Cour de cassation, Chambre commerciale, 2 juin 2021, 19-19.577, Inédit

TI Ajaccio 20 mai 2019

CASS
Cassation 2 juin 2021

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Rejeté
Négligence dans la préservation de la sécurité des dispositifs de paiement
La cour a estimé que la banque ne prouve pas que Mme [G] a commis une négligence grave, et que la responsabilité de la banque n'est pas engagée dans ce cas.
Accepté
Retard dans le remboursement
La cour a jugé que le retard dans le remboursement a causé un préjudice à Mme [G], justifiant l'indemnité accordée.

Résumé par Doctrine IA

La Caisse régionale de crédit agricole mutuel de [Localité 1] a formé un pourvoi contre un jugement qui l'a condamnée à rembourser à Mme [G] une somme suite à une opération de paiement non autorisée, considérée comme un hameçonnage. La banque invoque une négligence grave de la part de Mme [G] dans la préservation de la sécurité de ses dispositifs de sécurité personnalisés, en se fondant sur les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier. La Cour de cassation casse et annule le jugement du tribunal d’instance d’Ajaccio, estimant que ce dernier n'a pas suffisamment recherché si Mme [G] avait pris toutes les mesures raisonnables pour préserver la sécurité de ses dispositifs de sécurité personnalisés, notamment en communiquant des données en réponse à un courriel suspect. La Cour reproche au tribunal de ne pas avoir donné de base légale à sa décision, ne pouvant se fonder uniquement sur l'utilisation effective de l'instrument de paiement ou des données liées pour prouver la négligence grave. L'affaire est renvoyée devant le tribunal judiciaire de Bastia pour nouveau jugement.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaires • 3

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Hameçonnage : le payeur négligent sauvé par l'absence d'authentification forteAccès limité

Sophie Moreil · Gazette du Palais · 16 janvier 2024

2. Hameçonnage : retour de la preuve de la négligence graveAccès limité

Sophie Moreil · Gazette du Palais · 19 octobre 2021

3. Hameçonnage : retour de la preuve de la négligence grave

castonblog.blogspot.com

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	Cass. com., 2 juin 2021, n° 19-19.577
Juridiction :	Cour de cassation
Numéro(s) de pourvoi :	19-19.577
Importance :	Inédit
Décision précédente :	Tribunal d'instance d'Ajaccio, 20 mai 2019, N° 18/00789
Textes appliqués :	Articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009.
Dispositif :	Cassation
Date de dernière mise à jour :	20 avril 2022
Identifiant Légifrance :	JURITEXT000043618159
Identifiant européen :	ECLI:FR:CCASS:2021:CO00479
Lire la décision sur le site de la juridiction

Sur les parties

Président :	M. Rémery (conseiller doyen faisant fonction de président)
Parties :	société Caisse régionale de crédit agricole mutuel de [

Texte intégral

COMM.

CH.B

COUR DE CASSATION

______________________

Audience publique du 2 juin 2021

Cassation

M. RÉMERY, conseiller doyen

faisant fonction de président

Arrêt n° 479 F-D

Pourvoi n° X 19-19.577

R É P U B L I Q U E F R A N Ç A I S E

_________________________

AU NOM DU PEUPLE FRANÇAIS

_________________________

ARRÊT DE LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, DU 2 JUIN 2021

La société Caisse régionale de crédit agricole mutuel de [Localité 1], société coopérative de crédit, dont le siège est [Adresse 1], a formé le pourvoi n° X 19-19.577 contre le jugement rendu le 20 mai 2019 par le tribunal d’instance d’Ajaccio, dans le litige l’opposant à Mme [G] [G], domiciliée [Adresse 2], défenderesse à la cassation.

La demanderesse invoque, à l’appui de son pourvoi, le moyen unique de cassation annexé au présent arrêt.

Le dossier a été communiqué au procureur général.

Sur le rapport de M^me Graff-Daudret, conseiller, les observations de la SCP Yves et Blaise Capron, avocat de la société Caisse régionale de crédit agricole mutuel de [Localité 1], et l’avis de M^me Guinamant, avocat général référendaire, après débats en l’audience publique du 7 avril 2021 où étaient présents M. Rémery, conseiller doyen faisant fonction de président, M^me Graff-Daudret, conseiller rapporteur, M^me Vaissette, conseiller, et M^me Fornarelli, greffier de chambre,

la chambre commerciale, financière et économique de la Cour de cassation, composée des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.

