CJUE, n° C-287/19, Arrêt de la Cour, DenizBank AG contre Verein für Konsumenteninformation, 11 novembre 2020

Politique intérieure de l'Union européenne·
Rapprochement des législations·
Marché intérieur - principes·
Paiements transfrontaliers·
Services financiers·
Directive·
Paiement·
Prestataire·
Utilisateur·
Service

Chronologie de l’affaire

Commentaires • 2

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Comment appliquer DSP 2 à la fonctionnalité "paiement sans contact" ? la CJUE livre son interprétationAccès limité

Lexis Veille · 24 novembre 2020

2. Paiement sans contact : Honni soit qui mal y pense ? La responsabilité des banques renforcéeAccès limité

justice.legibase.fr · 11 novembre 2020

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	CJUE, Cour, 11 nov. 2020, C-287/19
Numéro(s) :	C-287/19
Arrêt de la Cour (première chambre) du 11 novembre 2020.#DenizBank AG contre Verein für Konsumenteninformation.#Demande de décision préjudicielle, introduite par l'Oberster Gerichtshof.#Renvoi préjudiciel – Protection des consommateurs – Directive (UE) 2015/2366 – Services de paiement dans le marché intérieur – Article 4, point 14 – Notion d’instrument de paiement – Cartes bancaires multifonctions personnalisées – Fonction de communication en champ proche (NFC) – Article 52, point 6, sous a), et article 54, paragraphe 1 – Informations à fournir à l’utilisateur – Modification des conditions d’un contrat-cadre – Acceptation tacite – Article 63, paragraphe 1, sous a) et b) – Droits et obligations liés aux services de paiement – Dérogation pour les instruments de paiement relatifs à des montants de faible valeur – Conditions d’application – Instrument de paiement ne pouvant pas être bloqué – Instrument de paiement utilisé de manière anonyme – Limitation des effets de l’arrêt dans le temps.#Affaire C-287/19.
Date de dépôt :	5 avril 2019
Précédents jurisprudentiels :	9 avril 2014, T-Mobile Austria ( C-616/11, EU:C:2014:242 Airbnb Ireland, C-390/18, EU:C:2019:1112 arrêt du 9 avril 2014, T-Mobile Austria, C-616/11, EU:C:2014:242 arrêts du 25 janvier 2017, BAWAG, C-375/15, EU:C:2017:38, point 45, et du 2 avril 2020, PrivatBank, C-480/18, EU:C:2020:274 Condominio di Milano, via Meda, C-329/19, EU:C:2020:263 RWE Vertrieb, C-92/11, EU:C:2013:180 Schuch-Ghannadan, C-274/18, EU:C:2019:828 WESTbahn Management, C-210/18, EU:C:2019:586

Solution :	Renvoi préjudiciel
Identifiant CELEX :	62019CJ0287
Identifiant européen :	ECLI:EU:C:2020:897
Télécharger le PDF original fourni par la juridiction

Sur les parties

Juge-rapporteur : Jääskinen
Avocat général : Campos Sánchez-Bordona

Texte intégral

ARRÊT DE LA COUR (première chambre)

11 novembre 2020 ( *1 )

« Renvoi préjudiciel – Protection des consommateurs – Directive (UE) 2015/2366 – Services de paiement dans le marché intérieur – Article 4, point 14 – Notion d’instrument de paiement – Cartes bancaires multifonctions personnalisées – Fonction de communication en champ proche (NFC) – Article 52, point 6, sous a), et article 54, paragraphe 1 – Informations à fournir à l’utilisateur – Modification des conditions d’un contrat-cadre – Acceptation tacite – Article 63, paragraphe 1, sous a) et b) – Droits et obligations liés aux services de paiement – Dérogation pour les instruments de paiement relatifs à des montants de faible valeur – Conditions d’application – Instrument de paiement ne pouvant pas être bloqué – Instrument de paiement utilisé de manière anonyme – Limitation des effets de l’arrêt dans le temps »

Dans l’affaire C-287/19,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 25 janvier 2019, parvenue à la Cour le 5 avril 2019, dans la procédure

DenizBank AG

contre

Verein für Konsumenteninformation,

LA COUR (première chambre),

composée de M. J.-C. Bonichot, président de chambre, M. L. Bay Larsen, Mme C. Toader, MM. M. Safjan et N. Jääskinen (rapporteur), juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : Mme M. Krausenböck, administratrice,

vu la procédure écrite et à la suite de l’audience du 13 février 2020,

considérant les observations présentées :

–	pour DenizBank AG, par Mes G. Ganzger et A. Egger, Rechtsanwälte,

–	pour le Verein für Konsumenteninformation, par Me S. Langer, Rechtsanwalt,

–	pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil ainsi que par Mme S. Šindelková, en qualité d’agents,

–	pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes P. Barros da Costa, S. Jaulino et G. Fonseca, en qualité d’agents,

–	pour la Commission européenne, par MM. G. Braun et T. Scharf ainsi que par Mme H. Tserepa-Lacombe, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 30 avril 2020,

rend le présent

Arrêt

La demande de décision préjudicielle porte sur l’interprétation de l’article 4, point 14, de l’article 52, point 6, sous a), lu en combinaison avec l’article 54, paragraphe 1, et de l’article 63, paragraphe 1, sous a) et b), de la directive (UE) 2015/2366 du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO 2015, L 337, p. 35, et rectificatif JO 2018, L 102, p. 97).

Cette demande a été présentée dans le cadre d’un litige opposant DenizBank AG, société de droit autrichien, au Verein für Konsumenteninformation (association pour l’information des consommateurs, Autriche, ci-après le « VKI »), au sujet de la validité de clauses contractuelles relatives à l’usage de cartes bancaires multifonctions personnalisées étant équipées, en particulier, de la fonction de communication en champ proche (Near Field Communication) (ci-après la « fonction NFC »), communément appelée fonction de « paiement sans contact ».

Le cadre juridique

La directive 93/13/CEE

L’article 2 de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO 1993, L 95, p. 29), énonce :

« Aux fins de la présente directive, on entend par :

a)	“clauses abusives” : les clauses d’un contrat telles qu’elles sont définies à l’article 3 ;

b)	“consommateur” : toute personne physique qui, dans les contrats relevant de la présente directive, agit à des fins qui n’entrent pas dans le cadre de son activité professionnelle ;

c)	“professionnel” : toute personne physique ou morale qui, dans les contrats relevant de la présente directive, agit dans le cadre de son activité professionnelle, qu’elle soit publique ou privée. »

L’article 3 de cette directive dispose :

« 1. Une clause d’un contrat n’ayant pas fait l’objet d’une négociation individuelle est considérée comme abusive lorsque, en dépit de l’exigence de bonne foi, elle crée au détriment du consommateur un déséquilibre significatif entre les droits et obligations des parties découlant du contrat.

[…]

3. L’annexe contient une liste indicative et non exhaustive de clauses qui peuvent être déclarées abusives. »

Aux termes de l’article 6, paragraphe 1, de ladite directive :

« Les États membres prévoient que les clauses abusives figurant dans un contrat conclu avec un consommateur par un professionnel ne lient pas les consommateurs, dans les conditions fixées par leurs droits nationaux, et que le contrat restera contraignant pour les parties selon les mêmes termes, s’il peut subsister sans les clauses abusives. »

6	L’article 8 de la même directive prévoit que « [l]es États membres peuvent adopter ou maintenir, dans le domaine régi par la présente directive, des dispositions plus strictes, compatibles avec le traité, pour assurer un niveau de protection plus élevé au consommateur ».

L’annexe de la directive 93/13, qui contient une liste indicative et non exhaustive des « [c]lauses visées à l’article 3, paragraphe 3 », de cette dernière, mentionne, à son point 1, sous j), les « clauses ayant pour objet ou pour effet d’autoriser le professionnel à modifier unilatéralement les termes du contrat sans raison valable et spécifiée dans le contrat ». Le point 2 de cette annexe détermine la portée dudit point j).

La directive (UE) 2015/2366

La directive (UE) 2015/2366 a abrogé la directive 2007/64/CE du Parlement européen et du Conseil, du 13 novembre 2007, concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (JO 2007, L 319, p. 1), avec effet au 13 janvier 2018.

Aux termes des considérants 6, 53 à 55, 63, 81, 91 et 96 de la directive 2015/2366 :

« (6)

[…] Il conviendrait d’assurer aux acteurs du marché […] des conditions équivalentes d’exercice de leur activité, de manière à permettre aux nouveaux moyens de paiement d’atteindre plus facilement un plus large public, tout en veillant à offrir aux consommateurs un niveau élevé de protection dans l’utilisation des services de paiement dans l’ensemble de l’Union. Cela devrait renforcer l’efficacité du système de paiement dans son ensemble et se traduire par un plus large choix et une plus grande transparence des services de paiement, ainsi que par une plus grande confiance des consommateurs à l’égard d’un marché des paiements harmonisé.

