Cour de cassation, 19 décembre 2018. 17-15.252

COMM. CF COUR DE CASSATION ______________________ Audience publique du 19 décembre 2018 Rejet non spécialement motivé Mme MOUILLARD, président Décision n° 10665 F Pourvoi n° E 17-15.252 R É P U B L I Q U E F R A N Ç A I S E _________________________ AU NOM DU PEUPLE FRANÇAIS _________________________ LA COUR DE CASSATION, CHAMBRE COMMERCIALE, FINANCIÈRE ET ÉCONOMIQUE, a rendu la décision suivante : Vu le pourvoi formé par la Caisse de crédit mutuel de Fourmies, société coopérative de crédit, dont le siège est [...] , contre le jugement rendu le 5 décembre 2016 par le tribunal d'instance d'Avesnes-sur-Helpe, dans le litige l'opposant à Mme Nadège X..., épouse Y..., domiciliée [...] , défenderesse à la cassation ; Vu la communication faite au procureur général ; LA COUR, en l'audience publique du 20 novembre 2018, où étaient présents : Mme Mouillard, président, M. Z..., conseiller référendaire rapporteur, M. Rémery, conseiller doyen, Mme A..., avocat général, Mme Labat, greffier de chambre ; Vu les observations écrites de la SCP Célice, Soltner, Texidor et Périer, avocat de la Caisse de crédit mutuel de Fourmies ; Sur le rapport de M. Z..., conseiller référendaire, l'avis de Mme A..., avocat général, et après en avoir délibéré conformément à la loi ; Vu l'article 1014 du code de procédure civile ; Attendu que le moyen de cassation annexé, qui est invoqué à l'encontre de la décision attaquée, n'est manifestement pas de nature à entraîner la cassation ; Qu'il n'y a donc pas lieu de statuer par une décision spécialement motivée ; REJETTE le pourvoi ; Condamne la Caisse de crédit mutuel de Fourmies aux dépens ; Vu l'article 700 du code de procédure civile, rejette sa demande ; Ainsi décidé par la Cour de cassation, chambre commerciale, financière et économique, et prononcé par le président en son audience publique du dix-neuf décembre deux mille dix-huit. MOYEN ANNEXE à la présente décision Moyen produit par la SCP Célice, Soltner, Texidor et Périer, avocat aux Conseils, pour la Caisse de crédit mutuel de Fourmies Il est fait grief au jugement attaqué D'AVOIR condamné la Caisse de crédit mutuel de Fourmies à payer à Madame Nadège Y... la somme de 1.443,99 €, ainsi qu'à payer à Madame Y... la somme de 700 € en application de l'article 700 du code de procédure civile, et à prendre en charge les entiers dépens de l'instance. AUX MOTIFS QUE « Sur la demande en remboursement des paiements litigieux L'article L. 133-16 du code monétaire et financier dispose que : "Dès qu'il reçoit un instrument de paiement, l'utilisateur de services de paiement prend toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés. Il utilise l'instrument de paiement conformément aux conditions régissant sa délivrance et son utilisation. ". Son article L. 133-17 prévoit que: "I. — Lorsqu'il a connaissance de la perte, du vol, du détournement ou de toute utilisation non autorisée de son instrument de paiement ou des données qui lui sont liées, l'utilisateur de services de paiement en informe sans tarder, aux fins de blocage de l'instrument, son prestataire ou l'entité désignée par celui-ci. II. — Lorsque le paiement est effectué par une carte de paiement émise par un établissement de crédit, une institution ou un service mentionné à l'article L. 518-1 et permettant à son titulaire de retirer ou de transférer des fonds, il peut être fait opposition au paiement en cas de procédure de redressement ou de liquidation judiciaires du bénéficiaire". L'article L. 133-18 prévoit quant à lui que: "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire". L'article L. 133-19 prévoit que: "I. — En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros. Toutefois, la responsabilité du payeur n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation du dispositif de sécurité personnalisé. II. — La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées. Elle n'est pas engagée non plus en cas de contrefaçon de l'instrument de paiement si, au moment de l'opération de paiement non autorisée, le payeur était en possession de son instrument. III. — Sauf agissement frauduleux de sa part, le payeur ne supporte aucune conséquence financière si le prestataire de services de paiement ne fournit pas de moyens appropriés permettant l'information aux fins de blocage de l'instrument de paiement prévu à L. 133-17. IV. — Le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'un agissement frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17". L'article L. 133-20 dispose que: "Après avoir informé son prestataire ou l'entité désignée par celui-ci, conformément à l'article L. 133-17 aux fins de blocage de l'instrument de paiement, le payeur ne supporte aucune conséquence financière résultant de l'utilisation de cet instrument de paiement ou de l'utilisation détournée des données qui lui sont liées, sauf agissement frauduleux de sa part". L'article L. 133-21 