Faits et procédure

1. Selon le jugement attaqué (tribunal d’instance d’Ajaccio, 20 mai 2019), rendu en dernier ressort, soutenant qu’en réponse à un courrier électronique d’une société dont elle était cliente, elle avait cliqué sur le lien indiqué comme lui permettant de percevoir une somme d’argent, puis reçu par message un code 3DSecure qu’elle avait communiqué pour validation, et qu’elle avait ensuite constaté que son compte bancaire ouvert dans les livres de la société Caisse régionale de crédit agricole mutuel de [Localité 1] (la banque) avait été débité d’une somme de 1 148,99 euros au profit d’un tiers, Mme [G], s’estimant victime d’une opération d’hameçonnage, a assigné la banque en remboursement de cette somme.

Examen du moyen

Sur le moyen, pris en sa deuxième branche

Enoncé du moyen

2. La banque fait grief au jugement de la condamner à payer à Mme [G] la somme de 1 148,99 euros et une indemnité de 100 euros, alors « que, dans le cas où l’opération de paiement avec emploi d’un dispositif de sécurité personnalisé, n’a pas été autorisée, l’utilisateur du service de paiement, qui est le gardien du dispositif de sécurité personnalisé que le prestataire du service de paiement lui a communiqué, doit prendre toute mesure raisonnable pour préserver la sécurité de ce dispositif de sécurité personnalisé ; qu’en énonçant que "le crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] [aur]ait commis une négligence grave" dans l’emploi de son dispositif de sécurité personnalisé, le tribunal d’instance, qui ne se demande pas si des mesures raisonnables auraient permis à Mme [G] [G], gardienne du dispositif de sécurité personnalité (code sms secure) que lui a communiqué la Crcam de [Localité 1], de déjouer le piège grossier qui lui aurait été tendu par un escroc, et si, dans l’affirmative, Mme [G] [G] a appliqué comme elle le devait ces mesures raisonnables, le tribunal d’instance a violé les articles L. 133-4, a), L. 133-16, alinéa 1er, L. 133-18 et L. 133-19, L. 133-18, alinéa 1er, et L. 133-19, § IV, du code monétaire et financier. »

Réponse de la Cour

Vu les articles L. 133-16, L. 133-17, L. 133-19, IV, et L. 133-23 du code monétaire et financier, dans leur rédaction issue de l’ordonnance n° 2009-866 du 15 juillet 2009 :

3. Il résulte de ces textes que si, aux termes des deux premiers, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe, par application des deux derniers, de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations. Cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés.

4. Pour condamner la banque à rembourser la somme débitée du compte de sa cliente, le jugement, après avoir relevé qu’il apparaissait que Mme [G] avait été victime d’une opération de hameçonnage sans que sa responsabilité puisse être engagée, se borne à retenir que la banque ne rapporte pas la preuve que sa cliente avait commis une négligence grave.

5. En se déterminant, par de tels motifs, sans rechercher si Mme [G], utilisateur de services de paiement, n’avait pas manqué à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, en communiquant les données personnelles du dispositif de sécurité en cause en réponse à un courriel qui aurait contenu des indices permettant à un utilisateur normalement attentif de douter de sa provenance, le tribunal n’a pas donné de base légale à sa décision.

PAR CES MOTIFS, et sans qu’il y ait lieu de statuer sur les autres griefs, la Cour :

CASSE ET ANNULE, en toutes ses dispositions, le jugement rendu le 20 mai 2019, entre les parties, par le tribunal d’instance d’Ajaccio ;

Remet l’affaire et les parties dans l’état où elles se trouvaient avant ce jugement et les renvoie devant le tribunal judiciaire de Bastia ;

Condamne Mme [G] aux dépens ;

En application de l’article 700 du code de procédure civile, condamne Mme [G] à payer à la société Caisse régionale de crédit agricole mutuel de [Localité 1] la somme de 1 500 euros ;

Dit que sur les diligences du procureur général près la Cour de cassation, le présent arrêt sera transmis pour être transcrit en marge ou à la suite du jugement cassé ;

Ainsi fait et jugé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du deux juin deux mille vingt et un. MOYEN ANNEXE au présent arrêt

Moyen produit par la SCP Yves et Blaise Capron, avocat aux Conseils, pour la société Caisse régionale de crédit agricole mutuel de [Localité 1].

