Cour de cassation, civile, Chambre commerciale, 18 janvier 2017, 15-22.783, Inédit

Texte intégral

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l'arrêt suivant :


Reçoit l'association UFC Que Choisir en son intervention volontaire, à l'appui des prétentions de M. et Mme X... ;

Sur le moyen unique :

Attendu, selon le jugement attaqué (juridiction de proximité de Lens, 29 mai 2015), rendu en dernier ressort, que M. et Mme X..., titulaires d'un compte joint dans les livres de l'agence de Harnes (la Caisse locale) de la Caisse fédérale de crédit mutuel Nord Europe (la Caisse fédérale), ont contesté plusieurs opérations de paiement, opérées, selon eux, frauduleusement sur ces comptes, et demandé à la Caisse fédérale de leur en rembourser le montant ; que, se heurtant au refus de celle-ci, qui leur reprochait d'avoir commis une faute en donnant à un tiers des informations confidentielles permettant d'effectuer les opérations contestées, M. et Mme X... l'ont assignée en paiement ;

Attendu que les Caisses locale et fédérale font grief au jugement d'accueillir cette demande alors, selon le moyen :

1°/ que l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur le réseau internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, telles des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destiné à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre à elle seule la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L. 133-16, alinéa 1er, du code monétaire et financier ; qu'en l'espèce, la Caisse fédérale faisait valoir que le système de paiement à distance « payweb » utilisé pour réaliser les débits contestés par M. X..., comportait un processus hautement sécurisé nécessitant le choix par le client d'un identifiant et d'un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d'une carte « payweb » par un dispositif de « clefs personnelles » permettant à l'utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la Caisse fédérale n'envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d'effectuer le paiement désiré ; qu'elle soulignait que l'utilisation de ce système de paiement impliquait nécessairement que M. X... avait sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à la disposition du tiers ayant frauduleusement effectué les débits litigieux ; que pour condamner la Caisse fédérale à rembourser le montant des débits contestés par les époux X..., le juge de proximité a considéré que la preuve que les époux X... avaient dévoilé leurs données personnelles n'était pas rapportée ; qu'en statuant de la sorte, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles aux époux X..., et dont ceux-ci avaient contractuellement la charge d'assurer la conservation et la confidentialité, n'impliquait pas que ces derniers avaient commis une négligence grave dans la conservation desdites données, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15 L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

2°/ que la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur le réseau internet par utilisation d'un identifiant et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner la Caisse fédérale à rembourser aux époux X... le montant de débits effectués sur leur compte bancaire par le biais du système « payweb », que ces derniers contestaient avoir autorisés, le juge de proximité a retenu que la preuve de ce que les époux X... avaient commis une négligence grave dans la préservation de leur données personnelles ne pouvait être déduite de la seule circonstance que « la carte » ait pu être utilisée par un tiers avec l'utilisation d'identifiants confidentiels ; qu'en statuant ainsi, sans rechercher, ainsi qu'il y était invité, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles aux époux X..., et dont ceux-ci avaient contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave de l'utilisateur dans la conservation de ses données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

3°/ que les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu'en se contentant d'énoncer, pour entrer en voie de condamnation à l'encontre de la Caisse fédérale, que la preuve que les époux X... avaient commis une négligence grave dans la préservation de leurs données personnelles ne pouvait être déduite de la seule circonstance que « la carte » ait pu être utilisée par un tiers avec l'utilisation d'identifiants confidentiels, sans procéder à la moindre analyse des pièces versées aux débats par la Caisse fédérale, en particulier le contrat CMNE Direct déterminant les obligations respectives des parties qui stipulait notamment que l'utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse fédérale dans ses conclusions soulignant que l'utilisation de ce service de paiement impliquait qu'un tiers se soit trouvé en possession des données personnelles des époux X..., dont ces derniers devaient assurer la conservation, le juge de proximité a violé l'article 455 du code de procédure civile ;

Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu'ayant souverainement retenu que la circonstance, invoquée par la Caisse fédérale, que la carte de M. et Mme X... avait pu être utilisée par un tiers ayant connaissance de leurs identifiants confidentiels ne suffisait pas, à elle seule, à prouver que ceux-ci avaient manqué à leur obligation de vigilance quant à la préservation de ces données personnelles, c'est exactement que la juridiction de proximité, qui n'avait pas à effectuer la recherche inopérante invoquée par les deux premières branches et a répondu aux conclusions prétendument délaissées, a accueilli la demande de remboursement ; que le moyen n'est pas fondé ;

PAR CES MOTIFS :

REJETTE le pourvoi ;

Condamne la Caisse de crédit mutuel de Harnes et la Caisse fédérale de crédit mutuel Nord Europe aux dépens ;

Vu l'article 700 du code de procédure civile, rejette leur demande et les condamne à payer à M. et Mme X... la somme globale de 3 000 euros ;

Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-huit janvier deux mille dix-sept.
MOYEN ANNEXE au présent arrêt

Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Harnes et la Caisse fédérale de crédit mutuel Nord Europe.

