CJUE, n° C-287/19, Conclusions de l'avocat général de la Cour, DenizBank AG contre Verein für Konsumenteninformation, 30 avril 2020

CJUE, Demande (JO) 5 avril 2019

CJUE, Conclusions de l'avocat général 30 avril 2020

CJUE, Arrêt 11 novembre 2020

CJUE, Arrêt (sommaire) 11 novembre 2020

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Clauses abusives dans les contrats de services de paiement
La cour a estimé que les clauses en question sont manifestement abusives car elles désavantagent le consommateur et ne respectent pas les exigences de transparence et d'équité prévues par la directive sur les services de paiement.
Accepté
Qualification de la fonction NFC comme instrument de paiement
La cour a jugé que la fonction NFC d'une carte de paiement multifonctionnelle personnalisée constitue un instrument de paiement, car elle permet d'initier des ordres de paiement sans nécessiter d'authentification forte.

Résumé par Doctrine IA

La décision concerne la fonction NFC (communication en champ proche) des cartes de paiement et les clauses contractuelles relatives à leur utilisation. La question juridique principale est de savoir si la fonction NFC constitue un "instrument de paiement" selon la directive UE 2015/2366, et si les clauses qui prévoient une acceptation tacite des modifications contractuelles par le consommateur sont valides.

L'avocat général propose que la fonction NFC soit considérée comme un instrument de paiement. Il suggère également que les paiements effectués avec la fonction NFC sont "anonymes" selon la directive, permettant certaines dérogations aux obligations du prestataire de services de paiement. Cependant, il estime que l'établissement bancaire doit prouver l'impossibilité technique de bloquer la carte pour invoquer ces dérogations.

Enfin, l'avocat général recommande une interprétation stricte de l'acceptation tacite des modifications contractuelles, limitée aux modifications non essentielles du contrat-cadre. Les modifications substantielles, telles que l'ajout de la fonction NFC, nécessiteraient un consentement explicite du consommateur.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaires • 4

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Fraude bancaire : que vaut réellement le rapport d’expertise informatique produit par la banque ?

Me Thomas Gauriat · consultation.avocat.fr · 14 janvier 2026

2. Comment appliquer DSP 2 à la fonctionnalité "paiement sans contact" ? la CJUE livre son interprétationAccès limité

Lexis Veille · 24 novembre 2020

3. Paiement sans contact : Honni soit qui mal y pense ? La responsabilité des banques renforcéeAccès limité

justice.legibase.fr · 11 novembre 2020

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (4)

Sur la décision

Référence :	CJUE, Cour, 30 avr. 2020, C-287/19
Numéro(s) :	C-287/19
Conclusions de l'avocat général M. M. Campos Sánchez-Bordona, présentées le 30 avril 2020.#DenizBank AG contre Verein für Konsumenteninformation.#Demande de décision préjudicielle, introduite par l'Oberster Gerichtshof.#Renvoi préjudiciel – Protection des consommateurs – Directive (UE) 2015/2366 – Services de paiement dans le marché intérieur – Article 4, point 14 – Notion d’instrument de paiement – Cartes bancaires multifonctions personnalisées – Fonction de communication en champ proche (NFC) – Article 52, point 6, sous a), et article 54, paragraphe 1 – Informations à fournir à l’utilisateur – Modification des conditions d’un contrat-cadre – Acceptation tacite – Article 63, paragraphe 1, sous a) et b) – Droits et obligations liés aux services de paiement – Dérogation pour les instruments de paiement relatifs à des montants de faible valeur – Conditions d’application – Instrument de paiement ne pouvant pas être bloqué – Instrument de paiement utilisé de manière anonyme – Limitation des effets de l’arrêt dans le temps.#Affaire C-287/19.
Date de dépôt :	5 avril 2019
Précédents jurisprudentiels :	22 mars 2018, Rasool ( C-568/16, EU:C:2018:211 25 janvier 2017, BAWAG ( C-375/15, EU:C:2017:38 9 Arrêt du 9 avril 2014, T-Mobile Austria ( C-616/11 BAWAG ( C-375/15, EU:C:2017:38 C-616/11, EU:C:2013:691 DiBa Direktbank Austria ( C-191/17, EU:C:2018:809 Ghannadan ( C-274/18, EU:C:2019:828 Oftalma Hospital ( C-65/17, EU:C:2018:263 Tecnoservice Int. ( C-245/18, EU:C:2019:242 Transportes Jordi Besora ( C-82/12, EU:C:2014:108
Solution :	Renvoi préjudiciel
Identifiant CELEX :	62019CC0287
Identifiant européen :	ECLI:EU:C:2020:322
Télécharger le PDF original fourni par la juridiction

Sur les parties

Avocat général :	Campos Sánchez-Bordona

Texte intégral

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 30 avril 2020 ( 1 )

Affaire C-287/19

DenizBank AG

contre

Verein für Konsumenteninformation

[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]

« Renvoi préjudiciel – Protection des consommateurs – Services de paiement dans le marché intérieur – Clauses abusives – Modification des conditions d’un contrat-cadre – Contrôle de transparence – Validité des clauses qui contiennent une présomption d’acceptation et qui mettent à la charge de l’utilisateur de services de paiement le risque de responsabilité du fait de paiements non autorisés – Dérogation pour les instruments de paiement relatifs à des montants de faible valeur – Carte de paiement personnalisée ayant une fonction de communication en champ proche (NFC) – Instruments de paiement anonymes – Instruments de paiement sans possibilité de blocage »

L’innovation technologique a une incidence énorme sur les services de paiement dans le marché intérieur. L’adoption de la directive 2007/64/CE ( 2 ) et son remplacement, à peine quelques années plus tard, par la directive (UE) 2015/2366 ( 3 ) en attestent. Cette actualisation était indispensable au vu des nouveaux systèmes de paiement, du volume croissant de paiements électroniques et de l’augmentation des risques en matière de sécurité découlant des uns et des autres.

L’une de ces technologies, la Near Field Communication (« communication en champ proche » ; ci-après la « NFC »), s’est rapidement popularisée. Certaines cartes de paiement en sont pourvues ( 4 ). Cette fonction permet d’effectuer des paiements relatifs à des montants de faible valeur, de manière anonyme et sans nécessité d’authentification forte.

Les établissements bancaires qui émettent les cartes dotées de la fonction NFC aspirent à promouvoir les contrats en masse, ce qui facilite leur gestion, mais les conditions qu’ils imposent à leur utilisation sont susceptibles de porter atteinte aux droits des consommateurs. La tension entre ces deux objectifs est sous-jacente dans les questions de la juridiction de renvoi.

I. Le cadre juridique

A. Le droit de l’Union : la directive 2015/2366

Parmi les considérants de la directive 2015/2366, il y a lieu de mentionner les suivants :

« (6)

[…] Il conviendrait d’assurer aux acteurs du marché, qu’ils soient déjà en place ou nouveaux venus, des conditions équivalentes d’exercice de leur activité, de manière à permettre aux nouveaux moyens de paiement d’atteindre plus facilement un plus large public, tout en veillant à offrir aux consommateurs un niveau élevé de protection dans l’utilisation des services de paiement dans l’ensemble de l’Union. Cela devrait renforcer l’efficacité du système de paiement dans son ensemble et se traduire par un plus large choix et une plus grande transparence des services de paiement, ainsi que par une plus grande confiance des consommateurs à l’égard d’un marché des paiements harmonisé.

[…]

(63)

Afin de garantir un niveau élevé de protection des consommateurs, les États membres devraient être en mesure, dans l’intérêt du consommateur, d’introduire ou de maintenir des restrictions ou des interdictions concernant les modifications unilatérales des termes d’un contrat-cadre, par exemple lorsqu’une modification n’est pas justifiée.

[…]

(91)

Les prestataires de services de paiement sont responsables des mesures de sécurité. Celles-ci doivent être proportionnées aux risques de sécurité concernés. Les prestataires de services de paiement devraient établir un cadre permettant d’atténuer les risques et maintenir des procédures efficaces de gestion des incidents. Il convient de mettre en place un dispositif de déclaration régulière, permettant de veiller à ce que les prestataires de services de paiement fournissent régulièrement aux autorités compétentes une évaluation à jour de leurs risques de sécurité ainsi que des informations à jour sur les mesures prises en réponse à ces risques. En outre, pour limiter dans toute la mesure du possible les dommages pouvant être causés aux utilisateurs, aux autres prestataires de services de paiement ou aux systèmes de paiement, tels qu’une perturbation majeure d’un système de paiement, il est essentiel d’imposer aux prestataires de services de paiement l’obligation de signaler sans retard injustifié les incidents de sécurité majeurs aux autorités compétentes. Il convient de conférer un rôle de coordination à l’ABE.

