Cour de cassation, Chambre commerciale, 13 février 2019, 17-23.139, Inédit

  • Crédit·
  • Paiement·
  • Monétaire et financier·
  • Utilisateur·
  • Données confidentielles·
  • Prestataire·
  • Pont·
  • Négligence·
  • Phishing·
  • Dispositif de sécurité

Chronologie de l’affaire

Sur la décision

Sur les parties

Texte intégral

LA COUR DE CASSATION, CHAMBRE COMMERCIALE, a rendu l’arrêt suivant :

Attendu, selon l’arrêt attaqué (Amiens, 7 avril 2017), que M. et Mme Y…, titulaires chacun d’un compte dans les livres de la société Caisse de crédit mutuel de Pont Sainte-Maxence (le Crédit mutuel), ont, le 18 avril 2014, contesté des opérations de paiement effectuées, selon eux, frauduleusement sur ces comptes et demandé au Crédit mutuel de leur en

rembourser le montant ; que la banque ayant refusé en leur opposant qu’ils avaient nécessairement commis une négligence grave en communiquant à un tiers les informations confidentielles permettant d’effectuer les opérations contestées, M. et Mme Y… l’ont assignée en paiement ;

Sur le moyen unique, pris en ses deux premières branches :

Attendu que le Crédit mutuel fait grief à l’arrêt de le condamner à payer à M. et Mme Y… la somme de 5 655,60 euros avec intérêts au taux légal à compter du 12 juin 2014 en remboursement des opérations frauduleuses effectuées et des frais prélevés alors, selon le moyen :

1°/ que si, selon l’article L.133-23 du code monétaire et financier, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu’il incombe aux juges du fond d’examiner ; que pour condamner la Caisse de crédit mutuel de Pont Sainte-Maxence à rembourser aux époux Y… le montant des opérations litigieuses, la cour d’appel, après avoir pourtant retenu que la banque prouvait que ces opérations avaient été dûment authentifiées et enregistrées et s’étaient déroulées sans défaillance technique, a retenu que cette circonstance n’était pas suffisante pour établir que seule la délivrance par les époux Y… de leurs données confidentielles avait pu permettre les opérations litigieuses et ce d’autant que des articles de presse établissaient que l’espace sécurisé internet mis en place par le Crédit mutuel n’est pas infaillible et qu’au contraire il a déjà fait l’objet de piratages, que l’adresse IP à partir de laquelle les opérations avaient été réalisées était localisée dans les Vosges, et enfin que rien ne venait étayer la thèse du phishing alléguée par la banque ; qu’en statuant de la sorte, sans rechercher, ainsi qu’elle y était invitée par les conclusions de la Caisse de crédit mutuel de Pont Sainte-Maxence, si la circonstance que les opérations de paiement litigieuses avaient été effectuées par le biais des systèmes hautement sécurisés payweb et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l’utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu’un code de confirmation adressé sur l’adresse email ou le téléphone portable de ce dernier, ne permettait pas d’établir la preuve d’une négligence grave des époux Y… dans la conservation de leurs données confidentielles, la cour d’appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;

2°/ qu’en tout état de cause, la preuve d’un fait juridique peut être rapportée par tout moyen, y compris par présomption ; qu’en s’abstenant de rechercher si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés payweb et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l’utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu’un code de confirmation adressé sur l’adresse e-mail ou le téléphone portable de ce dernier, ne permettait pas à tout le moins de présumer que les époux Y… avaient été négligents dans la conservation de leurs données confidentielles, à charge pour ces derniers de fournir des éléments de preuve contraires, la cour d’appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;

Mais attendu que si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, dans leur rédaction antérieure à l’ordonnance n° 2017-1252 du 9 août 2017, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des articles L. 133-19, IV, et L. 133-23 du dit code, dans leur rédaction alors applicable, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait, intentionnellement ou par négligence grave, à ses obligations ; que cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ; qu’après avoir relevé que les systèmes de paiement « payweb » et « e-retrait » sont incontestablement dotés d’un dispositif de sécurité renforcé, l’arrêt retient exactement que ce fait est insuffisant pour établir que seule la délivrance par M. et Mme Y… de leurs données confidentielles a pu permettre la réalisation des opérations contestées, rien ne venant étayer l’hypothèse du « phishing » avancée par le Crédit mutuel pour justifier que M. et Mme Y… soient tenus pour responsables des opérations frauduleuses effectuées sur leurs comptes bancaires ; qu’en déduisant de ces constatations et appréciations que la preuve de manoeuvres frauduleuses ou de négligence grave de la part de M. et Mme Y… n’était pas rapportée et qu’en s’abstenant de les indemniser des opérations de paiement non autorisées et signalées comme telles par ceux-ci, conformément à l’article L. 133-24 du code monétaire et financier, le Crédit mutuel avait manqué à son obligation légale, la cour d’appel, qui a procédé aux recherches prétendument omises sur les circonstances dans lesquelles les paiements litigieux étaient intervenus, a légalement justifié sa décision ; que le moyen n’est pas fondé ;

