Nicolas Boullez, avocat au Conseil d’État et à la Cour de cassation
Une opération de paiement n’est autorisée, au sens des articles L. 133-3 et L. 133-6 du Code monétaire et financier, que si le payeur l’a initiée, mais a aussi consenti au montant de l’opération.
Tel n’est pas le cas d’un payeur qui, après avoir introduit sa carte bancaire dans un distributeur automatique de billets et avoir composé son code, n’a pas choisi le montant du retrait, lequel lui a été frauduleusement imposé par un tiers ayant agi à sa place, avant de lui soustraire les billets de banque. Il en résulte que le prestataire de services de paiement du payeur doit lui rembourser le montant du retrait frauduleusement opéré, sauf, pour ce prestataire, à faire la preuve de ce que la responsabilité du payeur était engagée, au sens de l’article L. 133-19 du Code monétaire et financier, notamment en cas de négligence grave de sa part.
Cass. com., 30 nov. 2022, no 21-17614, M. Z c/ Sté Crédit Lyonnais, F–B (cassation TJ Paris, 7 mai 2021), M. Mollard, prés. ; Me Haas, SARL Matuchansky, Poupot et Valdelièvre, av. : LEDB janv. 2023, n° DBA201e6, obs. N. Mathey
Une précision bienvenue et un rappel utile dans cet arrêt : la chambre commerciale revient sur la qualification d’« opération de paiement autorisée », au sens des articles L. 133-3 et L. 133-6 du Code monétaire et financier : que le payeur ait initié l’opération de retrait d’argent à un automate jusqu’à avoir composé son code secret ne suffit pas ; il faut, en sus, qu’il ait librement consenti au montant de ce retrait. Et si l’opération de paiement n’a, en conséquence, pas été autorisée, le prestataire de services de paiement (PSP) doit rembourser le payeur du montant soustrait par le tiers, sauf, pour ce PSP, à démontrer que la responsabilité du payeur est engagée sur le fondement de l’article L. 133-19 du Code monétaire et financier.
Un cas classique de fraude à la carte bancaire, appliquée à un retrait d’espèces. Un particulier avait inséré sa carte bancaire dans un distributeur automatique de billets pour procéder à un retrait ; il avait également composé son code confidentiel, mais un individu se trouvant derrière lui avait alors tapé à sa place le montant à retirer (900 €), avant de s’emparer des billets. La victime a demandé le remboursement de cette somme à sa banque qui le lui a refusé. Elle a assigné le PSP devant le tribunal judiciaire de Paris qui, par jugement du 7 mai 2021, a rejeté la demande de remboursement, en considérant que la victime n’avait pas subi un retrait frauduleux mais un simple vol d’espèces. Le particulier malheureux a frappé le jugement de pourvoi en soulevant un unique moyen de cassation, notamment fondé sur le fait que l’opération de retrait d’espèces était en cours lorsque le malfaiteur en avait pris la direction, de sorte qu’il ne s’agissait pas d’une opération de paiement autorisée.
La chambre commerciale accueille le moyen : elle précise la qualification d’opération de paiement non autorisée, en imposant la vérification du consentement du payeur à tous les stades de l’opération de retrait (1), et en tire les conséquences du point de vue de l’obligation de remboursement du prestataire de services de paiement (2).
1. Aux termes de l’article L. 133-6 du Code monétaire et financier, une opération de paiement – ce que constitue un retrait d’espèces, au même titre qu’un ordre de virement ou un paiement par carte bancaire en présence ou à distance – n’est « autorisée » que si le payeur y a consenti 1. En effet, l’ordre de paiement constitue l’acte qui initie l’opération de paiement, mais il se distingue du consentement que le payeur doit obligatoirement donner : l’ordre de paiement doit ainsi être conforme à la volonté de celui qui paye, soit de celui dont le compte est sur le point d’être débité 2. En l’absence de consentement, l’opération est réputée non autorisée et elle est dès lors sujette à remboursement 3, lequel revêt un intérêt tout particulier en matière de virement instantané, en principe irrévocable 4. Bref, il ne faut pas confondre consentement du payeur et ordre de paiement, lesquels ne sont pas nécessairement concomitants : le consentement – qui doit en outre être donné dans les formes convenues entre les parties 5 – relève de la volonté d’autoriser l’exécution de l’opération ordonnée, alors que l’ordre la déclenche seulement. La chambre commerciale a toujours apprécié la notion d’opération de paiement autorisée avec rigueur 6.
L’arrêt commenté s’inscrit dans une conception stricte du consentement du payeur, lequel doit être constaté à toutes les phrases de l’opération de retrait, l’insertion de la carte bancaire et la composition du code secret par le payeur ne suffisant pas si le consentement de ce dernier a disparu au moment de choisir le montant du retrait. La chambre commerciale, par application combinée des articles L. 133-3 et L. 133-6 du Code monétaire et financier 7, pose, aux termes d’un attendu de principe, qu’une opération de paiement initiée par le payeur est réputée autorisée uniquement si celui-ci a également consenti au montant de l’opération. On en revient donc à la distinction opérée entre initiation de l’opération de paiement et consentement à celle-ci, lequel n’est pas caractérisé par la simple composition du code secret de la carte bancaire. La précision est d’importance pour la Cour régulatrice qui a, pour cette raison, promis l’arrêt à la publication aux Lettres des chambres 8. Et la portée de cet arrêt dépassera sans doute le cadre du retrait bancaire, tout en étant de nature à rassurer les nombreuses victimes de fraudes à la carte bancaire.