[…]

(53)

Ne se trouvant pas dans la même situation, consommateurs et entreprises n’ont pas besoin du même niveau de protection. Alors qu’il importe de garantir les droits des consommateurs au moyen de dispositions auxquelles il n’est pas possible d’être dérogé par contrat, il est judicieux de laisser les entreprises et les organisations en décider autrement lorsqu’elles n’ont pas affaire à des consommateurs. […]

(54)

La présente directive devrait préciser les obligations incombant aux prestataires de services de paiement en ce qui concerne les informations à fournir aux utilisateurs de services de paiement, lesquels, pour pouvoir faire un choix éclairé et être en mesure de choisir librement dans toute l’Union, devraient recevoir des informations claires, d’un niveau partout égal et élevé. […]

(55)

Il convient de protéger les consommateurs contre les pratiques déloyales et trompeuses, conformément à la directive 2005/29/CE du Parlement européen et du Conseil[, du 11 mai 2005, relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil (JO 2005, L 149, p. 22)], ainsi qu’aux directives du Parlement européen et du Conseil 2000/31/CE[, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (JO 2000, L 178, p. 1)], 2002/65/CE[, du 23 septembre 2002, concernant la commercialisation à distance de services financiers auprès des consommateurs, et modifiant les directives 90/619/CEE du Conseil, 97/7/CE et 98/27/CE (JO 2002, L 271, p. 16)], 2008/48/CE[, du 23 avril 2008, concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil (JO 2008, L 133, p. 66)], 2011/83/UE[, du 25 octobre 2011, relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil (JO 2011, L 304, p. 64)] et 2014/92/UE[, du 23 juillet 2014, sur la comparabilité des frais liés aux comptes de paiement, le changement de compte de paiement et l’accès à un compte de paiement assorti de prestations de base (JO 2014, L 257, p. 214)]. Les dispositions contenues dans ces directives demeurent applicables. Toutefois, il y a lieu de préciser, en particulier, le lien entre les exigences d’information précontractuelle figurant dans la présente directive et celles figurant dans la directive 2002/65/CE.

[…]

(63)

Afin de garantir un niveau élevé de protection des consommateurs, les États membres devraient être en mesure, dans l’intérêt du consommateur, d’introduire ou de maintenir des restrictions ou des interdictions concernant les modifications unilatérales des termes d’un contrat–cadre, par exemple lorsqu’une modification n’est pas justifiée.

[…]

(81)

Les instruments de paiement relatifs à des montants de faible valeur devraient constituer un moyen simple et bon marché de régler des biens et des services de faible prix et ne devraient pas être soumis à des exigences excessives. […] Malgré ce régime allégé, les utilisateurs de services de paiement devraient bénéficier d’une protection adéquate étant donné les risques limités que présentent ces instruments de paiement, en particulier pour ce qui est des instruments de paiement prépayés.

[…]

(91)

Les prestataires de services de paiement sont responsables des mesures de sécurité. Celles-ci doivent être proportionnées aux risques de sécurité concernés. Les prestataires de services de paiement devraient établir un cadre permettant d’atténuer les risques et maintenir des procédures efficaces de gestion des incidents. […] En outre, pour limiter dans toute la mesure du possible les dommages pouvant être causés aux utilisateurs, […] il est essentiel d’imposer aux prestataires de services de paiement l’obligation de signaler sans retard injustifié les incidents de sécurité majeurs aux autorités compétentes. […]

[…]

(96)

Les mesures de sécurité devraient être compatibles avec le niveau de risque associé au service de paiement. Afin de permettre le développement de moyens de paiement accessibles et faciles à utiliser pour les paiements présentant peu de risques, tels que les paiements de faible valeur sans contact au point de vente, qu’ils soient ou non fondés sur la téléphonie mobile, les dérogations à l’application des exigences de sécurité devraient être précisées dans les normes techniques de réglementation. […] »

L’article 4 de cette directive, intitulé « Définitions », est libellé comme suit :

« Aux fins de la présente directive, on entend par :

[…]

8)	“payeur”, une personne physique ou morale qui est titulaire d’un compte de paiement et autorise un ordre de paiement à partir de ce compte de paiement, ou, en l’absence de compte de paiement, une personne physique ou morale qui donne un ordre de paiement ;

9)	“bénéficiaire”, une personne physique ou morale qui est le destinataire prévu de fonds ayant fait l’objet d’une opération de paiement ;

10)	“utilisateur de services de paiement”, une personne physique ou morale qui utilise un service de paiement en qualité de payeur, de bénéficiaire ou des deux ;

[…]

14)	“instrument de paiement”, tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour initier un ordre de paiement ;

[…]

20)	“consommateur”, une personne physique qui, dans le cadre des contrats de services de paiement régis par la présente directive, agit dans un but autre que son activité commerciale ou professionnelle ;

21)	“contrat-cadre”, un contrat de services de paiement qui régit l’exécution future d’opérations de paiement particulières et successives et peut énoncer les obligations et les conditions liées à l’ouverture d’un compte de paiement ;

[…]

29)

“authentification”, une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur ;

30)

“authentification forte du client”, une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “connaissance” (quelque chose que seul l’utilisateur connaît), “possession” (quelque chose que seul l’utilisateur possède) et “inhérence” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ;

31)	“données de sécurité personnalisées”, des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ;

[…] »

11	Le titre III de la directive 2015/2366, intitulé « Transparence des conditions et exigences en matière d’informations régissant les services de paiement », comporte un chapitre 1, relatif aux « Règles générales », composé des articles 38 à 42 de cette directive.

L’article 38 de ladite directive, intitulé « Champ d’application », énonce, à son paragraphe 1 :

« Le présent titre s’applique aux opérations de paiement isolées, aux contrats-cadres et aux opérations de paiement qui en relèvent. Les parties peuvent décider de ne pas l’appliquer, en tout ou en partie, lorsque l’utilisateur de services de paiement n’est pas un consommateur. »

L’article 42 de la même directive, intitulé « Dérogation aux exigences en matière d’information pour les instruments de paiement relatifs à des montants de faible valeur et la monnaie électronique », dispose :

« 1. Dans le cas d’instruments de paiement qui, conformément au contrat-cadre applicable, concernent exclusivement des opérations de paiement dont le montant unitaire n’excède pas 30 [euros] ou qui soit ont une limite de dépenses de 150 [euros], soit stockent des fonds dont le montant n’excède à aucun moment 150 [euros] :

par dérogation aux articles 51, 52 et 56, le prestataire de services de paiement fournit au payeur uniquement des informations sur les principales caractéristiques du service de paiement, y compris la manière dont l’instrument de paiement peut être utilisé, la responsabilité, les frais perçus et d’autres informations concrètes nécessaires pour prendre une décision en connaissance de cause, ainsi qu’une indication de l’endroit où les autres informations et conditions prévues à l’article 52 sont disponibles de manière aisée ;

b)	il peut être convenu que, par dérogation à l’article 54, le prestataire de services de paiement n’est pas tenu de proposer une modification des clauses du contrat-cadre de la manière prévue à l’article 51, paragraphe 1 ;

[…] »

14	Le titre III de la directive 2015/2366 comporte un chapitre 3, relatif aux « Contrats-cadres », composé des articles 50 à 58 de celle-ci.

L’article 51 de cette dernière, intitulé « Informations générales préalables », prévoit, à son paragraphe 1 :

« Les États membres exigent que, bien avant que l’utilisateur de services de paiement ne soit lié par un contrat-cadre ou une offre, le prestataire de services de paiement lui fournisse, sur support papier ou sur un autre support durable, les informations et les conditions prévues à l’article 52. Ces informations et conditions sont fournies dans des termes aisément compréhensibles et sous une forme claire et compréhensible, dans une langue officielle de l’État membre dans lequel le service de paiement est proposé ou dans toute autre langue convenue par les parties. »

L’article 52 de cette directive, intitulé « Informations et conditions », énonce :

« Les États membres veillent à ce que les informations et les conditions ci-après soient fournies à l’utilisateur de services de paiement :

[…]

sur la modification et la résiliation d’un contrat-cadre :

s’il en est convenu ainsi, le fait que l’utilisateur de services de paiement est réputé avoir accepté la modification des conditions conformément à l’article 54, à moins que l’utilisateur de services de paiement n’ait notifié au prestataire de services de paiement son refus de cette modification avant la date proposée pour l’entrée en vigueur de celle-ci ;

[…] »

L’article 54 de ladite directive, intitulé « Modification des conditions du contrat-cadre », prévoit, à son paragraphe 1 :

« Toute modification du contrat-cadre ou des informations et conditions prévues à l’article 52 est proposée par le prestataire de services de paiement selon les modalités prévues à l’article 51, paragraphe 1, et au plus tard deux mois avant la date proposée pour son entrée en vigueur. L’utilisateur de services de paiement peut accepter ou rejeter la modification avant la date proposée pour son entrée en vigueur.

Le cas échéant, conformément à l’article 52, point 6, a), le prestataire de services de paiement informe l’utilisateur de services de paiement qu’il est réputé avoir accepté la modification s’il n’a pas notifié au prestataire de services de paiement, avant la date d’entrée en vigueur proposée de cette modification, qu’il ne l’acceptait pas. Le prestataire de services de paiement informe également l’utilisateur de services de paiement que, au cas où ledit utilisateur rejette la modification, l’utilisateur de services de paiement a le droit de résilier le contrat–cadre sans frais et avec effet à tout moment jusqu’à la date à laquelle la modification aurait été appliquée. »

18	Le titre IV de la directive 2015/2366, intitulé « Droits et obligations liés à la prestation et à l’utilisation de services de paiement », comporte un chapitre 1, relatif aux « Dispositions communes », composé des articles 61 à 63 de celle-ci.

L’article 63 de cette directive, intitulé « Dérogation pour les instruments de paiement relatifs à des montants de faible valeur et pour la monnaie électronique », dispose, à son paragraphe 1 :

« Dans le cas d’instruments de paiement qui, conformément au contrat–cadre, concernent uniquement des opérations de paiement individuelles dont le montant n’excède pas 30 [euros] ou qui soit ont une limite de dépenses de 150 [euros], soit stockent des fonds dont le montant n’excède à aucun moment 150 [euros], les prestataires de services de paiement peuvent convenir avec leurs utilisateurs de services de paiement que :

a)	l’article 69, paragraphe 1, point b), l’article 70, paragraphe 1, points c) et d), et l’article 74, paragraphe 3, ne s’appliquent pas si l’instrument de paiement ne peut pas être bloqué ou si la poursuite de l’utilisation de celui-ci ne peut être empêchée ;

les articles 72 et 73 et l’article 74, paragraphes 1 et 3, ne s’appliquent pas si l’instrument de paiement est utilisé de manière anonyme ou si le prestataire de services de paiement n’est pas en mesure, pour des raisons autres qui sont inhérentes à l’instrument de paiement, d’apporter la preuve qu’une opération de paiement a été autorisée ;

[…] »

20	Le titre IV de la directive 2015/2366 comporte en outre un chapitre 2, relatif à l’« Autorisation des opérations de paiement », composé des articles 64 à 77 de celle-ci.