[…]

(96)

Les mesures de sécurité devraient être compatibles avec le niveau de risque associé au service de paiement. Afin de permettre le développement de moyens de paiement accessibles et faciles à utiliser pour les paiements présentant peu de risques, tels que les paiements de faible valeur sans contact au point de vente, qu’ils soient ou non fondés sur la téléphonie mobile, les dérogations à l’application des exigences de sécurité devraient être précisées dans les normes techniques de réglementation. […] »

5.	L’article 4, point 14, de la directive 2015/2366 définit l’« instrument de paiement » comme « tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour initier un ordre de paiement ».

6.	Le titre III de la directive 2015/2366 est consacré à la « Transparence des conditions et exigences en matière d’informations régissant les services de paiement ». Dans son chapitre 3, qui régit les « contrats-cadres », se trouvent les articles 52 et 54.

L’article 52 de la directive 2015/2366 (intitulé « Informations et conditions ») dispose :

« Les États membres veillent à ce que les informations et les conditions ci-après soient fournies à l’utilisateur de services de paiement :

[…]

sur la modification et la résiliation d’un contrat-cadre :

s’il en est convenu ainsi, le fait que l’utilisateur de services de paiement est réputé avoir accepté la modification des conditions conformément à l’article 54, à moins que l’utilisateur de services de paiement n’ait notifié au prestataire de services de paiement son refus de cette modification avant la date proposée pour l’entrée en vigueur de celle-ci ;

b)	la durée du contrat-cadre ;

c)	le droit de l’utilisateur de services de paiement de résilier le contrat-cadre et tout accord lié à cette résiliation, conformément à l’article 54, paragraphe 1, et à l’article 55 ;

[…] »

L’article 54 de la directive 2015/2366 (intitulé « Modification des conditions du contrat-cadre ») prévoit :

« 1. Toute modification du contrat-cadre ou des informations et conditions prévues à l’article 52 est proposée par le prestataire de services de paiement selon les modalités prévues à l’article 51, paragraphe 1, et au plus tard deux mois avant la date proposée pour son entrée en vigueur. L’utilisateur de services de paiement peut accepter ou rejeter la modification avant la date proposée pour son entrée en vigueur.

Le cas échéant, conformément à l’article 52, point 6) a), le prestataire de services de paiement informe l’utilisateur de services de paiement qu’il est réputé avoir accepté la modification s’il n’a pas notifié au prestataire de services de paiement, avant la date d’entrée en vigueur proposée de cette modification, qu’il ne l’acceptait pas. Le prestataire de services de paiement informe également l’utilisateur de services de paiement que, au cas où ledit utilisateur rejette la modification, l’utilisateur de services de paiement a le droit de résilier le contrat-cadre sans frais et avec effet à tout moment jusqu’à la date à laquelle la modification aurait été appliquée.

[…] »

Dans le titre IV, intitulé « Droits et obligations liés à la prestation et à l’utilisation de services de paiement », au chapitre 1, intitulé « Dispositions communes », l’article 63, intitulé « Dérogation pour les instruments de paiement relatifs à des montants de faible valeur et pour la monnaie électronique », énonce :

« 1. Dans le cas d’instruments de paiement qui, conformément au contrat-cadre, concernent uniquement des opérations de paiement individuelles dont le montant n’excède pas 30 euros ou qui soit ont une limite de dépenses de 150 euros, soit stockent des fonds dont le montant n’excède à aucun moment 150 euros, les prestataires de services de paiement peuvent convenir avec leurs utilisateurs de services de paiement que :

a)	l’article 69, paragraphe 1, point b), l’article 70, paragraphe 1, points c) et d), et l’article 74, paragraphe 3, ne s’appliquent pas si l’instrument de paiement ne peut pas être bloqué ou si la poursuite de l’utilisation de celui-ci ne peut être empêchée ;

les articles 72 et 73 et l’article 74, paragraphes 1 et 3, ne s’appliquent pas si l’instrument de paiement est utilisé de manière anonyme ou si le prestataire de services de paiement n’est pas en mesure, pour des raisons autres qui sont inhérentes à l’instrument de paiement, d’apporter la preuve qu’une opération de paiement a été autorisée ;

[…] »

B. Le droit autrichien : la loi sur les services de paiement de 2018

10.

L’article 4, point 14, du Bundesgesetz über die Erbringung von Zahlungsdiensten 2018 (Zahlungsdienstegesetz 2018-ZaDiG 2018) (loi sur les services de paiement, ci-après le « ZaDiG »), du 24 avril 2018 (BGB1 I, 17/2018) ( 5 ), définit l’« instrument de paiement » de la même manière que le fait l’article homonyme de la directive 2015/2366.

11.	S’agissant de la modification des contrats-cadres, l’article 48, paragraphe 1, point 6, du ZaDiG reprend le contenu de l’article 52, point 6, de la directive 2015/2366.

12.	En ce qui concerne la modification des conditions des contrats-cadres, l’article 50, paragraphe 1, du ZaDiG est formulé dans des termes semblables à ceux de l’article 54, paragraphe 1, de la directive 2015/2366.

13.	Il en va de même concernant l’article 57, paragraphe 1, du ZaDiG et l’article 63, paragraphe 1, de la directive 2015/2366, s’agissant de la dérogation pour les instruments de paiement relatifs à des montants de faible valeur et pour la monnaie électronique.

II. Le litige et les questions préjudicielles

14.	Le Verein für Konsumenteninformation (ci-après le « VKI ») est une association qui, conformément au droit autrichien, a qualité pour agir en justice aux fins de la défense des intérêts des consommateurs.

15.

DenizBank AG est un établissement bancaire qui exerce ses activités en Autriche. Dans le cadre de ses relations avec les clients, elle applique des conditions contractuelles générales et des formulaires contractuels, notamment en ce qui concerne l’utilisation de cartes de paiement dotées de la fonction NFC. Cette fonction est automatiquement activée la première fois que le client utilise la carte.

16.

En approchant lesdites cartes de paiement du terminal de vente, dans les établissements disposant d’un appareil adapté à la connexion sans fil, il est possible d’effectuer des paiements allant jusqu’à 25 euros sans devoir saisir un numéro d’identification personnel (ci-après le « code PIN »). Pour des montants supérieurs, l’identification au moyen du code PIN est requise.

17.

Parmi les conditions générales appliquées par DenizBank dans ses contrats figurent les clauses suivantes :

« Clause 14 :

Modifications des [conditions générales relatives aux cartes de débit] : les modifications des présentes conditions générales sont proposées au client au plus tard deux mois avant la date prévue pour leur entrée en vigueur. Le client est réputé avoir accepté ces modifications et celles-ci sont donc réputées convenues si le client n’a pas fait part de son refus à DenizBank AG avant la date d’entrée en vigueur prévue. La proposition de modification précitée est transmise au client sur papier ou, s’il y consent, sur un support de données durable. Dans sa proposition de modification, DenizBank AG informe le client et attire son attention sur le fait que son silence à cet égard vaut acceptation de la modification. De plus, DenizBank AG publie sur son site Internet une comparaison des clauses concernées par la modification des conditions générales et elle transmet également cette comparaison au client. À l’égard d’une entreprise, il suffit que DenizBank AG permette une consultation de la proposition de modification selon un moyen convenu avec cette entreprise. Lorsqu’une telle modification des conditions générales est prévue, le client ayant la qualité de consommateur a le droit de résilier sans frais et sans préavis ses contrats-cadres relatifs aux services de paiement (et en particulier au compte courant). Ce point est également indiqué par DenizBank AG dans la proposition de modification adressée au client.

Clause 15 :

Absence de preuve de l’autorisation : dans la mesure où la finalité des paiements de montants de faible valeur sans saisie du code personnel est qu’une opération de paiement puisse être effectuée de manière simplifiée et sans autorisation, DenizBank AG n’est pas tenue de prouver que l’opération de paiement a été autorisée, dûment enregistrée et comptabilisée ni que cette opération n’a pas été affectée par une déficience technique ou autre.

