de la Cour d’appel de Paris de partager la responsabilité du
détournement, à 50/50, entre la banque et son client.
Soit tu es responsable, soit tu ne l’es pas dans ces opérations quasi-automatisées.
Conclusion, une banque, même « populaire », n’est pas l’assurance tous-risques des étourderies de ses propres clients…
Mais j’avoue que les mécanismes de responsabilité mis en place par la directive 2007/64/CE sont assez bien faits.
Je me rappelle avoir un jour payé une dette avec un gros chèque envoyé par la poste… Il est normalement débité et un mois après, je suis crédité du même montant : Renseignements pris, mon chèque aura été volé, maquillé et compensé à Hong-Kong…
Sans que je n’aie rien à faire, j’ai retrouvé la provision et pu payer mon fournisseur par virement…
Tout pareillement, je ne sais pas comment ils font,
mais à chaque fois que je me déplace à l’étranger, je paye tout par carte de
crédit.
Eh bien, systématiquement, un paiement sur quatre n’est jamais débité…
Pas des grosses sommes, mais ça reste un grand mystère pour moi.
Bonne fin de week-end à toutes et tous !
I3
Pour mémoire (n’en déplaise à « Poux-tine ») : « LE PRÉSENT BILLET A
ENCORE ÉTÉ RÉDIGÉ PAR UNE PERSONNE « NON RUSSE » ET MIS EN LIGNE PAR UN MÉDIA
DE MASSE « NON RUSSE », REMPLISSANT DONC LES FONCTIONS D’UN AGENT « NON RUSSE »
!
Post-scriptum : Alexeï Navalny est mort en détention pour ses opinions politiques. Les Russes se condamnent à perpétuité à en supporter toute la honte !
Постскриптум: Алексей Навальный умер в заключении за свои политические взгляды. Россияне обрекают себя на всю жизнь нести весь позор!
Parrainez Renommez la rue de l'ambassade de Russie à Paris en rue Alexeï Navalny (change.org)
Elles ont demandé, sans succès, à leur banque le remboursement de ces opérations de paiement non autorisées.
Furieuses, elles saisissent alors les juges de mon pays (celui que j’aime temps et qui commence à me restituer…) et assignent la banque en remboursement.
Or, justement, la Cour d’appel condamne la banque à rembourser les sociétés à hauteur de 50 % des pertes subies : Pour elle, la banque a manqué à ses obligations de vigilance et de surveillance de ses systèmes.
Pas contente du tout, la banque se pourvoit en cassation, parce que si en plus de confirmer l’origine des fonds il faut en plus vérifier la légalité d’un virement, ça va devenir un métier infernal.
N° de pourvoi : 23-13.579
Décision attaquée : Cour d'appel de Paris, du 18 janvier 2023
Avocat(s) : SAS Boucard-Capron-Maman, SCP Fabiani – Pinatel
COUR DE CASSATION
Cassation partielle
M. SOULARD, premier président
Arrêt n° 4 FS-B. Pourvoi n° K 23-13.579
R É P U B L I
Q U E F R A N Ç A I S E
AU NOM DU
PEUPLE FRANÇAIS
1°/ à la société Artemis group, société par actions simplifiée,
2°/ à la société Artemis security, société par actions simplifiée,
ayant toutes deux leur siège [Adresse 2],
défenderesses à la cassation.
Le dossier a été communiqué au procureur général.
Sur le rapport de M. Calloch, conseiller, les observations de la SAS Boucard-Capron-Maman, avocat de la société Bred banque populaire, de la SCP Françoise Fabiani – François Pinatel, avocat des sociétés Artemis group et Artemis security, et l'avis de M. de Monteynard, avocat général, à la suite duquel le premier président a demandé aux avocats s'ils souhaitaient présenter des observations complémentaires, après débats en l'audience publique du 19 novembre 2024 où étaient présents M. Soulard, premier président, M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Schmidt, conseiller doyen, Mme Guillou, MM. Bedouet, Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, M. de Monteynard, avocat général, et Mme Sezer, greffier de chambre,
1. Selon l'arrêt attaqué (Paris, 18 janvier 2023), la société Artemis group et la société Artemis security (les sociétés Artemis), chacune titulaire d'un compte ouvert dans les livres de la société Bred banque populaire (la banque), ont souscrit un contrat de service « Transbred.com » permettant la transmission, par internet, d'ordres d'opérations de paiement authentifiés par un certificat numérique.