L’article 69 de cette directive, intitulé « Obligations de l’utilisateur de services de paiement liées aux instruments de paiement et aux données de sécurité personnalisées », prévoit, à son paragraphe 1 :

« L’utilisateur de services de paiement habilité à utiliser un instrument de paiement :

[…]

b)	lorsqu’il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de l’instrument de paiement, il en informe sans tarder son prestataire de services de paiement ou l’entité désignée par celui-ci. »

L’article 70 de ladite directive, intitulé « Obligations du prestataire de services de paiement liées aux instruments de paiement », énonce, à son paragraphe 1 :

« Le prestataire de services de paiement qui émet un instrument de paiement :

[…]

veille à la disponibilité, à tout moment, de moyens appropriés permettant à l’utilisateur de services de paiement de procéder à la notification prévue à l’article 69, paragraphe 1, point b), ou de demander le déblocage de l’instrument de paiement conformément à l’article 68, paragraphe 4 ; le prestataire de services de paiement fournit sur demande à l’utilisateur de services de paiement, pendant dix-huit mois à compter de la notification, les moyens de prouver que ce dernier a bien procédé à cette notification ;

d)	fournit à l’utilisateur de services de paiement la possibilité de procéder à la notification prévue à l’article 69, paragraphe 1, point b), à titre gratuit et ne facture, éventuellement, que les coûts de remplacement directement imputables à cet instrument de paiement ;

[…] »

L’article 72 de la même directive, intitulé « Preuve de l’authentification et de l’exécution des opérations de paiement », dispose :

« 1. Les États membres exigent que, lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe au prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre du service fourni par le prestataire de services de paiement.

Si l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, c’est à ce dernier qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer.

2. Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, l’utilisation d’un instrument de paiement, telle qu’enregistrée par le prestataire de services de paiement, y compris le prestataire de services d’initiation de paiement le cas échéant, ne suffit pas nécessairement en tant que telle à prouver que l’opération de paiement a été autorisée par le payeur ou que celui-ci a agi frauduleusement ou n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou à plusieurs des obligations qui lui incombent en vertu de l’article 69. Le prestataire de services de paiement, y compris, le cas échéant, le prestataire de services d’initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence grave commise par l’utilisateur de services de paiement. »

L’article 73 de la directive 2015/2366, intitulé « Responsabilité du prestataire de services de paiement en cas d’opérations de paiement non autorisées », est libellé comme suit :

« 1. Les États membres veillent, sans préjudice de l’article 71, à ce que, en cas d’opération de paiement non autorisée, le prestataire de services de paiement du payeur rembourse au payeur le montant de cette opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf si le prestataire de services de paiement du payeur a de bonnes raisons de soupçonner une fraude et s’il communique ces raisons par écrit à l’autorité nationale concernée. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. Cela suppose par ailleurs que la date de valeur à laquelle le compte de paiement du payeur est crédité n’est pas postérieure à la date à laquelle il avait été débité.

2. Lorsque l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, le montant de l’opération de paiement non autorisée et, le cas échéant, rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu.

Si le prestataire de services d’initiation de paiement est responsable de l’opération de paiement non autorisée, il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de l’opération de paiement non autorisée. Conformément à l’article 72, paragraphe 1, c’est au prestataire de services d’initiation de paiement qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service de paiement qu’il doit assurer.

3. Une indemnisation financière complémentaire peut être déterminée conformément à la loi applicable au contrat conclu entre le payeur et le prestataire de services de paiement ou, le cas échéant, au contrat conclu entre le payeur et le prestataire de services d’initiation de paiement. »

L’article 74 de cette directive, intitulé « Responsabilité du payeur en cas d’opérations de paiement non autorisées », énonce, à ses paragraphes 1 et 3 :

« 1. Par dérogation à l’article 73, le payeur peut être tenu de supporter, jusqu’à concurrence de 50 [euros], les pertes liées à toute opération de paiement non autorisée consécutive à l’utilisation d’un instrument de paiement perdu ou volé ou au détournement d’un instrument de paiement.

Le premier alinéa ne s’applique pas si :

a)	la perte, le vol ou le détournement d’un instrument de paiement ne pouvait être détecté par le payeur avant le paiement, sauf si le payeur a agi frauduleusement ; ou

b)	la perte est due à des actes ou à une carence d’un salarié, d’un agent ou d’une succursale d’un prestataire de services de paiement ou d’une entité vers laquelle ses activités ont été externalisées.

Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de la part du payeur ou du fait qu’il n’a pas satisfait, intentionnellement ou à la suite d’une négligence grave, à une ou à plusieurs des obligations qui lui incombent en vertu de l’article 69. Dans ce cas, le montant maximal visé au premier alinéa ne s’applique pas.

Lorsque le payeur n’a pas agi de manière frauduleuse ni n’a manqué intentionnellement aux obligations qui lui incombent en vertu de l’article 69, les États membres peuvent limiter la responsabilité visée au présent paragraphe en tenant compte, notamment, de la nature des données de sécurité personnalisées et des circonstances particulières dans lesquelles l’instrument de paiement a été perdu, volé ou détourné.

[…]

3. Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière résultant de l’utilisation d’un instrument de paiement perdu, volé ou détourné, survenue après la notification prévue à l’article 69, paragraphe 1, point b).

Si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant, à tout moment, la notification de la perte, du vol ou du détournement d’un instrument de paiement, conformément à l’article 70, paragraphe 1, point c), le payeur n’est pas tenu, sauf agissement frauduleux de sa part, de supporter les conséquences financières résultant de l’utilisation de cet instrument de paiement. »

Figurant au titre VI de la directive 2015/2366, relatif aux « Dispositions finales », l’article 107 de celle-ci, intitulé « Harmonisation totale », énonce :

« 1. Sans préjudice de l’article 2, de l’article 8, paragraphe 3, de l’article 32, de l’article 38, paragraphe 2, de l’article 42, paragraphe 2, de l’article 55, paragraphe 6, de l’article 57, paragraphe 3, de l’article 58, paragraphe 3, de l’article 61, paragraphes 2 et 3, de l’article 62, paragraphe 5, de l’article 63, paragraphes 2 et 3, de l’article 74, paragraphe 1, quatrième alinéa, et de l’article 86, dans la mesure où la présente directive contient des dispositions harmonisées, les États membres ne peuvent maintenir en vigueur ni introduire des dispositions différentes de celles contenues dans la présente directive.

[…]

3. Les États membres veillent à ce que les prestataires de services de paiement ne dérogent pas, au détriment des utilisateurs de services de paiement, aux dispositions de droit national qui transposent la présente directive ou qui y correspondent, sauf dans le cas où une telle dérogation est expressément autorisée par celle-ci.

Les prestataires de services de paiement peuvent toutefois décider d’accorder des conditions plus favorables aux utilisateurs de services de paiement. »

Le règlement délégué (UE) 2018/389

Aux termes des considérants 9 et 11 du règlement délégué (UE) 2018/389 de la Commission, du 27 novembre 2017, complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication (JO 2018, L 69, p. 23) :

« (9)

Conformément à la directive (UE) 2015/2366, les dérogations au principe d’authentification forte du client ont été définies sur la base du niveau de risque, du montant, du caractère récurrent et du moyen utilisé pour exécuter l’opération de paiement.

[…]

(11)

Des dérogations pour les paiements sans contact de faible valeur au point de vente, qui autorisent aussi un nombre maximal ou une valeur fixe maximale d’opérations consécutives sans authentification forte du client, permettent le développement de services de paiement conviviaux présentant un faible risque et devraient dès lors être prévues. […] »

L’article 1er du règlement délégué 2018/389, intitulé « Objet », énonce :

« Le présent règlement fixe les exigences auxquelles les prestataires de services de paiement doivent satisfaire pour mettre en œuvre les mesures de sécurité leur permettant d’effectuer les actions suivantes :

a)	appliquer la procédure d’authentification forte du client conformément à l’article 97 de la directive (UE) 2015/2366 ;

b)	déroger à l’application des exigences de sécurité relatives à l’authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l’opération de paiement et le moyen utilisé pour l’exécuter ;

[…] »

L’article 2 de ce règlement délégué, intitulé « Exigences générales en matière d’authentification », prévoit, à son paragraphe 1, premier alinéa :

« Les prestataires de services de paiement mettent en place des mécanismes de contrôle des opérations qui leur permettent de déceler les opérations de paiement non autorisées ou frauduleuses aux fins de la mise en œuvre des mesures de sécurité visées à l’article 1er, points a) et b). »

L’article 11 dudit règlement délégué, intitulé « Paiement sans contact au point de vente », est libellé comme suit :

« Les prestataires de services de paiement sont autorisés à ne pas appliquer l’authentification forte du client, sous réserve du respect des exigences définies à l’article 2, lorsque le payeur initie une opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies :

a)	le montant individuel de l’opération de paiement électronique sans contact ne dépasse pas 50 [euros] ; et

b)	le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par l’intermédiaire d’un instrument de paiement disposant d’une fonctionnalité sans contact, depuis la date de la dernière authentification forte du client, ne dépasse pas 150 [euros] ; ou

c)	le nombre d’opérations de paiement électronique sans contact consécutives initiées par l’intermédiaire de l’instrument de paiement disposant d’une fonctionnalité sans contact, depuis la dernière authentification forte du client, ne dépasse pas cinq. »

Le litige au principal et les questions préjudicielles

31	Le VKI est une association établie en Autriche qui, conformément à la législation autrichienne, est habilitée à agir en justice afin de protéger les intérêts des consommateurs.

