Type de juridiction : Cour de cassation

Juridiction : Cour de cassation

Thématique : Responsabilité bancaire et sécurité des transactions électroniques

COMM.

MB

COUR DE CASSATION
______________________

Audience publique du 15 janvier 2025

Cassation

M. SOULARD, premier président

Arrêt n° 6 FS-B

Pourvoi n° E 23-15.437

R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS
_________________________

ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 15 JANVIER 2025

La société Caisse d’épargne et de prévoyance du Languedoc Roussillon, société coopérative de banque à forme anonyme, dont le siège est [Adresse 2], a formé le pourvoi n° E 23-15.437 contre l’arrêt rendu le 9 mars 2023 par la cour d’appel de Nîmes (1re chambre civile), dans le litige l’opposant :

1°/ à M. [V] [H], domicilié [Adresse 1],

2°/ à Mme [U] [L], épouse [H], domiciliée [Adresse 1],

défendeurs à la cassation.

La demanderesse invoque, à l’appui de son pourvoi, deux moyens de cassation.

Le dossier a été communiqué au procureur général.

Sur le rapport de M. Calloch, conseiller, les observations de la SAS Boucard-Capron-Maman, avocat de la société Caisse d’épargne et de prévoyance du Languedoc Roussillon, de la SARL Cabinet François Pinet, avocat de M. [H] et de Mme [L], épouse [H], et l’avis de M. de Monteynard, avocat général, à la suite duquel le premier président a demandé aux avocats s’ils souhaitaient présenter des observations complémentaires, après débats en l’audience publique du 19 novembre 2024 où étaient présents M. Soulard, premier président, M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Schmidt, conseiller doyen, Mme Guillou, MM. Bedouet, Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, M. de Monteynard, avocat général, et Mme Sezer, greffier de chambre,
la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l’article R. 431-5 du code de l’organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Faits et procédure

1. Selon l’arrêt attaqué (Nîmes, 9 mars 2023), le 14 août 2019, Mme [H] a effectué deux virements du compte joint ouvert avec son époux dans les livres de la société Caisse d’épargne et de prévoyance du Languedoc Roussillon (la banque), afin de financer l’acquisition d’un véhicule automobile, en communiquant par voie électronique l’identifiant unique fourni par le vendeur.

2. Le 21 août 2019, informés par le vendeur de l’absence de réception des fonds, M.et Mme [H] ont constaté qu’un tiers avait piraté leur messagerie électronique pour substituer l’identifiant unique d’un compte ouvert au profit de ce tiers à l’identifiant unique du vendeur.

3. Le 11 septembre 2020, M. et Mme [H] ont assigné la banque en restitution des fonds et en paiement de dommages et intérêts.

Réponse de la Cour

Recevabilité du moyen

5. M. et Mme [H] contestent la recevabilité du moyen en ce qu’il serait nouveau.

6. Cependant ce moyen, qui ne se réfère à aucune considération de fait qui ne résulterait pas des énonciations des juges du fond, est de pur droit.

7. Le moyen est donc recevable.

Bien-fondé du moyen

Vu les articles 1231-1 du code civil et L. 133-21 du code monétaire et financier :

8. La responsabilité contractuelle de droit commun résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif.

9. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE du 13 novembre 2007 concernant les services de paiement dans le marché intérieur :

« 37 […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46).

38 En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, […] point 45). »

10. Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 71 à 74 de la directive (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

11. Selon l’article L. 133-21 du code précité, qui transpose l’article 88 de la directive du 25 novembre 2015, un ordre de paiement exécuté conformément à l’identifiant unique fourni par l’utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l’identifiant unique. Si l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou de la non-exécution de l’opération de paiement.

12. Pour condamner la banque à verser à M. et Mme [H] certaines sommes en réparation des préjudices résultant de l’exécution des ordres de virement et de transfert litigieux, l’arrêt retient que si, en application de l’article L. 133-21 du code monétaire et financier l’identifiant unique fourni par l’utilisateur du service de paiement est inexact, le prestataire de services de paiement n’est pas responsable de la mauvaise exécution ou la non exécution de l’opération de paiement ; que ce texte ne dispense cependant pas le banquier de son obligation de vigilance en vertu de laquelle il lui appartient de vérifier la régularité des opérations bancaires qui lui sont soumises en contrôlant l’absence d’anomalie apparente.

13. En statuant ainsi, alors que l’article L. 133-21 du code monétaire et financier est exclusif de toute application des règles de droit commun, la cour d’appel a violé les textes susvisés, le premier par fausse application, le second par refus d’application.