2. Le 23 juin 2015 six ordres de virement d'un montant cumulé de 498.266,50 euros ont été exécutés à partir des comptes des sociétés Artemis par la banque.
3. Contestant avoir autorisé ces paiements, les sociétés Artemis ont assigné la banque en remboursement des fonds virés et non récupérés.
Sur le moyen, pris en sa deuxième branche
Énoncé du moyen
4. La banque fait grief à l'arrêt de la condamner à payer à la société Artemis Group la somme de 1.421,70 euros avec intérêt au taux légal à compter de l'arrêt et à la société Artemis Security la somme de 123.783,25 euros avec intérêts au taux légal à compter de l'arrêt, alors « que le régime de responsabilité du prestataire de service de paiement tel qu'il résulte de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, transposée au code monétaire et financier est exclusif de tout régime de responsabilité concurrent qui permettrait à l'utilisateur qui ne satisfait pas à ses obligations et aux conditions de mise en œuvre de la responsabilité d'un prestataire de service de paiement de contourner les règles et conditions posées par la directive ; que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés sans pouvoir invoquer un prétendu manquement du prestataire à son obligation de vigilance de droit commun ; qu'en considérant que la banque, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d'un virement avait été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer soit que l'opération était en réalité dûment autorisée soit que son caractère non autorisé résulte de ce que l'utilisateur n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l'obligation de remboursement, un manquement du prestataire de services de paiement à ses propres obligations distinctes, pour condamner l'exposante à rembourser les sociétés Artemis de 50 % des sommes frauduleusement virées et non récupérées parce qu'elle aurait manqué à son obligation de vigilance et de surveillance de ses systèmes, la cour d'appel a violé, par refus d'application, les articles L. 133-19 IV et L. 133-16 du code monétaire et financier, ensemble les articles 61 et 56 de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, et par fausse application l'article 1147 du code civil dans sa version antérieure à l'ordonnance du 16 février 2016. »
Vu l'article 1147, devenu 1231-1, du code civil et les articles L. 133-18 et L. 133-19 IV du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 :
5. La responsabilité contractuelle de droit commun résultant du premier de ces textes n'est pas applicable en présence d'un régime de responsabilité exclusif.
6. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE :
« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45). »
7. Il s'ensuit que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.
8. Pour condamner la banque à rembourser aux sociétés Artemis 50 % des pertes subies à la suite de l'exécution des ordres de paiement non autorisés, l'arrêt retient que si les sociétés payeuses ont commis une négligence grave, la banque a commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d'alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés Artemis caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.
9. En statuant ainsi, alors qu'elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l'article L. 133-18 du code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés Artemis devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d'appel a violé les textes susvisés.
Remet, sauf sur ce point, l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Paris autrement composée ;
Condamne les sociétés Artemis group et Artemis security aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par les sociétés Artemis group et Artemis security et les condamne in solidum à payer à la société Bred banque populaire la somme de 3.000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt partiellement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le premier président en son audience publique du quinze janvier deux mille vingt-cinq.
Ainsi, seules celles-ci doivent supporter les pertes subies.
La banque n’a pas à rembourser son client victime d’une escroquerie bancaire lorsque celui-ci a commis une négligence grave alors que toute le monde était mis au courant d’une attaque cybernétique par spam et tentatives de fishing.
Soit tu es responsable, soit tu ne l’es pas dans ces opérations quasi-automatisées.
Conclusion, une banque, même « populaire », n’est pas l’assurance tous-risques des étourderies de ses propres clients…
Mais j’avoue que les mécanismes de responsabilité mis en place par la directive 2007/64/CE sont assez bien faits.
Je me rappelle avoir un jour payé une dette avec un gros chèque envoyé par la poste… Il est normalement débité et un mois après, je suis crédité du même montant : Renseignements pris, mon chèque aura été volé, maquillé et compensé à Hong-Kong…
Sans que je n’aie rien à faire, j’ai retrouvé la provision et pu payer mon fournisseur par virement…
Eh bien, systématiquement, un paiement sur quatre n’est jamais débité…
Pas des grosses sommes, mais ça reste un grand mystère pour moi.
Post-scriptum : Alexeï Navalny est mort en détention pour ses opinions politiques. Les Russes se condamnent à perpétuité à en supporter toute la honte !
Постскриптум: Алексей Навальный умер в заключении за свои политические взгляды. Россияне обрекают себя на всю жизнь нести весь позор!
Parrainez Renommez la rue de l'ambassade de Russie à Paris en rue Alexeï Navalny (change.org)
Aucun commentaire:
Enregistrer un commentaire