En juin 2015, deux sociétés découvrent que près de 500 000 euros ont été prélevés de leurs comptes par le biais d’ordres de virement qu’elles affirment ne jamais avoir autorisés. S’ouvre alors un contentieux avec leur banque, autour d’une question centrale : qui doit supporter les conséquences financières de telles opérations frauduleuses ? Au cœur du litige se trouve l’articulation entre les obligations de sécurité incombant aux clients et celles de vigilance et de surveillance imposées aux établissements bancaires. L’affaire, portée jusqu’à la Cour de cassation, illustre avec force les enjeux liés à la cybersécurité des paiements et à la répartition des responsabilités entre entreprises et prestataires de services financiers.
Selon l'arrêt attaqué (Paris, 18 janvier 2023), la société A et la société B (les sociétés A et B), chacune titulaire d'un compte ouvert dans les livres de la banque X, ont souscrit un contrat de service sur la plateforme Y permettant la transmission, par internet, d'ordres d'opérations de paiement authentifiés par un certificat numérique.
Le 23 juin 2015, six ordres de virement d'un montant cumulé de 498 266,50 euros ont été exécutés à partir des comptes des sociétés A et B par la banque.
Contestant avoir autorisé ces paiements, les sociétés A et B ont assigné la banque en remboursement des fonds virés et non récupérés.
La banque X fait grief à l'arrêt de la condamner à payer à la société A la somme de 1 421,70 euros avec intérêt au taux légal à compter de l'arrêt et à la société B la somme de 123 783,25 euros avec intérêts au taux légal à compter de l'arrêt, alors « que le régime de responsabilité du prestataire de service de paiement tel qu'il résulte de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, transposée au code monétaire et financier, est exclusif de tout régime de responsabilité concurrent qui permettrait à l'utilisateur qui ne satisfait pas à ses obligations et aux conditions de mise en œuvre de la responsabilité d'un prestataire de service de paiemet de contourner les règles et conditions posées par la directive ; que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s'il n'a pas satisfait par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés sans pouvoir invoquer un prétendu manquement du prestataire à son obligation de vigilance de droit commun ; qu'en considérant que la banque X, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d'un virement avait été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer soit que l'opération était en réalité dûment autorisée soit que son caractère non autorisé résulte de ce que l'utilisateur n'a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l'obligation de remboursement, un manquement du prestataire de services de paiement à ses propres obligations distinctes, pour condamner l'exposante à rembourser les sociétés A et B de 50 % des sommes frauduleusement virées et non récupérées parce qu'elle aurait manqué à son obligation de vigilance et de surveillance de ses systèmes, la cour d'appel a violé, par refus d'application, les articles L. 133-19 IV et L. 133-16 du code monétaire et financier, ensemble les articles 61 et 56 de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, et par fausse application l'article 1147 du code civil dans sa version antérieure à l'ordonnance du 16 février 2016. »
Vu l'article 1147, devenu 1231-1, du code civil et les articles L. 133-18 et L. 133-19 IV du code monétaire et financier dans leur rédaction issue de l'ordonnance n° 2009-866 du 15 juillet 2009 :
La responsabilité contractuelle de droit commun résultant du premier de ces textes n'est pas applicable en présence d'un régime de responsabilité exclusif.
Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE : « 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45). »
Il s'ensuit que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.
Pour condamner la banque à rembourser aux sociétés A et B 50 % des pertes subies à la suite de l'exécution des ordres de paiement non autorisés, l'arrêt retient que si les sociétés payeuses ont commis une négligence grave, la banque a commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d'alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion à la plateforme Y à partir des postes informatiques des sociétés A et B caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.
En statuant ainsi, alors qu'elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l'article L. 133-18 du code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés A et B devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d'appel a violé les textes susvisés.
Sans qu'il y ait lieu de statuer sur les autres griefs, la Cour CASSE ET ANNULE, sauf en ce qu'il a rejeté la demande d'annulation du jugement déféré des sociétés A et B, l'arrêt rendu le 18 janvier 2023, entre les parties, par la Cour d'appel de Paris ;
Remet, sauf sur ce point, l'affaire et les parties dans l'état où elles se trouvaient avant cet arrêt et les renvoie devant la cour d'appel de Paris autrement composée ;
Condamne les sociétés A et B aux dépens ;
En application de l'article 700 du code de procédure civile, rejette la demande formée par les sociétés A et B et les condamne in solidum à payer à la banque X la somme de 3 000 euros ;
Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite de l'arrêt partiellement cassé ;
Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le premier président en son audience publique du quinze janvier deux mille vingt-cinq.
Pour vous accompagner juridiquement, des avocats :
75008 - HEBE AVOCATS A LA COUR https://www.avocat-droit-fiscal-paris.com