Clause16 :

Pas de responsabilité en cas de paiements non autorisés : dans la mesure où, lorsque la carte de retrait est utilisée pour des paiements de montants de faible valeur sans saisie du code personnel, DenizBank AG n’est pas en mesure de vérifier que l’opération de paiement a été autorisée par le titulaire de la carte, DenizBank AG n’a, en cas d’opération de paiement non autorisée, aucune obligation de rembourser le montant du paiement non autorisé ni de remettre le compte débité en l’état dans lequel il se serait trouvé en l’absence de l’opération de paiement non autorisée. Sont également exclues toutes autres prétentions contre DenizBank AG, dès lors qu’elles seraient fondées sur une négligence simple de DenizBank AG.

Clause 17 :

Avertissement : le détenteur du compte bancaire supporte le risque de tout usage abusif de la carte de retrait concernant des paiements de faible valeur sans saisie du code personnel.

Clause 18 :

Impossibilité de bloquer les paiements de faible valeur en cas de disparition de la carte de retrait : il est techniquement impossible de bloquer la carte de retrait en ce qui concerne les paiements de faible valeur. En cas de disparition (par exemple perte ou vol) de la carte de retrait, même après un blocage effectué conformément au point 2.7, des paiements de faible valeur jusqu’à un total de 75 euros peuvent encore être effectués. Ces montants ne seront pas remboursés. Dans la mesure où il s’agit de paiements de faible valeur au sens de l’article 33 du [ZaDiG], où seules des opérations unitaires n’excédant pas 25 euros sont possibles et où il n’existe aucune possibilité de bloquer la carte de retrait en ce qui concerne des paiements de faible valeur sans saisie du code personnel, l’article 44, paragraphe 3, du [ZaDiG] n’est pas applicable.

Clause 19 :

À moins que le point 3 ne contienne une disposition expresse relative aux paiements de faible valeur, les dispositions du point 2 (services de cartes) leur sont également applicables. »

18.	Le 9 août 2016, VKI a introduit une action en cessation contre DenizBank devant le Handelsgericht Wien (tribunal de commerce de Vienne, Autriche).

19.

Par jugement du 28 avril 2017, le Handelsgericht Wien (tribunal de commerce de Vienne) a fait droit au recours s’agissant des clauses 14 à 19. Selon cette juridiction, la clause 14 était manifestement abusive et les conditions d’application des dispositions dérogatoires relatives aux instruments de paiements de faible valeur n’étaient pas réunies, dans la mesure où la carte pouvait également être utilisée pour d’autres paiements. La fonction supplémentaire du paiement sans contact et sans authentification ne devait nullement être considérée comme un instrument de paiement.

20.	Saisi d’un appel contre ce jugement, l’Oberlandesgericht (tribunal régional supérieur de Vienne, Autriche) a, dans un arrêt du 20 novembre 2017, confirmé en partie l’interprétation de la juridiction de première instance.

21.

Selon la juridiction d’appel, si l’on ne considère que la fonction de paiement sans contact, il ne s’agit pas de l’utilisation d’un instrument de paiement, mais d’une opération comparable aux transactions de cartes de crédit effectuées par courrier ou par téléphone. Cela est étayé par le fait que, pour des montants de faible valeur, la fonction de paiement NFC, qui ne nécessite pas la saisie d’un code PIN, est activée automatiquement, ce qui n’est pas le cas du « porte-monnaie électronique ». De plus, la carte bancaire utilisée pour les transactions NFC n’est pas anonyme, mais personnalisée et protégée par un code personnel.

22.

VKI et DenizBank ont tous deux formés des pourvois contre l’arrêt du 20 novembre 2017 devant l’Oberster Gerichtshof (Cour suprême, Autriche), qui a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Convient-il d’interpréter les dispositions combinées de l’article 52, point 6, sous a), et de l’article 54, paragraphe 1, de la directive (UE) 2015/2366 (directive sur les services de paiement) – en vertu desquelles l’utilisateur de services de paiement est réputé avoir accepté une modification proposée des conditions contractuelles à moins que l’utilisateur de services de paiement n’ait notifié au prestataire de services de paiement son refus de cette modification avant la date proposée pour l’entrée en vigueur de celle-ci – en ce sens qu’une présomption d’acceptation peut être convenue, même avec un consommateur, sans aucune restriction pour toutes les conditions contractuelles envisageables ?

Convient-il d’interpréter l’article 4, point 14, de la directive sur les services de paiement en ce sens que la fonction de paiement sans contact (NFC) d’une carte bancaire multifonctions personnalisée – fonction grâce à laquelle sont opérés des paiements de faibles montants au débit du compte bancaire associé – constitue un instrument de paiement ?

Dans l’hypothèse où il serait répondu par l’affirmative à la seconde question, sous a) :

Convient-il d’interpréter l’article 63, paragraphe 1, sous b), de la directive sur les services de paiement – disposition introduisant des dérogations pour les instruments de paiement relatifs à des montants de faible valeur et pour la monnaie électronique – en ce sens que le paiement sans contact d’un montant de faible valeur au moyen de la fonction NFC d’une carte bancaire multifonctions personnalisée doit être considéré comme une utilisation de manière anonyme de l’instrument de paiement au sens de la disposition dérogatoire ?

Convient-il d’interpréter l’article 63, paragraphe 1, sous b) [ ( 6 )], de la directive sur les services de paiement en ce sens qu’un prestataire de services de paiement ne peut invoquer cette disposition dérogatoire que s’il est démontré que l’état objectif des connaissances techniques ne permet pas de bloquer l’instrument de paiement ou qu’un usage ultérieur ne peut pas être empêché ? »

23.

Bien que la règle applicable ratione temporis aux faits soit la directive 2007/64, l’Oberster Gerichtshof (Cour suprême) a expliqué, à la demande de la Cour, que, dans la mesure où il statue sur des actions en cessation relatives à la validité de clauses contractuelles (« Klauselprozess »), il doit également appliquer la directive 2015/2366, réglementation applicable au moment où l’arrêt sera rendu. Puisque le contenu des dispositions de ces deux directives est, en ce qui concerne le présent litige, quasiment identique ( 7 ), je me référerai aux dispositions de la directive 2015/2366, sur lesquelles portent les questions de la juridiction de renvoi.

24.	VKI, DenizBank, la Commission européenne ainsi que les gouvernements tchèque et portugais ont déposé des observations écrites. Une audience s’est tenue le 13 février 2020 en présence de VKI, de DenizBank et de la Commission.

III. Appréciation

25.

Les quatre questions de la juridiction de renvoi peuvent être analysées en modifiant leur ordre et en regroupant certaines d’entre elles. Ainsi :

–	j’examinerai, tout d’abord, si la fonction NFC des cartes de paiement permet de qualifier cette fonction d’instrument de paiement [deuxième question préjudicielle, sous a)] ;

–	je m’occuperai ensuite de l’utilisation des cartes ayant une fonction NFC en tant qu’instruments de paiement anonymes et sans possibilité de blocage [deuxième question, sous b), et troisième question] ;

–	enfin, je me pencherai sur les possibilités de modification tacite des clauses du contrat-cadre (première question préjudicielle).

26.

Bien que DenizBank ait fait valoir que les effets d’un éventuel arrêt défavorable à sa thèse devraient être limités dans le temps, je crois qu’il n’y a pas lieu d’adopter une telle mesure, qui n’a pas non plus été demandée par la juridiction de renvoi et par les autres intervenants. En outre, DenizBank se contente de mentionner des arguments généraux quant à l’éventuelle incidence financière de l’arrêt, mais ne fournit aucun élément concret afin de fonder cette demande exceptionnelle sur la bonne foi des milieux concernés et le risque de troubles graves, comme l’exige la jurisprudence de la Cour ( 8 ).

A. La fonction NFC des cartes de paiement personnalisées en tant qu’instrument de paiement [deuxième question préjudicielle, sous a)]

27.	La juridiction de renvoi souhaite savoir si « la fonction de paiement sans contact (NFC) d’une carte bancaire multifonctions personnalisée […] constitue un instrument de paiement », au sens de l’article 4, point 14, de la directive 2015/2366.

28.	Conformément à cette disposition, il convient d’entendre par « instrument de paiement »« tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour initier un ordre de paiement ».

29.

