L'utilisation effective de l'instrument de paiement ou des données personnelles liées au titulaire d'un compte ne suffit pas à établir la négligence grave.
L'arrêt de la Cour de cassation a été rendu au visa des art. L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du Code monétaire et financier, dans leur rédaction antérieure à celle issue de l'ordonnance du 9 août 2017.
Si, aux termes des deux premiers de ces textes, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des deux autres textes, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.
M. Y, titulaire d'un compte de dépôt ouvert dans les livres de la société Caisse de crédit mutuel de Chauny (la banque), a contesté avoir réalisé les opérations de paiement et de retrait de numéraire prélevées sur ce compte, entre le 21 et le 22 novembre 2013, pour une somme de 2'979,61 euro, et en a demandé le remboursement à la banque ; celle-ci s'y est opposée.
Pour rejeter la demande de M. Y, le jugement, après avoir relevé que ces opérations ont été effectuées à partir du site "banque à distance" de l'établissement de crédit, que les coordonnées personnelles de M. Y figurant sur ce site (numéro de téléphone et adresse électronique) ont été modifiées, permettant ainsi de recevoir sur un autre numéro ou adresse électronique les codes de confirmation nécessaires à la validation desdites opérations, que les opérations litigieuses n'ont pu être réalisées qu'en ayant connaissance d'éléments d'identification confidentiels (identifiant et mot de passe de connexion sur le site « banque à distance », numéro de la carte bancaire avec cryptogramme et date de validité pour les opérations 3D Sécure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait), que le fait que le téléphone portable de M. Y ait pu être piraté ne peut suffire à expliquer que le "fraudeur" se soit retrouvé en possession des identifiants personnels de M. Y et que ce dernier n'explique pas comment le "fraudeur" a pu avoir accès à sa carte de clés personnelles figurant sur un support papier qui lui a été remis par la banque et indispensable à la réalisation des opérations e-retrait et payweb, le jugement en déduit que M. Y a nécessairement communiqué à un tiers ses données personnelles, qu'il était de sa responsabilité, conformément aux dispositions de l'article 4 des conditions générales CMNE Direct, de veiller à ce qu'elles demeurent secrètes et ne soient divulguées à quiconque, et a ainsi commis une négligence grave de nature à exclure le remboursement des sommes payées.
En statuant ainsi, la juridiction de proximité, qui ne déduit l'existence d'une négligence grave de M. Y que de l'utilisation effective de l'instrument de paiement ou des données personnelles qui lui sont liées, a violé les textes susvisés.
Le jugement (juridiction de proximité) relève que les opérations litigieuses n'ont pu être réalisées qu'en ayant connaissance d'éléments d'identification confidentiels (identifiant et mot de passe de connexion sur le site "banque à distance", numéro de carte bancaire avec cryptogramme et date de validité pour les opérations 3D Secure et code de la carte de clés personnelles et code de confirmation adressé par SMS pour les opérations effectuées par le système payweb et e-retrait). Selon la juridiction, le fait que le téléphone portable ait été piraté ne pouvait suffire à expliquer que le fraudeur ait pu avoir en sa possession les identifiants personnels du titulaire du compte et accéder à la carte de clés personnelles sur support papier remise par sa banque et indispensable à la réalisation des opérations e-retrait et payweb. Le jugement conclut que le titulaire du compte a nécessairement communiqué à un tiers ses données personnelles et qu'il était de sa responsabilité en vertu des conditions générales de la banque de veiller à ce qu'elles restent secrètes et ne soient pas divulguées.
La chambre commerciale de la Cour de cassation n'est pas d'accrd et rappelle que l'utilisation effective de l'instrument de paiement ou des données personnelles liées à un titulaire de compte ne permet pas d'établir la négligence grave.
- Cour de cassation, Ch. com., 21 novembre 2018, pourvoi n° 17-18.888