Le pourvoi fait grief à l’arrêt attaqué D’AVOIR condamné la Crcam de [Localité 1] à payer à Mme [G] [G] une somme de 1 148 ? 99 et une indemnité de 100 ? ;

AUX MOTIFS QUE « le tribunal retiendra [?] que, dès qu’elle a eu connaissance de l’utilisation frauduleuse de sa carte bancaire, le 11 août 2017, Mme [G] a fait opposition en téléphonant au centre d’opposition, et en se rendant au guichet de son agence, puis a déposé plainte le même jour auprès du commissariat d’Ajaccio » (cf. arrêt attaqué, p. 3, motifs de la décision, 3e alinéa) ; que « Mme [G] qui certifie ne jamais avoir communiqué ses coordonnées bancaires, reconnaît la transmission en toute bonne foi du code sms secure à usage unique dès lors qu’elle croyait qu’il s’agissait d’une transaction avec Amazon, dont elle est cliente fidèle, qui lui proposait un cadeau de 100 ? » (cf. jugement attaqué, p. 3, motifs de la décision, 4e alinéa) ; qu'« il apparaît ainsi qu’elle a été victime d’une opération de piratage sans que sa responsabilité puisse être engagée ». (cf. arrêt attaqué, p. 3, motifs de la décision p. 3, 5e alinéa) ; que, « si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l’utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d’informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l’instrument de paiement ou des données qui lui sont liées, c’est à ce prestataire qu’il incombe par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l’utilisateur qui nie avoir intentionnellement ou par négligence grave, à ses obligations [; que] cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées » (cf., jugement attaqué, p. 3, motifs de la décision, 6e alinéa) ; qu'« en l’espèce, le Crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] ait commis une négligence grave » (cf. jugement attaqué, p. 3, motifs de la décision, 7e alinéa) ; qu'« en conséquence, par application des articles L. 133-18 et L. 133-20 du code monétaire et financier, il convient de condamner le Crédit agricole de [Localité 1] à rembourser à Mme [G] la somme de 1 148 ? 99 » (cf. jugement attaqué, p. 4, 1er alinéa ; que « le fait que le Crédit agricole ait différé le remboursement de la somme réclamée pendant plus d’un an, et ce, en contradiction avec les dispositions de l’article L. 133-18 susvisé, a occasionné un préjudice à Mme [G] qui sera compensé par le paiement d’une somme de 100 ? à titre de dommages et intérêts » (cf. jugement attaqué, p. 4, 2e alinéa) ;

1. ALORS QUE, dans le cas où l’utilisateur d’un service de paiement nie avoir autorisé une opération de paiement qui a été exécutée, le prestataire de services de paiement a la ressource de prouver, pour s’exonérer de la responsabilité à laquelle il est exposé, que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ; qu’en se bornant, pour accueillir la demande de Mme [G] [G] qui niait avoir autorisé l’opération de paiement qu’elle conteste, qu’elle a été victime d’un piratage, sans justifier que la Crcam de [Localité 1], prestataire du service de paiement, a échoué à établir que l’opération accomplie a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, le tribunal d’instance a violé l’article L. 132-23 du code monétaire et financier, dans sa rédaction résultant de l’ordonnance n° 2009-866 du 15 juillet 2009 ;

2. ALORS QUE, dans le cas où l’opération de paiement avec emploi d’un dispositif de sécurité personnalisé, n’a pas été autorisée, l’utilisateur du service de paiement, qui est le gardien du dispositif de sécurité personnalisé que le prestataire du service de paiement lui a communiqué, doit prendre toute mesure raisonnable pour préserver la sécurité de ce dispositif de sécurité personnalisé ; qu’en énonçant que « le Crédit agricole de [Localité 1] ne rapporte pas la preuve que Mme [G] [aur]ait commis une négligence grave » dans l’emploi de son dispositif de sécurité personnalisé, le tribunal d’instance, qui ne se demande pas si des mesures raisonnable auraient permis à Mme [G] [G], gardienne du dispositif de sécurité personnalité (code sms secure) que lui a communiqué la Crcam de [Localité 1], de déjouer le piège grossier qui lui aurait été tendu par un escroc, et si, dans l’affirmative, Mme [G] [G] a appliqué comme elle le devait ces mesures raisonnables, le tribunal d’instance a violé les articles L. 133-4, a), L. 133-16, alinéa 1er, L. 133-18 et L. 133-19, L. 133-18, alinéa 1er, et L. 133-19, § IV, du code monétaire et financier ;

3. ALORS QUE, hormis le cas de la mauvaise foi, les dommages-intérêts dus à raison du retard dans le paiement d’une obligation de payer une somme d’argent, consistent dans l’intérêt au taux légal à compter de la mise en demeure ; qu’en condamnant la Crcam de [Localité 1] à payer à Mme [G] [G] une indemnité de 100 ? en réparation du préjudice que la seconde a subi du fait que la première a exécuté avec retard l’obligation dont elle était débitrice en application de l’article L. 133-18 du code monétaire et financier, le tribunal d’instance, qui ne justifie pas que le retard de la Crcam de [Localité 1] serait dû à sa mauvaise foi, a violé l’article 1231-6 du code civil.