Et attendu qu’il n’y a pas lieu de statuer par une décision spécialement motivée sur le moyen, pris en sa troisième branche, qui n’est manifestement pas de nature à entraîner la cassation ;

PAR CES MOTIFS :

REJETTE le pourvoi ;

Condamne la société Caisse de crédit mutuel de Pont Sainte-Maxence aux dépens ;

Vu l’article 700 du code de procédure civile, rejette sa demande et la condamne à payer à M. et Mme Y… la somme globale de 3 000 euros ;

Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du treize février deux mille dix-neuf.



MOYEN ANNEXE au présent arrêt

Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Pont-Sainte-Maxence.

Il est fait grief à l’arrêt attaqué D’AVOIR condamné la CAISSE DE CREDIT MUTUEL DE PONT SAINTE-MAXENCE à payer aux époux Y… la somme de 5.655,60 €, avec intérêts au taux légal à compter du 12 juin 2014, au titre du remboursement des opérations frauduleuses et des frais prélevés, et D’AVOIR condamné la CAISSE DE CREDIT MUTUEL DE PONT SAINTE-MAXENCE à payer aux époux Y… les sommes de 500 € et de 1.800 € sur le fondement de l’article 700 du code de procédure civile, ainsi qu’aux dépens ;

AUX MOTIFS PROPRES QUE « Sur le caractère autorisé ou non des opérations litigieuses : Selon le CREDIT MUTUEL, les opérations litigieuses ont dûment été autorisées par les consorts Y…, peu importe qu’elles aient été effectuées directement par le sociétaire ou par un tiers à qui ce dernier aurait communiqué l’ensemble des codes, identifiant et carte de clefs, de sorte que les époux Y… ne peuvent se prévaloir des dispositions des articles L.133-18 et suivants du Code monétaire et financier qui concerne les opérations de paiement non autorisées. Cependant, le rapport de service fraude produit par le CREDIT MUTUEL précise que l’adresse IP ayant servi lors des paiements frauduleux est située dans les Vosges qui n’est pas celle des époux Y… et aucun élément du dossier ne permet d’établir que les époux Y… ont effectué directement ou par l’intermédiaire d’un tiers les opérations litigieuses. Il s’en déduit donc que sauf à présumer que le système sécurisé mis en place par le CREDIT MUTUEL est infaillible, il ne peut être considéré que les opérations litigieuses constitue une opération autorisée et ce d’autant que les dites opérations comportent une anomalie quant à l’adresse des époux Y…. De plus, l’article L.133-23 du code monétaire et financier dispose : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur. Les opérations litigieuses doivent donc être considérées comme constituant des opérations de paiement non autorisées relevant des articles L.133-18 et suivants du code monétaire et financier. Sur la demande de remboursement : Selon l’article L.133-18 du code monétaire et financier, qui s’applique au cas particulier des instruments de paiement dotés d’un dispositif de sécurité personnalisé tel que le système « payweb » du CREDIT MUTUEL « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à. l’article L.133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. ». Par ailleurs, selon l’article L.133-19 du code monétaire et financier : « En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L.133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 150 €. Toutefois, la responsabilité du payeur n’est pas engagée en cas d’opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé. II. La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument. III. Sauf agissements frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l’information aux fins de blocage de l’instrument de paiement prévue à l’article L. 133-17. IV. Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17. » De plus, l’article L.133-23 du code monétaire et financier dispose que : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistré par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. ». En application de ces dispositions et plus spécialement de l’article L133-23 alinéa 1 précité, il incombe tout d’abord au CREDIT MUTUEL, prestataire de paiement, de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. Le CREDIT MUTUEL apporte cette preuve en l’espèce, dans la mesure où il est versé aux débats le rapport établi par son service fraudes et affaires spéciales dont il ressort qu’une payweb card ou e-retrait a bien été créée après connexion au site de banque en ligne du client, avec : – l’identifiant que la banque lui a confié, – le mot de passe que