DenizBank est un établissement bancaire exerçant ses activités sur le territoire autrichien. Dans le cadre des relations avec ses clients, cette société fait usage de conditions générales, notamment en ce qui concerne l’emploi de cartes bancaires équipées de la fonction NFC. Ladite fonction, qui est automatiquement activée lors de la première utilisation de sa carte par le client, permet de payer de faibles montants, allant jusqu’à 25 euros par unité, sans insertion de la carte dans un terminal de paiement et sans devoir saisir un numéro d’identification personnel (ci-après le « code PIN »), auprès des caisses dotées de l’équipement adapté. En revanche, le paiement de montants supérieurs est soumis à une authentification par code PIN.

Le contenu des clauses de ces conditions générales qui sont pertinentes dans la présente affaire peut être résumé comme suit :

–

la clause 14 prévoit, en particulier, que les modifications des conditions générales relatives aux cartes de débit sont proposées au client au plus tard deux mois avant la date prévue pour leur entrée en vigueur et que le client est réputé avoir accepté ces modifications sauf opposition expresse de sa part avant cette date, avec une possibilité de libre résiliation offerte au client ayant la qualité de consommateur, ce dont il doit être informé dans la proposition de modification que lui adresse DenizBank ;

–	la clause 15 énonce que DenizBank n’est pas tenue de prouver que les paiements de faibles montants effectués sans saisie du code personnel, donc au moyen de la fonction NFC, ont été autorisés, ni que ces opérations n’ont pas été affectées par une déficience technique ou autre ;

–	la clause 16 dégage DenizBank de sa responsabilité et de toute obligation de remboursement, dans le cas où de telles opérations de paiement n’auraient pas été autorisées par le titulaire de la carte ;

–	la clause 17 stipule que le détenteur du compte bancaire supporte le risque de tout usage abusif de sa carte pour des paiements de ce type ;

–

la clause 18 mentionne que, en cas de disparition de la carte de retrait, due par exemple à une perte ou à un vol, il est techniquement impossible de bloquer la carte en ce qui concerne les paiements de faibles montants et que, même après un blocage, de tels paiements peuvent encore être effectués, jusqu’à 75 euros au total, sans qu’ils soient remboursables par DenizBank ;

–	la clause 19 prévoit que les dispositions relatives aux services de cartes sont, en principe, également applicables aux paiements de faibles montants.

Par acte du 9 août 2016, le VKI a introduit une action en cessation devant le Handelsgericht Wien (tribunal de commerce de Vienne, Autriche), afin d’obtenir qu’il soit interdit à DenizBank d’utiliser les six clauses susmentionnées, en raison de leur nullité. En défense, DenizBank a objecté que la clause 14 était licite et qu’il convenait d’apprécier distinctement les diverses fonctions de paiement des cartes équipées de la fonction NFC.

Par jugement du 28 avril 2017, la juridiction de première instance a fait droit à la demande du VKI. Elle a jugé que la clause 14 était gravement préjudiciable et que la fonction NFC ne relevait pas des dispositions dérogatoires prévues pour les instruments de paiement relatifs à des faibles montants, aux motifs que la carte pouvait aussi être utilisée pour d’autres types de paiements et que la fonction NFC ne saurait être considérée en soi comme un instrument de paiement.

Par arrêt du 20 novembre 2017, l’Oberlandesgericht Wien (tribunal régional supérieur de Vienne, Autriche), saisi en appel, a en partie confirmé le jugement rendu en première instance. Cette juridiction a, notamment, estimé que l’usage de la fonction NFC ne constituait pas une utilisation d’un instrument de paiement, mais était assimilable aux transactions de cartes de crédit effectuées par courrier ou par téléphone. À cet égard, elle a relevé que la fonction NFC était activée automatiquement, à la différence du « porte-monnaie électronique », et que la carte équipée de cette fonction était non pas anonymisée, mais à la fois personnalisée et sécurisée au moyen d’un code.

37	La juridiction de renvoi, l’Oberster Gerichtshof (Cour suprême, Autriche), a été saisie de pourvois en Revision, formés par le VKI et par DenizBank, contre l’arrêt ainsi rendu en appel.

Cette juridiction expose, premièrement, qu’elle a itérativement jugé qu’une large modification des conditions du contrat-cadre, par le prestataire de services de paiement, ne saurait faire l’objet d’une acceptation tacite, par le client, telle que celle résultant de la clause 14 des conditions générales en cause au principal. Elle considère qu’une telle modification serait contraire à l’article 52, point 6, sous a), et à l’article 54, paragraphe 1, de la directive 2015/2366, transposée en des termes identiques dans l’ordre juridique autrichien par le Zahlungsdienstegesetz 2018 (loi sur les services de paiement de 2018, BGBl. I, 17/2018), ainsi qu’à l’objectif de protection des consommateurs énoncé au considérant 63 de cette directive. Elle ajoute qu’il conviendrait, selon elle, de soumettre ladite clause à un contrôle supplémentaire au titre de la directive 93/13. Elle indique que sa jurisprudence susmentionnée a, toutefois, été critiquée par une partie de la doctrine autrichienne, qui a fait valoir, notamment, que les intérêts des entreprises devraient être mis en balance avec ceux des consommateurs, lesquels pourraient d’ailleurs tirer profit d’une modification de cette nature.

Deuxièmement, en se référant à la jurisprudence de la Cour, en particulier aux points 33 et 35 de l’arrêt du 9 avril 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), la juridiction de renvoi estime que le déclenchement d’un ordre de paiement par l’utilisation de la fonction NFC d’une carte bancaire associée à un compte bancaire déterminé pourrait constituer un « ensemble de procédures » non personnalisé, et donc un « instrument de paiement », au sens de l’article 4, point 14, de cette directive.

Dans l’hypothèse où tel serait le cas, elle demande, troisièmement, si un paiement effectué au moyen de la fonction NFC d’une telle carte personnalisée peut être considéré comme une utilisation « anonyme » d’un instrument de paiement, au sens de l’article 63, paragraphe 1, sous b), de la directive 2015/2366, ou si cette qualification n’est retenue que lorsque le paiement a été opéré à la fois au moyen d’une carte non associée à un compte individualisé et sans aucun autre élément d’authentification, tels que ceux définis à l’article 4, points 29 et 30, de ladite directive.

Quatrièmement, la juridiction de renvoi s’interroge, en substance, sur le point de savoir si un prestataire de services de paiement souhaitant se prévaloir de la dérogation prévue à l’article 63, paragraphe 1, sous a), de la directive 2015/2366 est tenu de prouver que, eu égard aux dernières connaissances scientifiques disponibles, l’instrument de paiement ne peut pas être bloqué ou que la poursuite de son utilisation ne peut pas être empêchée. Cette juridiction se prononce en faveur d’une réponse affirmative, dans une perspective de protection des consommateurs et compte tenu de ce que ledit prestataire est responsable des mesures de sécurité, selon le considérant 91 de la directive 2015/2366. Elle précise que, en l’espèce, DenizBank n’a pas contesté l’allégation du VKI selon laquelle un tel blocage était techniquement réalisable.

Dans ces conditions, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Convient-il d’interpréter les dispositions combinées de l’article 52, point 6, sous a), et de l’article 54, paragraphe 1, de la directive [2015/2366] – en vertu desquelles l’utilisateur de services de paiement est réputé avoir accepté une modification proposée des conditions contractuelles à moins que l’utilisateur de services de paiement n’ait notifié au prestataire de services de paiement son refus de cette modification avant la date proposée pour l’entrée en vigueur de celle-ci – en ce sens qu’une présomption d’acceptation peut être convenue, même avec un consommateur, sans aucune restriction pour toutes les conditions contractuelles envisageables ?

Convient-il d’interpréter l’article 4, point 14, de la directive [2015/2366] en ce sens que la fonction de paiement sans contact (NFC) d’une carte bancaire multifonctions personnalisée – fonction grâce à laquelle sont opérés des paiements de faibles montants au débit du compte bancaire associé – constitue un instrument de paiement ?

En cas de réponse affirmative à la deuxième question, sous a) :

Convient-il d’interpréter l’article 63, paragraphe 1, sous b), de la directive [2015/2366] – disposition introduisant des dérogations pour les instruments de paiement relatifs à des montants de faible valeur et pour la monnaie électronique – en ce sens que le paiement sans contact d’un montant de faible valeur au moyen de la fonction NFC d’une carte bancaire multifonctions personnalisée doit être considéré comme une utilisation de manière anonyme de l’instrument de paiement au sens de cette disposition dérogatoire ?

Convient-il d’interpréter l’article 63, paragraphe 1, sous [a]), de la directive [2015/2366] en ce sens qu’un prestataire de services de paiement ne peut invoquer cette disposition dérogatoire que s’il est démontré que l’état objectif des connaissances techniques ne permet pas de bloquer l’instrument de paiement ou qu’un usage ultérieur ne peut pas être empêché ? »

Le 26 novembre 2019, en application de l’article 101 de son règlement de procédure, la Cour a adressé à la juridiction de renvoi une demande d’éclaircissements l’invitant à préciser les raisons pour lesquelles il y avait lieu de considérer que la directive 2015/2366, de même que la législation autrichienne l’ayant transposée, était applicable ratione temporis au litige au principal, bien que le recours introductif d’instance ait été formé par le VKI le 9 août 2016, date à laquelle la directive 2007/64 était encore en vigueur, son abrogation étant survenue le 13 janvier 2018.