Il est fait grief au jugement attaqué D'AVOIR condamné le CREDIT MUTUEL NORD EUROPE à payer à Monsieur Jean-Luc X... et à Madame Sylvie X... la somme de 1. 345, 45 €, D'AVOIR condamné le CREDIT MUTUEL NORD EUROPE à payer à Monsieur Jean-Luc X... et à Madame Sylvie X... la somme de 600 € au titre de l'article 700 du code de procédure civile, et D'AVOIR condamné le CREDIT MUTUEL NORD EUROPE aux dépens ;

AUX MOTIFS QUE « Sur la demande principale : il ressort des dispositions de l'article L 133-18 du code monétaire et financier, que « le prestataire du service de paiement rembourse immédiatement au payeur le montant de l'opération non autorisée et le cas échéant rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ». En revanche, selon l'article L 133-19 du code monétaire et financier, le payeur supporte les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations de confidentialité et de sécurité qui lui incombent en vertu des dispositions des articles L. 133-16 et L. 133-17 du même code. Il est constant que dès qu'il a pris connaissance des opérations frauduleusement effectuées sur son compte entre le 22 avril 2013 et le 26 avril 2013, Monsieur Jean-Luc X... a formé opposition à sa carte bancaire le 25 avril 2013 et déposé plainte pour ces faits. Si les dispositions tant légales que contractuelles prévoient à la charge du client de la banque une obligation de vigilance quant à la préservation de ses données personnelles, il appartient à l'établissement bancaire qui se prévaut d'une faute ou d'une négligence du titulaire du moyen de paiement d'en rapporter la preuve, la seule circonstance que la carte ait pu être utilisée par un tiers avec l'utilisation d'identifiants confidentiels ne suffisant à elle seule à constituer cette preuve. En conséquence, il convient de condamner le CREDIT MUTUEL NORD EUROPE à payer à Monsieur Jean-Luc X... et Madame Sylvie X... la somme de 1. 345, 45 euros. Sur les dommages et intérêts : que les requérants ne démontrent pas l'existence du préjudice allégué, ceux-ci seront en conséquence déboutés de leur demande de ce chef. Sur les frais irrépétibles : qu'il paraît inéquitable de laisser à la charge de Monsieur Jean-Luc X... et Madame Sylvie X... l'intégralité des sommes avancées par eux et non compris dans les dépens, il leur sera alloué la somme de 600 euros au titre de l'article 700 du code de procédure civile. Sur les dépens : le CREDIT MUTUEL NORD EUROPE, partie perdante, sera condamné aux dépens de la présente instance » ;

1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que la circonstance qu'un instrument de paiement ait été utilisé pour des achats sur internet par utilisation de données ne se trouvant pas sur la carte de paiement proprement dite, tels des clefs personnelles permettant au titulaire du compte de venir authentifier le paiement au moyen d'une donnée confidentielle, ainsi que le numéro de téléphone ou l'adresse électronique du client, destinés à recevoir de la banque un code de confirmation permettant de réaliser le paiement souhaité, démontre la négligence grave du titulaire dans la conservation des données sécurisées de paiement que lui imposent les dispositions de l'article L. 133-16, alinéa 1er, du code monétaire et financier ; qu'en l'espèce, la Caisse de Crédit Mutuel de Harnes faisait valoir (ses conclusions, p. 3 à 5 ; p. 8 à 11) que le système de paiement à distance « payweb » utilisé pour réaliser les débits contestés par Monsieur X..., comportait un processus hautement sécurisé nécessitant le choix par le client d'un identifiant et d'un mot de passe lors de la première connexion, puis, pour la réalisation de chaque opération de paiement, la création d'une carte « payweb » par un dispositif de « clefs personnelles » permettant à l'utilisateur de choisir une combinaison de chiffres au sein d'une carte de 64 codes, avant que la banque n'envoie, par mail ou sms, un code de confirmation à validité temporaire permettant d'effectuer le paiement désiré ; qu'elle soulignait que l'utilisation de ce système de paiement impliquait nécessairement que Monsieur X... avait, sinon divulgué ses données personnelles à un tiers, à tout le moins laissé celles-ci à disposition du tiers ayant frauduleusement effectué les débits litigieux (p. 12-13) ; que, pour condamner la Caisse de Crédit Mutuel de Harnes à rembourser le montant des débits contestés par les époux X..., le juge de proximité a considéré que la preuve de ce que les époux X... avaient dévoilé leurs données personnelles n'était pas rapportée ; qu'en statuant de la sorte, sans rechercher, ainsi qu'elle y était invitée, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles aux époux X..., et dont ceux-ci avaient contractuellement la charge d'assurer la conservation et la confidentialité, n'impliquait pas que ces derniers avaient commis une négligence grave dans la conservation desdites données, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