le client a personnellement modifié, – le code de la carte de clefs personnelle a été renseigné et le code de confirmation à 6 chiffres dûment adressé par SMS. Il appartient également au CREDIT MUTUEL par application de l’article L 133-19 pour échapper à sa responsabilité lorsque les instruments de paiement ou les données qui lui sont liées ont été détournées à son insu, de démontrer que les opérations contestées sont le fruit de manoeuvres frauduleuses ou de négligence grave de la part des utilisateurs. Contrairement à ce que soutient la CREDIT MUTUEL, son obligation de démontrer que les opérations contestées sont le fruit de manoeuvres frauduleuses ou de négligence grave de la part des utilisateurs n’est pas subordonnée à ce que les époux Y… s’expliquent au préalable sur les détournements dont ils s’estiment victimes au motif que celui qui les a réalisés disposait de toutes les informations confidentielles des sociétaires, Admettre ce raisonnement reviendrait à ajouter aux dispositions de l’article L 1333-19 du Code monétaire et financier. Nonobstant le fait que les époux Y… ne sont pas en mesure de fournir des explications sur les opérations contestées, il appartient donc au CREDIT MUTUEL de démontrer que les opérations contestées sont le fruit de manoeuvres frauduleuses ou de négligence grave de la part des utilisateurs Or, comme l’a justement relevé le premier juge, par des motifs pertinents que la Cour entend adopter, il ressort des pièces versées aux débats : – que si l’instrument de paiement litigieux est incontestablement doté d’un dispositif de sécurité renforcée, ce fait est insuffisant pour établir que seule la délivrance par les époux Y… de leurs données confidentielles a pu permettre les opérations litigieuses et ce d’autant que des articles de presse établissent que l’espace sécurisé internet mis en place par le CREDIT MUTUEL n’ est pas infaillible et qu’au contraire il a déjà fait l’objet de piratages bien que doté de systèmes supposer garantir la sécurisation des opérations bancaire ; -qu’en outre, le rapport de service fraude produit par le CREDIT MUTUEL précise que l’adresse IP ayant servi lors des paiements frauduleux est située dans les Vosges qui n’est pas celle des époux Y… ce qui est suffisant pour démontrer l’existence de paiements frauduleux, – que rien ne vient étayer l’hypothèse du « phishing » avancée par le CREDIT MUTUEL pour justifier que les époux Y… soient tenus pour responsables des opérations frauduleuses effectuées sur leurs comptes bancaires. Il en résulte que la preuve de manoeuvres frauduleuses ou de négligence grave de la part des époux Y… n’est pas démontrée et qu’en s’abstenant d’indemniser les époux Y… des opérations de paiement non autorisées et signalées comme telle par ceux-ci, conformément à l’article L133-24 du code monétaire et financier a manqué à son obligation légale. Le jugement sera donc confirmé en ce qu’il a condamné le CREDIT MUTUEL à rembourser aux époux Y… la somme de 5391,42 € correspondant au montant des opérations frauduleuses effectuées sur leurs deux comptes bancaires. Sur les frais de lettre d’information et de commission d’intervention : Conformément à l’article L.133-18 du code monétaire et financier « en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L.133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. En l’espèce, il n’est pas discuté en cause d’appel que le montant des frais prélevés indûment par le CREDIT MUTUEL s’est élevé à 353,88 €. Le jugement sera donc confirmé en ce qu’il a condamné le CREDIT MUTUEL à rembourser aux époux Y… la somme de 353,88 € correspondant aux frais d’information et de commission d’intervention (

)

Sur les dépens et les frais irrépétibles : Le CREDIT MUTUEL, succombant, il doit être condamné aux dépens d’appel et le jugement doit être confirmé en ce qu’il l’a condamné aux dépens de première instance. Par ailleurs, il doit être débouté de sa demande au titre des frais irrépétibles pour la procédure d’appel et le jugement doit être confirmé en ce qu’il l’a débouté de sa demande à ce titre pour la procédure de première instance. L’équité commandant de faire application des dispositions de l’article 700 du code de procédure civile en faveur des époux Y…, il convient de leur allouer de ce chef la somme de 1800 € pour la procédure d’appel et de confirmer le jugement en ce qu’il leur a accordé à ce titre la somme de 500 € » ;