Dans l’arrêt T-Mobile Austria ( 9 ), la Cour a jugé que les instruments de paiement peuvent être :

–	personnalisés, c’est-à-dire qu’ils permettent au prestataire de services de paiement de vérifier que l’ordre de paiement a été initié par un utilisateur habilité à le faire ;

–	anonymes ou non personnalisés, auquel cas les prestataires de services de paiement ne sont pas tenus d’apporter la preuve de l’authentification de l’opération.

30.

L’existence d’instruments de paiement non personnalisés implique que la notion définie à l’article 4, point 14, de la directive 2015/2366 peut inclure un ensemble de procédures non personnalisées, convenu entre le prestataire de services de paiement et l’utilisateur, et auquel ce dernier a recours pour initier un ordre de paiement ( 10 ).

31.

Dans l’arrêt T-Mobile Austria, la Cour a dissipé les doutes soulevés par l’utilisation variable de l’adjectif « personnalisé » dans les différentes versions linguistiques de l’article 4, point 23, de la directive 2007/64 ( 11 ), dont le contenu est quasiment le même que celui de l’actuel article 4, point 14, de la directive 2015/2366.

32.

La définition de l’instrument de paiement utilisant le terme « personnalisé » afin de désigner à la fois un dispositif et un ensemble de procédures ne se trouve que dans la version allemande ( 12 ). À la lumière des autres versions et des objectifs de la directive 2015/2366, il y a lieu de convenir que la définition des instruments de paiement couvre les instruments personnalisés et les instruments non personnalisés ou anonymes ( 13 ).

33.

Il est vrai, comme l’indique le gouvernement portugais, que les cartes bancaires ne sont pas expressément citées en tant qu’instruments de paiement par la directive 2015/2366. Toutefois, à l’annexe I, point 3, sous b), de cette directive, l’« exécution d’opérations de paiement à l’aide d’une carte de paiement ou d’un dispositif similaire » est considérée comme un service de paiement.

34.	En outre, le règlement (UE) 2015/751 ( 14 ) définit, à son article 2, point 15, la « carte de paiement » comme une « catégorie d’instrument de paiement qui permet au payeur d’initier une opération par carte de débit ou de crédit ».

35.

Le règlement 2015/751 qualifie également d’« opération de paiement liée à une carte », à son article 2, point 7, un « service lié à l’infrastructure et aux règles commerciales d’un schéma de cartes de paiement visant à effectuer une opération de paiement au moyen de toute carte, tout appareil ou logiciel de télécommunication, numérique ou informatique et qui donne lieu à une opération par carte de débit ou de crédit. Ne constituent pas des opérations de paiement liées à une carte les opérations fondées sur d’autres types de services de paiement ».

36.

Il ressort de ces dispositions de la directive 2015/2366 et du règlement 2015/751 (réglementations étroitement liées) que les cartes de paiement sont des instruments de paiement, au sens de la directive 2015/2366. Une carte bancaire multifonctionnelle telle que celle émise par Denizbank peut donc être considérée comme un instrument de paiement soumis à la directive 2015/2366.

37.

Ce type de cartes a une double nature ou fonctionnalité :

–

d’une part, elles sont liées à un client spécifique et clairement identifiable, de sorte qu’elles peuvent être utilisées en tant qu’instruments de paiement personnalisés, lorsque le client de l’établissement bancaire autorise ce dernier à payer le destinataire au moyen de l’introduction d’un code PIN ou d’une signature. En outre, cette utilisation de la carte bancaire en tant qu’instrument de paiement personnalisé peut être établie comme étant la seule possible pour toutes les opérations de paiement. Il me semble qu’il ne fait aucun doute que les cartes bancaires ayant cette seule fonctionnalité sont soumises au régime de la directive 2015/2633 et à ses règles d’application ;

–

d’autre part, elles peuvent avoir une fonctionnalité supplémentaire, celle correspondant à la NFC, comme c’est le cas des cartes émises par DenizBank. La fonction NFC de ces cartes, tant de crédit que de débit, permet de payer un achat en utilisant la technologie d’identification par radiofréquence intégrée dans la carte elle-même. Les clients effectuent le paiement en approchant cette carte d’un terminal de vente, sans qu’il soit nécessaire de la faire passer dans une fente de lecture. La communication sans fil entre la carte ayant une fonction NFC et le terminal de vente suffit pour valider la transaction, quel que soit à ce moment le détenteur de la carte, sans nécessiter l’introduction d’un code PIN ou la signature manuscrite du titulaire ( 15 ). Il s’agit donc d’une procédure de paiement non personnalisée ou anonyme.

38.

La fonction NFC d’une carte bancaire multifonctionnelle personnalisée relève de la catégorie de l’instrument de paiement anonyme, puisqu’elle constitue un ensemble de procédures non personnalisé, convenu entre le prestataire de services de paiement et l’utilisateur, qui l’utilise pour initier un ordre de paiement, au sens de l’article 4, point 14, de la directive 2015/2366.

39.

Pour effectuer le paiement, il suffit, comme je l’ai déjà dit, de disposer de la carte ayant une fonction NFC. Par conséquent, tout tiers, même non autorisé, pourrait l’utiliser. Ce risque significatif explique que la fonction NFC intégrée dans la carte ne serve que pour payer de faibles montants, avec un plafond réduit (en l’occurrence 25 euros).

40.

Comme je viens de l’indiquer, les instruments de paiement anonyme se traduisent par un ensemble de procédures non personnalisé « convenu » entre le prestataire de services de paiement et l’utilisateur. La juridiction de renvoi doit vérifier si, en l’espèce, il y a eu un tel accord, car, selon VKI, DenizBank active automatiquement la fonction NFC de la carte bancaire multifonctionnelle personnalisée, même sans le consentement de l’utilisateur ( 16 ).

41.

Qualifier la fonction NFC d’une carte bancaire multifonctionnelle personnalisée d’instrument de paiement anonyme est la solution la plus cohérente avec une interprétation finaliste ( 17 ) de l’article 4, point 14, de la directive 2015/2366 et est conforme aux objectifs de cette dernière, tels que décrits à ses considérants 5 et 6.

42.

En effet, la protection élevée des consommateurs (utilisateurs de cartes ayant une fonction NFC) et la promotion d’une concurrence loyale et transparente entre les établissements financiers qui les émettent plaident en faveur de la qualification de ces cartes en tant qu’instruments de paiement soumis à la directive 2015/2366. Elles bénéficieront ainsi des garanties prévues par cette directive afin d’augmenter le niveau de confiance des consommateurs à l’égard d’un marché des paiements harmonisé.

43.	Cette même appréciation ressort également de l’article 11 du règlement délégué (UE) 2018/389 ( 18 ), qui réglemente le « [p]aiement sans contact au point de vente » en tant que moyen facilitant le développement de services de paiement conviviaux présentant un faible risque ( 19 ).

44.

Aux termes de cette disposition, les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client ( 20 ) lorsque le payeur initie une opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies :

a)	le montant individuel de l’opération de paiement électronique sans contact ne dépasse pas 50 euros ; et

b)	le montant cumulé des précédentes opérations, depuis la date de la dernière authentification forte du client, ne dépasse pas 150 euros ; ou

c)	le nombre d’opérations de paiement électronique sans contact consécutives, depuis la dernière authentification forte du client, ne dépasse pas cinq.

45.

En raison même de leur nature, les paiements effectués au moyen d’instruments de paiement anonymes (tels qu’une carte de paiement ayant une fonction NFC) ne sont pas soumis à l’obligation d’authentification forte du client ( 21 ), dispense ( 22 ) dont bénéficient également d’autres instruments ( 23 ).

46.

Le gouvernement tchèque soutient toutefois que l’instrument de paiement est la carte de paiement multifonctionnelle personnalisée elle-même et estime que la fonction NFC n’est qu’une possibilité d’utilisation parmi d’autres de cette carte. Cette dernière ne serait pas un instrument de paiement anonyme, mais pourrait simplement être utilisée pour des paiements de faible valeur de façon moins sûre, en utilisant l’authentification au moyen de la technologie NFC (c’est-à-dire sans que le titulaire de la carte ait besoin de recourir à un élément de sécurité tel que sa signature ou un code PIN).

47.