stipule que: "Un ordre de paiement exécuté conformément à l'identifiant unique fourni par l'utilisateur du service de paiement est réputé dûment exécuté pour ce qui concerne le bénéficiaire désigné par l'identifiant unique. Si l'identifiant unique fourni par l'utilisateur du service de paiement est inexact, le prestataire de services de paiement n'est pas responsable de la mauvaise exécution de l'opération de paiement. Toutefois, le prestataire de services de paiement du payeur s'efforce de récupérer les fonds engagés dans l'opération de paiement. Si la convention de compte de dépôt ou le contrat-cadre de services de paiement le prévoit, le prestataire de services de paiement peut imputer des frais de recouvrement à l'utilisateur de services de paiement. Si l'utilisateur de services de paiement fournit des informations en sus de l'identifiant unique ou des informations définies dans la convention de compte de dépôt ou dans le contrat-cadre de services de paiement comme nécessaires aux fins de l'exécution correcte de l'ordre de paiement, le prestataire de services de paiement n'est responsable que de l'exécution de l'opération de paiement conformément à l'identifiant unique fourni par l'utilisateur de services de paiement". Son article L. 133-23 prévoit que: "Lorsqu'un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre. L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière". Enfin, aux termes de l'article L. 133-24 dudit code : "L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III. Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d'un délai distinct de celui prévu au présent article". Il résulte de l'ensemble de ces dispositions que: - en cas d'opération non autorisée signalée par l'utilisateur, une obligation de remboursement immédiat au "payeur" est imposée à la charge du prestataire de services de paiement ; - si l'établissement bancaire refuse de procéder à ce remboursement, il lui incombe alors de prouver que l'opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience technique ou autre ; - toutefois, l'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ; - cela signifie donc que la seule preuve de l'utilisation des identifiants du client et l'absence de déficience technique ou autre, notamment par le biais de la production d'un relevé de sel connexions, ne saurait suffire pour que le professionnel soit déchargé de toute responsabilité ; - par ailleurs, la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à son insu, un instrument de paiement ou les données qui lui sont liées - cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d'agissements frauduleux de sa part ou s'il n'a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et 17 susvisés ; - il en résulte que, pour échapper au remboursement du virement litigieux, le prestataire de services de paiement doit démontrer, soit que l'ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d'autres données) n'est que la conséquence d'une faute grave de sa part (consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées). En l'espèce, les parties s'accordent à considérer que Nadège Y... a été victime d 'un "phishing" le 13 décembre 2014, alors qu'elle se rendait sur le site Internet de la société de téléphonie mobile SFR pour régler en ligne l'un de ses factures, qu'elle produit aux débats, laquelle arrivait à échéance le 15 décembre 2014 (facture SFR [...]). Il doit être rappeler que le "phishing" est une technique consistant à obtenir frauduleusement la communication d'informations personnelles, notamment d'ordre bancaire. Le mode opératoire utilisé le plus couramment est l'envoi sur la messagerie du client d'un mail malveillant usurpant l'identité ou la qualité d'un tiers de confiance, en l'espèce, l'opérateur de téléphonie mobile SFR, et d'inciter le client à fournir l'ensemble de ses données bancaires. Il ressort en effet des copies d'écran versées aux débats que lors de cette opération de paiement de facture en ligne, Nadège Y... était informée de ce qu'aucune facture à payer n'était disponible. Alors qu'elle consultait sa messagerie SFR, un message l'informait de ce que suite à une activité anormale et par mesure de sécurité, sa carte était bloquée, avec la mention "cliquez ici pour débloquer votre carte". Après avoir cliqué sur ledit message, elle était redirigée vers une nouvelle page, où elle était invitée à mettre à jour ses coordonnées bancaires (nom de la banque, numéro de carte bancaire, date d'expiration, code de vérification, date de naissance), et y a donc procédé. Ces faits caractérisent bien le procédé du phishing tel que décrit précédemment. Par la suite, dans la nuit du 13 au 14 décembre 2014, elle dit avoir reçu sur son téléphone portable des codes 3D SECURE, alors qu'elle assure n'avoir passé aucune commande sur internet. Il n'est pas contesté par la société défenderesse que la cliente, informée ce faisant que des opérations de paiement étaient