ET AUX MOTIFS SUPPOSEMENT ADOPTES QUE « Sur la demande de remboursement de la somme de 5.745,42 euros soit 5.391,54 euros au titre des opérations litigieuses et 353,88 euros au titre des frais prélevés par l’établissement bancaire L’article L 133-18 du Code monétaire et financier, qui s’applique au cas particulier des instruments de paiement dotés d’un dispositif de sécurité personnalisé, dispose qu’en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d’une indemnité complémentaire. L’article L 133-19 du Code monétaire et financier prévoit que la responsabilité du payeur n’est engagée si l’instrument de paiement ou les données qui lui sont liées ont été détournées à son sauf négligence grave ou agissement frauduleux de sa part. L’article L 133-23 al 1 du même code indique que lorsqu’un utilisateur de services de paiement à avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. Au vu de ces dispositions, il appartient donc au prestataire de service, en l’espèce LE CREDIT MUTUEL, de démontrer que les opérations contestées par les époux Y… sont authentifiées qu’elles ne sont pas le fruit de manoeuvres frauduleuses ou de négligence grave de la part de ces utilisateurs. Le fait que l’instrument de paiement soit doté d’un dispositif de sécurité personnalisé d’identification renforcée ne suffit pas à établir que seule la délivrance par les époux Y… de leurs données confidentielles a pu permettre les opérations litigieuses et ce d’autant moins que ces derniers versent aux débats des articles de presse dont il résulte que l’espace sécurisé internet mis en place par le CREDIT MUTUEL n’est pas infaillible et qu’au contraire il a déjà fait l’objet de piratages bien que doté de systèmes supposés garantir la sécurisation des opérations bancaires. En outre, le rapport du service fraude produit par le CREDIT MUTUEL précise que l’adresse IP ayant servi lors des paiements frauduleux correspond à une adresse dans les Vosges qui n’est pas celle des demandeurs, élément qui corroborre l’existence d’un détournement au préjudice de ces derniers. Enfin, rien ne vient étayer l’hypothèse du « phishing » avancée par le CREDIT MUTUEL pour justifier que les époux Y… soient tenus pour responsables des opérations frauduleuses effectués sur leurs comptes bancaires. Au vu de ces éléments, et en s’abstenant d’indemniser Monsieur et Madame Y… opérations de paiement non autorisées et signalées comme telles par ceux-ci conformément dispositions de l’article L 133-24 du Code monétaire et financier, la CAISSE DE CREDIT MUTUEL DE PONT SAINTE MAXENCE a manqué à ses obligations légales et doit donc condamnée à leur payer la somme de 5 391,42 €, correspondant au montant total des opérations frauduleuses effectuées sur les deux comptes n° […] C/C SERENITE et […] C/C/ DUO CONFORT. Par ailleurs, il résulte des pièces produites par Monsieur et Madame Y… que du fait de ce manquement, les deux comptes concernés ont été maintenus en position débitrice ce qui a engendré des frais de lettre d’information et de commissions d’intervention (à plusieurs reprises supérieurs au plafond légal tel que fixé par les dispositions de l’article R 312-4-1 du Code Monétaire et Financier dans sa version applicable à compter du 1er janvier 2014) facturés et prélevés sur le compte […] C/C SERENITE. Néanmoins, les relevés périodiques afférents au fonctionnement de ce compte sur la période considérée (du 18 avril 2014 au 07 juillet 2014) révèlent que la banque a rétrocédé le montant des frais prélevés au mois de mai 2014 ce dont ne tient pas compte le récapitulatif établi par les époux Y… dans leurs écritures. Ainsi, il convient de condamner la CAISSE DE CREDIT MUTUEL DE PONT SAINTE MAXENCE à rembourser à Monsieur et Madame Y… la somme de 263,88 € (après déduction de la somme de 90 € correspondant aux frais pour le mois de mai 2014 qui ont été recrédités). En conséquence des développements qui précèdent, la CAISSE DE CREDIT MUTUEL DE PONT SAINTE MAXENCE sera condamnée à payer à Monsieur et Madame E… et Laure Y… la somme totale de 5 655,30 euros au titre des opérations frauduleuses et des frais prélevés. Cette somme portera intérêts au taux légal à compter du 12 juin 2014, date de la mise en demeure adressée par Monsieur et Madame Y… au CREDIT MUTUEL, conformément aux dispositions de l’article 1153 du Code civil. Les demandes plus amples ou contraires seront rejetées. Sur la capitalisation des intérêts L’article 1154 du Code civil dispose que « les intérêts échus des capitaux peuvent produire des intérêts, ou par une demande judiciaire, ou par une convention spéciale, pourvu que soit dans la demande soit dans la convention, il s’agisse d’intérêts dus au moins pour une année entière ». Force est de constater en l’espèce que la capitalisation n’est pas sollicitée conformément à ces dispositions puisqu’il ne s’agit pas précisément dans la demande des intérêts dus au moins pour une année entière. Cette demande sera rejetée. Sur la demande de dommages et intérêts pour préjudice moral Monsieur et Madame Y… ne démontrent pas l’existence d’un préjudice distinct de celui causé par le retard de la CAISSE DE CREDIT MUTUEL DE PONT SAINTE MAXENCE dans l’exécution de son obligation de paiement lequel est déjà réparé par l’allocation des intérêts. Ils seront dès lors déboutés de cette demande. Sur les autres demandes La CAISSE DE CREDIT MUTUEL DE PONT SAINTE MAXENCE, qui succombe, sera condamnée aux entiers dépens ainsi qu’au paiement, le fondement de l’article 700 du Code de procédure civile, d’une somme que l’équité commande de fixer à 500 euros. L’ancienneté et la nature du litige justifient le prononcé de l’exécution provisoire » ;