Je ne partage pas cet argument. Selon moi, comme je l’ai déjà expliqué, les cartes du type de celles émises par DenizBank contiennent deux instruments de paiement distincts, à savoir :

–	un dispositif personnalisé qui requiert l’utilisation d’un ou de deux éléments de sécurité (authentification forte) et qui est réservé aux paiements à partir d’un certain montant ;

–	un ensemble de procédures afin d’effectuer un paiement d’un montant moins élevé sans recourir à ces éléments de sécurité, en utilisant la fonction NFC.

48.	Le principe de neutralité technologique, qui inspire plusieurs dispositions de la directive 2015/2366 et qui est mentionné à son considérant 21 ( 24 ), plaide en faveur de la considération de ces deux fonctionnalités d’une même carte bancaire comme deux instruments de paiement distincts.

49.

Il en va ainsi car, à l’instrument traditionnel (la carte de paiement personnalisée classique) ( 25 ) a récemment été ajouté un autre instrument, la fonctionnalité NFC, qui constitue un instrument de paiement distinct soumis à un régime juridique différent. Le support physique est identique (la carte émise par l’établissement bancaire), mais ce support abrite désormais deux instruments de paiement hétérogènes.

50.

Cette interprétation est, je le répète, celle qui est la plus cohérente avec le principe de neutralité technologique de la directive 2015/2366, dont les dispositions ne doivent pas empêcher le développement de nouveaux instruments et services de paiement, au fur et à mesure que l’état d’avancement de la technologie le permettra. Rien ne doit faire obstacle à ce que, à l’avenir, d’autres instruments de paiement soient ajoutés à une carte, outre la fonctionnalité personnalisée et la fonction NFC dont elle peut déjà disposer.

51.	En résumé, la fonction NFC d’une carte de paiement multifonctionnelle personnalisée doit être qualifiée d’instrument de paiement, au sens de l’article 4, point 14, de la directive 2015/2366.

B. L’utilisation des cartes ayant une fonction NFC en tant qu’instruments de paiement anonyme et sans possibilité de blocage [deuxième question préjudicielle, sous b), et troisième question préjudicielle]

52.	La juridiction de renvoi demande si, lorsqu’un paiement de faible valeur est effectué sans contact avec la carte ayant la fonction NFC, « l’instrument de paiement est utilisé de manière anonyme », aux fins de la dérogation prévue à l’article 63, paragraphe 1, sous b), de la directive 2015/2366.

53.

Par sa troisième question préjudicielle, elle souhaite, en outre, savoir si l’article 63, paragraphe 1, sous a), de la directive 2015/2366, qui prévoit une autre dérogation similaire (non identique) à celle précitée, est applicable dans de tels cas « si l’instrument de paiement ne peut pas être bloqué ou si la poursuite de l’utilisation de celui-ci ne peut être empêchée ».

54.

L’article 63 de la directive 2015/2366 prévoit une série de dérogations pour les instruments de paiement relatifs à des montants de faible valeur (et pour la monnaie électronique, mais cela n’est pas pertinent en l’espèce), en vertu desquelles certains « droits et obligations liés à la prestation et à l’utilisation de services de paiement », prévus à son titre IV, ne s’appliquent pas.

55.

L’article 63, paragraphe 1, de la directive 2015/2366 porte sur des instruments de paiement bien précis, ceux qui, « conformément au contrat-cadre, concernent uniquement des opérations de paiement individuelles dont le montant n’excède pas 30 euros ou qui soit ont une limite de dépenses de 150 euros, soit stockent des fonds dont le montant n’excède à aucun moment 150 euros ».

56.

Dans ces cas, les prestataires de services de paiement peuvent convenir avec leurs utilisateurs que certains droits ou certaines obligations visés à d’autres dispositions de la directive 2015/2366 ne s’appliquent pas :

–

si l’instrument de paiement « ne peut pas être bloqué ou si la poursuite de l’utilisation de celui-ci ne peut être empêchée » [article 63, paragraphe 1, sous a), de la directive 2015/2366], les parties au contrat peuvent ne pas appliquer l’article 69, paragraphe 1, sous b) ( 26 ), l’article 70, paragraphe 1, sous c) et d) ( 27 ), et l’article 74, paragraphe 3 ( 28 ) de cette directive ;

–

si l’instrument de paiement « est utilisé de manière anonyme ou si le prestataire de services de paiement n’est pas en mesure, pour des raisons autres qui sont inhérentes à l’instrument de paiement, d’apporter la preuve qu’une opération de paiement a été autorisée » [article 63, paragraphe 1, sous b), de la directive 2015/2366], les parties au contrat peuvent ne pas appliquer l’article 72 ( 29 ), l’article 73 ( 30 ) et l’article 74, paragraphes 1 et 3 ( 31 ) de cette directive.

1. Obligations de l’établissement émetteur lorsque les cartes ne peuvent pas être bloquées et que la poursuite de leur utilisation ne peut pas être empêchée

57.	La première dérogation [article 63, paragraphe 1, sous a), de la directive 2015/2366] instaure un régime de responsabilité « atténuée » de l’établissement émetteur de la carte de paiement.

58.

Si cette carte ne peut pas être bloquée et que la « poursuite de l’utilisation » de celle-ci ne peut pas être empêchée (par exemple, en cas d’utilisation anormale due à une perte, un vol, un détournement ou une utilisation non autorisée), l’établissement bancaire peut convenir avec ses clients qu’il ne supportera pas, en cas d’utilisation anormale, les obligations générales, prévues par la directive 2015/2366, pour faciliter le blocage de la carte et la poursuite de son utilisation.

59.

Comme la juridiction de renvoi l’indique à juste titre, l’établissement bancaire émetteur d’une carte ayant une fonction NFC ne peut se prévaloir de la dérogation prévue à l’article 63, paragraphe 1, sous a), de la directive 2015/2366 que s’il démontre qu’il n’est techniquement pas possible de bloquer cette carte ou d’empêcher la poursuite de son utilisation, dans les cas susmentionnés. La charge de prouver cette impossibilité lui incombe donc, puisque cette dérogation est d’interprétation stricte.

60.

C’est également à juste titre que la juridiction de renvoi ajoute que, si l’établissement bancaire n’était pas tenu de prouver l’impossibilité de bloquer de la carte, il lui suffirait de commercialiser une carte techniquement médiocre (sans aucun type de blocage) pour nuire aux intérêts des consommateurs, en faisant peser sur eux le risque lié aux paiements non autorisés.

61.

Je partage ces considérations ; en effet, l’exonération de responsabilité serait sinon contraire au considérant 91 ( 32 ) et à l’article 73 de la directive 2015/2366, qui imposent au prestataire de services de paiement de garantir la sécurité des paiements et d’assumer la responsabilité (bien qu’avec une légère limitation) des opérations de paiement non autorisées.

62.

Il appartient à la juridiction de renvoi de le vérifier, mais tout indique que l’état de la technique permet à un établissement bancaire de bloquer une carte de paiement multifonctionnelle personnalisée ( 33 ). Certaines dispositions de la directive 2015/2366 (notamment les articles 69, 70, 74) tiennent cette possibilité pour acquise. Il ne semble donc pas que l’introduction de la fonctionnalité NFC dans ces cartes empêche leur blocage.

63.

Si tel est le cas, la clause d’un contrat-cadre qui, telle que celle prérédigée par DenizBank (clause 18), affirme qu’« il est techniquement impossible de bloquer la carte de retrait en ce qui concerne les paiements de faible valeur » (et qui refuse le remboursement de certains montants indûment payés, en cas de perte ou de vol de cette carte) serait contraire à l’article 63, paragraphe 1, sous a), de la directive 2015/2366.

2. La responsabilité de l’établissement émetteur lorsque l’instrument de paiement est utilisé de manière anonyme

64.

La juridiction de renvoi souhaite savoir si l’utilisation de la fonction NFC d’une carte de paiement multifonctionnelle personnalisée peut relever des termes « utilisation de manière anonyme », qui correspondent à la dérogation prévue à l’article 63, paragraphe 1, sous b), de la directive 2015/2366.

65.

Cette disposition, je le rappelle, établit un régime de responsabilité atténuée du prestataire de services lorsque l’instrument de paiement est utilisé de manière anonyme ou lorsque « le prestataire de services de paiement n’est pas en mesure, pour des raisons autres qui sont inhérentes à l’instrument de paiement, d’apporter la preuve qu’une opération de paiement a été autorisée ».

66.