Dans sa réponse, parvenue au greffe de la Cour le 24 janvier 2020, la juridiction de renvoi a précisé que, saisie d’un recours portant sur une injonction de ne pas utiliser à l’avenir les clauses contractuelles faisant l’objet du litige au principal, elle devra apprécier la licéité de ces clauses au regard non seulement des dispositions en vigueur lors de l’introduction de l’action en justice, mais également des dispositions applicables après l’abrogation de la directive 2007/64.

Sur les questions préjudicielles

Sur la première question

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci, doit être interprété en ce sens qu’un prestataire de services de paiement qui a conclu un contrat-cadre avec un utilisateur de ces services peut convenir avec ce dernier que celui-ci sera présumé avoir accepté une modification de leur contrat-cadre, dans les conditions prévues à ces dispositions, y compris lorsque l’utilisateur a la qualité de consommateur et quelles que soient les clauses contractuelles soumises à cette présomption.

En vertu de l’article 52, point 6, sous a), de la directive 2015/2366, les États membres doivent veiller à ce que l’utilisateur de services de paiement soit informé du fait que, s’il en est convenu ainsi entre les parties au contrat-cadre, il est réputé avoir accepté la modification des conditions de ce contrat qui est proposée par le prestataire de ces services conformément à l’article 54, paragraphe 1, de ladite directive, à moins d’avoir notifié son refus à ce prestataire avant la date prévue pour l’entrée en vigueur de la modification concernée.

Il importe de relever que la présomption d’acceptation tacite de l’utilisateur de services de paiement, dont l’application a été convenue avec le prestataire de ces services, ne porte, ainsi que cela résulte de ces dispositions, que sur les « modifications » des conditions du contrat-cadre, à savoir sur des changements qui n’affectent pas les conditions de ce contrat-cadre à un degré tel que la proposition émanant du prestataire consisterait en réalité à conclure un nouveau contrat. Il incombe à la juridiction nationale saisie d’un litige portant sur une telle acceptation tacite de vérifier si cette dernière modalité est correctement mise en œuvre.

En revanche, le libellé de l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci, ne comporte aucune précision tenant à la qualité de l’utilisateur de services de paiement, comme cela est envisagé dans la première question. Or, lorsque la qualité de« consommateur », au sens de l’article 4, point 20, de cette directive, constitue un élément déterminant, les dispositions de celle-ci le précisent expressément, comme tel est le cas, notamment, à son article 38.

49	Il en résulte que l’article 52, point 6, sous a), de la directive 2015/2366 s’applique tant aux utilisateurs de services de paiement qui ont la qualité de consommateurs qu’aux utilisateurs n’ayant pas cette qualité.

Au demeurant, il ressort du libellé dudit article 52, point 6, sous a), lu en combinaison avec ledit article 54, paragraphe 1, second alinéa, que la première disposition a pour seul objet de poser des exigences en matière d’information préalable, et non de déterminer le contenu des modifications d’un contrat-cadre pouvant être tacitement acceptées, étant donné que ces dispositions se bornent à reconnaître la possibilité de telles modifications et à imposer une pleine transparence à leur sujet, sans définir la substance de celles-ci.

51	Cette analyse est corroborée par une interprétation contextuelle de l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci.

En effet, cet article 52, intitulé « Informations et conditions », ainsi que cet article 54, intitulé « Modification des conditions du contrat-cadre », figurent au chapitre 3 de la directive 2015/2366, relatif aux opérations de paiement couvertes par un contrat-cadre, qui relève du titre III de celle-ci, intitulé « Transparence des conditions et exigences en matière d’informations régissant les services de paiement ». Il s’ensuit que lesdits articles 52 et 54 ont vocation à réglementer uniquement les conditions et les informations qu’un prestataire de services de paiement est tenu de communiquer à l’utilisateur de ses services, et non à définir le contenu des engagements réciproques que ces personnes sont autorisées à prendre contractuellement, contenu qui est régi par les dispositions du titre IV de cette directive, intitulé « Droits et obligations liés à la prestation et à l’utilisation de services de paiement ».

En outre, l’article 42 de la directive 2015/2366, qui figure également au titre III de celle-ci et qui est intitulé « Dérogation aux exigences en matière d’information pour les instruments de paiement relatifs à des montants de faible valeur et la monnaie électronique », indique clairement que lesdits articles 52 et 54 portent sur les informations concernant les services de paiement qui doivent, sauf dérogation expressément autorisée, être fournies par le prestataire de ceux-ci.

Par ailleurs, l’article 51 de cette directive précise que la fourniture par le prestataire des services de paiement des informations et des conditions prévues à l’article 52 de celle-ci doit intervenir, sur un support durable ainsi que sous une forme claire et compréhensible, bien avant que l’utilisateur de services de paiement ne soit lié par un contrat-cadre ou une offre, afin de permettre à l’utilisateur d’effectuer un choix en toute connaissance de cause, ainsi que cela ressort du considérant 54 de ladite directive.

55	L’ensemble des considérations qui précèdent ne sont pas contredites par l’interprétation téléologique de l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci.

Certes, comme le relèvent la juridiction de renvoi et le VKI, le considérant 63 de cette directive énonce que, « [a]fin de garantir un niveau élevé de protection des consommateurs, les États membres devraient être en mesure, dans l’intérêt du consommateur, d’introduire ou de maintenir des restrictions ou des interdictions concernant les modifications unilatérales des termes d’un contrat-cadre, par exemple lorsqu’une modification n’est pas justifiée ».

Néanmoins, il résulte de l’article 107 de la directive 2015/2366 que l’article 52, point 6, sous a), et l’article 54, paragraphe 1, de celle-ci tendent à réaliser une harmonisation totale dans le domaine que ces dispositions régissent, à savoir, au vu de leur libellé, en matière d’information préalable concernant l’acceptation tacite de modifications d’un contrat-cadre en cas d’accord des parties en ce sens, et que ni les États membres ni les prestataires de tels services ne peuvent y déroger, sauf dans la mesure où ces prestataires décideraient d’accorder des conditions plus favorables aux utilisateurs de leurs services.

Dès lors, l’article 52, point 6, sous a), lu en combinaison avec l’article 54, paragraphe 1, de la directive 2015/2366, ne saurait être interprété, au regard du considérant 63 de celle-ci, en ce sens qu’il édicte des restrictions afférentes soit à la qualité de l’utilisateur soit au type de clauses contractuelles qui peuvent être concernés par de tels accords portant sur les modifications acceptées de façon tacite.

Dans le même temps, conformément à une jurisprudence constante, dans le cadre de la procédure de coopération avec les juridictions nationales instituée à l’article 267 TFUE, il appartient à la Cour de donner au juge de renvoi une réponse utile qui lui permette de trancher le litige dont celui-ci est saisi. Dans cette optique, la Cour peut extraire de l’ensemble des éléments fournis par la juridiction de renvoi, et notamment de la motivation de la décision de renvoi, les normes et les principes de droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige au principal, même si ces dispositions ne sont pas indiquées expressément dans les questions qui lui sont adressées par ladite juridiction (voir, notamment, arrêts du 19 décembre 2019, Airbnb Ireland, C-390/18, EU:C:2019:1112, point 36, ainsi que du 12 mars 2020, Caisse d’assurance retraite et de la santé au travail d’Alsace-Moselle, C-769/18, EU:C:2020:203, points 39 et 40).

En l’occurrence, dans la motivation de sa décision, la juridiction de renvoi a établi, à bon droit, un lien entre la clause 14 des conditions générales faisant l’objet de la procédure au principal, dont la teneur est exposée au point 33 du présent arrêt, et les dispositions de la directive 93/13 relatives aux clauses abusives contenues dans les contrats conclus avec des consommateurs. En outre, cette juridiction estime que la clause litigieuse est, en pratique, susceptible de conduire à une modification unilatérale du contrat-cadre au moyen de la présomption d’acceptation qui y est prévue, dès lors que les utilisateurs de services de paiement n’analyseraient pas suffisamment bien les implications de telles clauses.

À ce titre, il convient de constater que, s’agissant des utilisateurs de services de paiement ayant la qualité de « consommateur » au sens de l’article 2 de la directive 93/13, le contrôle du caractère abusif d’une clause portant sur l’acceptation tacite de modifications d’un contrat-cadre telle que celle en cause principal est régi par les dispositions de cette directive.

En effet, il ressort des dispositions de la directive 2015/2366, en particulier à la lumière du considérant 55 de celle-ci, que d’autres textes du droit de l’Union relatifs à la protection des consommateurs, tels que, notamment, la directive 2011/83, demeurent applicables. Par voie de conséquence, lorsque l’utilisateur de services de paiement possède la qualité de consommateur, la directive 2015/2366 est susceptible de s’appliquer concurremment avec la directive 93/13, telle que modifiée par la directive 2011/83, et donc sans préjudice des mesures prises par les États membres afin de transposer cette dernière, laquelle, dans le domaine qu’elle régit, ne réalise qu’une harmonisation minimale et autorise, dès lors, l’adoption ou le maintien de mesures nationales plus strictes, compatibles avec le traité, pour assurer un niveau de protection plus élevé aux consommateurs (voir, en ce sens, arrêt du 2 avril 2020, Condominio di Milano, via Meda, C-329/19, EU:C:2020:263, point 33).

