Type de juridiction : Cour de cassation

Juridiction : Cour de cassation

Thématique : Responsabilité des prestataires de services de paiement en cas de virements non autorisés

COMM.

SH

COUR DE CASSATION
______________________

Audience publique du 15 janvier 2025

Cassation partielle

M. SOULARD, premier président

Arrêt n° 4 FS-B

Pourvoi n° K 23-13.579

R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS
_________________________

ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 15 JANVIER 2025

La société Bred banque populaire, société coopérative de banque populaire à forme anonyme, dont le siège est [Adresse 1], a formé le pourvoi n° K 23-13.579 contre l’arrêt rendu le 18 janvier 2023 par la cour d’appel de Paris (pôle 5, chambre 6), dans le litige l’opposant :

1°/ à la société Artemis group, société par actions simplifiée,

2°/ à la société Artemis security, société par actions simplifiée,

ayant toutes deux leur siège [Adresse 2],

défenderesses à la cassation.

La demanderesse invoque, à l’appui de son pourvoi, un moyen de cassation.

Le dossier a été communiqué au procureur général.

Sur le rapport de M. Calloch, conseiller, les observations de la SAS Boucard-Capron-Maman, avocat de la société Bred banque populaire, de la SCP Françoise Fabiani – François Pinatel, avocat des sociétés Artemis group et Artemis security, et l’avis de M. de Monteynard, avocat général, à la suite duquel le premier président a demandé aux avocats s’ils souhaitaient présenter des observations complémentaires, après débats en l’audience publique du 19 novembre 2024 où étaient présents M. Soulard, premier président, M. Vigneau, président, M. Calloch, conseiller rapporteur, Mme Schmidt, conseiller doyen, Mme Guillou, MM. Bedouet, Chazalette, Mme Gouarin, conseillers, Mmes Brahic-Lambrey, Champ, M. Boutié, Mmes Coricon, Buquant, conseillers référendaires, M. de Monteynard, avocat général, et Mme Sezer, greffier de chambre,

la chambre commerciale, financière et économique de la Cour de cassation, composée, en application de l’article R. 431-5 du code de l’organisation judiciaire, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Faits et procédure

1. Selon l’arrêt attaqué (Paris, 18 janvier 2023), la société Artemis group et la société Artemis security (les sociétés Artemis), chacune titulaire d’un compte ouvert dans les livres de la société Bred banque populaire (la banque), ont souscrit un contrat de service « Transbred.com » permettant la transmission, par internet, d’ordres d’opérations de paiement authentifiés par un certificat numérique.

2. Le 23 juin 2015 six ordres de virement d’un montant cumulé de 498 266,50 euros ont été exécutés à partir des comptes des sociétés Artemis par la banque.

3. Contestant avoir autorisé ces paiements, les sociétés Artemis ont assigné la banque en remboursement des fonds virés et non récupérés.

Réponse de la Cour

Vu l’article 1147, devenu 1231-1, du code civil et les articles L. 133-18 et L. 133-19 IV du code monétaire et financier dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 :

5. La responsabilité contractuelle de droit commun résultant du premier de ces textes n’est pas applicable en présence d’un régime de responsabilité exclusif.

6. Dans son arrêt du 16 mars 2023, Beobank (C-351/21), la Cour de justice
a interprété en ces termes les articles 58, 59 et 60 de la directive 2007/64/CE :

« 37 […] le régime de responsabilité des prestataires de services de paiement prévu à l’article 60, paragraphe 1, de la directive 2007/64 ainsi qu’aux articles 58 et 59 de cette directive a fait l’objet d’une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d’un même fait générateur
qu’un régime de responsabilité concurrent qui permettrait à l’utilisateur de services de paiement d’engager cette responsabilité sur le fondement d’autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, […] points 42 et 46).

38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu’à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l’effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, […] point 45). »

7. Il s’ensuit que, dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la directive 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

8. Pour condamner la banque à rembourser aux sociétés Artemis 50 % des pertes subies à la suite de l’exécution des ordres de paiement non autorisés, l’arrêt retient que si les sociétés payeuses ont commis une négligence grave, la banque a commis une faute en ne prenant pas en compte la situation manifestement anormale résultant des alertes diffusées par le Centre d’alerte et de réaction aux attaques informatiques le 10 juin 2015 sur une campagne massive de spam et de la centaine de tentatives infructueuses de connexion au système Transbred à partir des postes informatiques des sociétés Artemis caractérisant un manquement à son obligation de vigilance et de surveillance de ses systèmes.

9. En statuant ainsi, alors qu’elle avait écarté la responsabilité de la banque, recherchée du fait de paiements non autorisés sur le fondement de l’article L. 133-18 du code monétaire et financier, en retenant que les sociétés titulaires des comptes avaient commis une négligence grave, de sorte que les sociétés Artemis devaient seules supporter les pertes subies du fait des opérations non autorisées et que la responsabilité de la banque ne pouvait pas être recherchée au titre de ses obligations de vigilance et de surveillance de ses systèmes, la cour d’appel a violé les textes susvisés.