Ainsi que l’indiquent la juridiction de renvoi et la Commission, les deux hypothèses ont pour caractéristique commune l’impossibilité de démontrer qui a, de fait, autorisé l’opération de paiement. Cela explique peut-être pourquoi la Cour a traité, dans l’arrêt T-Mobile Austria, la dérogation visée à l’article 53, paragraphe 1, sous b), de la directive 2007/64 de manière générique et sans distinguer les deux circonstances susmentionnées ( 34 ).

67.

Les arguments que j’ai exposés précédemment ( 35 ) m’ont amené à soutenir que la fonction NFC d’une carte bancaire multifonctionnelle personnalisée relève de la catégorie des instruments de paiement anonyme. J’ajouterai qu’il convient de distinguer l’identification du titulaire de la carte (toujours possible, la carte étant personnalisée) de l’autorisation du paiement donnée par le détenteur de la carte (qui peut ne pas être son véritable titulaire, en cas de perte, de vol, de piratage ou de détournement).

68.

Les autorisations de paiement avec la fonction NFC d’une carte de paiement personnalisée ne requièrent qu’une authentification simple (celle que prouve la simple possession) et non une authentification forte (comme ce serait le cas si l’introduction du code PIN ou la signature était exigée). Par conséquent, ces autorisations de paiement doivent être considérées comme anonymes, car l’établissement émettant les cartes ne peut pas prouver que le paiement a bien été autorisé par le titulaire de la carte, plutôt que par un tiers qui aurait volé, piraté ou utilisé la carte à mauvais escient.

69.

L’anonymat de la fonction NFC d’une carte de paiement personnalisée a des avantages et des inconvénients :

–	d’une part, il facilite un traitement plus rapide des paiements et favorise le développement de nouveaux services ou moyens de paiement, conformément aux objectifs de la directive 2015/2366 ( 36 ) ;

–

d’autre part, il engendre un risque d’utilisation indue de la carte, qui échappe au contrôle de son titulaire et de l’établissement bancaire émetteur. Afin de minimiser ce risque, ainsi qu’il a déjà été souligné, la fonction NFC n’admet que des paiements de faible valeur (jusqu’à 30 euros) et toujours avec un plafond maximal (150 euros).

70.

Dans le cadre de ces marges, la solution d’équilibre retenue par la directive 2015/2366 consiste en ce que, si le titulaire d’une carte de paiement personnalisée accepte que cette dernière inclue la fonction NFC, la dérogation prévue à l’article 63, paragraphe 1, sous b), de la directive 2015/2366 s’applique. Par conséquent, les conditions contractuelles qui contiennent une telle dérogation, comme cela semble être le cas des clauses 15, 16 et 17 de l’accord-cadre de DenizBank, sont conformes à cette directive.

71.	En résumé, le paiement sans contact d’une faible somme au moyen de la fonction NFC peut être qualifié d’utilisation « anonyme » d’une carte de paiement multifonctionnelle personnalisée au sens de l’article 63, paragraphe 1, sous b), de la directive 2015/2366.

C. Première question préjudicielle : la modification tacite des clauses d’un contrat-cadre

72.

La juridiction de renvoi souhaite savoir s’il ressort de la lecture combinée de l’article 52, point 6, sous a), et de l’article 54, paragraphe 1, de la directive 2015/2366 que l’utilisateur consent à la modification des obligations contractuelles proposée par le prestataire de services de paiement lorsque, tout simplement, il ne la refuse pas.

73.	Si une telle interprétation était admise, ajoute la juridiction de renvoi, « une présomption d’acceptation [pourrait] être convenue [par l’établissement bancaire], même avec un consommateur, sans aucune restriction pour toutes les conditions contractuelles envisageables ».

74.

En vertu de l’article 52, paragraphe 6, point a), de la directive 2015/2366, « s’il en est convenu ainsi, […] l’utilisateur de services de paiement est réputé avoir accepté la modification des conditions conformément à l’article 54, à moins qu[’il] n’ait notifié au prestataire de services de paiement son refus de cette modification avant la date proposée pour l’entrée en vigueur de celle-ci » ( 37 ).

75.

L’obligation de fournir aux consommateurs l’information précontractuelle est un élément clé du droit de l’Union en matière de protection des consommateurs. Dans un contexte de conclusion d’un très grand nombre de contrats, avec une asymétrie évidente entre le prestataire de services de paiement et les consommateurs, l’information précontractuelle aide ces derniers à prendre des décisions fondées. Elle protège, en outre, leur autonomie contractuelle et leur permet de peser les offres existant sur le marché, tout en favorisant la transparence dans l’exécution des contrats ( 38 ).

76.	La directive 2015/2366 reflète cette orientation tant dans ses considérants (notamment le considérant 59 ( 39 )) que dans ses articles 51 à 54 ( 40 ).

77.

L’article 51 de la directive 2015/2366 régit la forme et la procédure pour fournir l’information précontractuelle à l’utilisateur de services de paiement. L’article 52 de cette directive indique le contenu de ces informations détaillées et précises que le prestataire doit fournir à l’utilisateur ( 41 ).

78.

L’une de ces informations est celle relative aux modifications du contrat-cadre, prévues à l’article 52, paragraphe 6, sous a), de la directive 2015/2366, que j’ai reproduit ci-dessus. Le prestataire et l’utilisateur de services de paiement peuvent convenir, à titre dérogatoire, d’un consentement tacite à la modification des conditions contractuelles (« s’il en est convenu ainsi »).

79.	La clause 14 du contrat-cadre de DenizBank avec ses clients prévoit cette possibilité. Elle établit l’acceptation tacite des modifications proposées (et communiquées) par l’établissement, indiquant que le client est réputé les approuver s’il ne s’y oppose pas ( 42 ).

80.

Selon DenizBank, l’acceptation tacite, permise par l’article 52, paragraphe 6, sous a), de la directive 2015/2366, s’étend à tout type de modifications contractuelles. À son avis, il semble irréaliste et très difficile d’obtenir des utilisateurs de services de paiement qu’ils acceptent expressément des modifications contractuelles telles que celle qui régit le régime juridique de la carte bancaire multifonctionnelle personnalisée.

81.

L’acceptation tacite des modifications constituerait, selon DenizBank, un mécanisme indispensable du modèle commercial bancaire. Son fonctionnement ne porte pas atteinte aux intérêts des consommateurs, car il leur permet d’accéder plus facilement et plus rapidement à des améliorations de leurs instruments de paiement ou de bénéficier de nouvelles avancées technologiques, comme c’est le cas avec la fonction NFC intégrée aux cartes.

82.

Selon moi, la possibilité d’accepter tacitement la modification des conditions contractuelles, prévue à l’article 52, paragraphe 6, sous a), de la directive 2015/2366, s’il en a été convenu ainsi entre l’utilisateur et le prestataire du service de paiement, doit être interprétée restrictivement, lorsque le contenu de ces modifications est défavorable au client.

83.	Cette possibilité reste une exception au principe général selon lequel, à l’instar des conditions initiales, les modifications du contrat-cadre requièrent l’acceptation expresse de l’utilisateur.

84.

Une telle interprétation stricte est corroborée par les objectifs de la directive 2015/2366 (au nombre desquels il convient de souligner la protection des consommateurs) et par l’emplacement systématique de l’article 52, paragraphe 6, sous a), de cette directive, parmi les règles relatives aux informations précontractuelles que le prestataire de services de paiement doit fournir à l’utilisateur dans tous les cas, afin de compenser la situation désavantageuse dans laquelle ce dernier se trouve. L’asymétrie d’information, à laquelle j’ai déjà fait référence, est présente lors de la manifestation tant du consentement initial pour conclure le contrat-cadre que de l’acceptation de ses modifications ultérieures.

85.

Je partage l’avis de la juridiction de renvoi et de la Commission selon lequel l’éventuelle acceptation tacite ne saurait s’étendre à toutes les conditions du contrat-cadre. Cela signifierait, en pratique, donner au prestataire de services de paiement le pouvoir quasi absolu et, de facto, unilatéral de modifier ce contrat : l’expérience montre que la plupart des consommateurs ne procèdent à aucune analyse critique des propositions de modification des conditions de leurs contrats, surtout si elles présentent une complexité technique ou juridique.

86.

Lors de l’audience, DenizBank a reconnu que sa pratique bancaire exclut le recours à l’acceptation tacite pour des modifications substantielles des conditions contractuelles. Elle n’a toutefois pas expliqué de manière convaincante pourquoi elle n’aligne pas la clause 14 du contrat-cadre sur cette pratique, en limitant son application aux modifications les moins importantes de la relation contractuelle.