Ainsi, l’article 3, paragraphe 1, de la directive 93/13 définit la mesure dans laquelle une clause figurant dans un contrat conclu entre un consommateur et un professionnel peut être déclarée abusive. Le paragraphe 3 de cet article 3 renvoie à l’annexe de ladite directive, qui contient une liste indicative de telles clauses, au nombre desquelles figurent, au point 1, sous j), de cette annexe, les « clauses ayant pour objet ou pour effet […] d’autoriser le professionnel à modifier unilatéralement les termes du contrat sans raison valable et spécifiée dans le contrat ». Par ailleurs, l’article 6, paragraphe 1, de la directive 93/13 prévoit qu’une clause abusive, au sens de cette directive, ne lie pas le consommateur, dans les conditions fixées par le droit national applicable. L’article 8 de ladite directive précise que les États membres peuvent adopter ou maintenir, dans le domaine qu’elle régit, des dispositions plus protectrices du consommateur que celles énoncées par cette dernière, pour autant qu’elles soient compatibles avec le traité.

Il incombe donc à la juridiction de renvoi d’examiner si la clause 14 des conditions générales portant sur la modification tacite du contrat-cadre conclu avec des consommateurs, qui est en cause au principal, revêt ou non un caractère abusif, et le cas échéant de tirer les conséquences d’une illicéité de cette clause, au regard des dispositions de la directive 93/13, et non au regard de l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci.

À cet égard, il convient de rappeler que, s’agissant des clauses standardisées permettant une adaptation unilatérale des contrats, la Cour a jugé que celles-ci doivent satisfaire aux exigences de bonne foi, d’équilibre et de transparence posées par la directive 93/13 (voir, en ce sens, arrêt du 21 mars 2013, RWE Vertrieb, C-92/11, EU:C:2013:180, point 47).

Par suite, il y a lieu de répondre à la première question que l’article 52, point 6, sous a), de la directive 2015/2366, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci, doit être interprété en ce sens qu’il régit les informations et les conditions à fournir par un prestataire de services de paiement souhaitant convenir, avec l’utilisateur de ses services, d’une présomption d’acceptation concernant la modification, conformément aux modalités prévues à ces dispositions, du contrat-cadre qu’ils ont conclu, mais qu’il ne fixe pas de restrictions s’agissant de la qualité de l’utilisateur ou du type de clauses contractuelles pouvant faire l’objet d’un tel accord, sans préjudice toutefois, lorsque l’utilisateur a la qualité de consommateur, d’un possible contrôle du caractère abusif de ces clauses au regard des dispositions de la directive 93/13.

Sur la deuxième question, sous a)

Par sa deuxième question, sous a), la juridiction de renvoi cherche à savoir si l’article 4, point 14, de la directive 2015/2366 doit être interprété en ce sens que constitue un « instrument de paiement », tel que défini à cette disposition, la fonction NFC dont est dotée une carte bancaire multifonctions personnalisée et qui permet d’effectuer des paiements de faibles montants au débit du compte bancaire associé à cette carte.

L’article 4, point 14, de la directive 2015/2366 définit la notion d’« instrument de paiement », aux fins de l’application de cette directive, comme étant « tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et utilisé pour initier un ordre de paiement ».

Libellé en des termes équivalents, l’article 4, point 23, de la directive 2007/64 définissait la notion d’« instrument de paiement », aux fins de l’application de cette directive, comme étant « tout dispositif personnalisé et/ou ensemble de procédures convenu entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour initier un ordre de paiement ».

À cet égard, il y a lieu de relever que, au point 31 de l’arrêt du 9 avril 2014, T-Mobile Austria (C-616/11, EU:C:2014:242), portant sur l’interprétation de l’article 4, point 23, de la directive 2007/64, la Cour a, tout d’abord, relevé qu’il existait une certaine divergence entre les différentes versions linguistiques de cette disposition, s’agissant de l’usage de l’épithète « personnalisé » en relation avec le syntagme « tout dispositif » et/ou avec le syntagme « ensemble de procédures » selon lesdites versions. Ensuite, elle a rappelé, au point 32 de cet arrêt, la jurisprudence constante selon laquelle, d’une part, les dispositions du droit de l’Union doivent être interprétées et appliquées de manière uniforme à la lumière des versions établies dans toutes les langues de l’Union européenne et, d’autre part, en cas de disparité entre les diverses versions linguistiques d’un texte de l’Union, la disposition en cause doit être interprétée en fonction de l’économie générale et de la finalité de la réglementation dont elle constitue un élément. Enfin, au point 33 dudit arrêt, la Cour a considéré que, pour être qualifié de « personnalisé », au sens de cette disposition, un instrument de paiement doit permettre au prestataire de services de paiement de vérifier que l’ordre de paiement a été initié par un utilisateur habilité à ce faire.

La Cour a ainsi estimé, aux points 34 et 35 du même arrêt, qu’il découlait nécessairement de l’existence d’instruments de paiement non personnalisés, tels que ceux expressément visés à l’article 53 de cette directive, devenu l’article 63 de la directive 2015/2366, que la notion d’« instrument de paiement », définie audit article 4, point 23, est susceptible de couvrir un ensemble de procédures non personnalisé, convenu entre l’utilisateur et le prestataire de services de paiement, et auquel l’utilisateur a recours pour initier un ordre de paiement.

C’est à la lumière de cette définition de la notion d’« instrument de paiement » au sens de l’article 4, point 23, de la directive 2007/64, devenu l’article 4, point 14, de la directive 2015/2366, qu’il convient de répondre à la deuxième question, sous a), posée par la juridiction de renvoi dans la présente affaire.

En l’occurrence, cette juridiction estime, à bon droit, qu’il découle de la jurisprudence citée aux points 70 et 71 du présent arrêt que ne constitue pas un « dispositif personnalisé », au sens de la première hypothèse visée à l’article 4, point 14, de la directive 2015/2366, la fonction NFC d’une carte bancaire multifonctions associée à un compte bancaire individuel, telle que celle en cause au principal, dès lors que l’usage de ladite fonction, en elle-même, ne permet pas au prestataire de services de paiement de vérifier que l’ordre de paiement a été initié par un utilisateur habilité à cet effet, à la différence des autres fonctions de cette carte qui requièrent l’emploi de données de sécurité personnalisées, telles qu’un code PIN ou une signature.

Partant, la juridiction de renvoi s’interroge sur le point de savoir si l’utilisation de la fonction NFC est susceptible de constituer, en soi, un « ensemble de procédures » non personnalisé, au sens de la seconde hypothèse visée à l’article 4, point 14, de la directive 2015/2366, et, partant, un « instrument de paiement », aux fins de l’application de cette directive.

Ainsi que le fait valoir M. l’avocat général, aux points 37 à 40 de ses conclusions, l’utilisation de la fonction NFC d’une carte bancaire associée à un compte bancaire individuel représente un ensemble de procédures non personnalisé qui doit avoir été convenu entre l’utilisateur et le prestataire de services de paiement et qui est employé pour initier un ordre de paiement, de sorte que cette fonction constitue un « instrument de paiement », au sens de l’article 4, point 14, seconde hypothèse, de la directive 2015/2366.

En effet, il ressort du dossier soumis à la Cour que la fonction NFC, après son activation par le titulaire du compte bancaire associé à une telle carte, peut, en vertu du contrat conclu entre le prestataire de services de paiement et cet utilisateur, être utilisée par tout individu qui se trouve en possession de la carte, pour payer de faibles montants inscrits au débit de ce compte, dans la limite du plafond autorisé par ledit contrat, sans devoir faire usage de données de sécurité personnalisées, qui seraient propres au titulaire du compte concerné, aux fins d’une « authentification », voire d’une « authentification forte », de l’ordre de paiement, au sens de l’article 4, points 29 à 31, de cette directive.

Il convient de préciser que la fonction NFC est, eu égard à ses spécificités, juridiquement dissociable des autres fonctions dont est dotée la carte bancaire lui servant de support, qui nécessitent quant à elles l’usage de données de sécurité personnalisées, en particulier pour payer des montants d’une valeur supérieure au plafond fixé pour l’utilisation de la fonction NFC. Dès lors, cette dernière, prise isolément, peut être qualifiée d’instrument de paiement, au sens de l’article 4, point 14, de la directive 2015/2366, et relever du champ d’application matériel de celle-ci.

Une telle interprétation est de nature à contribuer à la réalisation des objectifs poursuivis par la directive 2015/2366, car le fait que la fonction NFC soit ainsi directement soumise aux exigences posées par celle-ci favorise non seulement le développement de ce nouveau moyen de paiement dans le cadre d’une concurrence équitable entre les prestataires de services de paiement, mais également la protection des utilisateurs de ces services, en particulier de ceux ayant la qualité de consommateurs, conformément aux orientations données par le préambule de cette directive, et notamment par son considérant 6.

Par conséquent, il y a lieu de répondre à la deuxième question, sous a), que l’article 4, point 14, de la directive 2015/2366 doit être interprété en ce sens que constitue un « instrument de paiement », tel que défini à cette disposition, la fonction NFC dont est dotée une carte bancaire multifonctions personnalisée et qui permet d’effectuer des paiements de faibles montants au débit du compte bancaire associé à cette carte.

Sur la deuxième question, sous b)

Par sa deuxième question, sous b), la juridiction de renvoi demande si l’article 63, paragraphe 1, sous b), de la directive 2015/2366 doit être interprété en ce sens que le paiement sans contact d’un montant de faible valeur au moyen de la fonction NFC d’une carte bancaire multifonctions personnalisée constitue une utilisation « anonyme » de l’instrument de paiement considéré, au sens de cette disposition dérogatoire.