2. La Cour régulatrice procède ensuite à un rappel des conséquences attachées, pour le prestataire de services de paiement, à une opération de paiement non autorisée. En cette matière, les dispositions applicables sont notamment les articles L. 133-18, L. 133-19 et L. 133-24 du Code monétaire et financier, fruit d’une transposition des directives n° 2007/64/CE du 13 novembre 2007 (dite DSP 1) et n° 2015/2366 du 25 novembre 2015 (dite DSP 2), les textes européens étant résolument tournés dans le sens d’une protection accrue du payeur 9 et tendant à réduire les risques pour l’utilisateur des services de paiement dans l’hypothèse d’opérations non autorisées. L’ordonnance n° 2009-866 du 15 juillet 2009 10 prévoyait déjà que l’utilisateur n’assume pas les pertes liées à l’utilisation frauduleuse de l’instrument de paiement et des données qui lui sont attachées. L’ordonnance n° 2017-1252 du 9 août 2017 11 a ajouté d’autres cas d’exonération de responsabilité du payeur, notamment la perte ou le vol de l’instrument qui n’ont pu être détectés avant le paiement 12. Désormais, le banquier n’est plus considéré comme un mandataire, mais comme un prestataire de services qui supporte entièrement le risque de remboursement d’une opération de paiement non autorisée 13. Néanmoins, aux termes de l’article L. 133-19, IV, du Code monétaire et financier, le payeur assume exceptionnellement les conséquences des pertes subies, notamment s’il a fait preuve d’une négligence grave ayant entraîné le vol ou le détournement de ses instruments et données de paiement. Mais, là encore, c’est sur le PSP que repose la charge de la preuve d’une telle négligence grave, laquelle est le plus souvent impossible à administrer, sauf aveu du payeur, dès lors que la chambre commerciale a posé qu’une telle négligence ne se pouvait déduire du seul fait que l’instrument de paiement ou les données du payeur ont été utilisés 14. La Cour de cassation a néanmoins admis la négligence grave en matière de phishing, le payeur ayant communiqué ses données bancaires confidentielles alors qu’il avait conscience que le courriel d’hameçonnage qu’il avait reçu était frauduleux 15. Enfin, dans l’hypothèse d’une opération de paiement non autorisée, le payeur doit, dans le délai de forclusion de 13 mois, prévenir son PSP et demander le remboursement (C. mon. fin., art. L. 133-24). Le régime spécial issu des directives DSP est, comme l’a dit pour droit la Cour de justice de l’Union européenne 16, exclusif de tout régime national de responsabilité civile contractuelle. Le délai de forclusion de 13 mois ne peut cependant être opposé à un tiers, telle la caution de la victime des opérations non autorisées, laquelle peut engager la responsabilité de droit commun du PSP 17.
L’arrêt commenté applique ces principes : le payeur ne pouvait être condamné à supporter les pertes découlant de l’opération non autorisée, sans que les juges du fond aient, après avoir identifié une opération non autorisée, recherché si la responsabilité du payeur pouvait être engagée en application de l’article L. 133-19 du Code monétaire et financier. La cassation est prononcée pour défaut de base légale car, pour la cour d’appel, on ne se trouvait pas en présence d’une opération de paiement, mais d’un simple vol d’espèces.
Notes de bas de page
1 – JCl. Droit bancaire et financier, fasc. 390, n° 51.
2 – K. Magnier-Merran, « Les évolutions en matière de prélèvement », RD bancaire et fin. 2019, dossier 27, n° 6.
3 – K. Magnier-Merran, « Les évolutions en matière de prélèvement », RD bancaire et fin. 2019, dossier 27, n° 7.
4 – J. Lasserre Capdeville, « L’encadrement juridique du virement instantané », RD bancaire et fin. 2020, étude 1.
5 – N. Mathey, « Contestation d’un virement non autorisé », obs. sous Cass. com., 21 avr. 2022, n° 20-18859 : LEDB juin 2022, n° DBA200u6 – v. aussi, J. Lasserre Capdeville, « Précisions utiles sur le consentement à une opération de paiement », GPL 17 avr. 2018, n° GPL319t5.
6 – Cass. com., 24 mars 2009, n° 08-12025 : K. Rodriguez, « La contestation des opérations de paiement autorisées », RD bancaire et fin. 2011, dossier 7.
7 – C. Hélaine, « De l’art de qualifier une opération de paiement non autorisée », Dalloz actualité, 6 déc. 2022.
8 – C. Hélaine, « De l’art de qualifier une opération de paiement non autorisée », Dalloz actualité, 6 déc. 2022.
9 – J.-F. Riffard, « Synthèse – Services bancaires : services de paiement », JCl. Droit bancaire et financier, not. nos 33 et s.
10 – Ord. n° 2009-866, 15 juill. 2009, relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement.
11 – Ord. n° 2017-1252, 9 août 2017, portant transposition de la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite DSP 2).
12 – N. Kigus, « L’évolution des procédures de contestation des paiements », RD bancaire et fin. 2018, dossier 11 ; v. aussi, D. Legeais, « Droit des services de paiement », RTD com. 2017, p. 959.
13 – D. Legeais, « Le risque de remboursement d’une opération de paiement non autorisée pèse sur les banques », RTD com. 2022, p. 133.
14 – Cass. com., 28 janv. 2017, n° 15-18102.
15 – Cass. com., 25 oct. 2017, n° 16-11644 – Cass. com., 28 mars 2018, n° 16-20018 : J. Lasserre Capdeville, « Nouvelle solution remarquable en matière de phishing », GPL 15 mai 2018, n° GPL322h4.
16 – CJUE, 21 sept. 2021, n° C-337/20 : T. Samin et S. Torck, « Droit des comptes », RD bancaire et fin. 2021, comm. 149.
17 – Cass. com., 9 févr. 2022, n° 17-19441 : D. 2022, p. 276.