[Brèves] Précisions sur le droit applicable aux opérations de paiement non autorisées

► Dès lors que la responsabilité d’un prestataire de services de paiement est recherchée en raison d’une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du Code monétaire et financier, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l'exclusion de tout régime alternatif de responsabilité résultant du droit national.

Faits et procédure. Entre novembre et décembre 2016, le compte ouvert dans les livres de la banque X. au nom de la société Y. avait été débité de diverses sommes en exécution de quatre ordres de virements transmis par courrier électronique, au profit de comptes situés à l’étranger.

Le 4 août 2017, soutenant qu’elle n’avait pas consenti à ces virements et que les ordres de virement ainsi que l’ordre de clôture d’un compte à terme, dont le versement du solde sur le compte courant de la société avait permis l'exécution d'un des ordres de virement, avaient été adressés par un tiers ayant piraté la messagerie électronique de M. R., son dirigeant, la société avait assigné la banque pour obtenir sa condamnation à lui restituer les sommes versées en exécution de ces ordres et à lui payer des dommages et intérêts.

Par une décision du 7 juillet 2022, la cour d’appel de Metz avait condamné la banque X. à verser à la société Y. la somme de 199 834,54 euros de dommages et intérêts au titre du préjudice causé par les quatre virements.

Pourvoi. La banque avait alors formé un pourvoi en cassation. Elle y rappelait que la Cour de justice de l'Union européenne a dit pour droit que le régime de responsabilité des prestataires de service de paiement prévu par la Directive n° 2007/64/CE N° Lexbase : L5478H3B est d’application exclusive dans les rapports entre le prestataire et l'utilisateur, et qu’il s’en évince que la responsabilité du prestataire de services de paiement à raison du manquement à l'une de ses obligations ne peut être recherchée que sur le fondement des articles L. 133-1 et suivants du Code monétaire et financier N° Lexbase : L6426LLL, qui ont transposé cette Directive en droit français. La banque considérait alors qu’en jugeant que sa responsabilité devait être engagée sur le fondement du droit commun pour manquement à son devoir de vigilance, la cour d’appel avait violé l’article 1147, devenu 1231-1 du Code civil N° Lexbase : L0613KZQ, par fausse application.

Décision. La décision de la Haute juridiction se montre sensible à ce moyen.

Elle commence par indiquer que la responsabilité contractuelle de droit commun résultant de l’article 1231-1 du Code civil (dans sa rédaction antérieure à celle issue de l'ordonnance n° 2017-1252, du 9 août 2017 N° Lexbase : L4211LG3), n’est pas applicable en présence d’un régime de responsabilité exclusif.

Elle rappelle ensuite que dans son arrêt du 16 mars 2023, « Beobank » (CJUE, 16 mars 2023, aff. C-351/21 N° Lexbase : A82479HW), la Cour de justice a interprété en ces termes les article 58, 59 et 60 de la Directive n° 2007/64/CE :
« 37 [...] le régime de responsabilité des prestataires de services de paiement prévu à l'article 60, paragraphe 1, de la directive 2007/64 ainsi qu'aux articles 58 et 59 de cette directive a fait l'objet d'une harmonisation totale. Cela a pour conséquence que sont incompatibles avec ladite directive tant un régime de responsabilité parallèle au titre d'un même fait générateur qu'un régime de responsabilité concurrent qui permettrait à l'utilisateur de services de paiement d'engager cette responsabilité sur le fondement d'autres faits générateurs (voir, en ce sens, arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] points 42 et 46).
38. En effet, le régime harmonisé de responsabilité pour les opérations non autorisées ou mal exécutées établi dans la directive 2007/64 ne saurait être concurrencé par un régime alternatif de responsabilité prévu dans le droit national reposant sur les mêmes faits et le même fondement qu'à condition de ne pas porter préjudice au régime ainsi harmonisé et de ne pas porter atteinte aux objectifs et à l'effet utile de cette directive (arrêt du 2 septembre 2021, C-337/20, CRCAM, [...] point 45) ».

Dès lors, pour la Cour de cassation, il découle de ce qui précède que, dès lors que la responsabilité d'un prestataire de services de paiement est recherchée en raison d'une opération de paiement non autorisée ou mal exécutée, seul est applicable le régime de responsabilité défini aux articles L. 133-18 à L. 133-24 du Code monétaire et financier N° Lexbase : L7451MDC, qui transposent les articles 58, 59 et 60, paragraphe 1, de la Directive n° 2007/64/CE, à l’exclusion de tout régime alternatif de responsabilité résultant du droit national.

Or, pour condamner, sur le fondement de l’article 1231-1 du Code civil, la banque à verser à la société certaines sommes en réparation des préjudices résultant de l'exécution des ordres de virement et de transfert litigieux, l’arrêt de la cour d’appel avait considéré qu’il ressortait des éléments de preuve sérieux et concordants que M. R. n'était pas à l'origine des ordres qui avaient été exécutés et qu'en les exécutant, tandis qu'ils présentaient des anomalies apparentes, la banque avait manqué à son devoir contractuel de vigilance.

Dès lors, en statuant ainsi, alors que le titulaire des comptes contestait être l’auteur des ordres de transfert des fonds litigieux, ce dont il se déduisait que la responsabilité de la banque ne pouvait être recherchée que sur le fondement de l'article L. 133-18 du Code monétaire et financier, la cour d'appel avait violé les articles 1231-1 du Code civil, L. 133-18 à L. 133-24 du Code monétaire et financier. Sa décision est alors cassée.

Observations. Cette solution ne surprendra pas le lecteur. Elle s’insère dans une jurisprudence récente considérant que le droit régissant les services de paiement dans le Code monétaire et financier s’impose dans un certain nombre de cas. Ainsi, par une importante décision du 2 septembre 2021 (CJUE, 2 septembre 2021, aff. C-337/20 N° Lexbase : A232343G, J. Lasserre Capdeville, Lexbase Affaires, septembre 2021, n° 687 N° Lexbase : N8686BYD), la CJUE est venue indiquer que le payeur « qui n’a pas signalé à son prestataire de services de paiement une opération non autorisée, dans les treize mois du débit de celle-ci, ne peut pas engager la responsabilité de ce prestataire, y compris sur le fondement du droit commun et, partant, ne peut obtenir le remboursement de cette opération non autorisée ». Dit autrement, le payeur qui se retrouve forclos sur le fondement du régime spécial ne peut pas fonder son action sur les obligations « générales » pesant sur le banquier teneur de compte.

Quelques exceptions existent cependant. D’une part, les obligations générales, tel le devoir de vigilance, peuvent s’appliquer si l’auteur de l’action n’est pas visé par le régime spécial, telle une caution (CJUE, 2 septembre 2021, aff. C-337/20, préc. – Cass. com., 9 février 2022, n° 17-19.441, FS-B N° Lexbase : A68187MH, J. Lasserre Capdeville, Lexbase Affaires, février 2022, n° 706 N° Lexbase : N0430BZX). D’autre part, une décision récente a eu l’occasion de préciser que si les paiements litigieux ont été réalisés en dollars américains, il n’est pas non plus possible d’appliquer le régime spécial envisagé par les articles L. 133-1 et suivants du Code monétaire et financier (Cass. com., 14 février 2024, n° 22-11.654 N° Lexbase : A19212M4, J. Lasserre Capdeville, Lexbase Affaires, février 2024, n° 786 N° Lexbase : N8538BZA).

© Reproduction interdite, sauf autorisation écrite préalable