en cours, a immédiatement fait opposition à sa carte bancaire, ce qui tend à faire la preuve d'une attitude pouvant être qualifiée de raisonnable de sa part. Après avoir constaté, sur ses relevés de compte, les paiements litigieux pour un montant total de 1443,99 euros, elle a sollicité de sa banque, selon courriers des 20 janvier et 7 février 2015, produits par cette dernière, le remboursement de ces paiements. Ainsi, et conformément à l'article L. 133-24 susvisé, il apparaît que le payeur a rempli son obligation de signalement, dans le mois suivant lesdites opérations frauduleuses soit dans le délai prévu pour agir. Elle se considère fondée à obtenir le remboursement de ces sommes, en application de l'article L. 133-19 susvisé, invoquant le fait que l'opération de paiement non autorisée a été effectuée en détournant, à son insu, l'instrument de paiement ou les données qui lui sont liées. Or, il apparaît en effet, compte tenu des motifs ci-dessus exposés que c'est bien à son insu que les données ont été détournées, ayant été victime de phishing. Pour refuser de procéder au remboursement de ces sommes, la banque invoque une négligence grave de sa cliente en ayant répondu à un phishing, et ce alors même qu'elle assure communiquer constamment et depuis plusieurs années sur le phénomène, via son site internet. Selon la banque, la demanderesse aurait dû être alertée par l'adresse mail du message litigieux, reçu sur sa messagerie SFR, qui ne correspond pas à celle indiquée sur la facture, comme mail de contact. Elle argue également de que l'attention de Nadège Y... aurait dû être attirée par la page Web où il lui a été demandé d'entrer ses coordonnées de carte bancaire, l'adresse "http" étant sans lien avec l'opérateur de téléphonie. Or, il apparaît que la perception de ces quelques indices appeler[ait] un examen particulièrement vigilant des messages ainsi reçus, et ce alors même qu'il ressort des copies écran versées aux débats, que les pages Web portent le logo parfaitement imité de la société SFR. Or, on ne peut reprocher à un client non averti, de ne pas adopter un tel comportement. Si la banque affirme alerter ses clients sur le phénomène du phishing, elle ne produit aucune pièce permettant d'étayer ces dires. Il apparaît ainsi que le fait pour un client normalement attentif de ne pas avoir perçu les indices, tels que relevés par la société défenderesse de nature à faire douter de la provenance des messages ainsi reçus, ne suffit pas à caractériser une négligence grave de sa part. C'est donc véritablement à son insu que Nadège Y... a fourni les renseignements ayant permis par la suite les opérations frauduleuses sur son compte, lesquelles ont effectivement été réalisées via le procédé 3D SECURE, dont il est justifié par la banque qu'il n'a pas été défaillant. Dans ces conditions et conformément à l'article L. 133-19 H susvisé, la responsabilité du payeur ne peut être engagée et la banque doit être tenue de rembourser les sommes frauduleusement débitées du compte de son client, ledit paiement n'ayant pas été autorisé, conformément aux dispositions du code monétaire et financier susvisées. En conséquence, et conformément à l'article L. 133-18 du code monétaire et financier, la société CAISSE DE CREDIT MUTUEL DE FOURMIES doit être condamnée au remboursement les paiements litigieux soit au paiement de la somme de 1443,99 euros » 1°) ALORS QUE l'utilisateur d'un service de paiement qui agit avec une négligence grave est tenu de supporter l'intégralité de la perte subie ; que constitue une négligence grave la fourniture par le client d'un établissement bancaire à un tiers de données confidentielles permettant ou facilitant l'utilisation d'un service de paiement sécurisé ; qu'en l'espèce, il résulte des énonciations du jugement attaqué que Madame Y... a reçu sur sa messagerie SFR un message l'informant « de ce que suite à une activité anormale et par mesure de sécurité, sa carte était bloquée, avec la mention "cliquez ici pour débloquer votre carte" », et qu' « après avoir cliqué sur ledit message, elle était redirigée vers une nouvelle page, où elle était invitée à mettre à jour ses coordonnées bancaires (nom de la banque, numéro de carte bancaire, date d'expiration, code de vérification, date de naissance), et y a donc procédé » (jugement, p. 6, 5ème à 8ème §) ; que, pour juger que Madame Y... n'avait pas commis de négligence grave exonérant la banque de son obligation de remboursement des débités contestés, le tribunal a retenu qu'après avoir reçu sur son téléphone des codes de validation de paiement selon le procédé 3D SECURE, Madame Y... a immédiatement fait opposition à sa carte bancaire, puis avait sollicité le remboursement des paiements effectués sans son autorisation, ce dont il a déduit que les données personnelles de Madame Y... avaient été détournées à son insu, cette dernière ayant été victime d'un phishing ; qu'en statuant de la