2°) ALORS, SUBSIDIAIREMENT, QUE la circonstance qu'un service de paiement doté d'un dispositif de sécurité ait été utilisé pour des achats sur internet par utilisation d'un identifiant internet et du mot de passe de connexion, des clefs personnelles permettant à l'utilisateur de venir authentifier le paiement au moyen d'une donnée confidentielle ne se trouvant pas sur la carte de paiement proprement dite, ainsi que de l'adresse électronique du client aux fins de réception du code de confirmation permettant l'achat, fait à tout le moins présumer le défaut de garde des données confidentielles d'instrument de paiement et la négligence grave de son utilisateur dans la préservation de la confidentialité de ses données personnelles ; qu'il appartient dans ces circonstances à l'utilisateur du service de paiement de rapporter par tous moyens la preuve qu'il a respecté son obligation de conserver les données confidentielles permettant l'utilisation du service qui lui a été proposé ; qu'en se bornant à retenir, pour condamner la Caisse de Crédit Mutuel de Harnes à rembourser aux époux X... le montant de débits effectués sur leur compte bancaire par le biais du système « payweb », que ces derniers contestaient avoir autorisés, le juge de proximité a retenu que la preuve de ce que les époux X... avaient commis une négligence grave dans la préservation de leurs données personnelles ne pouvait être déduite de la seule circonstance que « la carte » ait pu être utilisée par un tiers avec l'utilisation d'identifiants confidentiels ; qu'en statuant ainsi, sans rechercher, ainsi qu'elle y était invitée, si la circonstance que les débits litigieux aient été effectués par le biais d'un service de paiement sécurisé nécessitant la fourniture de données strictement personnelles aux époux X..., et dont ces derniers avaient contractuellement la charge d'assurer la conservation et la confidentialité, ne faisait pas présumer la négligence grave des utilisateurs dans la conservation de leurs données personnelles, le juge de proximité a privé sa décision de base légale au regard des articles L. 133-15, L. 133-16 et L. 133-19 du code monétaire et financier, ensemble l'article 1134 du code civil ;

3°) ALORS EN TOUT ETAT DE CAUSE QUE les juges du fond doivent analyser, fût-ce de manière sommaire, les éléments de preuve soumis à leur examen et répondre aux moyens opérants soulevés par les parties ; qu'en se contentant d'énoncer, pour entrer en voie de condamnation à l'encontre de la Caisse de Crédit Mutuel de Harnes, que la preuve de ce que les époux X... avaient commis une négligence grave dans la préservation de leurs données personnelles ne pouvait être déduite de la seule circonstance que « la carte » ait pu être utilisée par un tiers avec l'utilisation d'identifiants confidentiels, sans procéder à la moindre analyse des pièces versées aux débats par la banque, en particulier le contrat CMNE DIRECT déterminant les obligations respectives des parties, qui stipulait notamment que l'utilisateur du service de paiement « payweb » était responsable de la garde de ses données personnelles, ni répondre au moyen développé par la Caisse de Crédit Mutuel de Harnes dans ses conclusions soulignant que l'utilisation de ce service de paiement impliquait qu'un tiers se soit trouvé en possession des données personnelles des époux X..., dont ces derniers devaient assurer la conservation, le juge de proximité a violé l'article 455 du code de procédure civile.ECLI:FR:CCASS:2017:CO00111
Retourner en haut de la page