En vertu de l’article 63, paragraphe 1, sous b), de la directive 2015/2366, s’agissant d’instruments de paiement relatifs à des montants de faible valeur, tels que définis à la phrase introductive dudit paragraphe, un prestataire de services de paiement peut convenir avec l’utilisateur de ses services qu’ils dérogeront aux dispositions énumérées à ce point b), lorsque « l’instrument de paiement est utilisé de manière anonyme » ou lorsque « le prestataire de services de paiement n’est pas en mesure, pour des raisons autres qui sont inhérentes à l’instrument de paiement, d’apporter la preuve qu’une opération de paiement a été autorisée ».

La Cour a relevé qu’il ressortait de l’article 53, paragraphe 1, sous b), de la directive 2007/64, devenu l’article 63, paragraphe 1, sous b), de la directive 2015/2366, que certains instruments de paiement sont utilisés de manière anonyme, auquel cas les prestataires de services de paiement ne sont pas tenus d’apporter la preuve de l’authentification de l’opération considérée dans l’hypothèse visée à l’article 59 de cette première directive, devenu l’article 72 de cette seconde directive (arrêt du 9 avril 2014, T-Mobile Austria, C-616/11, EU:C:2014:242, point 34).

Plus précisément, l’article 63, paragraphe 1, sous b), de la directive 2015/2366 permet au prestataire de services de paiement et à l’utilisateur de ses services de déroger, par voie conventionnelle, premièrement, à l’article 72 de cette directive, qui impose au prestataire de prouver l’authentification et l’exécution des opérations de paiement, deuxièmement, à l’article 73 de celle-ci, qui établit le principe de la responsabilité du prestataire en cas d’opérations de paiement non autorisées et, troisièmement, à l’article 74, paragraphes 1 et 3, de ladite directive, qui déroge partiellement audit principe en prévoyant dans quelle mesure le payeur peut être tenu de supporter, jusqu’à concurrence de 50 euros, les pertes liées à de telles d’opérations, hormis après la notification au prestataire de la perte, du vol ou du détournement de l’instrument de paiement.

84	Il y a lieu de souligner que, en raison de son caractère dérogatoire, l’article 63, paragraphe 1, sous b), de cette directive doit faire l’objet d’une interprétation stricte.

Comme l’ont indiqué la juridiction de renvoi et la Commission, il résulte du libellé dudit article 63, paragraphe 1, sous b), lu à la lumière des dispositions que celui-ci mentionne, que les deux hypothèses dans lesquelles il peut être recouru à la dérogation qu’il prévoit ont pour caractéristique commune l’incapacité objective du prestataire de services de paiement à établir qu’une opération de paiement a été dûment autorisée, soit en raison de l’utilisation « anonyme » de l’instrument de paiement concerné, soit pour des « raisons autres qui sont inhérentes à [ce dernier] ».

En l’occurrence, s’agissant du point de savoir si un paiement effectué au moyen de la fonction NFC d’une carte bancaire multifonctions personnalisée peut être qualifié d’utilisation « anonyme », au sens de l’article 63, paragraphe 1, sous b), de la directive 2015/2366, il convient de tenir compte des circonstances qui suivent.

D’une part, la carte considérée est dite « personnalisée », dès lors qu’elle est associée au compte bancaire d’un client déterminé, à savoir le « payeur » tel que défini à l’article 4, point 8, de cette directive, et que ce compte est débité après un paiement opéré par le truchement de la fonction NFC. D’autre part, un paiement de ce type, qui est limité à des montants de faible valeur, nécessite uniquement la possession de cette carte, une fois que ladite fonction a été activée par le client, et non une authentification grâce à l’usage de données de sécurité personnelles, telles qu’un code PIN ou une signature. Il résulte de cette dernière circonstance que tout individu ayant accès à ladite carte peut effectuer un tel paiement, dans la limite du plafond autorisé, y compris sans le consentement du titulaire du compte, en cas de perte, de vol ou de détournement de la carte.

Dans ce contexte, il importe de marquer une distinction entre l’identification du titulaire du compte débité, laquelle découle directement de la personnalisation de la carte concernée, et l’autorisation de paiement éventuellement donnée par ce titulaire, laquelle ne peut être attestée par la simple utilisation de la carte lorsque le paiement considéré est effectué au moyen de la fonction NFC. En effet, l’accord du titulaire envers un tel paiement ne saurait être inféré de la simple possession physique de la carte équipée de cette fonction.

Partant, l’emploi de la fonction NFC aux fins du paiement de faibles montants constitue une utilisation « anonyme », au sens de l’article 63, paragraphe 1, sous b), de cette directive, quand bien même la carte qui est dotée de ladite fonction est associée au compte bancaire d’un client déterminé. En effet, dans une telle situation, le prestataire de services de paiement se trouve dans l’incapacité objective d’identifier la personne ayant payé par ce moyen et, partant, de vérifier, voire de prouver, que l’opération a été dûment autorisée par le titulaire du compte.

Ainsi que DenizBank l’a fait valoir, cette interprétation est confortée par les objectifs de la directive 2015/2366 consistant à « permettre le développement de moyens de paiement accessibles et faciles à utiliser pour les paiements présentant peu de risques, tels que les paiements de faible valeur sans contact au point de vente », comme l’énonce le considérant 96 de celle-ci, et à « permettre aux nouveaux moyens de paiement d’atteindre plus facilement un plus large public, tout en veillant à offrir aux consommateurs un niveau élevé de protection dans l’utilisation des services de paiement », comme l’énonce le considérant 6 de cette directive. De même, le considérant 81 de cette dernière indique que « [l]es instruments de paiement relatifs à des montants de faible valeur devraient constituer un moyen simple et bon marché de régler des biens et des services de faible prix et ne devraient pas être soumis à des exigences excessives », tout en précisant que « les utilisateurs de services de paiement devraient bénéficier d’une protection adéquate ». En effet, il est de l’intérêt non pas seulement du prestataire de services de paiement, mais également de son client de disposer, pour autant que ce dernier le souhaite et reste suffisamment protégé, de moyens de paiement innovants, rapides et simples à utiliser, tels que la fonction NFC.

En outre, cette interprétation de l’article 63, paragraphe 1, sous b), de la directive 2015/2366 est conforme à l’économie générale de ladite directive, dans la mesure où, au regard des règles fixées par celle-ci, un client ayant choisi de bénéficier d’un instrument de paiement simplifié et sans besoin d’identification pour les paiements de faible valeur, tel que la fonction NFC, doit être regardé comme ayant accepté d’être éventuellement exposé aux effets des limitations conventionnelles de la responsabilité du prestataire qui sont permises en vertu de cette disposition.

En effet, le législateur de l’Union, en limitant, ainsi que cela ressort de la phrase introductive dudit paragraphe 1, le montant des pertes financières qu’un client doit potentiellement assumer, permet d’assurer, conformément aux articles de cette directive lus à la lumière des considérants cités au point 90 du présent arrêt, un équilibre entre les avantages et les risques induits par un tel instrument, en particulier pour les clients ayant la qualité de consommateurs.

En conséquence, il y a lieu de répondre à la deuxième question, sous b), que l’article 63, paragraphe 1, sous b), de la directive 2015/2366 doit être interprété en ce sens que le paiement sans contact d’un montant de faible valeur au moyen de la fonction NFC d’une carte bancaire multifonctions personnalisée constitue une utilisation « anonyme » de l’instrument de paiement considéré, au sens de cette disposition dérogatoire.

Sur la troisième question

Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 63, paragraphe 1, sous a), de la directive 2015/2366 doit être interprété en ce sens qu’un prestataire de services de paiement qui entend se prévaloir de la dérogation prévue à cette disposition peut se borner à affirmer qu’il est impossible de bloquer l’instrument de paiement concerné ou d’empêcher la poursuite de l’utilisation de celui-ci, alors que, au regard de l’état objectif des connaissances techniques disponibles, une telle impossibilité ne peut être établie.

En vertu de l’article 63, paragraphe 1, sous a), de la directive 2015/2366, s’agissant d’instruments de paiement relatifs à des montants de faible valeur, tels que définis dans la phrase introductive dudit paragraphe, un prestataire de services de paiement peut convenir avec l’utilisateur de ses services qu’ils seront dispensés de certaines de leurs obligations réciproques, à savoir celles résultant des dispositions énumérées à ce point a), « si l’instrument de paiement » faisant l’objet du contrat-cadre qu’ils ont conclu « ne peut pas être bloqué » ou « si la poursuite de l’utilisation de [cet instrument] ne peut être empêchée ».

Il ressort clairement du libellé de cet article 63, paragraphe 1, sous a), que la mise en œuvre du régime dérogatoire prévu à cette disposition est subordonnée au constat de l’impossibilité, inhérente à l’instrument de paiement en question, de bloquer ce dernier ou de prévenir son utilisation ultérieure.

De même, l’article 53, paragraphe 1, sous a), de la directive 2007/64, auquel correspond l’article 63, paragraphe 1, sous a), de la directive 2015/2366, prévoyait que la dérogation qu’il instaurait s’appliquait dans l’hypothèse concrète où « l’instrument de paiement ne permet[tait] pas le blocage ou la prévention d’une autre utilisation de celui-ci ».

Partant, un prestataire de services de paiement qui souhaite faire usage de la faculté ouverte à l’article 63, paragraphe 1, sous a), de la directive 2015/2366 ne saurait, en vue de se dégager de ses propres obligations, se contenter de mentionner, dans le contrat-cadre relatif à l’instrument de paiement concerné, qu’il est dans l’incapacité de bloquer cet instrument ou d’empêcher la poursuite de son utilisation. Ce prestataire doit établir, à charge pour lui d’en rapporter la preuve en cas de litige, que ledit instrument ne permet en aucune manière, pour des raisons techniques, de procéder à son blocage ou de prévenir son utilisation ultérieure. Si la juridiction saisie estime qu’il était matériellement possible de procéder à un tel blocage ou de prévenir une telle utilisation, compte tenu de l’état objectif des connaissances techniques disponibles, mais que le prestataire n’a pas eu recours à ces connaissances, il ne saurait être fait application, au profit de ce dernier, dudit article 63, paragraphe 1, sous a).

