Dans un contexte où les cyberfraudes se multiplient et où les entreprises réalisent chaque jour des virements sensibles, la question de la responsabilité bancaire devient centrale.
L’arrêt ci-dessous, rendu par la Cour de cassation en janvier 2025, offre un éclairage crucial pour tous dirigeants : il précise jusqu’où va — et surtout où s’arrête — l’obligation de vigilance des banques lorsqu’un virement est exécuté avec un identifiant unique fraudé.
Selon l'arrêt attaqué (Nîmes, 9 mars 2023), le 14 août 2019, Mme [H] a effectué deux virements du compte joint ouvert avec son époux dans les livres de la banque X, afin de financer l'acquisition d'un véhicule automobile, en communiquant par voie électronique l'identifiant unique fourni par le vendeur.
Le 21 août 2019, informés par le vendeur de l'absence de réception des fonds, M. et Mme [H] ont constaté qu'un tiers avait piraté leur messagerie électronique pour substituer l'identifiant unique d'un compte ouvert au profit de ce tiers à l'identifiant unique du vendeur.
Le 11 septembre 2020, M. et Mme [H] ont assigné la banque en restitution des fonds et en paiement de dommages et intérêts.
La banque fait grief à l'arrêt de la condamner à payer une certaine somme à M. et Mme [H] alors « que le régime de la responsabilité du prestataire de services de paiement résultant de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, transposé en droit français au code monétaire et financier, est exclusif de tout régime de responsabilité concurrent fondé sur le droit national ; que l'article L. 133-21 du code monétaire et financier, transposant en droit français l'article 88 de la directive 2015/2366, exclut toute responsabilité du prestataire de services de paiement du payeur lorsqu'il a exécuté l'ordre de paiement conformément à l'identifiant unique fourni par ce dernier, même si cet identifiant est inexact et qu'il ne correspond pas à un compte détenu par le créancier, mais à celui d'un tiers qui a détourné les fonds ; qu'au cas présent, il résulte des constatations de l'arrêt que l'ordre de paiement du 14 août 2019 avait été exécuté par elle conformément à l'identifiant unique fourni par les époux [H], payeurs ; qu'elle n'a donc pas engagé sa responsabilité, peu important que cet identifiant ne corresponde pas à un compte détenu par le créancier, mais à celui d'un tiers ayant détourné les fonds ; qu'en retenant pourtant, après avoir dit que l'article L. 133-21 n'interdisait pas de rechercher la responsabilité du banquier sur le fondement d'une obligation de vigilance tirée du droit commun français, qu'elle avait engagé sa responsabilité sur le fondement d'une obligation de vigilance de droit commun pour avoir exécuté le virement à partir d'un identifiant unique figurant dans un simple courriel ne mentionnant ni l'adresse du bénéficiaire ni celle de sa banque, la cour d'appel a violé l'article L. 133-21 du code monétaire et financier par refus d'application. »
Recevabilité du moyen
M. et Mme [H] contestent la recevabilité du moyen en ce qu'il serait nouveau.
Cependant ce moyen, qui ne se réfère à aucune considération de fait qui ne résulterait pas des énonciations des juges du fond, est de pur droit.
Le moyen est donc recevable.
Vu les articles 1231-1 du code civil et L. 133-21 du code monétaire et financier :
La responsabilité contractuelle de droit commun résultant du premier de ces textes n'est pas applicable en présence d'un régime de responsabilité exclusif.
Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur :
« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
38 En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45). »
Il s'ensuit que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.
Selon l'article L. 133-21 du code précité, qui transpose l'article 88 de la directive du 25 novembre 2015, un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique. Si l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution ou de la non-exécution de l'opération de paiement.
Pour condamner la banque à verser à M. et Mme [H] certaines sommes en réparation des préjudices résultant de l'exécution des ordres de virement et de transfert litigieux, l'arrêt retient que si, en application de l'article L. 133-21 du code monétaire et financier l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution ou la non exécution de l'opération de paiement ; que ce texte ne dispense cependant pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l'absence d'anomalie apparente.
En statuant ainsi, alors que l'article L. 133-21 du code monétaire et financier est exclusif de toute application des règles de droit commun, la cour d'appel a violé les textes susvisés, le premier par fausse application, le second par refus d'application.
• CASSE ET ANNULE, en toutes ses dispositions, l'arrêt rendu le 9 mars 2023, entre les parties, par la cour d'appel de Nîmes ;
• Remet l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Montpellier ;
• Condamne M. et Mme [H] aux dépens ;
• En application de l'article 700 du code de procédure civile, rejette les demandes ;
• Dit que, sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt cassé.
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le premier président en son audience publique du quinze janvier deux mille vingt-cinq.
Source : Cours de cassation. Image : Photolia
Pour vous accompagner juridiquement, des avocats :
75008 - HEBE AVOCATS A LA COUR https://www.avocat-droit-fiscal-paris.com