1°) ALORS QUE si, selon l’article L.133-23 du code monétaire et financier, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, elle peut suffire à rapporter une telle preuve, en fonction des circonstances particulières du litige qu’il incombe aux juges du fond d’examiner ; que pour condamner la CAISSE DE CREDIT MUTUEL DE PONT SAINTE-MAXENCE à rembourser aux époux Y… le montant des opérations litigieuses, la cour d’appel, après avoir pourtant retenu que la banque prouvait que ces opérations avaient été dûment authentifiées et enregistrées et s’étaient déroulées sans défaillance technique (arrêt, p. 5, 5e §), a retenu que cette circonstance n’était pas suffisante pour établir que seule la délivrance par les époux Y… de leurs données confidentielles avait pu permettre les opérations litigieuses et ce d’autant que des articles de presse établissaient que l’espace sécurisé internet mis en place par le CREDIT MUTUEL n’est pas infaillible et qu’au contraire il a déjà fait l’objet de piratages, que l’adresse IP à partir de laquelle les opérations avaient été réalisées était localisée dans les VOSGES, et enfin que rien ne venait étayer la thèse du phishing alléguée par la banque ; qu’en statuant de la sorte, sans rechercher, ainsi qu’elle y était invitée par les conclusions de la CAISSE DE CREDIT MUTUEL DE PONT SAINTE-MAXENCE (not. p. 4-5 ; p. 8-9 ; p. 11-12 ; p. 13 ; p. 18), si la circonstance que les opérations de paiement litigieuses avaient été effectuées par le biais des systèmes hautement sécurisés payweb et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l’utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu’un code de confirmation adressé sur l’adresse email ou le téléphone portable de ce dernier, ne permettait pas d’établir la preuve d’une négligence grave des époux Y… dans la conservation de leurs données confidentielles, la cour d’appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;

2°) ALORS, EN TOUT ETAT DE CAUSE QUE la preuve d’un fait juridique peut être rapportée par tout moyen, y compris par présomption ; qu’en s’abstenant de rechercher si la circonstance que les opérations de paiement litigieuses avaient été effectuées via les systèmes de paiement sécurisés payweb et e-retrait, lesquels nécessitaient pour fonctionner non seulement que l’utilisateur accède à son espace personnel en renseignant son identifiant et son mot de passe, mais également une clef personnelle figurant sur une carte établie sur support papier et remise par la banque au client, ainsi qu’un code de confirmation adressé sur l’adresse email ou le téléphone portable de ce dernier, ne permettait pas à tout le moins de présumer que les époux Y… avaient été négligents dans la conservation de leurs données confidentielles, à charge pour ces derniers de fournir des éléments de preuve contraires, la cour d’appel a privé sa décision de base légale au regard des articles L. 133-16, L. 133-19 IV et L. 133-23 du code monétaire et financier ;

3°) ALORS QUE les juges du fond doivent statuer en considération des circonstances particulières de la cause ; qu’en déduisant la défaillance de la CAISSE DE CREDIT MUTUEL DE PONT SAINTE-MAXENCE dans l’administration de la preuve d’une négligence grave des époux Y… d’ « articles de presse » qui établiraient « que l’espace sécurisé internet mis en place par le CREDIT MUTUEL n’est pas infaillible et qu’au contraire il a déjà fait l’objet de piratages bien que doté de systèmes supposés garantir la sécurisation des opérations bancaire », quand il lui incombait de se déterminer au regard des circonstances particulières de la cause afin de déterminer si les époux Y… avaient ou non fait preuve d’une négligence grave dans la conservation de leurs données confidentielles, permettant ainsi la réalisation des opérations de paiement litigieuses, la cour d’appel a violé l’article 455 du code de procédure civile.

Chercher les extraits similaires
highlight
Chercher les extraits similaires
Extraits les plus copiés
Chercher les extraits similaires
Collez ici un lien vers une page Doctrine
Inscrivez-vous gratuitement pour imprimer votre décision
Cour de cassation, Chambre commerciale, 13 février 2019, 17-23.139, Inédit