99	Cette interprétation du libellé de l’article 63, paragraphe 1, sous a), de la directive 2015/2366 est corroborée tant par une interprétation systématique que par une interprétation téléologique de ladite disposition.

100

S’agissant de l’économie générale de la directive 2015/2366, il y a lieu de rappeler que l’article 63, paragraphe 1, sous a), de cette dernière permet au prestataire de services de paiement et à l’utilisateur de ses services de déroger, par voie conventionnelle, à l’application des obligations résultant, premièrement, de l’article 69, paragraphe 1, sous b), de cette directive, qui contraint l’utilisateur à informer sans tarder le prestataire de la perte, du vol, du détournement ou de toute utilisation non autorisée de l’instrument de paiement concerné, deuxièmement, de l’article 70, paragraphe 1, sous c) et d), de celle-ci, qui impose au prestataire de mettre à la disposition de l’utilisateur des moyens de procéder gratuitement à cette notification ou de demander le déblocage dudit instrument, ainsi que, troisièmement, de l’article 74, paragraphe 3, de ladite directive, qui dégage le payeur, sauf agissement frauduleux de sa part, des conséquences financières de l’utilisation de l’instrument perdu, volé ou détourné, survenue après la notification ainsi prévue.

101

Dès lors qu’il instaure une exception aux règles découlant des autres dispositions mentionnées au point précédent, l’article 63, paragraphe 1, sous a), de la directive 2015/2366 doit faire l’objet d’une interprétation stricte, de sorte que les conditions d’application de cette dernière disposition ne sauraient être conçues d’une façon conduisant à supprimer la charge probatoire devant peser sur la personne qui invoque ladite exception et, partant, à dispenser cette personne des conséquences préjudiciables pouvant découler de l’application desdites règles.

102

S’agissant des objectifs de la directive 2015/2366, il ressort, notamment, des considérants 6, 53 et 63 de celle-ci qu’elle vise à protéger les utilisateurs de services de paiement et, en particulier, à offrir un niveau élevé de protection à ceux ayant la qualité de consommateurs (voir, s’agissant de la directive 2007/64, arrêts du 25 janvier 2017, BAWAG, C-375/15, EU:C:2017:38, point 45, et du 2 avril 2020, PrivatBank, C-480/18, EU:C:2020:274, point 66).

103

Par ailleurs, aux termes du considérant 91 de la directive 2015/2366, les prestataires de tels services sont responsables des mesures de sécurité, lesquelles doivent être proportionnées aux risques associés à ces services, et ils sont tenus, en particulier, d’établir un cadre permettant d’atténuer les risques et de maintenir des procédures efficaces de gestion des incidents, conformément à l’article 95 de cette directive. Si le considérant 96 de ladite directive paraît tempérer quelque peu ces obligations en ce qui concerne « les paiements de faible valeur sans contact au point de vente », il ne remet toutefois pas en cause le principe de la responsabilité des prestataires de services de paiement en matière de sécurité, en énonçant que « les dérogations à l’application des exigences de sécurité devraient être précisées dans les normes techniques de réglementation », comme le prévoit l’article 98 de la même directive. Ainsi, les articles 2 et 11 du règlement délégué 2018/389, lus à la lumière des considérants 9 et 11 de celui-ci, déterminent dans quelle mesure lesdits prestataires peuvent déroger à la règle de l’authentification forte pour de tels paiements sans contact.

104

Or, comme le souligne M. l’avocat général aux points 60 et 61 de ses conclusions, si un prestataire de services de paiement pouvait s’exonérer de sa responsabilité en alléguant simplement qu’il est dans l’impossibilité de bloquer l’instrument de paiement ou d’en empêcher son utilisation ultérieure, il pourrait alors aisément, en proposant une offre techniquement médiocre, mettre à la charge de l’utilisateur de ses services les risques liés aux paiements non autorisés. Un tel transfert de ces risques et des conséquences préjudiciables y afférentes ne serait conforme ni à l’objectif de protection des utilisateurs de services de paiement, et plus particulièrement des consommateurs, ni à la règle selon laquelle les prestataires de services de paiement assument la responsabilité de prendre des mesures de sécurité appropriées, qui tous deux sous-tendent le régime établi par la directive 2015/2366.

105

L’interprétation ainsi retenue de l’article 63, paragraphe 1, sous a), de la directive 2015/2366 ne peut être remise en cause par les arguments de DenizBank selon lesquels cette analyse nuirait au développement de nouveaux modèles commerciaux dans le domaine des services de paiements relatifs à de faibles montants et porterait atteinte à la liberté des prestataires de proposer une carte de paiement dont il serait simplement déclaré qu’elle ne peut pas être bloquée, quel qu’en soit le motif. En effet, ces arguments s’opposent non seulement au libellé de cette disposition, mais également à l’économie générale de cette directive et aux objectifs visés par la réglementation dans lesquels ladite disposition s’inscrit.

106

En conséquence, il y a lieu de répondre à la troisième question que l’article 63, paragraphe 1, sous a), de la directive 2015/2366 doit être interprété en ce sens qu’un prestataire de services de paiement qui entend se prévaloir de la dérogation prévue à cette disposition ne saurait se borner à affirmer qu’il est impossible de bloquer l’instrument de paiement concerné ou d’empêcher la poursuite de l’utilisation de celui-ci, alors que, au regard de l’état objectif des connaissances techniques disponibles, une telle impossibilité ne peut être établie.

Sur la limitation des effets dans le temps du présent arrêt

107

Dans ses observations écrites, DenizBank a demandé, en substance, que la Cour limite les effets dans le temps de son arrêt, plus particulièrement, pour le cas où celle-ci jugerait que la fonction NFC d’une carte bancaire multifonctions personnalisée ne constitue pas un « instrument de paiement » au sens l’article 4, point 14, de la directive 2015/2366. À l’appui de cette demande, elle a invoqué les importants effets financiers que l’arrêt serait susceptible de produire et le fait que les entreprises concernées auraient légitimement pu s’attendre à une autre interprétation.

108

À cet égard, il convient de rappeler que, conformément à une jurisprudence constante, ce n’est qu’à titre tout à fait exceptionnel que la Cour peut, par application d’un principe général de sécurité juridique inhérent à l’ordre juridique de l’Union, être amenée à limiter la possibilité pour tout intéressé d’invoquer une disposition qu’elle a interprétée en vue de mettre en cause des relations juridiques établies de bonne foi. Pour qu’une telle limitation puisse être décidée, il est nécessaire que deux critères essentiels soient réunis, à savoir la bonne foi des milieux intéressés et le risque de troubles graves (voir, notamment, arrêts du 10 juillet 2019, WESTbahn Management, C-210/18, EU:C:2019:586, point 45, ainsi que du 3 octobre 2019, Schuch-Ghannadan, C-274/18, EU:C:2019:828, point 61 et jurisprudence citée).

109

De surcroît, il importe de relever que la demande de DenizBank apparaît n’avoir été formée que dans l’hypothèse où la Cour répondrait par la négative à la deuxième question, sous a), ce qui n’est pas le cas. En tout état de cause, DenizBank n’a fourni aucun élément concret et précis de nature à établir le bien-fondé de sa demande, puisqu’elle se borne à faire valoir des arguments d’ordre général.

110	Dès lors, il n’y a pas lieu de limiter dans le temps les effets du présent arrêt.

Sur les dépens

111

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 52, point 6, sous a), de la directive (UE) 2015/2366 du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE, lu en combinaison avec l’article 54, paragraphe 1, de celle-ci, doit être interprété en ce sens qu’il régit les informations et les conditions à fournir par un prestataire de services de paiement souhaitant convenir, avec l’utilisateur de ses services, d’une présomption d’acceptation concernant la modification, conformément aux modalités prévues à ces dispositions, du contrat-cadre qu’ils ont conclu, mais qu’il ne fixe pas de restrictions s’agissant de la qualité de l’utilisateur ou du type de clauses contractuelles pouvant faire l’objet d’un tel accord, sans préjudice toutefois, lorsque l’utilisateur a la qualité de consommateur, d’un possible contrôle du caractère abusif de ces clauses au regard des dispositions de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs.

L’article 4, point 14, de la directive 2015/2366 doit être interprété en ce sens que constitue un « instrument de paiement », tel que défini à cette disposition, la fonction de communication en champ proche (Near Field Communication) dont est dotée une carte bancaire multifonctions personnalisée et qui permet d’effectuer des paiements de faibles montants au débit du compte bancaire associé à cette carte.

L’article 63, paragraphe 1, sous b), de la directive 2015/2366 doit être interprété en ce sens que le paiement sans contact d’un montant de faible valeur au moyen de la fonction de communication en champ proche (Near Field Communication) d’une carte bancaire multifonctions personnalisée constitue une utilisation « anonyme » de l’instrument de paiement considéré, au sens de cette disposition dérogatoire.

L’article 63, paragraphe 1, sous a), de la directive 2015/2366 doit être interprété en ce sens qu’un prestataire de services de paiement qui entend se prévaloir de la dérogation prévue à cette disposition ne saurait se borner à affirmer qu’il est impossible de bloquer l’instrument de paiement concerné ou d’empêcher la poursuite de l’utilisation de celui-ci, alors que, au regard de l’état objectif des connaissances techniques disponibles, une telle impossibilité ne peut être établie.

Signatures

( *1 ) Langue de procédure : l’allemand.

Textes cités dans la décision