87.	La possibilité d’accepter tacitement les modifications ne pourrait, selon moi, s’appliquer qu’aux modifications non essentielles des clauses d’un contrat-cadre, pour autant que les garanties prévues par la directive 2015/2366 soient respectées ( 43 ).

88.

Comme je l’ai déjà expliqué, l’introduction dans une carte de paiement multifonctionnelle personnalisée de la fonction NFC pour les paiements sans contact de faible valeur ajoute à cette carte un nouvel instrument de paiement. Il s’agit donc, dans cette même mesure, soit d’un service nouveau, qui devrait faire l’objet d’un nouveau contrat ajouté, soit d’une modification substantielle des conditions du contrat-cadre ( 44 ) antérieur (celui régissant les relations entre l’établissement émetteur de la carte et le consommateur).

89.

Dans les deux cas (contrat nouveau ou novation objective d’un élément essentiel du contrat précédent), le consommateur, une fois informé des avantages et des risques liés à la fonctionnalité NFC de sa carte, devra donner son consentement explicite, de manière non équivoque, à cet instrument de paiement, ce qui n’est pas compatible avec l’acceptation tacite.

IV. Conclusion

90.

Au vu de ce qui précède, je propose à la Cour de répondre à l’Oberster Gerichtshof (Cour suprême, Autriche) de la manière suivante :

La fonction de communication en champ proche (NFC) d’une carte de paiement multifonctionnelle personnalisée doit être qualifiée d’instrument de paiement, au sens de l’article 4, point 14, de la directive (UE) 2015/2366 du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE.

2)	Le paiement sans contact d’un faible montant, au moyen de la fonction NFC d’une carte de paiement multifonctionnelle personnalisée, constitue une utilisation « anonyme », au sens de l’article 63, paragraphe 1, sous b), de la directive 2015/2366.

L’établissement bancaire émetteur d’une carte de paiement multifonctionnelle personnalisée à laquelle la fonction NFC a été ajoutée ne peut se prévaloir de la dérogation prévue à l’article 63, paragraphe 1, sous a), de la directive 2015/2366 que s’il démontre qu’il n’est techniquement pas possible de bloquer cette carte ou d’empêcher la poursuite de son utilisation en cas de perte, de vol, de détournement ou d’utilisation non autorisée.

La possibilité d’acceptation tacite des modifications des conditions du contrat-cadre, permise par l’article 52, paragraphe 6, sous a), de la directive 2015/2366 en cas d’accord entre l’utilisateur et le fournisseur de services de paiement, doit faire l’objet d’une interprétation stricte et ne saurait s’appliquer aux modifications des éléments essentiels dudit contrat-cadre, telles que celles relatives à l’insertion de la fonction NFC dans une carte de paiement.

( 1 ) Langue originale : l’espagnol.

( 2 ) Directive du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (JO 2007, L 319, p. 1).

( 3 ) Directive du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO 2015, L 337, p. 35). L’abrogation de la directive 2007/64 a pris effet le 13 février 2018.

( 4 ) L’introduction de la technologie NFC dans les cartes sans contact (contactless) permet, en les approchant d’un terminal compatible, l’établissement d’une connexion sans fil entre le terminal et la carte, sans besoin d’aucune autre opération. La NFC est une technologie de communication sans fil, à courte portée et à haute fréquence, qui facilite la transmission quasi immédiate de données entre dispositifs. Elle est utilisée dans diverses applications, dont les cartes de crédit ou de débit et, de plus en plus, sur les téléphones mobiles. Les normes NFC couvrent des protocoles de communication et des formats d’échange de données, fondés principalement sur la norme ISO/IEC 14443, gérée conjointement par l’Organisation internationale de normalisation (ISO) et par la Commission électrotechnique internationale (IEC).

( 5 ) La loi sur les services de paiement de 2018 a transposé la directive 2015/2366 en droit autrichien.

( 6 ) La juridiction de renvoi a par la suite rectifié cette question, en ce sens qu’elle se réfère à l’article 63, paragraphe 1, sous a) et non sous b), de la directive 2015/2366.

( 7 ) Lors de l’audience, la Commission a souligné que la directive 2015/2366 a davantage mis l’accent sur la protection des consommateurs des services de paiement que la directive 2007/64.

( 8 ) Selon une jurisprudence constante, ce n’est qu’à titre tout à fait exceptionnel que la Cour peut, par application d’un principe général de sécurité juridique inhérent à l’ordre juridique de l’Union, être amenée à limiter la possibilité pour tout intéressé d’invoquer une disposition qu’elle a interprétée en vue de mettre en cause des relations juridiques établies de bonne foi. Pour décider d’une telle limitation, il est nécessaire que deux critères essentiels soient réunis, à savoir la bonne foi des milieux intéressés et le risque de troubles graves [voir, notamment, arrêts du 27 février 2014, Transportes Jordi Besora (C-82/12, EU:C:2014:108, point 41) ; du 19 avril 2018, Oftalma Hospital (C-65/17, EU:C:2018:263, point 57), et du 3 octobre 2019, Schuch-Ghannadan (C-274/18, EU:C:2019:828, points 60 à 62)].

( 9 ) Arrêt du 9 avril 2014, T-Mobile Austria (C-616/11, ci-après l’ arrêt T-Mobile Austria , EU:C:2014:242, points 33 et 34).

( 10 ) Arrêt T-Mobile Austria, point 35.

( 11 ) La Cour a affirmé que, « dans toutes les versions linguistiques, l’épithète “personnalisé” caractérise le syntagme “tout dispositif”. Cependant, dans la version française (“tout dispositif personnalisé et/ou ensemble de procédures”), qui coïncide notamment avec les versions espagnole, italienne, hongroise, portugaise et roumaine, l’épithète “personnalisé” ne caractérise pas le syntagme “ensemble de procédures”. À l’inverse, dans la version allemande (“jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf”), l’épithète “personnalisé” caractérise le syntagme “ensemble de procédures”. La version anglaise [“personalised device(s) and/or set of procedures”], qui coïncide notamment avec les versions danoise, grecque, néerlandaise, finnoise et suédoise, se prête aux deux lectures » [arrêt T-Mobile Austria, point 31, ainsi que conclusions de l’avocat général Wathelet dans cette même affaire (C-616/11, EU:C:2013:691, point 36)].

( 12 ) Il se peut que la polémique doctrinale en Autriche sur ce point soit en grande partie due au libellé de la version en langue allemande de l’article 4, point 23, de la directive 2007/64 (« jedes personalisierte Instrument und/oder jeden personalisierten Verfahrensablauf »).

( 13 ) Arrêt T-Mobile Austria, point 35 in fine : « […] la notion d’instrument de paiement définie à l’article 4, point 23, de la même directive est susceptible de couvrir un ensemble de procédures non personnalisé, convenu entre l’utilisateur et le prestataire de services de paiement, et auquel l’utilisateur a recours pour initier un ordre de paiement. »

( 14 ) Règlement du Parlement européen et du Conseil du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte (JO 2015, L 123, p. 1).

( 15 ) Concernant l’utilisation d’instruments de paiement sans contact, je renvoie à l’analyse de la Banque centrale européenne, Card payments in Europe – current landscape and future prospects : a Eurosystem perspective, avril 2019, document consultable à l’adresse suivante : https://www.ecb.europa.eu/pub/pubbydate/2019/html/ecb.cardpaymentsineu_currentlandscapeandfutureprospects201904~30d4de2fc4.en.html#toc1, ainsi qu’à l’analyse du European Cards Stakeholders Group, Feasibility Study on the development of open specifications for a card and mobile contactless payment application, juin 2017, consultable à l’adresse suivante : https://www.ecb.europa.eu/paym/groups/erpb/shared/pdf/7th-ERPB-meeting/Annex_to_Stat_past_ERPB_Recommendations_ECSG_Interim_Report_contatless_feasibility_study_and_progress_indicators.pdf?115946678f056d5ccc9eba5f72cb4a88.

( 16 ) Lors de l’audience, DenizBank n’est pas parvenue à rejeter entièrement cette affirmation de VKI. L’établissement bancaire a confirmé que, dans certains cas, l’utilisateur qui reçoit la carte par la poste (ce qui, selon lui, constitue son système habituel de remise) peut ne pas être conscient du fait que la fonction NFC est activée sur cette carte.