sorte, quand il résultait de ses propres constatations que Madame Y... avait communiqué à un tiers l'ensemble des données confidentielles relatives à sa carte bancaire, sans lesquelles les opérations litigieuses n'auraient pu être exécutées, ce qui caractérisait une méconnaissance de son obligation de préserver la sécurité de ses dispositifs de sécurité personnalisés et donc une négligence grave, le tribunal d'instance a violé les articles L. 133-15, L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier, ensemble l'article 1134 du code civil (dans sa rédaction antérieure à l'ordonnance du 10 février 2016) ; 2°) ALORS EN TOUT ETAT DE CAUSE QU' il résulte de l'article L. 133-15 du code monétaire et financier que le prestataire de services de paiement qui délivre un instrument de paiement doit s'assurer que les dispositifs de sécurité personnalisés de cet instrument ne sont pas accessibles à d'autres personnes que l'utilisateur autorisé de ce service, ce dernier ayant la charge d'assurer la conservation et la confidentialité des données nécessaires à l'utilisation de l'instrument de paiement en cause ; qu'ainsi que le faisait valoir la Caisse de Crédit Mutuel de Fourmes dans ses conclusions (p. 7-8), il résultait à cet égard de l'article 1er des conditions générales du contrat CMNE DIRECT, permettant l'accès du client à ses comptes bancaires par internet, que le souscripteur devait dès sa première connexion modifier le mot de passe qui lui était initialement fourni, et qu'il était « entièrement responsable de l'usage et de la conservation de ses codes personnels, et, le cas échéant, des conséquences d'une divulgation involontaire à quiconque de leur transmission » ; que l'article 4 stipulait également que « le souscripteur est seul responsable de la garde, de la conservation et de la confidentialité des informations/ données qui lui seront communiquées pour se connecter au serveur de la banque. Les éléments d'identification décrits à l'article « accès au service » nécessaires pour accéder au service sont strictement confidentiels. Il est de la responsabilité du souscripteur de veiller à ce que lesdits éléments ci-dessus cités demeurent secrets et ne soient divulgués à quiconque. Il lui appartient également de s'assurer que la conservation de la saisie desdits éléments soit effectuée dans des conditions parfaites de sécurité et de confidentialité » ; qu'en s'abstenant de rechercher, ainsi qu'elle y était invitée, si le fait pour Madame Y... d'avoir communiqué à un tiers l'ensemble des données confidentielles de sa carte bancaire ne caractérisait pas une méconnaissance de son obligation contractuelle de conservation de ses données personnelles et de l'interdiction formelle de communiquer celle-ci à un tiers, et ne constituait pas dès lors une négligence grave de nature à exonérer la banque de son obligation de remboursement, le tribunal d'instance a privé sa décision de base légale au regard des articles 1134 et 1147 du code civil (dans leur rédaction applicable en la cause), ensemble les articles L. 133-15, L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier, 3°) ALORS QU' il résulte des propres constatations du jugement attaqué que l'adresse mail à laquelle cet opérateur téléphonique communiquait avec cette dernière était intitulée « [...] » et ne correspondait donc pas à l'adresse mail (« [...] ») sur laquelle avait été adressé le mail litigieux, et que par ailleurs, l'adresse internet de laquelle provenait le message était sans lien avec l'opérateur téléphonique duquel il était censé émaner (jugement, p. 7, 4ème §) ; qu'en jugeant qu'en dépit de ces incohérences affectant le message auquel Madame Y... avait répondu en communiquant à son émetteur l'ensemble de ses données confidentielles, cette dernière n'avait pas commis de négligence grave, le tribunal d'instance n'a pas tiré les conséquences légales qui s'évinçaient de ses constatations et violé les articles L. 133-15, L. 133-16, L. 133-19 et L. 133-23 du code monétaire et financier ; 4°) ALORS QUE la Caisse de Crédit Mutuel de Fourmies, qui faisait valoir dans ses conclusions reprises à l'audience (p. 7) qu'elle communiquait constamment sur le phénomène du phishing par le biais de son site internet afin d'alerter ses clients sur les règles de sécurité élémentaires à respecter, versait aux débats (sa pièce n°15) le message d'alerte diffusé sur son site dès le mois de novembre 2012, ainsi qu'un extrait du site internet cmne.fr (sa pièce n°14) comportant une alerte contre le phishing ainsi que l'énoncé de règles à respecter afin d'éviter d'être l'objet d'une fraude ; qu'en énonçant que « si la banque affirm[ait] alerter ses clients sur le phénomène du phishing, elle ne produi[sait] aucune pièce permettant d'étayer ces dires », le tribunal d'instance a dénaturé les écritures de l'exposante et son bordereau de communication de pièces, violant les articles 4 et 5 du code de procédure civile ;