SH

COUR DE CASSATION
______________________

Audience publique du 15 janvier 2025

Cassation partielle

M. SOULARD, premier président

Arrêt n° 4 FS-B

Pourvoi n° K 23-13.579

R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS
_________________________

ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 15 JANVIER 2025

La société Bred banque populaire, société coopérative de banque populaire à forme anonyme, dont le siège est [Adresse 1], a formé le pourvoi n° K 23-13.579 contre l’arrêt rendu le 18 janvier 2023 par la cour d’appel de Paris (pôle 5, chambre 6), dans le litige l’opposant :

1°/ à la société Artemis group, société par actions simplifiée,

2°/ à la société Artemis security, société par actions simplifiée,

ayant toutes deux leur siège [Adresse 2],

défenderesses à la cassation.

La demanderesse invoque, à l’appui de son pourvoi, un moyen de cassation.

Le dossier a été communiqué au procureur général.

Sur le rapport de M. Calloch, conseiller, les observations de la SAS Boucard-Capron-Maman, avocat de la société Bred banque populaire, de la SCP Françoise Fabiani – François Pinatel, avocat des sociétés Artemis group et Artemis security, et l’avis de M. de Monteynard, avocat général, à la suite duquel le premier président a demandé aux avocats s’ils souhaitaient présenter des observations complémentaires, après débats en l’audience publique du 19 novembre 2024 où étaient présents M. Soulard, premier président, M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Schmidt, conseiller doyen, Mme Guillou, MM. Bedouet, Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, M. de Monteynard, avocat général, et Mme Sezer, greffier de chambre,

la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l’article R. 431-5 du code de l’organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

1. Selon l’arrêt attaqué (Paris, 18 janvier 2023), la société Artemis group et la société Artemis security (les sociétés Artemis), chacune titulaire d’un compte ouvert dans les livres de la société Bred banque populaire (la banque), ont souscrit un contrat de service « Transbred.com » permettant la transmission, par internet, d’ordres d’opérations de paiement authentifiés par un certificat numérique.

2. Le 23 juin 2015 six ordres de virement d’un montant cumulé de 498 266,50 euros ont été exécutés à partir des comptes des sociétés Artemis par la banque.

3. Contestant avoir autorisé ces paiements, les sociétés Artemis ont assigné la banque en remboursement des fonds virés et non récupérés.

Sur le moyen, pris en sa deuxième branche

Enoncé du moyen

4. La banque fait grief à l’arrêt de la condamner à payer à la société Artemis Group la somme de 1 421,70 euros avec intérêt au taux légal à compter de l’arrêt et à la société Artemis Security la somme de 123 783,25 euros avec intérêts au taux légal à compter de l’arrêt, alors « que le régime de responsabilité du prestataire de service de paiement tel qu’il résulte de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, transposée au code monétaire et financier est exclusif de tout régime de responsabilité concurrent qui permettrait à l’utilisateur qui ne satisfait pas à ses obligations et aux conditions de mise en œuvre de la responsabilité d’un prestataire de service de paiement de contourner les règles et conditions posées par la directive ; que le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées s’il n’a pas satisfait par négligence grave à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés sans pouvoir invoquer un prétendu manquement du prestataire à son obligation de vigilance de droit commun ; qu’en considérant que la banque, en qualité de prestataire de services de paiements à laquelle le caractère non autorisé d’un virement avait été régulièrement dénoncé par son client dans le délai prévu est tenue, de plein droit, de rembourser ce dernier, sous réserve de démontrer soit que l’opération était en réalité dûment autorisée soit que son caractère non autorisé résulte de ce que l’utilisateur n’a pas satisfait, intentionnellement ou par négligence grave, aux obligations lui incombant, sauf à ce dernier à faire valoir, au-delà de l’obligation de remboursement, un manquement du prestataire de services de paiement à ses propres obligations distinctes, pour condamner l’exposante à rembourser les sociétés Artemis de 50 % des sommes frauduleusement virées et non récupérées parce qu’elle aurait manqué à son obligation de vigilance et de surveillance de ses systèmes, la cour d’appel a violé, par refus d’application, les articles L. 133-19 IV et L. 133-16 du code monétaire et financier, ensemble les articles 61 et 56 de la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, et par fausse application l’article 1147 du code civil dans sa version antérieure à l’ordonnance du 16 février 2016. »

Vu l’article 1147, devenu 1231-1, du code civil et les articles L. 133-18 et L. 133-19 IV du code monétaire et financier dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 :

5. La responsabilité contractuelle de droit commun résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif.

6. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice
a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE :

« 37 […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur
qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46).

38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, […] point 45). »

7. Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

8. Pour condamner la banque à rembourser aux sociétés Artemis 50 % des pertes subies à la suite de l’exécution des ordres de paiement non autorisés, l’arrêt retient que si les sociétés payeuses ont commis une négligence grave, la banque a commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d’alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés Artemis caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.

9. En statuant ainsi, alors qu’elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l’article L. 133-18 du code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés Artemis devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d’appel a violé les textes susvisés.