( 17 ) La Cour a eu recours au critère téléologique lors de l’interprétation d’autres notions de la directive 2007/64, qui a précédé la directive 2015/2366. Voir arrêts du 25 janvier 2017, BAWAG (C-375/15, EU:C:2017:38, points 40 à 45), relatif à la notion de « support durable », au sens de l’article 4, point 25, de la directive 2007/64 ; du 22 mars 2018, Rasool (C-568/16, EU:C:2018:211, points 30 à 39), en ce qui concerne la notion de « service de paiement », au sens de l’article 4, point 3, de la directive 2007/64, et du 4 octobre 2018, ING-DiBa Direktbank Austria (C-191/17, EU:C:2018:809), concernant la notion de « compte de paiement », au sens de l’article 4, point 14, de la directive 2007/64.

( 18 ) Règlement délégué de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication (JO 2018, L 69, p. 23).

( 19 ) Considérant 11 du règlement délégué 2018/389.

( 20 ) Conformément à l’article 4, point 30, de la directive 2015/2366, l’« authentification forte du client » est « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ». Cette authentification forte, prévue pour obtenir des services de paiement électronique plus sûrs pour les consommateurs et plus respectueux de leurs données à caractère personnel, se traduit, en définitive, par l’utilisation d’au moins deux des éléments de sécurité suivants : quelque chose que seul l’utilisateur connaît, comme un mot de passe ou un code numérique ; quelque chose qui appartient à l’utilisateur, comme son téléphone portable ; quelque chose qui est inhérent à l’utilisateur, comme sa voix ou ses empreintes digitales.

( 21 ) Considérant 8 du règlement délégué 2018/389.

( 22 ) Les « dérogations » au principe de l’authentification forte des clients sont fixées par le règlement délégué 2018/389, lors de la mise en œuvre de l’article 97 de la directive 2015/2366, sur la base du niveau de risque, du montant, du caractère récurrent et du moyen utilisé pour exécuter l’opération de paiement.

( 23 ) Les articles 10 à 18 du règlement délégué 2018/389 prévoient d’autres dérogations à l’authentification forte, dans les cas d’information sur les comptes de paiement, d’automates de paiement des frais de transport et de parking, de bénéficiaires de confiance, d’opérations récurrentes, de virements entre comptes détenus par la même personne physique ou morale, d’opérations de faible valeur, ainsi que de procédures et protocoles de paiement sécurisés utilisés par les entreprises.

( 24 )

( 25 ) Une carte de paiement peut également avoir deux fonctionnalités distinctes lorsqu’elle est utilisable en tant que carte de crédit et en tant que carte de débit, de sorte qu’une même carte bancaire contient deux instruments de paiement personnalisés.

( 26 ) Obligation pour l’utilisateur d’informer le prestataire de services de paiement de la perte, du vol, du détournement ou de toute utilisation non autorisée de l’instrument de paiement.

( 27 ) Obligation pour le prestataire de services de paiement de mettre à la disposition de l’utilisateur des moyens de demander le déblocage de l’instrument de paiement.

( 28 ) Absence de conséquence financière pour le payeur après la notification de la perte, du vol ou du détournement de l’instrument de paiement.

( 29 ) Obligation pour le prestataire des services de paiement de prouver l’authentification et l’exécution des opérations de paiement.

( 30 ) Responsabilité du prestataire de services de paiement en cas d’opérations de paiement non autorisées.

( 31 ) Responsabilité du payeur jusqu’à concurrence de 50 euros pour les pertes liées à des opérations de paiement non autorisées en cas de perte, de vol ou de détournement d’un instrument de paiement, sauf lorsque le payeur agit de manière frauduleuse ou en violation des obligations d’utilisation adéquate de l’instrument et de protection des données de sécurité (paragraphe 1), et absence de responsabilité financière du payeur après la notification de la perte, du vol ou du détournement de l’instrument de paiement (paragraphe 3).

( 32 )

( 33 ) C’est ce qu’a reconnu DenizBank lors de l’audience, en réponse aux observations de VKI. Celui-ci avait affirmé que « presque toutes les banques autrichiennes, à l’exception de la défenderesse, prévoient dans leurs conditions générales de vente que, après une notification de blocage, la fonction NFC de la carte doit être et est […] bloquée » (observations écrites de VKI, point 5).

( 34 ) Arrêt T-Mobile Austria, point 34.

( 35 ) Voir points 36 à 51 des présentes conclusions.

( 36 ) Voir considérants 15, 21 et 96 de la directive 2015/2366. Dans l’arrêt du 21 mars 2019, Tecnoservice Int. (C-245/18, EU:C:2019:242, point 28), la Cour s’est fondée sur les objectifs de traitement automatisé et de rapidité des paiements des considérants 40 et 43 de la directive 2007/64 afin d’interpréter l’article 74, paragraphe 2, de cette directive, de manière à limiter « la responsabilité tant du prestataire de services de paiement du payeur que de celui du bénéficiaire, ce qui dispense ainsi ces prestataires de l’obligation de vérifier si l’identifiant unique fourni par l’utilisateur de services de paiement correspond bien à la personne nommée comme bénéficiaire ».

( 37 ) Dans un tel cas, l’utilisateur de services de paiement a le droit de résilier le contrat-cadre sans frais et avec effet à tout moment jusqu’à la date à laquelle la modification aurait été appliquée.

( 38 ) Dans la littérature spécialisée, il existe quelques doutes quant à l’utilité réelle de fournir ce type d’informations, lorsqu’il s’agit du secteur financier. Certains préconisent, comme solution idoine, une réglementation ex ante des conditions contractuelles, plutôt que d’élargir l’information préalable elle-même. Voir, notamment, Alfaro Águila-Real, J. : « Fournir des informations aux consommateurs moins avisés – ceux ayant un niveau d’éducation moins élevé – ne leur est pas profitable, car les coûts qu’ils déploient pour saisir, traiter et comprendre les conséquences des informations qui leur sont fournies sont élevés, si élevés qu’investir du temps et des efforts pour tenter de comprendre ces informations, même si elles leur sont fournies spontanément par les banques, n’est pas rationnel, de sorte que les informations ne se traduisent pas par de “meilleurs choix” de la part de ces consommateurs peu avisés. » Blog https://derechomercantilespana.blogspot.com, post du 25 novembre 2018, No todos los prestatarios son iguales : lecciones para el legislador [tous les prestataires ne sont pas égaux : leçons pour le législateur].

( 39 )

( 40 ) Il en allait de même avec la directive 2007/64, ainsi que la Cour l’a souligné dans l’arrêt du 25 janvier 2017, BAWAG (C-375/15, EU:C:2017:38, point 45).

( 41 ) Les informations concernent, entre autres, l’utilisation du service de paiement ; les frais, les taux d’intérêt et les taux de change ; la communication entre les parties ; les mesures de protection et les mesures correctives ; les recours, ainsi que la modification et la résiliation du contrat.

( 42 ) Cette clause précise les conditions de communication de la proposition, sur papier ou sur un autre support de données durable, avant la date d’entrée en vigueur de la modification, le délai de consentement tacite et la possibilité pour l’utilisateur de s’opposer à la modification et de résilier le contrat-cadre.

( 43 ) Dans l’ordonnance de renvoi (p. 12), la juridiction a quo cite sa jurisprudence, reflétée dans divers arrêts (1Ob 210/12g ; 2Ob 131/12x ; 8Ob 58/14h ; 9Ob 26/15m ; 10Ob 60/17x), sur les limites de l’acceptation tacite de conditions contractuelles. Lors de l’audience, VKI a également mentionné l’arrêt du Bundesgerichtshof (Cour fédérale de justice, Allemagne), du 11 octobre 2007 (III ZR 63/07), que l’Oberster Gerichtshof (Cour suprême) avait, à son tour, invoqué au point 2.20 de sa décision du 11 avril 2013 (ECLI:OGH002:2013:0010OB00210.12G.0411.000), pour confirmer que la « présomption d’acceptation » (acceptation tacite) ne saurait s’appliquer à des modifications contractuelles substantielles.

( 44 ) Aux termes de l’article 4, point 21, de la directive 2015/2366, on entend par « contrat-cadre » un « contrat de services de paiement qui régit l’exécution future d’opérations de paiement particulières et successives et peut énoncer les obligations et les conditions liées à l’ouverture d’un compte de paiement ».